Windows Hello for Business ersetzt die Kennwortanmeldung durch eine sichere Authentifizierung mithilfe eines asymmetrischen Schlüsselpaars. Dieser Artikel häufig gestellte Fragen (FAQ) soll Ihnen helfen, mehr über Windows Hello for Business zu erfahren.
Konzepte
Was ist der Unterschied zwischen Windows Hello und Windows Hello for Business?
Windows Hello ist eine Authentifizierungstechnologie, mit der sich Benutzer mit biometrischen Daten oder einer PIN anstelle eines herkömmlichen Kennworts bei ihren Windows-Geräten anmelden können.
Windows Hello for Business ist eine Erweiterung von Windows Hello, die Sicherheits- und Verwaltungsfunktionen auf Unternehmensniveau bietet, einschließlich Gerätenachweis, zertifikatbasierter Authentifizierung und Richtlinien für bedingten Zugriff. Richtlinieneinstellungen können auf Geräten bereitgestellt werden, um sicherzustellen, dass sie sicher sind und den Anforderungen der Organisation entsprechen.
Warum eine PIN besser ist als ein Onlinekennwort
Drei Standard Gründe:
- Eine PIN ist an ein Gerät gebunden: Ein wichtiger Unterschied zwischen einem Onlinekennwort und einer Hello PIN besteht darin, dass die PIN an das bestimmte Gerät gebunden ist, auf dem sie eingerichtet ist. Diese PIN ist für Dritte ohne diese bestimmte Hardware nutzlos. Jemand, der Ihr Onlinekennwort erhält, kann sich von überall aus bei Ihrem Konto anmelden, aber wenn er Ihre PIN erhält, muss er auch auf Ihr Gerät zugreifen. Die PIN kann nur auf diesem gerät verwendet werden. Wenn Sie sich auf mehreren Geräten anmelden möchten, müssen Sie auf jedem Gerät Hello einrichten.
- Eine PIN befindet sich lokal auf dem Gerät: Ein Onlinekennwort wird an den Server übertragen. Das Kennwort kann bei der Übertragung abgefangen oder von einem Server abgerufen werden. Eine PIN wird lokal auf das Gerät übertragen, nie an einen beliebigen Ort übertragen und nicht auf dem Server gespeichert. Wenn die PIN erstellt wird, stellt sie ein Vertrauensverhältnis mit dem Identitätsanbieter her und erstellt ein asymmetrisches Schlüsselpaar, das für die Authentifizierung verwendet wird. Wenn Sie Ihre PIN eingeben, entsperren Sie den Authentifizierungsschlüssel, der zum Signieren der Anforderung verwendet wird, die an den Authentifizierungsserver gesendet wird. Bei Windows Hello for Business ist die PIN vom Benutzer bereitgestellte Entropie, die zum Laden des privaten Schlüssels in das Trusted Platform Module (TPM) verwendet wird. Der Server verfügt nicht über eine Kopie der PIN. In diesem Fall verfügt der Windows-Client auch nicht über eine Kopie der aktuellen PIN. Der Benutzer muss die Entropie, den TPM-geschützten Schlüssel und das TPM bereitstellen, das diesen Schlüssel generiert hat, um erfolgreich auf den privaten Schlüssel zugreifen zu können.
- Eine PIN wird durch Hardware unterstützt: Die Hello PIN wird durch einen TPM-Chip (Trusted Platform Module) unterstützt, bei dem es sich um einen sicheren Kryptografieprozessor handelt, der für kryptografische Vorgänge konzipiert ist. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren. Windows verknüpft lokale Kennwörter nicht mit TPM, daher gelten PINs als sicherer als lokale Kennwörter. Benutzerschlüsselmaterial wird generiert und ist im TPM des Geräts verfügbar. Das TPM schützt das Schlüsselmaterial vor Angreifern, die es erfassen und wiederverwenden möchten. Da Hello asymmetrische Schlüsselpaare verwendet, können Benutzeranmeldeinformationen nicht gestohlen werden, wenn der Identitätsanbieter oder die Websites, auf die der Benutzer zugreift, kompromittiert wurden. Das TPM schützt vor verschiedenen bekannten und potenziellen Angriffen, einschließlich PIN-Brute-Force-Angriffen. Nach zu vielen falschen Vermutungen ist das Gerät gesperrt.
Die Anweisung Eine PIN ist stärker als ein Kennwort ist nicht auf die Stärke der von der PIN verwendeten Entropie gerichtet. Es geht um den Unterschied zwischen der Bereitstellung von Entropie und der Fortgesetzten Verwendung eines symmetrischen Schlüssels (des Kennworts). Das TPM verfügt über Anti-Hammering-Features, die Brute-Force-PIN-Angriffe verhindern (der kontinuierliche Versuch eines Angreifers, alle Kombinationen von PINs auszuprobieren). Einige Organisationen können sich Gedanken über das Schulter-Surfen machen. Implementieren Sie für diese Organisationen das Feature Multi-Faktor-Entsperren , anstatt die Komplexität der PIN zu erhöhen.
