Verwenden von Identitätsschutzprofilen zum Verwalten von Windows Hello for Business in Microsoft Intune

  • Artikel

Microsoft Intune verwendet Identity Protection-Profile für die Gerätekonfiguration, um Windows Hello for Business auf Ihren verwalteten Windows-Geräten zu verwalten. Windows Hello for Business ist eine Methode zum Anmelden bei Windows-Geräten, indem Kennwörter, Smartcards und virtuellen Smartcards ersetzt werden.

Gilt für:

  • Windows 10
  • Windows 11

Wenn Sie Intune Identity Protection-Profile verwenden, um Windows Hello for Business Einstellungen zu verwalten, haben Sie folgende Möglichkeiten:

  • Windows Hello for Business für Geräte und Benutzer aktivieren
  • Geräte-PIN-Anforderungen festlegen, einschließlich einer minimalen oder maximalen PIN-Länge
  • Gesten festlegen, z.B. einen Fingerabdruck, mit denen Benutzer sich bei Geräten anmelden können (oder nicht)

Dieses Feature gilt für Geräte, die ausgeführt werden unter:

Zusätzlich zu Identity Protection-Profilen unterstützt Intune die folgenden Optionen zum Verwalten von Einstellungen für Windows Hello for Business:

  • Während der Geräteregistrierung: Konfigurieren Sie eine mandantenweite Richtlinie, die Windows Hello Einstellungen auf Geräte zum Zeitpunkt der Registrierung des Geräts bei Intune anwendet.
  • Sicherheitsbaselines: Einige Einstellungen für Windows Hello können über die Sicherheitsbaselines von Intune verwaltet werden, z. B. die Baselines für Microsoft Defender for Endpoint Sicherheit oder Sicherheitsbaseline für Windows 10 und höher.
  • Kontoschutzrichtlinie für Endpunktsicherheit: Kontoschutzrichtlinien enthalten einige der von Windows Hello verwendeten Einstellungen.

Hinweis

Für Kunden, die Windows Holographic for Business konfigurieren möchten, verwenden Sie DeviceLock CSP.

In diesem Artikel erfahren Sie, wie Sie ein Gerätekonfigurationsprofil für Identity Protection erstellen. Eine Liste aller Einstellungen und deren Funktionsweise finden Sie unter Windows-Geräteeinstellungen, um Windows Hello for Business zu aktivieren.

Wichtig

Aufgrund der Art und Weise, wie Intune den Umfang und die Anwendbarkeit Windows Hello for Business Richtlinie bestimmt, kann ein Gerät die Ereignis-ID 454 als Ergebnis der Anwendung der Richtlinie protokollieren. Dies kann ignoriert werden, wenn die Richtlinie erfolgreich angewendet (und erzwungen) wird.

Erstellen des Geräteprofils

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen SieGerätekonfiguration>>Erstellen aus.

  3. Geben Sie die folgenden Eigenschaften ein:

    • Plattform: Wählen Sie Windows 10 und höher aus.
    • Profil: Wählen Sie Vorlagen>Identitätsschutz aus.

  4. Wählen Sie Erstellen aus.

  5. Geben Sie in Grundlagen die folgenden Eigenschaften ein:

    • Name: Geben Sie einen aussagekräftigen Namen für das neue Profil ein. Benennen Sie Ihre Richtlinien so, dass Sie diese später leicht wiedererkennen.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird aber empfohlen.

    Wählen Sie Weiter aus, um fortzufahren.

  6. Konfigurieren Sie in den Konfigurationseinstellungen die folgenden Einstellungen:

    • Windows Hello for Business konfigurieren: Wählen Sie aus, wie Sie Windows Hello for Business konfigurieren möchten:

      • Nicht konfiguriert (Standard): Stellt Windows Hello for Business auf dem Gerät bereit. Wenn Identitätsschutzprofile nur für Benutzer zugewiesen werden, wird der Gerätekontext standardmäßig auf Nicht konfiguriert festgelegt.

      • Deaktiviert: Wenn Sie Windows Hello for Business nicht verwenden möchten, wählen Sie diese Option aus. Diese Option deaktiviert Windows Hello for Business für alle Benutzer.

      • Aktiviert: Wählen Sie diese Option aus, für die Bereitstellung, und um Windows Hello for Business Einstellungen in Intune zu konfigurieren. Geben Sie die Einstellungen ein, die Sie konfigurieren möchten. Eine Liste aller Einstellungen und deren Funktionsweise finden Sie unter: Windows-Geräteeinstellungen, um Windows Hello for Business zu aktivieren.

    • Verwenden von Sicherheitsschlüsseln für die Anmeldung: Aktivieren Sie den Windows Hello-Sicherheitsschlüssel als Anmeldeinformationen für alle PCs im Mandanten.

      • Enable
      • Nicht konfiguriert (Standard)

    Wählen Sie Weiter aus, um fortzufahren.

  7. Wählen Sie unter Zuweisungen die Benutzer- oder Gerätegruppen aus, denen dieses Profil zugewiesen werden soll. Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.

    Wichtig

    Um die Bereitstellung mehrerer Benutzer für ein Gerät zu ermöglichen, geben Sie an, dass die Windows Hello for Business-Richtlinie auf die Geräte angewendet werden soll. Wenn die Richtlinie nur auf Benutzer angewendet wird, kann nur ein Benutzer für ein Gerät bereitgestellt werden.

    Wählen Sie Weiter aus.

  8. Verwenden Sie auf der Seite Anwendbarkeitsregeln die Optionen Regel, Eigenschaftund Wert, um zu definieren, wie dieses Profil in zugewiesenen Gruppen angewendet wird. Intune wendet das Profil auf Geräte an, die die Regeln erfüllen, die Sie eingeben. Weitere Informationen zu Anwendbarkeitsregeln finden Sie unter Anwendbarkeitsregeln.

    Wählen Sie „Weiter“ aus.

  9. Überprüfen Sie die Einstellungen unter Überprüfen + erstellen. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Profilliste angezeigt.

Nächste Schritte