Aktivieren der Anmeldung mit FIDO2-Sicherheitsschlüsseln bei Windows 10- und 11-Geräten mit Microsoft Entra ID

  • Artikel

In diesem Dokument liegt der Schwerpunkt auf der Aktivierung der auf FIDO2-Sicherheitsschlüsseln basierenden kennwortlosen Authentifizierung bei Windows 10- und 11-Geräten. Nach Abschluss der Schritte in diesem Artikel können Sie sich mit Ihrem Microsoft Entra-Konto mithilfe eines FIDO2-Sicherheitsschlüssels sowohl bei Microsoft Entra ID als auch bei hybrid in Microsoft Entra eingebundenen Windows-Geräten anmelden.

Anforderungen

Gerätetyp In Microsoft Entra eingebunden Hybrid in Microsoft Entra eingebunden
Multi-Faktor-Authentifizierung in Microsoft Entra X X
Kombinierte Registrierung von Sicherheitsinformationen X X
Kompatible FIDO2-Sicherheitsschlüssel X X
WebAuthN erfordert Windows 10, Version 1903 oder höher X X
In Microsoft Entra eingebundene Geräte erfordern Windows 10, Version 1909 oder höher X
In Microsoft Entra hybrid eingebundene Geräte erfordern Windows 10, Version 2004 oder höher X
Vollständig gepatchte Windows Server 2016/2019-Domänencontroller. X
Modul zur Verwaltung der Microsoft Entra-Hybridauthentifizierung X
Microsoft Intune (optional) X X
Bereitstellungspaket (optional) X X
Gruppenrichtlinie (optional) X

Nicht unterstützte Szenarien

Folgende Szenarien werden nicht unterstützt:

  • Anmelden oder Entsperren eines Windows-Geräts mit einem Hauptschlüssel in Microsoft Authenticator.
  • Eine Bereitstellung von Windows Server Active Directory Domain Services (AD DS) für in die Domäne eingebundene (rein lokale) Geräte.
  • Szenarien wie RDP, VDI und Citrix, die einen anderen Sicherheitsschlüssel als die webauthn-Umleitungverwenden.
  • S/MIME mit einem Sicherheitsschlüssel.
  • Ausführen als mithilfe eines Sicherheitsschlüssels.
  • Anmelden bei einem Server mithilfe eines Sicherheitsschlüssels.
  • Wenn Sie keinen Sicherheitsschlüssel verwenden, um sich bei Ihrem Gerät anzumelden, wenn Sie online sind, können Sie ihn nicht verwenden, um sich offline anzumelden oder die Sperrung aufzuheben.
  • Anmelden oder Entsperren eines Windows-Geräts mit einem Sicherheitsschlüssel, der mehrere Microsoft Entra-Konten enthält. In diesem Szenario wird das letzte Konto verwendet, das dem Sicherheitsschlüssel hinzugefügt wurde. WebAuthN ermöglicht Benutzern die Auswahl des gewünschten Kontos.
  • Entsperren eines Geräts unter Windows 10, Version 1809. Hierfür eignet sich besonders Windows 10 (Version 1903 oder höher).

Vorbereiten von Geräten

In Microsoft Entra eingebundene Geräte müssen Windows 10, Version 1909 oder höher ausführen.

In Microsoft Entra hybrid eingebundene Geräte müssen Windows 10, Version 2004 oder höher ausführen.

Aktivieren von Sicherheitsschlüsseln für die Windows-Anmeldung

Organisationen können basierend auf ihren Anforderungen eine oder mehrere der folgenden Methoden zum Aktivieren der Verwendung von Sicherheitsschlüsseln für die Windows-Anmeldung verwenden:

Wichtig

Organisationen mit in Microsoft Entra hybrid eingebundenen Geräten müssen auch die Schritte im Artikel Verwenden von SSO zum Anmelden bei lokalen Ressourcen mithilfe von FIDO2-Schlüsseln ausführen, damit die Authentifizierung mit Windows 10-FIDO2-Sicherheitsschlüsseln funktioniert.

Organisationen mit in Microsoft Entra eingebundenen Geräten müssen diese Schritte durchführen, damit sich ihre Geräte mit FIDO2-Sicherheitsschlüsseln bei lokalen Ressourcen authentifizieren können.

