Identitätsschutzprofileinstellungen in Intune für Windows Hello for Business
Hinweis
Intune unterstützen möglicherweise mehr Einstellungen als die in diesem Artikel aufgeführten Einstellungen. Nicht alle Einstellungen sind dokumentiert und werden nicht dokumentiert. Um die Einstellungen anzuzeigen, die Sie konfigurieren können, erstellen Sie ein Gerätekonfigurationsprofil, und wählen Sie Einstellungskatalog aus. Weitere Informationen finden Sie unter Einstellungskatalog.
In diesem Artikel werden Windows Hello for Business Einstellungen beschrieben, die Sie in einem Identity Protection-Profil konfigurieren können. Identity Protection-Profile sind Teil der Gerätekonfigurationsrichtlinie in Microsoft Intune. Mit einem Identity Protection-Profil können Sie Einstellungen für diskrete Gruppen von Windows 10/11-Geräten konfigurieren. Informationen zum Konfigurieren Windows Hello for Business mandantenweiten Geräteregistrierung finden Sie im Abschnitt Erstellen einer Windows Hello for Business-Richtlinie unter Integrieren von Windows Hello for Business mit. Microsoft Intune. In diesem Abschnitt wird nicht nur beschrieben, wie eine mandantenweite Konfigurationsrichtlinie erstellt wird, sondern auch die Einstellungen für die Registrierungsrichtlinie.
Weitere Informationen zu diesen Einstellungen finden Sie unter Konfigurieren Windows Hello for Business Richtlinieneinstellungen in der Windows Hello Dokumentation.
Weitere Informationen zu Identitätsschutzprofilen in Intune finden Sie unter Konfigurieren des Identitätsschutzes.
Bevor Sie beginnen
Erstellen Sie ein Konfigurationsprofil.
Windows Hello for Business
Konfigurieren sie Windows Hello for Business:
Nicht konfiguriert (Standardeinstellung): Wählen Sie diese Einstellung aus, wenn Sie Intune nicht verwenden möchten, um Windows Hello for Business Einstellungen zu steuern. Vorhandene Windows Hello for Business Einstellungen auf Windows 10/11-Geräten werden nicht geändert. Alle anderen Einstellungen in dem Bereich sind nicht verfügbar.
Deaktivieren: Wenn Sie Windows Hello for Business nicht verwenden möchten, wählen Sie diese Einstellung aus. Alle anderen Einstellungen auf dem Bildschirm sind dann nicht verfügbar.
Aktivieren: Wählen Sie diese Einstellung aus, wenn Sie Windows Hello for Business Einstellungen konfigurieren möchten.
Wenn diese Einstellung auf Aktivieren festgelegt ist, sind die folgenden Einstellungen verfügbar:
PIN-Mindestlänge
Geben Sie eine minimale PIN-Länge für Geräte von 4 bis 127 Zeichen an. Standardmäßig ist diese Einstellung Nicht konfiguriert.Höchstlänge für PIN
Geben Sie eine maximale PIN-Länge für Geräte von vier bis 127 Zeichen an. Standardmäßig ist diese Einstellung Nicht konfiguriert.Kleinbuchstaben in PIN
Bei Bedarf muss die Benutzer-PIN mindestens einen Kleinbuchstaben enthalten. Standardmäßig ist diese Einstellung Nicht konfiguriert.- Nicht zulässig : Verhindert, dass Benutzer Kleinbuchstaben in der PIN verwenden. Dieses Verhalten tritt auch auf, wenn die Einstellung nicht konfiguriert ist.
- Zulässig : Ermöglicht Benutzern die Verwendung von Kleinbuchstaben in der PIN, dies ist jedoch nicht erforderlich.
- Erforderlich : Benutzer müssen mindestens einen Kleinbuchstaben in die PIN einfügen. Beispielsweise ist es üblich, die Verwendung mindestens eines Großbuchstabens und eines Sonderzeichens vorzuschreiben.
Großbuchstaben in PIN
Bei Bedarf muss die Benutzer-PIN mindestens einen Großbuchstaben enthalten. Standardmäßig ist diese Einstellung Nicht konfiguriert.- Nicht zulässig : Verhindert, dass Benutzer Großbuchstaben in der PIN verwenden. Dieses Verhalten tritt auch auf, wenn die Einstellung nicht konfiguriert ist.
- Zulässig : Ermöglicht Benutzern die Verwendung von Großbuchstaben in der PIN, dies ist jedoch nicht erforderlich.
- Erforderlich : Benutzer müssen mindestens einen Großbuchstaben in die PIN einfügen. Beispielsweise ist es üblich, die Verwendung mindestens eines Großbuchstabens und eines Sonderzeichens vorzuschreiben.
Sonderzeichen in PIN
Bei Bedarf muss die Benutzer-PIN mindestens ein Sonderzeichen enthalten. Zu den Sonderzeichen gehören:! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~- Nicht zulässig (Standardeinstellung): Verhindert, dass Benutzer Sonderzeichen in der PIN verwenden. Dieses Verhalten tritt auch auf, wenn die Einstellung nicht konfiguriert ist.
- Zulässig : Ermöglicht Benutzern die Verwendung von Großbuchstaben in der PIN, dies ist jedoch nicht erforderlich.
- Erforderlich : Benutzer müssen mindestens einen Großbuchstaben in die PIN einfügen. Beispielsweise ist es üblich, die Verwendung mindestens eines Großbuchstabens und eines Sonderzeichens vorzuschreiben.
PIN-Ablauf (Tage)
Falls konfiguriert, wird der Benutzer gezwungen, seine PIN nach der festgelegten Anzahl von Tagen zu ändern. Der Benutzer kann seine PIN trotzdem proaktiv ändern, bevor er abläuft. Standardmäßig ist diese Einstellung Nicht konfiguriert.PIN-Verlauf speichern
Falls konfiguriert, kann der Benutzer diese Anzahl vorheriger PINs nicht wiederverwenden. Standardmäßig ist diese Einstellung Nicht konfiguriert.Aktivieren Sie die PIN-Wiederherstellung
Ermöglicht benutzern die Verwendung des Windows Hello for Business PIN-Wiederherstellungsdiensts.- Aktivieren : Das PIN-Wiederherstellungsgeheimnis wird auf dem Gerät gespeichert, und der Benutzer kann seine PIN bei Bedarf ändern.
- Nicht konfiguriert (Standard): Das Wiederherstellungsgeheimnis wird nicht erstellt oder gespeichert.
Verwenden eines Trusted Platform Module (TPM)
Ein TPM-Chip bietet eine zusätzliche Sicherheitsebene für Daten.- Aktivieren: Nur Geräte mit einem zugänglichen TPM können Windows Hello for Business bereitstellen.
- Nicht konfiguriert (Standard): Geräte versuchen zuerst, ein TPM zu verwenden. Wenn ein TPM nicht verfügbar ist, kann die Softwareverschlüsselung verwendet werden.
Biometrische Authentifizierung zulassen
Wenn dies zulässig ist, können Windows Hello for Business sich mithilfe von Gesten wie Gesicht und Fingerabdruck authentifizieren. Benutzer müssen im Falle eines Fehlers weiterhin eine PIN konfigurieren.- Aktivieren: Windows Hello for Business ermöglicht die biometrische Authentifizierung.
- Nicht konfiguriert (Standard): Windows Hello for Business verhindert die biometrische Authentifizierung (für alle Kontotypen).
Verwenden des erweiterten Antispoofings (sofern verfügbar)
Wenn diese Option aktiviert ist, verwenden Geräte erweitertes Anti-Spoofing, sofern verfügbar (z. B. Erkennen eines Fotos eines Gesichts anstelle eines echten Gesichts).- Aktivieren : Windows erfordert, dass alle Benutzer Anti-Spoofing für Gesichtsfunktionen verwenden, wenn dies unterstützt wird.
- Nicht konfiguriert (Standard): Windows berücksichtigt die Antispoofingkonfigurationen auf dem Gerät.
Zertifikat für lokale Ressourcen
- Aktivieren: Ermöglicht Windows Hello for Business die Verwendung von Zertifikaten zur Authentifizierung bei lokalen Ressourcen.
- Nicht konfiguriert (Standardeinstellung): Verhindert, dass Windows Hello for Business Zertifikate zur Authentifizierung bei lokalen Ressourcen verwenden. Stattdessen verwenden Geräte das Standardverhalten der lokalen Authentifizierung mit Schlüsselvertrauen. Weitere Informationen finden Sie unter Benutzerzertifikat für die lokale Authentifizierung in der Windows Hello-Dokumentation.
Verwenden von Sicherheitsschlüsseln für die Anmeldung
Diese Einstellung ist für Geräte verfügbar, die Windows 10 Version 1903 oder höher oder Windows 11 ausgeführt werden. Verwenden Sie es, um die Unterstützung für die Verwendung von Windows Hello Sicherheitsschlüsseln für die Anmeldung zu verwalten.- Aktivieren: Benutzer können einen Windows Hello Sicherheitsschlüssel als Anmeldeinformationen für PCs verwenden, für die diese Richtlinie gilt.
- Nicht konfiguriert : Sicherheitsschlüssel sind deaktiviert, und Benutzer können sie nicht für die Anmeldung bei PCs verwenden.