Was geschieht, wenn jemand das Gerät stiehlt?
Um eine Windows Hello Anmeldeinformationen zu kompromittieren, die tpm schützt, muss ein Angreifer Zugriff auf das physische Gerät haben. Anschließend muss der Angreifer eine Möglichkeit finden, die biometrischen Daten des Benutzers zu spoofen oder die PIN zu erraten. Alle diese Aktionen müssen ausgeführt werden, bevor der TPM-Antihämmerschutz das Gerät sperrt.
Warum benötigen Sie bei Verwendung von Biometrie eine PIN?
Windows Hello ermöglicht die biometrische Anmeldung mit Fingerabdruck, Iris oder Gesichtserkennung. Wenn Sie Windows Hello einrichten, werden Sie aufgefordert, nach der biometrischen Einrichtung eine PIN zu erstellen. Mit der PIN können Sie sich anmelden, wenn Sie Ihre bevorzugte biometrische Daten aufgrund einer Verletzung nicht verwenden können oder weil der Sensor nicht verfügbar ist oder nicht ordnungsgemäß funktioniert. Wenn Sie nur eine biometrische Anmeldung konfiguriert haben und diese Methode aus irgendeinem Grund nicht verwenden können, müssten Sie sich mit Ihrem Konto und Kennwort anmelden. Dadurch erhalten Sie nicht das gleiche Schutzniveau wie Hello.
Wie werden Schlüssel geschützt?
Jedes Mal, wenn Schlüsselmaterial generiert wird, muss es vor Angriffen geschützt werden. Die zuverlässigste Möglichkeit diesbezüglich ist über spezialisierte Hardware möglich. Es gibt eine lange Geschichte der Verwendung von Hardwaresicherheitsmodulen (HSMs) zum Generieren, Speichern und Verarbeiten von Schlüsseln für sicherheitskritische Anwendungen. Bei Smartcards handelt es sich um einen besonderen HSM-Typ, ebenso wie Geräte, die mit dem Trusted Computing Group TPM-Standard konform sind. Nach Möglichkeit nutzt die Windows Hello for Business-Implementierung onboard TPM-Hardware, um Schlüssel zu generieren und zu schützen. Administratoren können schlüsselbasierte Vorgänge in Software zulassen, es wird jedoch empfohlen, TPM-Hardware zu verwenden. Das TPM schützt vor einer Vielzahl von unbekannten und potenziellen Angriffen, einschließlich Brute-Force-Angriffen auf die PIN. Das TPM stellt auch nach einer Kontosperre eine zusätzliche Schutzebene bereit. Wenn das TPM das Schlüsselmaterial gesperrt hat, muss der Benutzer die PIN zurücksetzen (was bedeutet, dass der Benutzer MFA verwenden muss, um sich erneut beim IdP zu authentifizieren, bevor der IdP die erneute Registrierung zulässt). Beim Zurücksetzen der PIN werden alle mit dem alten Schlüsselmaterial verschlüsselten Schlüssel und Zertifikate entfernt.
Wie funktioniert PIN-Caching mit Windows Hello for Business?
Windows Hello for Business bietet eine BEnutzeroberfläche für die PIN-Zwischenspeicherung mithilfe eines Ticketsystems. Die entsprechenden Prozesse speichern nicht eine PIN, sondern ein Ticket, das sie verwenden, um private Schlüssel zu verarbeiten. Microsoft Entra ID- und Active Directory-Anmeldeschlüssel werden gesperrt zwischengespeichert. Dies bedeutet, dass die Schlüssel ohne Aufforderung zur Verwendung zur Verfügung stehen, solange der Benutzer interaktiv angemeldet ist. Anmeldeschlüssel für microsoft-Konten sind Transaktionsschlüssel, was bedeutet, dass der Benutzer beim Zugriff auf den Schlüssel immer aufgefordert wird.
Windows Hello for Business als smarte Karte (standardmäßig aktivierte Smart Karte-Emulation) verwendet wird, bietet die gleiche Benutzererfahrung wie die standardmäßige Zwischenspeicherung von smarten Karte PIN. Jeder Prozess, der einen Vorgang mit einem privaten Schlüssel anfordert, fordert den Benutzer bei der ersten Verwendung zur Eingabe der PIN auf. Bei nachfolgenden Vorgängen mit privaten Schlüsseln wird der Benutzer nicht zur Eingabe der PIN aufgefordert.
Das Smartcard-Emulationsfeature von Windows Hello for Business überprüft die PIN und verwirft sie anschließend im Austausch gegen ein Ticket. Der Prozess empfängt nicht die PIN, sondern das Ticket, das ihnen Vorgänge mit privaten Schlüsseln gewährt. Es gibt keine Richtlinieneinstellung zum Anpassen des Zwischenspeicherns.
Wo werden Windows Hello biometrische Daten gespeichert?