Aktivieren mit Microsoft Intune

Führen Sie die folgenden Schritte aus, um die Verwendung von Sicherheitsschlüsseln mithilfe von Intune zu aktivieren:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Navigieren Sie zu Geräte>Geräte registrieren>Windows-Registrierung>Windows Hello for Business.
  3. Legen Sie die Option Sicherheitsschlüssel zur Anmeldung verwenden auf Aktiviert fest.

Die Konfiguration von Sicherheitsschlüsseln für die Anmeldung ist nicht von der Konfiguration von Windows Hello for Business abhängig.

Hinweis

Dadurch werden keine Sicherheitsschlüssel auf bereits bereitgestellten Geräten aktiviert. Verwenden Sie in diesem Fall die nächste Methode (zielgerichtete Intune-Bereitstellung).

Zielgerichtete Intune-Bereitstellung

Verwenden Sie zum Festlegen bestimmter Gerätegruppen als Ziel die folgenden benutzerdefinierten Einstellungen über Intune, um den Anmeldeinformationsanbieter zu aktivieren:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Navigieren Sie zu Geräte>Windows>Konfigurationsprofile>Profil erstellen.
  3. Konfigurieren Sie das neue Profil mit den folgenden Einstellungen:
    • Plattform: Windows 10 und höher
    • Profiltyp: Vorlagen > Benutzerdefiniert
    • Name: Sicherheitsschlüssel für die Windows-Anmeldung
    • Beschreibung: Aktiviert FIDO-Sicherheitsschlüssel für die Windows-Anmeldung
  4. Wählen Sie Weiter>Hinzufügen aus, und fügen Sie unter Zeile hinzufügen die folgenden benutzerdefinierten OMA-URI-Einstellungen hinzu:
    • Name: Aktivieren der FIDO-Sicherheitsschlüssel für die Windows-Anmeldung
    • Beschreibung (optional):
    • OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
    • Datentyp: Integer
    • Wert: 1
  5. Weisen Sie die restlichen Richtlinieneinstellungen zu, einschließlich bestimmte Benutze, Geräte oder Gruppen. Weitere Informationen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen in Microsoft Intune.

Aktivieren mit einem Bereitstellungspaket

Für nicht von Microsoft Intune verwaltete Geräte können Sie ein Bereitstellungspaket installieren, um die Funktion zu aktivieren. Die Windows Configuration Designer-App kann aus dem Microsoft Store heruntergeladen und installiert werden. Führen Sie die folgenden Schritte aus, um ein Bereitstellungspaket zu erstellen:

  1. Starten Sie Windows Configuration Designer.
  2. Klicken Sie auf Datei>Neues Projekt.
  3. Geben Sie dem Projekt einen Namen, notieren Sie sich den Pfad, in dem Ihr Projekt erstellt wird, und wählen Sie Weiter aus.
  4. Lassen Sie das Bereitstellungspaket als Selected project workflow (Ausgewählter Projektworkflow), und klicken Sie auf Weiter.
  5. Wählen Sie unter Einstellungen auswählen, die angezeigt und konfiguriert werden sollen die Option Alle Windows-Desktopeditionen und dann Weiter aus.
  6. Wählen Sie Fertig stellen aus.
  7. Navigieren Sie in Ihrem neu erstellten Projekt zu Runtimeeinstellungen>Windows Hello For Business>Sicherheitsschlüssel>Use Security Key For Sign In (Sicherheitsschlüssel für die Anmeldung verwenden).
  8. Legen Sie Use Security Key For Sign In (Sicherheitsschlüssel für die Anmeldung verwenden) auf Aktiviert fest.
  9. Klicken Sie auf Exportieren>Bereitstellungspaket.
  10. Lassen Sie die Standardwerte im Fenster Erstellen unter Beschreibung des Bereitstellungspakets unverändert, und wählen Sie Weiter aus.
  11. Lassen Sie die Standardwerte im Fenster Erstellen unter Sicherheitsdetails für das Bereitstellungspaket auswählen unverändert, und klicken Sie auf Weiter.
  12. Notieren Sie sich den Pfad oder ändern Sie diesen im Fenster Erstellen unter Speicherort des Bereitstellungspakets auswählen, und klicken Sie dann auf Weiter.
  13. Klicken Sie auf der Seite Bereitstellungspaket erstellen auf Erstellen.
  14. Speichern Sie die zwei erstellten Dateien (ppkg und cat) an einem Speicherort, von dem aus Sie sie später auf Computer anwenden können.
  15. Um das von Ihnen erstellte Bereitstellungspaket anzuwenden, befolgen Sie die Anweisungen unter Anwenden eines Bereitstellungspakets.

