Konfigurieren von Windows Hello for Business auf Geräten bei der Registrierung bei Intune
Mit Microsoft Intune können Sie eine mandantenweite Richtlinie erstellen, die die Verwendung von Windows Hello for Business auf Windows 10- oder Windows 11 Geräten zum Zeitpunkt der Registrierung dieser Geräte bei Intune konfiguriert. Diese Richtlinie gilt für Ihre gesamte organization und unterstützt die Windows Autopilot-Out-of-Box-Experience (OOBE).
Bei Windows 10/11-Geräten ersetzt die Verwendung von Windows Hello for Business die Verwendung von Kennwörtern durch starke zweistufige Authentifizierung auf Geräten. Diese Authentifizierung besteht aus Benutzeranmeldeinformationen, die mit einem Gerät verknüpft sind und biometrische Daten oder eine PIN verwenden.
Nach der Geräteregistrierung oder wenn Sie sich dafür entscheiden, die mandantenweite Registrierungsrichtlinie nicht zu verwenden, unterstützt Intune die folgenden Methoden, um Windows Hello auf diskreten Gerätegruppen zu verwalten:
Endpunktsicherheit Kontoschutzrichtlinie: Um Windows Hello auf Geräten zu verwalten, nachdem sie sich bei Intune registriert haben, verwenden Sie das profil Intune Kontoschutz, das Teil der Endpunktsicherheits-Kontoschutzrichtlinie ist.
Sicherheitsbaselines: Einige Einstellungen für Windows Hello können von Sicherheitsbaselines wie den Baselines für Microsoft Defender for Endpoint Sicherheit oder Sicherheitsbaseline für Windows 10 und höher verwaltet werden.
Einstellungskatalog: Die Einstellungen aus Endpunktsicherheit Kontoschutzprofile sind im Intune Einstellungskatalog verfügbar.
Wichtig
Vor dem Anniversary Update (Windows-Version 1607) konnten Sie zwei verschiedene PINS festlegen, die für die Authentifizierung bei Ressourcen verwendet werden konnten:
- Die Geräte-PIN konnte zum Entsperren des Geräts und zur Verbindung mit Cloudressourcen verwendet werden.
- Die Arbeits-PIN wurde für den Zugriff auf Microsoft Entra Ressourcen auf dem persönlichen Gerät eines Benutzers (BYOD) verwendet.
Im Anniversary Update wurden diese beiden PINs in eine einzige Geräte-PIN zusammengeführt. Dieser neue PIN-Wert wird jetzt sowohl von allen Intune-Konfigurationsrichtlinien, die Sie zum Steuern der Geräte-PIN festlegen, als auch von allen konfigurierten Windows Hello for Business-Richtlinien festgelegt. Wenn Sie beide Richtlinientypen für die PIN-Steuerung eingerichtet haben, wird die Windows Hello for Business-Richtlinie angewendet. Um sicherzustellen, dass Richtlinienkonflikte gelöst werden und dass die PIN-Richtlinie korrekt angewendet wird, aktualisieren Sie Ihre Windows Hello for Business-Richtlinie auf die Einstellungen in der Konfigurationsrichtlinie. Fordern Sie auch die Benutzer auf, ihre Geräte in der Unternehmensportal-App zu synchronisieren.
Rollenbasierte Zugriffssteuerung
Sie müssen ein Intune-Dienstadministrator sein, um eine Windows Hello for Business-Richtlinie in der Windows-Registrierung erstellen oder bearbeiten zu können. Alle anderen Intune Rollen haben schreibgeschützten Zugriff. Weitere Informationen zur rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) finden Sie unter RBAC mit Microsoft Intune.
Erstellen einer Windows Hello for Business-Richtlinie für die Geräteregistrierung
Melden Sie sich beim Microsoft Intune Admin Center an.
Wechseln Sie zu Geräteregistrierung>.
Wählen Sie auf der Registerkarte Windows unter Registrierungsoptionendie Option Windows Hello for Business aus. Warten Sie, während der bereich Windows Hello for Business geöffnet wird.
Wählen Sie aus den folgenden Optionen für Windows Hello for Business konfigurieren:
Aktiviert. Wählen Sie diese Einstellung aus, wenn Sie Windows Hello for Business-Einstellungen konfigurieren möchten. Wenn Sie Aktiviert auswählen, werden andere Einstellungen für Windows Hello angezeigt, die für Geräte konfiguriert werden können.
Deaktiviert. Wählen Sie diese Option aus, wenn Sie Windows Hello for Business nicht während der Geräteregistrierung aktivieren möchten. Bei Deaktivierung können Geräte Windows Hello for Business nicht bereitstellen. Wenn Deaktiviert festgelegt ist, können Sie dennoch die folgenden Einstellungen für Windows Hello for Business konfigurieren, obwohl diese Richtlinie Windows Hello for Business nicht aktiviert.
Nicht konfiguriert. Wählen Sie diese Einstellung aus, wenn Sie Windows Hello for Business-Einstellungen nicht mit Intune steuern möchten. Vorhandene Windows Hello for Business-Einstellungen auf Windows 10/11-Geräten ändern sich nicht. Alle anderen Einstellungen in dem Bereich sind nicht verfügbar.
Wenn Sie im vorherigen Schritt Aktiviert ausgewählt haben, konfigurieren Sie die erforderlichen Einstellungen, die auf alle registrierten Windows 10/11-Geräte angewendet werden. Nachdem Sie diese Einstellungen konfiguriert haben, wählen Sie Speichern aus.