Wenn Sie sich bei Windows Hello registrieren, wird eine Darstellung Ihrer biometrischen Daten erstellt, die als Registrierungsprofil bezeichnet wird. Die biometrischen Daten des Registrierungsprofils sind gerätespezifisch, werden lokal auf dem Gerät gespeichert und verlassen das Gerät nicht oder roamingn nicht mit dem Benutzer. Einige externe Fingerabdrucksensoren speichern biometrische Daten auf dem Fingerabdruckmodul selbst und nicht auf einem Windows-Gerät. Selbst in diesem Fall werden die biometrischen Daten lokal auf diesen Modulen gespeichert, sind gerätespezifisch, werden nicht verschoben, verlassen das Modul nie und werden nie an die Microsoft-Cloud oder einen externen Server gesendet. Weitere Informationen finden Sie unter Windows Hello Biometrie im Unternehmen und Windows Hello Gesichtsauthentifizierung.
Welches Format wird verwendet, um Windows Hello biometrische Daten auf dem Gerät zu speichern?
Windows Hello biometrische Daten werden auf dem Gerät als verschlüsselte Vorlagendatenbank gespeichert. Die Daten des biometrischen Sensors (z. B. Gesichtskamera oder Fingerabdruckleser) erstellen eine Datendarstellung oder einen Graphen, die dann verschlüsselt wird, bevor sie auf dem Gerät gespeichert werden. Jeder biometrische Sensor auf dem Gerät, das von Windows Hello (Gesicht oder Fingerabdruck) verwendet wird, verfügt über eine eigene biometrische Datenbankdatei, in der Vorlagendaten gespeichert werden. Jede biometrische Datenbankdatei wird mit einem eindeutigen, zufällig generierten Schlüssel verschlüsselt, der mithilfe der AES-Verschlüsselung für das System verschlüsselt wird und einen SHA256-Hash erzeugt.
Wer hat Zugriff auf Windows Hello biometrische Daten?
Da Windows Hello biometrische Daten verschlüsselt gespeichert werden, hat kein Benutzer oder ein anderer Prozess als Windows Hello Zugriff darauf.
Wann wird Windows Hello biometrische Datenbankdatei erstellt? Wie wird ein Benutzer bei Windows Hello Gesichts- oder Fingerabdruckauthentifizierung registriert?
Windows Hello Datenbankdatei für biometrische Daten wird nur dann auf dem Gerät erstellt, wenn ein Benutzer bei Windows Hello biometrischen Authentifizierung registriert ist. Ein IT-Administrator kann Richtlinieneinstellungen konfigurieren, aber es ist immer die Wahl eines Benutzers, wenn er Biometrie oder PIN verwenden möchte. Benutzer können ihre aktuelle Registrierung in Windows Hello biometrischen Daten überprüfen, indem sie auf ihrem Gerät zu Den Anmeldeoptionen wechseln. Wechseln Sie zu Starteinstellungen >> Konten > Anmeldeoptionen . Wenn Windows Hello unter Anmeldeoptionen nicht angezeigt wird, ist sie möglicherweise nicht für Ihr Gerät verfügbar oder vom Administrator über eine Richtlinie blockiert. Administratoren können Benutzer auffordern, sich während autopilot oder während der ersteinrichtung des Geräts bei Windows Hello zu registrieren. Administratoren können Benutzern die Registrierung für biometrische Daten über Windows Hello for Business Richtlinienkonfigurationen verbieten. Wenn dies jedoch über Richtlinienkonfigurationen zulässig ist, ist die Registrierung bei Windows Hello Biometrie für Benutzer immer optional.
Wann wird Windows Hello biometrische Datenbankdatei gelöscht? Wie kann die Registrierung eines Benutzers bei Windows Hello Gesichts- oder Fingerabdruckauthentifizierung aufgehoben werden?
Um Windows Hello und alle zugehörigen biometrischen Identifikationsdaten vom Gerät zu entfernen, öffnen Sie Starteinstellungen >> Konten > Anmeldeoptionen. Wählen Sie die Windows Hello biometrische authentifizierungsmethode aus, die Sie entfernen möchten, und wählen Sie dann Entfernen aus. Die Aktion hebt die Registrierung von Windows Hello biometrischen Authentifizierung auf und löscht die zugehörige Datenbankdatei der biometrischen Vorlage. Weitere Informationen finden Sie unter Windows-Anmeldeoptionen und Kontoschutz (microsoft.com).
Verwaltung und Betrieb
Kann ich Windows Hello for Business mithilfe von Microsoft Configuration Manager bereitstellen und verwalten?
Ab Configuration Manager Version 2203 werden Windows Hello for Business Bereitstellungen mit Configuration Manager nicht mehr unterstützt.
Gewusst wie einen Windows Hello for Business-Container auf einem Gerät löschen?
Sie können den Windows Hello for Business Container löschen, indem Sie den Befehl certutil.exe -deleteHelloContainer
ausführen.
Was passiert, wenn ein Benutzer seine PIN vergisst?
Wenn sich der Benutzer mit einem Kennwort anmelden kann, kann er seine PIN zurücksetzen, indem er den Link Ich habe meine PIN vergessen in der App Einstellungen oder auf dem Sperrbildschirm auswählt, indem er den Link Ich habe meine PIN vergessen auf dem PIN-Anmeldeinformationsanbieter auswählt.
Bei lokalen Bereitstellungen müssen Geräte mit ihrem lokalen Netzwerk (Domänencontroller und/oder Zertifizierungsstelle) verbunden sein, um ihre PINs zurückzusetzen. Hybridbereitstellungen können ihr Microsoft Entra-Mandant integrieren, um den Windows Hello for Business-PIN-Zurücksetzungsdienst zum Zurücksetzen ihrer PINs zu verwenden. Die destruktive PIN-Zurücksetzung funktioniert ohne Zugriff auf das Unternehmensnetzwerk. Die destruktive PIN-Zurücksetzung erfordert Zugriff auf das Unternehmensnetzwerk. Weitere Informationen zum destruktiven und nicht destruktiven Zurücksetzen von PIN finden Sie unter PIN-Zurücksetzung.
Verhindert Windows Hello for Business die Verwendung zu einfacher PINs?
Ja. Unser Algorithmus zur Erkennung zu einfacher PINs lehnt jede PIN mit einem konstanten Abstand zwischen den Ziffern ab. Der Algorithmus zählt die Anzahl der Schritte, die erforderlich sind, um die nächste Ziffer zu erreichen, die bei 10 ("null") überläuft. Beispiele:
- Die PIN 1111 weist ein konstantes Delta von (0,0,0) auf, sodass sie nicht zulässig ist.
- Die PIN 1234 weist ein konstantes Delta von (1,1,1) auf, sodass sie nicht zulässig ist.
- Die PIN 1357 weist ein konstantes Delta von (2,2,2) auf, sodass sie nicht zulässig ist.
- Die PIN 9630 weist ein konstantes Delta von (7,7,7) auf, sodass sie nicht zulässig ist.
- Die PIN 1593 weist ein konstantes Delta von (4,4,4) auf, sodass sie nicht zulässig ist.
- Die PIN 7036 weist ein konstantes Delta von (3,3,3) auf, sodass sie nicht zulässig ist.
- Die PIN 1231 verfügt nicht über ein konstantes Delta (1,1,2), daher ist sie zulässig.
- Die PIN 1872 verfügt nicht über ein konstantes Delta (7,9,5), daher ist sie zulässig.
Diese Überprüfung verhindert wiederholte Zahlen, sequenzielle Zahlen und einfache Muster. Dies führt immer zu einer Liste von 100 unzulässigen PINs (unabhängig von der PIN-Länge). Dieser Algorithmus gilt nicht für alphanumerische PINs.
Welche Diagnosedaten werden gesammelt, wenn Windows Hello for Business aktiviert ist?
Um Microsoft dabei zu unterstützen, die ordnungsgemäße Funktionsweise sicherzustellen, Betrug zu erkennen und zu verhindern und die Windows Hello weiter zu verbessern, werden Diagnosedaten zur Verwendung Windows Hello gesammelt. Zum Beispiel:
- Daten darüber, ob sich Personen mit Gesicht, Iris, Fingerabdruck oder PIN anmelden
- Die Häufigkeit, mit der sie es verwenden
- Ob es funktioniert oder nicht All dies sind wertvolle Informationen, die Microsoft helfen, ein besseres Produkt zu entwickeln. Die Daten sind pseudonymisiert, enthalten keine biometrischen Informationen und werden verschlüsselt, bevor sie an Microsoft übertragen werden. Sie können das Senden von Diagnosedaten an Microsoft jederzeit beenden. Erfahren Sie mehr über Diagnosedaten in Windows.
Kann ich die PIN bei Verwendung von Windows Hello for Business deaktivieren?
Nein. Die Vermeidung von Kennwörtern beginnt mit einer allmähliche Reduzierung der Kennwortverwendung. In Situationen, in denen Sie sich nicht mithilfe von Biometrie authentifizieren können, benötigen Sie einen Fallbackmechanismus, bei dem es sich nicht um ein Kennwort handelt. Die PIN ist der Fallbackmechanismus. Durch das Deaktivieren oder Ausblenden des ANBIETERs von PIN-Anmeldeinformationen wird die Verwendung von Biometrie deaktiviert.
Was geschieht, wenn ein nicht autorisierter Benutzer in den Besitz eines Geräts kommt, das bei Windows Hello for Business registriert ist?
Der nicht autorisierte Benutzer kann keine biometrischen Optionen verwenden und hat die einzige Möglichkeit, eine PIN einzugeben.