Hinweis

Auf Geräten unter Windows 10 (Version 1903) muss auch der Modus für freigegebene PCs (EnableSharedPCMode) aktiviert sein. Weitere Informationen zum Aktivieren dieser Funktion finden Sie unter Einrichten eines freigegebenen oder Gast-PCs unter Windows 10.

Aktivieren mit Gruppenrichtlinie

Für in Microsoft Entra hybrid eingebundene Geräte können Organisationen die folgende Gruppenrichtlinieneinstellung konfigurieren, um die Anmeldung mit dem FIDO-Sicherheitsschlüssel zu aktivieren. Die Einstellung finden Sie unter Computerkonfiguration>Administrative Vorlagen>System>Anmeldung>Anmeldung mit Sicherheitsschlüssel aktivieren:

  • Wenn Sie diese Richtlinie auf Aktiviert festlegen, können Benutzer sich mit Sicherheitsschlüsseln anmelden.
  • Das Festlegen dieser Richtlinie auf Deaktiviert oder Nicht konfiguriert verhindert, dass Benutzer sich mit Sicherheitsschlüsseln anmelden.

Diese Gruppenrichtlinieneinstellung erfordert eine aktualisierte Version der CredentialProviders.admx-Gruppenrichtlinienvorlage. Diese neue Vorlage ist mit der nächsten Version von Windows Server und mit Windows 10 20h1 verfügbar. Diese Einstellung kann mit einem Gerät verwaltet werden, auf dem eine dieser neueren Versionen von Windows ausgeführt wird, oder zentral anhand der Anleitung hier: Erstellen und Verwalten des zentralen Speichers für administrative Vorlagendateien für Gruppenrichtlinien in Windows.

Anmelden mit dem FIDO2-Sicherheitsschlüssel

In diesem Beispiel hat ein Benutzer namens Bala Sandhu seinen FIDO2-Sicherheitsschlüssel bereits mithilfe der Schritte im vorherigen Artikel Kennwortlose Anmeldung mit Sicherheitsschlüssel aktivieren bereitgestellt. Stellen Sie für hybrid in Microsoft Entra eingebundene Geräte sicher, dass Sie auch die kennwortlose Anmeldung mit Sicherheitsschlüsseln für lokale Ressourcen aktiviert haben. Bala kann auf dem Windows 10-Sperrbildschirm den Anbieter für Sicherheitsschlüsselanmeldeinformationen auswählen und den Sicherheitsschlüssel für die Anmeldung bei Windows einfügen.

Anmelden mit Sicherheitsschlüssel auf dem Windows 10-Sperrbildschirm

Verwalten eines biometrischen Sicherheitsschlüssels bzw. einer PIN oder Zurücksetzen eines Sicherheitsschlüssels

  • Windows 10, Version 1903 oder höher
    • Benutzer können Windows-Einstellungen auf ihrem Gerät öffnen >Konten>Sicherheitsschlüssel
    • Benutzer können ihre PIN ändern, Biometrie aktualisieren oder ihren Sicherheitsschlüssel zurücksetzen.

Problembehandlung und Feedback

Wenn Sie Feedback geben möchten oder Probleme mit diesem Feature auftreten, teilen Sie uns dies in folgenden Schritten über die Windows-Feedback-Hub-App mit:

  1. Starten Sie Feedback-Hub, und stellen Sie sicher, dass Sie angemeldet sind.
  2. Senden Sie Ihr Feedback unter der folgenden Kategorisierung:
    • Kategorie: Sicherheit und Datenschutz
    • Unterkategorie: FIDO
  3. Verwenden Sie die Option Problem reproduzieren, um Protokolle zu erfassen.

Nächste Schritte

Aktivieren des Zugriffs auf lokale Ressourcen für Microsoft Entra ID und hybrid in Microsoft Entra eingebundene Geräte

Erfahren Sie mehr über die Geräteregistrierung

Weitere Informationen zur Multi-Faktor-Authentifizierung in Microsoft Entra