Windows Hello for Business Einstellungen in Configuration Manager

  • Artikel

Gilt für: Configuration Manager (Current Branch)

Configuration Manager kann in Windows Hello for Business integriert werden. (Dieses Feature wurde früher als Microsoft Passport for Work bezeichnet.) Windows Hello for Business ist eine alternative Anmeldemethode für Windows 10 Geräte. Es verwendet Active Directory oder ein Microsoft Entra-Konto, um ein Kennwort, ein intelligentes Karte oder ein virtuelles intelligentes Karte zu ersetzen. Mit Hello for Business können Sie eine Benutzergeste anstelle eines Kennworts verwenden, um sich anzumelden. Eine Benutzergeste kann eine PIN, eine biometrische Authentifizierung oder ein externes Gerät wie ein Fingerabdruckleser sein.

Wichtig

Ab Version 2203 wird dieses Feature für den Zugriff auf Unternehmensressourcen nicht mehr unterstützt. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung des Ressourcenzugriffs.

Active Directory-Verbunddienste (AD FS) Bereitstellung von ADFS RA (Registration Authority) ist einfacher, bietet eine bessere Benutzererfahrung und verfügt über eine deterministischere Zertifikatregistrierungserfahrung. Verwenden Sie AD FS RA für die zertifikatbasierte Authentifizierung mit Windows Hello for Business.

Weitere Informationen finden Sie unter Windows Hello for Business.

Hinweis

Configuration Manager aktiviert dieses optionale Feature nicht standardmäßig. Sie müssen dieses Feature aktivieren, bevor Sie es verwenden können. Weitere Informationen finden Sie unter Aktivieren optionaler Features aus Updates.

Configuration Manager kann wie folgt in Windows Hello for Business integriert werden:

  • Steuern Sie, welche Gesten Benutzer für die Anmeldung verwenden können und welche nicht.

  • Speichern Sie Authentifizierungszertifikate im Windows Hello for Business Key Storage Provider (KSP). Weitere Informationen finden Sie unter Zertifikatprofile.

  • Erstellen Sie ein Windows Hello for Business profil, um dessen Einstellungen auf in die Domäne eingebundenen Windows 10 Geräten zu steuern, auf denen der Configuration Manager-Client ausgeführt wird. Ab Version 1910 können Sie die zertifikatbasierte Authentifizierung nicht mehr verwenden. Wenn Sie die schlüsselbasierte Authentifizierung verwenden, müssen Sie kein Zertifikatprofil bereitstellen.

Konfigurieren eines Profils

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Assets und Konformität. Erweitern Sie Konformitätseinstellungen, erweitern Sie Unternehmensressourcenzugriff, und wählen Sie den Knoten Windows Hello for Business Profile aus.

  2. Wählen Sie im Menüband Windows Hello for Business Profil erstellen aus, um den Profil-Assistenten zu starten.

  3. Geben Sie auf der Seite Allgemein einen Namen und eine optionale Beschreibung für dieses Profil an.

  4. Wählen Sie auf der Seite Unterstützte Plattformen die Betriebssystemversionen aus, für die dieses Profil gelten soll.

  5. Konfigurieren Sie auf der Seite Einstellungen die folgenden Einstellungen:

    • Konfigurieren Windows Hello for Business: Geben Sie an, ob dieses Profil Hello for Business aktiviert, deaktiviert oder nicht konfiguriert.

    • Verwenden eines Trusted Platform Module (TPM): Ein TPM bietet eine zusätzliche Ebene der Datensicherheit. Wählen Sie einen der folgenden Werte aus:

      • Erforderlich: Nur Geräte mit einem zugänglichen TPM können Windows Hello for Business bereitstellen.

      • Bevorzugt: Geräte versuchen zuerst, ein TPM zu verwenden. Wenn sie nicht verfügbar ist, können sie die Softwareverschlüsselung verwenden.

    • Authentifizierungsmethode: Legen Sie diese Option auf Nicht konfiguriert oder Schlüsselbasiert fest.

      Hinweis

      Ab Version 1910 wird die zertifikatbasierte Authentifizierung mit Windows Hello for Business Einstellungen in Configuration Manager nicht unterstützt.

    • Minimale PIN-Länge konfigurieren: Wenn Sie eine Mindestlänge für die PIN des Benutzers benötigen möchten, aktivieren Sie diese Option, und geben Sie einen Wert an. Wenn diese Option aktiviert ist, lautet 4der Standardwert .

    • Konfigurieren der maximalen PIN-Länge: Wenn Sie eine maximale Länge für die PIN des Benutzers benötigen möchten, aktivieren Sie diese Option, und geben Sie einen Wert an. Wenn aktiviert ist, ist 127der Standardwert .

    • PIN-Ablauf erforderlich (Tage):Gibt die Anzahl der Tage an, bevor der Benutzer die Geräte-PIN ändern muss.

    • Wiederverwendung vorheriger PINs verhindern: Benutzern nicht erlauben, PINs zu verwenden, die sie zuvor verwendet haben.