Wenn der Benutzer versucht, das Gerät durch Eingabe zufälliger PINs zu entsperren, zeigt der Anmeldeinformationsanbieter nach drei erfolglosen Versuchen die folgende Meldung an: Sie haben mehrmals eine falsche PIN eingegeben. Um es erneut zu versuchen, geben Sie unten A1B2C3 ein. Nach eingabe des Aufforderungsausdrucks A1B2C3 erhält der Benutzer eine weitere Möglichkeit, die PIN einzugeben. Wenn der Anbieter nicht erfolgreich ist, wird der Anbieter deaktiviert, sodass der Benutzer die einzige Option hat, das Gerät neu zu starten. Nach dem Neustart wird das oben genannte Muster wiederholt.
Wenn erfolglose Versuche fortgesetzt werden, wechselt das Gerät in einen Sperrzustand, der 1 Minute nach dem ersten Neustart, 2 Minuten nach dem vierten Neustart und 10 Minuten nach dem fünften Neustart dauert. Die Dauer jeder Sperre erhöht sich entsprechend. Dieses Verhalten ist das Ergebnis der TPM 2.0-Antihämmerfunktion. Weitere Informationen zum TPM-Antihämmern finden Sie unter TPM 2.0 Anti-Hämmern.
Entwurf und Planung
Kann Windows Hello for Business in Air Gap-Umgebungen funktionieren?
Ja. Sie können die lokale Windows Hello for Business-Bereitstellung verwenden und mit einem nicht von Microsoft stammenden MFA-Anbieter kombinieren, der keine Internetverbindung erfordert, um eine Air-Gap-Windows Hello for Business Bereitstellung zu erreichen.
Wie viele Benutzer können sich für Windows Hello for Business auf einem einzelnen Windows-Gerät registrieren?
Die maximale Anzahl unterstützter Registrierungen auf einem einzelnen Gerät beträgt 10. Dadurch können 10 Benutzer ihr Gesicht und bis zu 10 Fingerabdrücke registrieren. Für Geräte mit mehr als 10 Benutzern oder für Benutzer, die sich bei vielen Geräten anmelden (z. B. ein Supporttechniker), wird die Verwendung von FIDO2-Sicherheitsschlüsseln empfohlen.
Ich habe Active Directory auf Microsoft Entra ID erweitert. Kann ich das lokale Bereitstellungsmodell verwenden?
Nein. Wenn Ihr organization Microsoft-Clouddienste verwendet, müssen Sie ein Hybridbereitstellungsmodell verwenden. Lokale Bereitstellungen sind exklusiv für Organisationen verfügbar, die mehr Zeit benötigen, bevor sie in die Cloud wechseln und ausschließlich Active Directory verwenden.
Welche Attribute werden von Microsoft Entra Connect mit Windows Hello for Business synchronisiert?
Unter Microsoft Entra Connect Sync: Mit Microsoft Entra ID synchronisierte Attribute finden Sie eine Liste der Attribute, die basierend auf Szenarien synchronisiert werden. Die Basisszenarien, die Windows Hello for Business enthalten, sind das Windows 10 Szenario und das Szenario geräterückschreiben. Ihre Umgebung kann andere Attribute enthalten.
Kann ich MFA-Nicht-Microsoft-Anbieter mit Windows Hello for Business verwenden?
Ja, wenn Sie eine Verbundhybridbereitstellung verwenden, können Sie jeden Nicht-Microsoft-Anbieter verwenden, der einen AD FS-MFA-Adapter bereitstellt. Eine Liste der nicht von Microsoft stammenden MFA-Adapter finden Sie hier.
Funktioniert Windows Hello for Business mit Nicht-Microsoft-Verbundservern?
Windows Hello for Business funktioniert mit allen Nicht-Microsoft-Verbundservern, die die während der Bereitstellung verwendeten Protokolle unterstützen.
Protokoll | Beschreibung |
---|---|
[MS-KPP]: Key Provisioning Protocol | Gibt das Key Provisioning Protocol an, das einen Mechanismus für einen Client definiert, um eine Reihe von kryptografischen Schlüsseln für ein Benutzer- und ein Gerätepaar zu registrieren. |
[MS-OAPX]: OAuth 2.0-Protokollerweiterungen | Gibt die OAuth 2.0-Protokollerweiterungen an, die verwendet werden, um das OAuth 2.0-Autorisierungsframework zu erweitern. Diese Erweiterungen ermöglichen Autorisierungsfeatures wie Ressourcenspezifikation, Anforderungsbezeichner und Anmeldehinweise. |
[MS-OAPXBC]: OAuth 2.0-Protokollerweiterungen für Broker-Clients | Gibt die OAuth 2.0-Protokollerweiterungen für Brokerclients an, Erweiterungen für RFC6749 (das OAuth 2.0-Autorisierungsframework), die es einem Brokerclient ermöglichen, Zugriffstoken für aufrufende Clients abzurufen. |
[MS-OIDCE]: OpenID Connect 1.0-Protokollerweiterungen | Gibt die OpenID Connect 1.0-Protokollerweiterungen an. Diese Erweiterungen definieren andere Ansprüche, die Informationen über den Benutzer enthalten, einschließlich des Benutzerprinzipalsnamens, eines lokal eindeutigen Bezeichners, eines Zeitpunkts für den Kennwortablauf und einer URL für die Kennwortänderung. Diese Erweiterungen definieren auch mehr Anbietermetadaten, die die Ermittlung des Ausstellers von Zugriffstoken ermöglichen und zusätzliche Informationen zu Anbieterfunktionen bereitstellen. |
Kann ich lokale Windows-Konten in Windows Hello for Business registrieren?
