Freigeben über

Identitätsschutzprofileinstellungen in Intune für Windows Hello for Business

  • Artikel

Wichtig

Im Juli 2024 wurden die folgenden Intune-Profile für Identitäts- und Kontoschutz veraltet und durch ein neues konsolidiertes Profil namens Kontoschutz ersetzt. Dieses neuere Profil befindet sich im Kontoschutzrichtlinienknoten der Endpunktsicherheit und ist die einzige Profilvorlage, die weiterhin verfügbar ist, um neue Richtlinieninstanzen für identitäts- und kontoschutz zu erstellen. Die Einstellungen aus diesem neuen Profil sind auch über den Einstellungskatalog verfügbar.

Alle Instanzen der folgenden älteren Profile, die Sie erstellt haben, können weiterhin verwendet und bearbeitet werden:

  • Identity Protection – zuvor unter Gerätekonfiguration>> NeueRichtlinie>erstellen>Windows 10 und höher>Vorlagen>Identity Protection
  • Kontoschutz (Vorschau) – zuvor über Endpoint Security>Account Protection>Windows 10 und höher> verfügbarKontoschutz (Vorschau)

Hinweis

Intune unterstützt möglicherweise mehr Einstellungen als die in diesem Artikel aufgeführten Einstellungen. Nicht alle Einstellungen sind dokumentiert und werden nicht dokumentiert. Um die Einstellungen anzuzeigen, die Sie konfigurieren können, erstellen Sie eine Gerätekonfigurationsrichtlinie, und wählen Sie Einstellungskatalog aus. Weitere Informationen finden Sie unter Einstellungskatalog.

In diesem Artikel werden Windows Hello for Business-Einstellungen beschrieben, die Sie mit einem Identity Protection-Profil verwalten können. Identity Protection-Profile sind Teil der Gerätekonfigurationsrichtlinie in Microsoft Intune. Ab Juli 2024 werden jedoch Gerätekonfigurationsprofile für Identity Protection durch Endpunktsicherheitsprofile für den Kontoschutz ersetzt. Sie können zwar weiterhin Identity Protection-Profile verwenden, die Sie zuvor erstellt haben, aber Das Erstellen neuer Instanzen wird in Intune nicht mehr unterstützt. Verwenden Sie stattdessen zum Verwalten von Einstellungen für den Identitätsschutz eine Richtlinie zum Schutz von Endpunktsicherheitskonten.

Mit einem Identity Protection-Profil können Sie Einstellungen auf diskreten Gruppen von Windows 10/11-Geräten konfigurieren. Informationen zum mandantenweiten Konfigurieren von Windows Hello for Business im Rahmen der Geräteregistrierung finden Sie unter Erstellen einer Windows Hello for Business-Richtlinie unter Integrieren von Windows Hello for Business in Microsoft Intune.

In diesem Artikel werden die Einstellungen für die Registrierungsrichtlinie beschrieben.

Weitere Informationen zu diesen Einstellungen finden Sie unter Konfigurieren von Windows Hello for Business-Richtlinieneinstellungen in der Windows Hello-Dokumentation.

Windows Hello for Business

Die folgenden Einstellungen gelten nur für die Gerätekonfigurationsprofilvorlage für Identity Protection, die im Juli 2024 veraltet war.

  • Konfigurieren von Windows Hello for Business:

    • Nicht konfiguriert (Standardeinstellung): Wählen Sie diese Einstellung aus, wenn Sie Windows Hello for Business-Einstellungen nicht mit Intune steuern möchten. Vorhandene Windows Hello for Business-Einstellungen auf Windows 10/11-Geräten werden nicht geändert. Alle anderen Einstellungen in dem Bereich sind nicht verfügbar.

    • Deaktivieren : Wenn Sie Windows Hello for Business nicht verwenden möchten, wählen Sie diese Einstellung aus. Alle anderen Einstellungen auf dem Bildschirm sind dann nicht verfügbar.

    • Aktivieren : Wählen Sie diese Einstellung aus, wenn Sie Windows Hello for Business-Einstellungen konfigurieren möchten.

    Wenn diese Einstellung auf Aktivieren festgelegt ist, sind die folgenden Einstellungen verfügbar:

    • PIN-Mindestlänge
      Geben Sie eine minimale PIN-Länge für Geräte von 4 bis 127 Zeichen an. Standardmäßig ist diese Einstellung Nicht konfiguriert.

    • Höchstlänge für PIN
      Geben Sie eine maximale PIN-Länge für Geräte von vier bis 127 Zeichen an. Standardmäßig ist diese Einstellung Nicht konfiguriert.

    • Kleinbuchstaben in PIN
      Bei Bedarf muss die Benutzer-PIN mindestens einen Kleinbuchstaben enthalten. Standardmäßig ist diese Einstellung Nicht konfiguriert.

      • Nicht zulässig : Verhindert, dass Benutzer Kleinbuchstaben in der PIN verwenden. Dieses Verhalten tritt auch auf, wenn die Einstellung nicht konfiguriert ist.
      • Zulässig : Ermöglicht Benutzern die Verwendung von Kleinbuchstaben in der PIN, dies ist jedoch nicht erforderlich.
      • Erforderlich : Benutzer müssen mindestens einen Kleinbuchstaben in die PIN einfügen. Beispielsweise ist es üblich, die Verwendung mindestens eines Großbuchstabens und eines Sonderzeichens vorzuschreiben.

    • Großbuchstaben in PIN
      Bei Bedarf muss die Benutzer-PIN mindestens einen Großbuchstaben enthalten. Standardmäßig ist diese Einstellung Nicht konfiguriert.

      • Nicht zulässig : Verhindert, dass Benutzer Großbuchstaben in der PIN verwenden. Dieses Verhalten tritt auch auf, wenn die Einstellung nicht konfiguriert ist.
      • Zulässig : Ermöglicht Benutzern die Verwendung von Großbuchstaben in der PIN, dies ist jedoch nicht erforderlich.
      • Erforderlich : Benutzer müssen mindestens einen Großbuchstaben in die PIN einfügen. Beispielsweise ist es üblich, die Verwendung mindestens eines Großbuchstabens und eines Sonderzeichens vorzuschreiben.

    • Sonderzeichen in PIN
      Bei Bedarf muss die Benutzer-PIN mindestens ein Sonderzeichen enthalten. Zu den Sonderzeichen gehören: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Nicht zulässig (Standardeinstellung): Verhindert, dass Benutzer Sonderzeichen in der PIN verwenden. Dieses Verhalten tritt auch auf, wenn die Einstellung nicht konfiguriert ist.
      • Zulässig : Ermöglicht Benutzern die Verwendung von Großbuchstaben in der PIN, dies ist jedoch nicht erforderlich.
      • Erforderlich : Benutzer müssen mindestens einen Großbuchstaben in die PIN einfügen. Beispielsweise ist es üblich, die Verwendung mindestens eines Großbuchstabens und eines Sonderzeichens vorzuschreiben.

    • PIN-Ablauf (Tage)
      Falls konfiguriert, wird der Benutzer gezwungen, seine PIN nach der festgelegten Anzahl von Tagen zu ändern. Der Benutzer kann seine PIN trotzdem proaktiv ändern, bevor er abläuft. Standardmäßig ist diese Einstellung Nicht konfiguriert.

    • PIN-Verlauf speichern
      Falls konfiguriert, kann der Benutzer diese Anzahl vorheriger PINs nicht wiederverwenden. Standardmäßig ist diese Einstellung Nicht konfiguriert.

    • Aktivieren Sie die PIN-Wiederherstellung
      Ermöglicht benutzern die Verwendung des Windows Hello for Business-PIN-Wiederherstellungsdiensts.

      • Aktivieren : Das PIN-Wiederherstellungsgeheimnis wird auf dem Gerät gespeichert, und der Benutzer kann seine PIN bei Bedarf ändern.
      • Nicht konfiguriert (Standard): Das Wiederherstellungsgeheimnis wird nicht erstellt oder gespeichert.

    • Verwenden eines Trusted Platform Module (TPM)
      Ein TPM-Chip bietet eine zusätzliche Sicherheitsebene für Daten.

      • Aktivieren : Nur Geräte mit einem zugänglichen TPM können Windows Hello for Business bereitstellen.
      • Nicht konfiguriert (Standard): Geräte versuchen zuerst, ein TPM zu verwenden. Wenn kein TPM verfügbar ist, kann die Softwareverschlüsselung verwendet werden.

    • Biometrische Authentifizierung zulassen
      Wenn dies zulässig ist, kann Windows Hello for Business die Authentifizierung mithilfe von Gesten wie Gesicht und Fingerabdruck durchführen. Benutzer müssen im Falle eines Fehlers weiterhin eine PIN konfigurieren.

      • Aktivieren : Windows Hello for Business ermöglicht die biometrische Authentifizierung.
      • Nicht konfiguriert (Standardeinstellung): Windows Hello for Business verhindert die biometrische Authentifizierung (für alle Kontotypen).

    • Verwenden Des erweiterten Antispoofings (sofern verfügbar)
      Wenn diese Option aktiviert ist, verwenden Geräte erweitertes Anti-Spoofing, sofern verfügbar (z. B. Erkennen eines Fotos eines Gesichts anstelle eines echten Gesichts).

      • Aktivieren : Windows erfordert, dass alle Benutzer Anti-Spoofing für Gesichtsfunktionen verwenden, wenn dies unterstützt wird.
      • Nicht konfiguriert (Standard): Windows berücksichtigt die Antispoofingkonfigurationen auf dem Gerät.

    • Zertifikat für lokale Ressourcen

      • Aktivieren : Ermöglicht Windows Hello for Business die Verwendung von Zertifikaten zur Authentifizierung bei lokalen Ressourcen.
      • Nicht konfiguriert (Standard): Verhindert, dass Windows Hello for Business Zertifikate für die Authentifizierung bei lokalen Ressourcen verwendet. Stattdessen verwenden Geräte das Standardverhalten der lokalen Authentifizierung mit Schlüsselvertrauen. Weitere Informationen finden Sie unter Benutzerzertifikat für die lokale Authentifizierung in der Windows Hello-Dokumentation .

  • Verwenden von Sicherheitsschlüsseln für die Anmeldung
    Diese Einstellung ist für Geräte verfügbar, auf denen Windows 10, Version 1903 oder höher, oder Windows 11 ausgeführt wird. Verwenden Sie es, um die Unterstützung für die Verwendung von Windows Hello-Sicherheitsschlüsseln für die Anmeldung zu verwalten.

    • Aktivieren : Benutzer können einen Windows Hello-Sicherheitsschlüssel als Anmeldeinformationen für PCs verwenden, für die diese Richtlinie gilt.
    • Nicht konfiguriert : Sicherheitsschlüssel sind deaktiviert, und Benutzer können sie nicht für die Anmeldung bei PCs verwenden.

Nächste Schritte

Zuweisen des Profils und Überwachen des Status