Bereitstellungshandbuch für die reine Cloud
In diesem Artikel werden Windows Hello for Business Funktionen oder Szenarien beschrieben, die für Folgendes gelten:
- Bereitstellungstyp:
- Jointyp: Microsoft Entra beitreten
Anforderungen
Bevor Sie mit der Bereitstellung beginnen, lesen Sie die Im Artikel Planen einer Windows Hello for Business Bereitstellung beschriebenen Anforderungen.
Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie beginnen:
Bereitstellungsschritte
Sobald die Voraussetzungen erfüllt sind, besteht die Bereitstellung von Windows Hello for Business aus den folgenden Schritten:
Konfigurieren der Richtlinieneinstellungen für Windows Hello for Business
Wenn Sie einem Gerät beitreten Microsoft Entra, versucht das System, Sie automatisch für Windows Hello for Business zu registrieren. Wenn Sie Windows Hello for Business in einer reinen Cloudumgebung mit den Standardeinstellungen verwenden möchten, ist keine zusätzliche Konfiguration erforderlich.
Reine Cloudbereitstellungen verwenden Microsoft Entra mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) während Windows Hello for Business Registrierung, und es ist keine andere MFA-Konfiguration erforderlich. Wenn Sie noch nicht in MFA registriert sind, werden Sie im Rahmen des Windows Hello for Business Registrierungsprozesses durch die MFA-Registrierung geführt.
Richtlinieneinstellungen können konfiguriert werden, um das Verhalten von Windows Hello for Business über konfigurationsdienstanbieter (Configuration Service Provider, CSP) oder Gruppenrichtlinien (GPO) zu steuern. Bei reinen Cloudbereitstellungen werden Geräte in der Regel über eine MDM-Lösung wie Microsoft Intune mit passportForWork CSP konfiguriert.
Hinweis
Lesen Sie den Artikel Konfigurieren von Windows Hello for Business mithilfe von Microsoft Intune, um mehr über die verschiedenen Optionen zu erfahren, die Microsoft Intune zum Konfigurieren von Windows Hello for Business bieten.
Wenn die Intune mandantenweite Richtlinie so konfiguriert ist, dass Windows Hello for Business deaktiviert wird, oder wenn Geräte mit deaktivierter Windows Hello bereitgestellt werden, müssen Sie eine Richtlinieneinstellung konfigurieren, um Windows Hello for Business zu aktivieren:
Eine weitere optionale, aber empfohlene Richtlinieneinstellung ist:
Befolgen Sie die folgenden Anweisungen, um Ihre Geräte mithilfe von Microsoft Intune oder Gruppenrichtlinien (GPO) zu konfigurieren.
Intune/CSP
GRUPPENRICHTLINIENOBJEKTUm Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| Windows Hello for Business | Verwenden von Passport for Work | true |
| Windows Hello for Business | Sicherheitsgerät anfordern | true |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem PassportForWork-CSP konfigurieren.
| Einstellung |
|---|
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork- Datentyp: bool- Wert: True |
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice- Datentyp: bool- Wert: True |
Tipp
Wenn Sie Microsoft Intune verwenden und nicht die mandantenweite Richtlinie verwenden, aktivieren Sie die Registrierungsstatusseite (ESP), um sicherzustellen, dass die Geräte die Windows Hello for Business Richtlinieneinstellungen erhalten, bevor Benutzer auf ihren Desktop zugreifen können. Weitere Informationen zu ESP finden Sie unter Einrichten der Seite zum Registrierungsstatus.
Weitere Richtlinieneinstellungen können konfiguriert werden, um das Verhalten von Windows Hello for Business zu steuern. Weitere Informationen finden Sie unter Windows Hello for Business Richtlinieneinstellungen.
Registrieren bei Windows Hello for Business
Der Windows Hello for Business Bereitstellungsprozess beginnt unmittelbar nach der Anmeldung eines Benutzers, wenn bestimmte Voraussetzungsprüfungen bestanden wurden.
Benutzerfreundlichkeit
Nachdem sich ein Benutzer angemeldet hat, beginnt der Windows Hello for Business Registrierungsprozess:
- Wenn das Gerät die biometrische Authentifizierung unterstützt, wird der Benutzer aufgefordert, eine biometrische Geste einzurichten. Diese Geste kann verwendet werden, um das Gerät zu entsperren und sich bei Ressourcen zu authentifizieren, die Windows Hello for Business erfordern. Der Benutzer kann diesen Schritt überspringen, wenn er keine biometrische Geste einrichten möchte.
- Der Benutzer wird aufgefordert, Windows Hello mit dem organization-Konto zu verwenden. Der Benutzer wählt OK aus.
- Der Bereitstellungsablauf wird mit dem Mehrstufigen Authentifizierungsteil der Registrierung fortgesetzt. Die Bereitstellung informiert den Benutzer darüber, dass er aktiv versucht, den Benutzer über seine konfigurierte MFA-Form zu kontaktieren. Der Bereitstellungsprozess wird erst fortgesetzt, wenn die Authentifizierung erfolgreich war, ein Fehler auftritt oder ein Timeout auftritt. Ein MFA-Fehler oder Timeout führt zu einem Fehler und fordert den Benutzer auf, es erneut zu versuchen.
- Nach einer erfolgreichen MFA wird der Benutzer von der Bereitstellung aufgefordert, eine PIN zu erstellen und zu validieren. Diese PIN muss alle auf dem Gerät konfigurierten PIN-Komplexitätsrichtlinien beachten.
- Im verbleibenden Teil der Bereitstellung fordert Windows Hello for Business ein asymmetrisches Schlüsselpaar für den Benutzer an, vorzugsweise vom TPM (oder ausdrücklich, wenn dies durch Gruppenrichtlinien explizit festgelegt ist). Sobald das Schlüsselpaar abgerufen wurde, kommuniziert Windows mit dem IdP, um den öffentlichen Schlüssel zu registrieren. Nach Abschluss der Schlüsselregistrierung informiert Windows Hello for Business Bereitstellung den Benutzer darüber, dass er seine PIN für die Anmeldung verwenden kann. Der Benutzer kann die Bereitstellungsanwendung schließen und auf seinen Desktop zugreifen.
Sequenzdiagramme
Um die Bereitstellungsflows besser zu verstehen, überprüfen Sie die folgenden Sequenzdiagramme basierend auf dem Authentifizierungstyp:
- Bereitstellung für Microsoft Entra verbundene Geräte mit verwalteter Authentifizierung
- Bereitstellung für Microsoft Entra verbundene Geräte mit Verbundauthentifizierung
Um die Authentifizierungsflüsse besser zu verstehen, sehen Sie sich das folgende Sequenzdiagramm an:
Deaktivieren der automatischen Registrierung
Wenn Sie die automatische Windows Hello for Business Registrierung deaktivieren möchten, können Sie Ihre Geräte mit einer Richtlinieneinstellung oder einem Registrierungsschlüssel konfigurieren. Weitere Informationen finden Sie unter Deaktivieren Windows Hello for Business Registrierung.
Hinweis
Während des Out-of-Box-Experience-Ablaufs (OOBE) eines Microsoft Entra Joins werden Sie angeleitet, sich bei Windows Hello for Business zu registrieren, wenn Sie nicht über Intune verfügen. Sie können den PIN-Bildschirm abbrechen und auf den Desktop zugreifen, ohne sich bei Windows Hello for Business registrieren zu müssen.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für