Windows Hello for Business ist nicht für die Verwendung mit lokalen Konten konzipiert.
Welche biometrischen Anforderungen gelten für Windows Hello for Business?
Weitere Informationen finden Sie unter Windows Hello biometrischen Anforderungen.
Kann ich eine Maske tragen, um mich mit Windows Hello Gesichtsauthentifizierung zu registrieren oder zu entsperren?
Das Tragen einer Maske zur Registrierung ist ein Sicherheitsproblem, da andere Benutzer, die eine ähnliche Maske tragen, ihr Gerät möglicherweise entsperren können. Entfernen Sie eine Maske, wenn Sie eine tragen, wenn Sie sich mit Windows Hello Gesichtsauthentifizierung registrieren oder entsperren. Wenn Ihre Arbeitsumgebung das vorübergehende Entfernen einer Maske nicht zulässt, sollten Sie erwägen, die Registrierung von der Gesichtsauthentifizierung aufzuheben und nur PIN oder Fingerabdruck zu verwenden.
Wie funktioniert Windows Hello for Business mit Microsoft Entra registrierten Geräten?
Ein Benutzer wird aufgefordert, einen Windows Hello for Business-Schlüssel auf einem Microsoft Entra registrierten Geräten einzurichten, wenn das Feature durch eine Richtlinie aktiviert ist. Wenn der Benutzer über einen vorhandenen Windows Hello-Container verfügt, wird der Windows Hello for Business Schlüssel in diesem Container registriert und mit vorhandenen Gesten geschützt.
Wenn sich ein Benutzer bei seinem Microsoft Entra registrierten Gerät mit Windows Hello angemeldet hat, wird sein Windows Hello for Business Schlüssel verwendet, um die Geschäftliche Identität des Benutzers zu authentifizieren, wenn er versucht, Microsoft Entra Ressourcen zu verwenden. Der Windows Hello for Business Schlüssel erfüllt Microsoft Entra MFA-Anforderungen (Multi-Factor Authentication) und reduziert die Anzahl der MFA-Aufforderungen, die Benutzern beim Zugriff auf Ressourcen angezeigt werden.
Es ist möglich, ein in die Domäne eingebundenes Gerät Microsoft Entra zu registrieren. Wenn das in die Domäne eingebundene Gerät über eine praktische PIN verfügt, funktioniert die Anmeldung mit der Komfort-PIN nicht mehr. Diese Konfiguration wird von Windows Hello for Business nicht unterstützt.
Weitere Informationen finden Sie unter Microsoft Entra registrierten Geräten.
Funktioniert Windows Hello for Business mit Nicht-Windows-Betriebssystemen?
Windows Hello for Business ist ein Feature der Windows-Plattform.
Funktioniert Windows Hello for Business mit Microsoft Entra Domain Services Clients?
Nein, Microsoft Entra Domain Services ist eine separat verwaltete Umgebung in Azure, und die hybride Geräteregistrierung mit Cloud-Microsoft Entra ID ist nicht über Microsoft Entra Connect verfügbar. Daher funktioniert Windows Hello for Business nicht mit Microsoft Entra Domain Services.
Wird Windows Hello for Business als mehrstufige Authentifizierung betrachtet?
Windows Hello for Business ist die zweistufige Authentifizierung, die auf den beobachteten Authentifizierungsfaktoren basiert: etwas, das Sie haben, etwas, das Sie kennen, und etwas, das Teil von Ihnen ist. Windows Hello for Business umfasst zwei dieser Faktoren: etwas, das Sie haben (der privaten Schlüssel des Benutzers, geschützt durch das Sicherheitsmodul des Geräts), sowie etwas, das Sie wissen (Ihre PIN). Mit der entsprechenden Hardware können Sie durch die Einführung von biometrischen Daten die Benutzerfreundlichkeit verbessern. Durch die Verwendung von Biometrie können Sie den Authentifizierungsfaktor "etwas, das Sie kennen" durch den Faktor "etwas, das Teil von Ihnen ist" ersetzen, mit der Gewissheit, dass Benutzer auf den Faktor "Etwas, das Sie kennen" zurückgreifen können.
Hinweis
Der Windows Hello for Business Schlüssel erfüllt Microsoft Entra MFA-Anforderungen (Multi-Factor Authentication) und reduziert die Anzahl der MFA-Aufforderungen, die Benutzern beim Zugriff auf Ressourcen angezeigt werden. Weitere Informationen finden Sie unter Was ist ein primäres Aktualisierungstoken?