Trusted Platform Module (TPM) verwenden:
Ein TPM-Chip bietet eine weitere Ebene der Datensicherheit. Wählen Sie einen der folgenden Werte aus:
- Erforderlich (Standard). Nur Geräte mit verfügbarem TPM können Windows Hello for Business bereitstellen.
- Bevorzugt. Geräte versuchen zunächst, ein TPM zu verwenden. Wenn diese Option nicht verfügbar ist, können sie die Softwareverschlüsselung verwenden.
PIN-Mindestlänge und Maximale PIN-Länge:
Konfiguriert Geräte für die Verwendung der von Ihnen angegebenen Mindest- und maximalen PIN-Länge, um eine sichere Anmeldung zu gewährleisten. Die Standard-PIN-Länge beträgt 6 Zeichen, aber Sie können eine Mindestlänge von 4 Zeichen erzwingen. Die maximale PIN-Länge beträgt 127 Zeichen.
Kleinbuchstaben in PIN, Großbuchstaben in PIN, und Sonderzeichen in PIN.
Sie können eine stärkere PIN erzwingen, indem Sie die Nutzung von Großbuchstaben, Kleinbuchstaben und Sonderzeichen in der PIN vorschreiben. Wählen Sie für alle Einstellungen eine der folgenden Optionen aus:
Zulässig: Benutzer können den Zeichentyp in ihrer PIN verwenden, dies ist jedoch nicht obligatorisch.
Erforderlich: Benutzer müssen mindestens einen der Zeichentypen in ihre PIN einschließen. Beispielsweise ist es üblich, die Verwendung mindestens eines Großbuchstabens und eines Sonderzeichens vorzuschreiben.
Nicht zulässig (Standard): Benutzer dürfen diese Zeichentypen nicht in ihrer PIN verwenden. (Dies trifft auch zu, wenn die Einstellung nicht konfiguriert ist.)
Sonderzeichen sind: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~
PIN-Ablauf (Tage):
Es wird empfohlen, ein Ablaufdatum für eine PIN anzugeben, nach dem sie vom Benutzer geändert werden muss. Die Standardeinstellung ist 41 Tage.
PIN-Verlauf speichern:
Schränkt die Wiederverwendung zuvor verwendeter PINs ein. Standardmäßig können die letzten fünf PINs nicht erneut verwendet werden.
Biometrische Authentifizierung zulassen:
Aktiviert die biometrische Authentifizierung, z. B. die Gesichtserkennung oder Fingerabdrücke, als Alternative zu einer PIN für Windows Hello for Business. Die Benutzer müssen für den Fall, dass die biometrische Authentifizierung fehlschlägt, dennoch eine Arbeits-PIN konfigurieren. Wählen Sie zwischen:
- Ja. Windows Hello for Business ermöglicht biometrische Authentifizierung.
- Nein. Windows Hello for Business verhindert die biometrische Authentifizierung (für alle Arten von Konten).
Erweitertes Antispoofing verwenden, falls verfügbar:
Hiermit wird konfiguriert, ob die Antispoofing-Features von Windows Hello auf Geräten verwendet werden, die dies unterstützen. Beispiel: Erkennen eines Fotos eines Gesichts anstelle eines echten Gesichts.
Wenn diese Option auf Ja festgelegt ist, erfordert Windows von allen Benutzern die Verwendung von Antispoofing für Gesichtsmerkmale, sofern dies unterstützt wird.
Anmeldung per Telefon zulassen:
Wenn diese Option auf Ja festgelegt ist, können die Benutzer einen Remote-Passport als tragbares Begleitgerät für die Desktopcomputerauthentifizierung verwenden. Der Desktopcomputer muss Microsoft Entra eingebunden sein, und das Begleitgerät muss mit einer Windows Hello for Business-PIN konfiguriert werden.
Aktivieren der erweiterten Anmeldesicherheit:
Konfigurieren Sie Windows Hello erweiterte Anmeldesicherheit auf Geräten mit fähiger Hardware. Ihre Optionen:
- Verbesserte Anmeldesicherheit wird auf Systemen mit fähiger Hardware aktiviert (Standardeinstellung): Gerätebenutzer können sich nicht mit externen Peripheriegeräten bei ihrem Gerät mit Windows Hello anmelden.
- Die erweiterte Anmeldesicherheit wird auf allen Systemen deaktiviert: Gerätebenutzer können externe Peripheriegeräte verwenden, die mit Windows Hello kompatibel sind, um sich bei ihrem Gerät anzumelden.
Sicherheitsschlüssel für die Anmeldung verwenden:
Wenn diese Einstellung auf Aktiviert festgelegt ist, bietet diese Einstellung die Kapazität zum Remoteschalten von EIN/AUS Windows Hello Sicherheitsschlüsseln für alle Computer im organization eines Kunden.
Unterstützung durch Windows Holographic for Business
Windows Holographic for Business unterstützt die folgenden Einstellungen für Windows Hello for Business:
- Trusted Platform Module (TPM) verwenden
- Minimale PIN-Länge
- Höchstlänge für PIN
- Kleinbuchstaben in PIN
- Großbuchstaben in PIN
- Sonderzeichen in PIN
- PIN-Ablauf (Tage)
- PIN-Verlauf speichern
Nächste Schritte
Weitere Informationen zu Windows Hello finden Sie in den folgenden Themen in der Windows-Dokumentation: