Konfigurieren von Windows Hello for Business auf Geräten bei der Registrierung bei Intune

Mit Microsoft Intune können Sie eine mandantenweite Richtlinie erstellen, die die Verwendung von Windows Hello for Business auf Windows 10- oder Windows 11 Geräten zum Zeitpunkt der Registrierung dieser Geräte bei Intune konfiguriert. Diese Richtlinie gilt für Ihre gesamte organization und unterstützt die Windows Autopilot-Out-of-Box-Experience (OOBE).

Bei Windows 10/11-Geräten ersetzt die Verwendung von Windows Hello for Business die Verwendung von Kennwörtern durch starke zweistufige Authentifizierung auf Geräten. Diese Authentifizierung besteht aus Benutzeranmeldeinformationen, die mit einem Gerät verknüpft sind und biometrische Daten oder eine PIN verwenden.

Nach der Geräteregistrierung oder wenn Sie sich dafür entscheiden, die mandantenweite Registrierungsrichtlinie nicht zu verwenden, unterstützt Intune die folgenden Methoden, um Windows Hello auf diskreten Gerätegruppen zu verwalten:

• Identity Protection: Die Gerätekonfigurationsrichtlinie enthält das Identity Protection-Profil, mit dem Sie Gerätegruppen für Windows Hello konfigurieren können.

• Sicherheitsbaselines: Einige Einstellungen für Windows Hello können von Sicherheitsbaselines wie den Baselines für Microsoft Defender for Endpoint Sicherheit oder Sicherheitsbaseline für Windows 10 und höher verwaltet werden.

• Endpunktsicherheit Kontoschutzrichtlinie: Kontoschutzrichtlinien enthalten einige der Einstellungen, die von Windows Hello verwendet werden.

Wichtig

Vor dem Anniversary Update (Windows-Version 1607) konnten Sie zwei verschiedene PINS festlegen, die für die Authentifizierung bei Ressourcen verwendet werden konnten:

• Die Geräte-PIN konnte zum Entsperren des Geräts und zur Verbindung mit Cloudressourcen verwendet werden.
• Die Arbeits-PIN wurde für den Zugriff auf Microsoft Entra Ressourcen auf den persönlichen Geräten des Benutzers (BYOD) verwendet.

Im Anniversary Update wurden diese beiden PINs in eine einzige Geräte-PIN zusammengeführt. Dieser neue PIN-Wert wird jetzt sowohl von allen Intune-Konfigurationsrichtlinien, die Sie zum Steuern der Geräte-PIN festlegen, als auch von allen konfigurierten Windows Hello for Business-Richtlinien festgelegt. Wenn Sie beide Richtlinientypen für die PIN-Steuerung eingerichtet haben, wird die Windows Hello for Business-Richtlinie angewendet. Um sicherzustellen, dass Richtlinienkonflikte gelöst werden und dass die PIN-Richtlinie korrekt angewendet wird, aktualisieren Sie Ihre Windows Hello for Business-Richtlinie auf die Einstellungen in der Konfigurationsrichtlinie. Fordern Sie auch die Benutzer auf, ihre Geräte in der Unternehmensportal-App zu synchronisieren.

Rollenbasierte Zugriffssteuerung

Sie müssen Ein Intune-Dienstadministrator sein, um eine Windows Hello for Business Richtlinie in der Windows-Registrierung erstellen oder bearbeiten zu können. Alle anderen Intune-Rollen haben schreibgeschützten Zugriff. Weitere Informationen zur rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) finden Sie unter RBAC mit Microsoft Intune.

Erstellen einer Windows Hello for Business-Richtlinie

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wechseln Sie zu Geräte>Geräte registrieren>Windows-Registrierung>Windows Hello for Business. Daraufhin wird der Bereich "Windows Hello for Business" geöffnet.

3. Wählen Sie aus den folgenden Optionen für Windows Hello for Business konfigurieren:

   • Aktiviert. Wählen Sie diese Einstellung aus, wenn Sie Windows Hello for Business-Einstellungen konfigurieren möchten. Wenn Sie Aktiviert auswählen, werden andere Einstellungen für Windows Hello angezeigt, die für Geräte konfiguriert werden können.

   • Deaktiviert. Wählen Sie diese Option aus, wenn Sie Windows Hello for Business nicht während der Geräteregistrierung aktivieren möchten. Bei Deaktivierung können Geräte Windows Hello for Business nicht bereitstellen. Wenn Deaktiviert festgelegt ist, können Sie dennoch die folgenden Einstellungen für Windows Hello for Business konfigurieren, obwohl diese Richtlinie Windows Hello for Business nicht aktiviert.

   • Nicht konfiguriert. Wählen Sie diese Einstellung aus, wenn Sie Windows Hello for Business-Einstellungen nicht mit Intune steuern möchten. Bestehende Windows Hello for Business-Einstellungen auf Windows 10/11-Geräten werden nicht geändert. Alle anderen Einstellungen in dem Bereich sind nicht verfügbar.

4. Wenn Sie im vorherigen Schritt Aktiviert ausgewählt haben, konfigurieren Sie die erforderlichen Einstellungen, die auf alle registrierten Windows 10/11-Geräte angewendet werden. Nachdem Sie diese Einstellungen konfiguriert haben, wählen Sie Speichern aus.