Welches ist besser oder sicherer für die Authentifizierung, den Schlüssel oder das Zertifikat?
Beide Arten der Authentifizierung bieten die gleiche Sicherheit. eine ist nicht sicherer als die andere. Die Vertrauensmodelle Ihrer Bereitstellung bestimmen, wie Sie sich bei Active Directory authentifizieren. Sowohl die Schlüsselvertrauensstellung als auch die Zertifikatvertrauensstellung verwenden dieselben hardwaregestützten, zweistufigen Anmeldeinformationen. Der Unterschied zwischen den beiden Vertrauenstypen besteht in der Ausstellung von Endentitätszertifikaten:
- Das Schlüsselvertrauensmodell authentifiziert sich bei Active Directory mithilfe eines unformatierten Schlüssels. Die Schlüsselvertrauensstellung erfordert kein vom Unternehmen ausgestelltes Zertifikat, daher müssen Sie keine Zertifikate für Benutzer ausstellen (Domänencontrollerzertifikate sind weiterhin erforderlich).
- Das Zertifikatvertrauensmodell wird mithilfe eines Zertifikats bei Active Directory authentifiziert. Daher müssen Sie Zertifikate für Benutzer ausstellen. Das in der Zertifikatvertrauensstellung verwendete Zertifikat verwendet den TPM-geschützten privaten Schlüssel, um ein Zertifikat von der ausstellenden Zertifizierungsstelle Ihres Unternehmens anzufordern.
Was ist eine komfortfreundliche PIN?
Die praktische PIN bietet eine einfachere Möglichkeit, sich bei Windows anzumelden als Kennwörter, verwendet aber trotzdem ein Kennwort für die Authentifizierung. Wenn windows die richtige Komfort-PIN bereitgestellt wird, werden die Kennwortinformationen aus dem Cache geladen und der Benutzer authentifiziert. Organisationen, die komfortfreundliche PINs verwenden, sollten auf Windows Hello for Business umsteigen. Neue Windows-Bereitstellungen sollten Windows Hello for Business und keine komfortablen PINs bereitstellen.
Kann ich eine praktische PIN mit Microsoft Entra ID verwenden?
Nein. Es ist zwar möglich, eine praktische PIN auf Microsoft Entra verbundenen und Microsoft Entra hybrid eingebundenen Geräten festzulegen, die benutzerfreundliche PIN wird jedoch für Microsoft Entra Benutzerkonten (einschließlich synchronisierter Identitäten) nicht unterstützt. Die Komfort-PIN wird nur für lokales Active Directory Benutzer und benutzer mit lokalem Konto unterstützt.
Wie sieht es mit virtuellen Smartcards aus?
Windows Hello for Business ist die moderne Zwei-Faktor-Authentifizierung für Windows. Kunden, die virtuelle Smartcards verwenden, wird dringend empfohlen, auf Windows Hello for Business umzusteigen.
Welche URLs benötige ich, um eine Hybridbereitstellung zuzulassen?
Eine Liste der erforderlichen URLs finden Sie unter Microsoft 365 Common und Office Online.
Wenn Ihre Umgebung Microsoft Intune verwendet, finden Sie weitere Informationen unter Netzwerkendpunkte für Microsoft Intune.
Features
Kann ich eine externe Windows Hello kompatible Kamera verwenden, wenn mein Computer über eine integrierte Windows Hello kompatible Kamera verfügt?
Ja, Sie können eine externe Windows Hello kompatible Kamera verwenden, wenn ein Gerät über eine interne Windows Hello Kamera verfügt. Wenn beide Kameras vorhanden sind, wird die externe Kamera für die Gesichtsauthentifizierung verwendet. Weitere Informationen finden Sie unter IT-Tools zur Unterstützung von Windows 10, Version 21H1. Wenn ESS aktiviert ist, lesen Sie Windows Hello Erweiterte Anmeldesicherheit.
Kann ich eine externe Windows Hello kompatible Kamera oder ein anderes Windows Hello kompatibles Zubehör verwenden, wenn mein Laptopdeckel geschlossen oder angedockt ist?
Einige Laptops und Tablets mit Schließen der Tastaturen verwenden möglicherweise keine externe Windows Hello kompatible Kamera oder ein anderes Windows Hello kompatibles Zubehör, wenn der Computer mit geschlossenem Deckel angedockt ist. Das Problem wurde in Windows 11 Version 22H2 behoben.
Kann ich Windows Hello for Business Anmeldeinformationen im privaten Browsermodus oder im Inkognitomodus verwenden?
Windows Hello for Business Anmeldeinformationen benötigen Zugriff auf den Gerätezustand, der im privaten Browsermodus oder Imkognitomodus nicht verfügbar ist. Daher kann es nicht im privaten Browser oder im Inkognitomodus verwendet werden.
