Freigeben über


Windows Hello for Business-Richtlinieneinstellungen

Dieser Referenzartikel enthält eine umfassende Liste der Richtlinieneinstellungen für Windows Hello for Business. Die Liste der Einstellungen ist alphabetisch sortiert und in vier Kategorien organisiert:

  • Featureeinstellungen: Werden verwendet, um Windows Hello for Business zu aktivieren und grundlegende Optionen zu konfigurieren.
  • PIN-Einstellung: Wird zum Konfigurieren der PIN-Authentifizierung verwendet, z. B. PIN-Komplexität und Wiederherstellung
  • Biometrische Einstellung: Wird zum Konfigurieren der biometrischen Authentifizierung verwendet.
  • Smartcardeinstellungen: Werden zum Konfigurieren der Smartcard-Authentifizierung verwendet, die in Verbindung mit Windows Hello for Business verwendet wird

Informationen zum Konfigurieren dieser Einstellungen finden Sie unter Konfigurieren von Windows Hello for Business.

Wählen Sie eine der Registerkarten aus, um die Liste der verfügbaren Einstellungen anzuzeigen:

Einstellungsname CSP GPO
Konfigurieren von Faktoren zum Entsperren von Geräten
Konfigurieren dynamischer Sperrfaktoren
Gerät mit sicherer Hardware verwenden
Zertifikat für die lokale Authentifizierung verwenden
Verwenden der Cloudvertrauensstellung (Kerberos) für die lokale Authentifizierung
Windows Hello for Business verwenden

Konfigurieren von Faktoren zum Entsperren von Geräten

Konfigurieren Sie eine durch Trennzeichen getrennte Liste von Anmeldeinformationsanbieter-GUIDs, z. B. GUIDs für Gesichtserkennungs- und Fingerabdruckanbieter, die als erster und zweiter Entsperrfaktor verwendet werden. Wenn der vertrauenswürdige Signalanbieter als einer der Entsperrfaktoren angegeben ist, sollten Sie auch eine durch Trennzeichen getrennte Liste von Signalregeln in Form von XML für jeden zu überprüfenden Signaltyp konfigurieren.

Wenn Sie diese Richtlinieneinstellung aktivieren, muss der Benutzer einen Faktor aus jeder Liste verwenden, um das Entsperren erfolgreich zu ermöglichen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer die Entsperrung mit vorhandenen Optionen fortsetzen.

Pfad
CSP ./Device/Vendor/MSFT/PassportForWork/ DeviceUnlock
GPO Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business

Weitere Informationen finden Sie unter Multi-Factor Unlock.

Konfigurieren dynamischer Sperrfaktoren

Konfigurieren Sie eine durch Trennzeichen getrennte Liste von Signalregeln in Form von XML für jeden Signaltyp.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Signalregeln ausgewertet, um die Abwesenheit des Benutzers zu erkennen und das Gerät automatisch zu sperren.
  • Wenn Sie die Einstellung deaktivieren oder nicht konfigurieren, können Benutzer weiterhin mit vorhandenen Optionen sperren.
Pfad
CSP ./Device/Vendor/MSFT/PassportForWork/DynamicLock/ DynamicLock
GPO Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business

Gerät mit sicherer Hardware verwenden

Ein Trusted Platform Module (TPM) bietet zusätzliche Sicherheitsvorteile gegenüber Software, da damit geschützte Daten nicht auf anderen Geräten verwendet werden können.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, erfolgt die Windows Hello for Business-Bereitstellung nur auf Geräten mit verwendbaren 1.2- oder 2.0-TPMs. Sie können optional TPM-Module der Revision 1.2 ausschließen, was die Bereitstellung von Windows Hello for Business auf diesen Geräten verhindert.

    Tipp

    Die TPM 1.2-Spezifikation lässt nur die Verwendung von RSA und dem SHA-1-Hashalgorithmus zu. TPM 1.2-Implementierungen variieren in den Richtlinieneinstellungen, was zu Supportproblemen führen kann, da sperrungsrichtlinien variieren. Es wird empfohlen, TPM 1.2-Geräte von der Windows Hello for Business-Bereitstellung auszuschließen. – Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird das TPM weiterhin bevorzugt, aber alle Geräte können Windows Hello for Business mithilfe von Software bereitstellen, wenn das TPM nicht funktionsfähig oder nicht verfügbar ist.

Pfad
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ RequireSecurityDevice

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/ TPM12
GPO Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business

Zertifikat für die lokale Authentifizierung verwenden

Verwenden Sie diese Richtlinieneinstellung, um Windows Hello for Business für die Registrierung eines Anmeldezertifikats zu konfigurieren, das für die lokale Authentifizierung verwendet wird.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, registriert Windows Hello for Business ein Anmeldezertifikat, das für die lokale Authentifizierung verwendet wird.
  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet Windows Hello for Business einen Schlüssel oder ein Kerberos-Ticket (abhängig von anderen Richtlinieneinstellungen) für die lokale Authentifizierung.
Pfad
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCertificateForOnPremAuth
GPO Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business

Benutzerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business

Verwenden der Cloudvertrauensstellung für die lokale Authentifizierung

Verwenden Sie diese Richtlinieneinstellung, um Windows Hello for Business für die Verwendung des Kerberos-Vertrauensmodells in der Cloud zu konfigurieren.

  • Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet Windows Hello for Business ein Kerberos-Ticket, das bei der Authentifizierung bei Microsoft Entra ID für die lokale Authentifizierung abgerufen wurde.
  • Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet Windows Hello for Business einen Schlüssel oder ein Zertifikat (abhängig von anderen Richtlinieneinstellungen) für die lokale Authentifizierung.
Pfad
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCloudTrustForOnPremAuth
GPO Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business

Hinweis

Die Kerberos-Cloudvertrauensstellung ist mit der Zertifikatvertrauensstellung nicht kompatibel. Wenn die Einstellung der Zertifikatvertrauensrichtlinie aktiviert ist, hat sie Vorrang vor dieser Richtlinieneinstellung.

Windows Hello for Business verwenden

  • Wenn Sie diese Richtlinie aktivieren, stellt das Gerät Windows Hello for Business mithilfe von Schlüsseln oder Zertifikaten für alle Benutzer bereit.
  • Wenn Sie diese Richtlinieneinstellung deaktivieren, stellt das Gerät Windows Hello for Business für keinen Benutzer bereit.
  • Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer Windows Hello for Business bereitstellen.

Wählen Sie die Option Windows Hello-Bereitstellung nach der Anmeldung nicht starten aus, wenn Sie eine Nicht-Microsoft-Lösung zum Bereitstellen von Windows Hello for Business verwenden:

  • Wenn Sie Die Windows Hello-Bereitstellung nach der Anmeldung nicht starten auswählen, startet Windows Hello for Business die Bereitstellung nicht automatisch, nachdem sich der Benutzer angemeldet hat.
  • Wenn Sie die Option Windows Hello-Bereitstellung nach der Anmeldung nicht starten auswählen, startet Windows Hello for Business die Bereitstellung automatisch, nachdem sich der Benutzer angemeldet hat.
Pfad
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UsePassportForWork

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ DisablePostLogonProvisioning
GPO Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business

Benutzerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business