   • Trusted Platform Module (TPM) verwenden:

     Ein TPM-Chip bietet eine weitere Ebene der Datensicherheit. Wählen Sie einen der folgenden Werte aus:

     • Erforderlich (Standard). Nur Geräte mit verfügbarem TPM können Windows Hello for Business bereitstellen.
     • Bevorzugt. Geräte versuchen zunächst, ein TPM zu verwenden. Wenn diese Option nicht verfügbar ist, können sie die Softwareverschlüsselung verwenden.

   • PIN-Mindestlänge und Maximale PIN-Länge:

     Konfiguriert Geräte für die Verwendung der von Ihnen angegebenen Mindest- und maximalen PIN-Länge, um eine sichere Anmeldung zu gewährleisten. Die Standard-PIN-Länge beträgt 6 Zeichen, aber Sie können eine Mindestlänge von 4 Zeichen erzwingen. Die maximale PIN-Länge beträgt 127 Zeichen.

   • Kleinbuchstaben in PIN, Großbuchstaben in PIN, und Sonderzeichen in PIN.

     Sie können eine stärkere PIN erzwingen, indem Sie die Nutzung von Großbuchstaben, Kleinbuchstaben und Sonderzeichen in der PIN vorschreiben. Wählen Sie für alle Einstellungen eine der folgenden Optionen aus:

     • Zulässig. Benutzer können den Zeichentyp in ihrer PIN verwenden, aber es ist nicht zwingend erforderlich.

     • Erforderlich. Benutzer müssen mindestens einen der Zeichentypen in ihrer PIN verwenden. Beispielsweise ist es üblich, die Verwendung mindestens eines Großbuchstabens und eines Sonderzeichens vorzuschreiben.

     • Nicht zulässig (Standard). Benutzer dürfen diese Zeichentypen in ihrer PIN nicht verwenden. (Dies trifft auch zu, wenn die Einstellung nicht konfiguriert ist.)

       Sonderzeichen sind: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

   • PIN-Ablauf (Tage):

     Es wird empfohlen, ein Ablaufdatum für eine PIN anzugeben, nach dem sie vom Benutzer geändert werden muss. Die Standardeinstellung ist 41 Tage.

   • PIN-Verlauf speichern:

     Schränkt die Wiederverwendung zuvor verwendeter PINs ein. Standardmäßig können die letzten fünf PINs nicht erneut verwendet werden.

   • Biometrische Authentifizierung zulassen:

     Aktiviert die biometrische Authentifizierung, z. B. die Gesichtserkennung oder Fingerabdrücke, als Alternative zu einer PIN für Windows Hello for Business. Die Benutzer müssen für den Fall, dass die biometrische Authentifizierung fehlschlägt, dennoch eine Arbeits-PIN konfigurieren. Wählen Sie zwischen:

     • Ja. Windows Hello for Business ermöglicht biometrische Authentifizierung.
     • Nein. Windows Hello for Business verhindert die biometrische Authentifizierung (für alle Arten von Konten).

   • Erweitertes Antispoofing verwenden, falls verfügbar:

     Hiermit wird konfiguriert, ob die Antispoofing-Features von Windows Hello auf Geräten verwendet werden, die dies unterstützen. Beispiel: Erkennen eines Fotos eines Gesichts anstelle eines echten Gesichts.

     Wenn diese Option auf Ja festgelegt ist, erfordert Windows von allen Benutzern die Verwendung von Antispoofing für Gesichtsmerkmale, sofern dies unterstützt wird.

   • Anmeldung per Telefon zulassen:

     Wenn diese Option auf Ja festgelegt ist, können die Benutzer einen Remote-Passport als tragbares Begleitgerät für die Desktopcomputerauthentifizierung verwenden. Der Desktopcomputer muss Microsoft Entra eingebunden sein, und das Begleitgerät muss mit einer Windows Hello for Business-PIN konfiguriert werden.

   • Aktivieren der erweiterten Anmeldesicherheit:

     Konfigurieren Sie Windows Hello erweiterte Anmeldesicherheit auf Geräten mit fähiger Hardware. Folgende Optionen sind verfügbar:

     • Standard. Auf Systemen mit fähiger Hardware wird die verbesserte Anmeldesicherheit aktiviert. Gerätebenutzer können sich nicht mit externen Peripheriegeräten bei ihrem Gerät mit Windows Hello anmelden.
     • Die erweiterte Anmeldesicherheit wird auf allen Systemen deaktiviert. Gerätebenutzer können externe Peripheriegeräte verwenden, die mit Windows Hello kompatibel sind, um sich bei ihrem Gerät anzumelden.

   • Sicherheitsschlüssel für die Anmeldung verwenden:

     Wenn für diese Einstellung Aktivieren festgelegt wird, bietet sie die Möglichkeit, Windows Hello und Sicherheitsschlüssel für alle Computer in der Organisation eines Kunden per Remoteverbindung zu aktivieren/deaktivieren.

Unterstützung durch Windows Holographic for Business

Windows Holographic for Business unterstützt die folgenden Einstellungen für Windows Hello for Business:

• Trusted Platform Module (TPM) verwenden
• Minimale PIN-Länge
• Höchstlänge für PIN
• Kleinbuchstaben in PIN
• Großbuchstaben in PIN
• Sonderzeichen in PIN
• PIN-Ablauf (Tage)
• PIN-Verlauf speichern

Nächste Schritte

Weitere Informationen zu Windows Hello finden Sie in den folgenden Themen in der Windows-Dokumentation:

• Planen einer Windows Hello for Business Bereitstellung
• Übersicht über die Voraussetzungen für die Windows Hello for Business-Bereitstellung