Kann ich sowohl eine PIN als auch biometrische Daten verwenden, um mein Gerät zu entsperren?
Sie können die mehrstufige Entsperrung verwenden, um von Benutzern die Bereitstellung eines zusätzlichen Faktors zum Entsperren ihres Geräts zu verlangen. Die Authentifizierung bleibt zweistufig, es ist allerdings eine weitere Authentifizierungsstufe erforderlich, damit Windows dem Benutzer Zugriff auf den Desktop ermöglicht. Weitere Informationen finden Sie unter Mehrstufiges Entsperren.
Cloud Kerberos-Vertrauensstellung
Was ist Windows Hello for Business Kerberos-Vertrauensstellung in der Cloud?
Windows Hello for Business Kerberos-Vertrauensstellung in der Cloud ist ein Vertrauensmodell, das Windows Hello for Business Bereitstellung mithilfe der Infrastruktur ermöglicht, die für die Unterstützung der Anmeldung mit Sicherheitsschlüsseln auf Microsoft Entra hybrid eingebundenen Geräten und den zugriff auf lokale Ressourcen auf Microsoft Entra eingebundene Geräte. Die Cloud-Kerberos-Vertrauensstellung ist das bevorzugte Bereitstellungsmodell, wenn Sie keine Zertifikatauthentifizierungsszenarien unterstützen müssen. Weitere Informationen finden Sie unter Cloudbereitstellung mit Kerberos-Vertrauensstellung.
Funktioniert Windows Hello for Business Cloud-Kerberos-Vertrauensstellung in meiner lokalen Umgebung?
Dieses Feature funktioniert nicht in einer reinen lokalen AD-Domänendienstumgebung.
Funktioniert Windows Hello for Business Cloud-Kerberos-Vertrauensstellung bei einer Windows-Anmeldung mit RODC in der Hybridumgebung?
Windows Hello for Business Cloud-Kerberos-Vertrauensstellung sucht nach einem schreibbaren Domänencontroller, um das partielle TGT auszutauschen. Solange Sie über mindestens einen beschreibbaren DC pro Standort verfügen, funktioniert die Anmeldung mit der Kerberos-Cloud-Vertrauensstellung.
Benötige ich eine Sichtverbindung zu einem Domänencontroller, um Windows Hello for Business Kerberos-Vertrauensstellung in der Cloud zu verwenden?
Windows Hello for Business Kerberos-Vertrauensstellung in der Cloud erfordert Sichtverbindung zu einem Domänencontroller in folgenden Fällen:
- Ein Benutzer meldet sich zum ersten Mal an oder entsperrt nach der Bereitstellung mit Windows Hello for Business
- Versuchen, auf lokale Ressourcen zuzugreifen, die durch Active Directory geschützt sind
Kann ich RDP/VDI mit Windows Hello for Business Cloud-Kerberos-Vertrauensstellung verwenden?
Windows Hello for Business Cloud-Kerberos-Vertrauensstellung kann nicht als bereitgestellte Anmeldeinformationen mit RDP/VDI verwendet werden. Ähnlich wie bei der Schlüsselvertrauensstellung kann die Kerberos-Cloudvertrauensstellung für RDP verwendet werden, wenn ein Zertifikat zu diesem Zweck bei Windows Hello for Business registriert ist. Alternativ können Sie Remote Credential Guard verwenden, bei dem keine Zertifikate bereitgestellt werden müssen.
Müssen alle meine Domänencontroller gemäß den Voraussetzungen vollständig gepatcht werden, damit ich Windows Hello for Business Cloud-Kerberos-Vertrauensstellung verwenden kann?
Nein, nur die Anzahl, die erforderlich ist, um die Last von allen Geräten mit Kerberos-Vertrauensstellung in der Cloud zu verarbeiten.
Schlüsselbasiertes Vertrauen
Warum schlägt die Authentifizierung sofort nach der Bereitstellung der Hybridschlüsselvertrauensstellung fehl?
In einer Hybridbereitstellung muss der öffentliche Schlüssel eines Benutzers von Microsoft Entra ID mit Active Directory synchronisiert werden, bevor er für die Authentifizierung bei einem Domänencontroller verwendet werden kann. Diese Synchronisierung wird von Microsoft Entra Connect verarbeitet und findet während eines normalen Synchronisierungszyklus statt.
Kann ich Windows Hello for Business Key Trust und RDP verwenden?
Das Remotedesktopprotokoll (RDP) unterstützt die Verwendung der schlüsselbasierten Authentifizierung als angegebene Anmeldeinformationen nicht. Sie können jedoch Zertifikate im Schlüsselvertrauensmodell bereitstellen, um RDP zu aktivieren. Weitere Informationen finden Sie unter Bereitstellen von Zertifikaten für Schlüsselvertrauensbenutzer zum Aktivieren von RDP. Alternativ können Sie Remote Credential Guard verwenden, bei dem keine Zertifikate bereitgestellt werden müssen.