Verwenden von Identitätsschutzprofilen zum Verwalten von Windows Hello for Business in Microsoft Intune

Verwenden Sie ein Identitätsschutzprofil, um Windows Hello for Business auf Gruppen von Geräten in Microsoft Intune zu verwalten. Windows Hello for Business ist eine Methode zum Anmelden bei Windows-Geräten, indem Kennwörter, Smartcards und virtuellen Smartcards ersetzt werden. Intune umfasst integrierte Einstellungen, damit Administratoren Windows Hello for Business konfigurieren und verwenden können. Beispielsweise können Sie mit diesen Einstellungen:

• Windows Hello for Business für Geräte und Benutzer aktivieren
• Geräte-PIN-Anforderungen festlegen, einschließlich einer minimalen oder maximalen PIN-Länge
• Gesten festlegen, z.B. einen Fingerabdruck, mit denen Benutzer sich bei Geräten anmelden können (oder nicht)

Dieses Feature gilt für Geräte, die ausgeführt werden unter:

• Windows 10
• Windows 11

Zusätzlich zur Verwendung eines Identitätsschutzprofils unterstützt Intune die folgenden Optionen zum Verwalten von Einstellungen für Windows Hello for Business:

• Während der Geräteregistrierung: Verwalten Sie Windows Hello, wenn ein Gerät mit einer mandantenweiten Richtlinie registriert wird.
• Sicherheitsbaselines: Einige Einstellungen für Windows Hello können von Sicherheitsbaselines wie den Baselines für Microsoft Defender for Endpoint Sicherheit oder Sicherheitsbaseline für Windows 10 und höher verwaltet werden.
• Kontoschutzrichtlinie für Endpunktsicherheit: Kontoschutzrichtlinien enthalten einige der von Windows Hello verwendeten Einstellungen.

Hinweis

Für Kunden, die Windows Holographic for Business konfigurieren möchten, verwenden Sie DeviceLock CSP.

Intune verwendet Konfigurationsprofile zum Erstellen und Anpassen dieser Einstellungen für die Anforderungen Ihrer Organisation. Nachdem Sie diese Funktionen in einem Profil hinzugefügt haben, übertragen Sie diese Einstellungen mithilfe von Push auf Benutzer- und Gerätegruppen in Ihrer Organisation, oder stellen Sie sie für Gruppen bereit.

In diesem Artikel erfahren Sie, wie Sie ein Gerätekonfigurationsprofil erstellen. Eine Liste aller Einstellungen und deren Funktionsweise finden Sie unter Windows-Geräteeinstellungen, um Windows Hello for Business zu aktivieren.

Wichtig

Aufgrund der Art und Weise, wie Intune den Geltungsbereich und die Anwendbarkeit der Richtlinie für Windows Hello for Business bestimmt, kann das Gerät als Ergebnis der Anwendung der Richtlinie die Ereignis-ID 454 protokollieren. Dies kann ignoriert werden, wenn die Richtlinie erfolgreich angewendet (und erzwungen) wird.

Erstellen des Geräteprofils

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wählen Sie Geräte>Konfigurationsprofile>Profil erstellen aus.

3. Geben Sie die folgenden Eigenschaften ein:

   • Plattform: Wählen Sie Windows 10 und höher aus.
   • Profil: Wählen Sie Vorlagen>Identitätsschutz aus.

4. Wählen Sie Erstellen aus.

5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

   • Name: Geben Sie einen aussagekräftigen Namen für das neue Profil ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen.
   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird aber empfohlen.

   Wählen Sie Weiter aus, um fortzufahren.

6. Konfigurieren Sie in den Konfigurationseinstellungen die folgenden Einstellungen:

   • Windows Hello for Business konfigurieren: Wählen Sie aus, wie Sie Windows Hello for Business konfigurieren möchten:

     • Nicht konfiguriert (Standard): Stellt Windows Hello for Business auf dem Gerät bereit. Wenn Identitätsschutzprofile nur für Benutzer zugewiesen werden, wird der Gerätekontext standardmäßig auf Nicht konfiguriert festgelegt.

     • Deaktiviert: Wenn Sie Windows Hello for Business nicht verwenden möchten, wählen Sie diese Option aus. Diese Option deaktiviert Windows Hello for Business für alle Benutzer.

     • Aktiviert: Wählen Sie diese Option aus, für die Bereitstellung, und um Windows Hello for Business Einstellungen in Intune zu konfigurieren. Geben Sie die Einstellungen ein, die Sie konfigurieren möchten. Eine Liste aller Einstellungen und deren Funktionsweise finden Sie unter: Windows-Geräteeinstellungen, um Windows Hello for Business zu aktivieren.

   • Verwenden von Sicherheitsschlüsseln für die Anmeldung: Aktivieren Sie den Windows Hello-Sicherheitsschlüssel als Anmeldeinformationen für alle PCs im Mandanten.

     • Enable
     • Nicht konfiguriert (Standard)

   Wählen Sie Weiter aus, um fortzufahren.

7. Wählen Sie unter Zuweisungen die Benutzer- oder Gerätegruppen aus, denen dieses Profil zugewiesen werden soll. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

   Wichtig

   Um die Bereitstellung mehrerer Benutzer für ein Gerät zu ermöglichen, geben Sie an, dass die Windows Hello for Business-Richtlinie auf die Geräte angewendet werden soll. Wenn die Richtlinie nur auf Benutzer angewendet wird, kann nur ein Benutzer für ein Gerät bereitgestellt werden.

   Wählen Sie Weiter aus.

8. Verwenden Sie auf der Seite Anwendbarkeitsregeln die Optionen Regel, Eigenschaftund Wert, um zu definieren, wie dieses Profil in zugewiesenen Gruppen angewendet wird. Intune wendet das Profil auf Geräte an, die die Regeln erfüllen, die Sie eingeben. Weitere Informationen zu Anwendbarkeitsregeln finden Sie unter Anwendbarkeitsregeln.

   Wählen Sie „Weiter“ aus.

9. Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.

Nächste Schritte

• Überprüfen der Einstellungen und ihrer Aufgaben
• Überwachen des Profilstatus