    • Großbuchstaben in PIN erforderlich: Gibt an, ob Benutzer Großbuchstaben in die Windows Hello for Business PIN einschließen müssen. Wählen Sie zwischen:

      • Zulässig: Benutzer können Großbuchstaben in ihrer PIN verwenden, müssen dies jedoch nicht.

      • Erforderlich: Benutzer müssen mindestens ein Großbuchstaben in ihre PIN einfügen.

      • Nicht zulässig: Benutzer können keine Großbuchstaben in ihrer PIN verwenden.

    • Kleinbuchstaben in PIN erforderlich: Gibt an, ob Benutzer Kleinbuchstaben in die Windows Hello for Business PIN einfügen müssen. Wählen Sie zwischen:

      • Zulässig: Benutzer können Kleinbuchstaben in ihrer PIN verwenden, müssen dies jedoch nicht.

      • Erforderlich: Benutzer müssen mindestens ein Kleinbuchstaben in ihre PIN einfügen.

      • Nicht zulässig: Benutzer können keine Kleinbuchstaben in ihrer PIN verwenden.

    • Sonderzeichen konfigurieren: Gibt die Verwendung von Sonderzeichen in der PIN an. Wählen Sie zwischen:

      Hinweis

      Sonderzeichen umfassen den folgenden Satz:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Zulässig: Benutzer können Sonderzeichen in ihrer PIN verwenden, müssen dies jedoch nicht.

      • Erforderlich: Benutzer müssen mindestens ein Sonderzeichen in ihre PIN einschließen.

      • Nicht zulässig: Benutzer können keine Sonderzeichen in ihrer PIN verwenden. Dieses Verhalten tritt auch auf, wenn die Einstellung Nicht konfiguriert ist.

    • Konfigurieren der Verwendung von Ziffern in der PIN: Gibt die Verwendung von Zahlen in der PIN an. Wählen Sie zwischen:

      • Zulässig: Benutzer können Nummern in ihrer PIN verwenden, müssen dies jedoch nicht.

      • Erforderlich: Benutzer müssen mindestens eine Nummer in ihre PIN einschließen.

      • Nicht zulässig: Benutzer können keine Nummern in ihrer PIN verwenden.

    • Aktivieren biometrischer Gesten: Verwenden Sie die biometrische Authentifizierung, z. B. Gesichtserkennung oder Fingerabdruck. Diese Modi sind eine Alternative zu einer PIN für Windows Hello for Business. Benutzer konfigurieren weiterhin eine PIN für den Fall, dass die biometrische Authentifizierung fehlschlägt.

      Wenn diese Option auf Ja festgelegt ist, lässt Windows Hello for Business die biometrische Authentifizierung zu. Bei Festlegung auf Nein verhindert Windows Hello for Business die biometrische Authentifizierung für alle Kontotypen.

    • Erweitertes Antispoofing verwenden: Konfiguriert erweitertes Antispoofing auf Geräten, die dies unterstützen. Wenn diese Einstellung auf Ja festgelegt ist, erfordert Windows, dass alle Benutzer Antispoofing für Gesichtsmerkmale verwenden.

    • Telefonanmeldung verwenden: Konfiguriert die zweistufige Authentifizierung mit einem Mobiltelefon.

  6. Schließen Sie den Assistenten ab.

Der folgende Screenshot zeigt ein Beispiel für Windows Hello for Business Profileinstellungen:

Windows Hello for Business Richtlinien-Assistent mit der Liste der verfügbaren Einstellungen

Konfigurieren von Berechtigungen

  1. Melden Sie sich als Domänenadministrator oder gleichwertige Anmeldeinformationen bei einer sicheren, administrativen Arbeitsstation an, auf der das folgende optionale Feature installiert ist: RSAT: Active Directory Domain Services und Lightweight Directory Services Tools.

  2. Öffnen Sie die Active Directory-Benutzer und -Computer-Konsole.

  3. Wählen Sie die Domäne aus, wechseln Sie zum Aktionsmenü , und wählen Sie Eigenschaften aus.

  4. Wechseln Sie zur Registerkarte Sicherheit , und wählen Sie Erweitert aus.

    Tipp

    Wenn die Registerkarte Sicherheit nicht angezeigt wird, schließen Sie das Eigenschaftenfenster. Wechseln Sie zum Menü Ansicht , und wählen Sie Erweiterte Features aus.

  5. Klicken Sie auf Hinzufügen.

  6. Wählen Sie Prinzipal auswählen aus, und geben Sie ein Key Admins.

  7. Wählen Sie in der Liste Gilt für die Option Nachfolgerbenutzerobjekte aus.

  8. Wählen Sie unten auf der Seite Alle löschen aus.

  9. Wählen Sie im Abschnitt Eigenschaften die Option MsDS-KeyCredentialLink lesen aus.

  10. Wählen Sie OK aus, um Ihre Änderungen zu speichern und alle Fenster zu schließen.

Nächste Schritte

Zertifikatprofile