Konfigurieren und Registrieren in Windows Hello for Business in einem hybriden Schlüsselvertrauensmodell

• Gilt für::

  ✅ Windows 11, ✅ Windows 10

In diesem Artikel werden die Funktionen oder Szenarien von Windows Hello for Business beschrieben, die für Folgendes gelten:

• Bereitstellungstyp:
• Vertrauenstyp:, die dem Schlüssel vertrauen
• Jointyp:Microsoft Entra join . Microsoft Entra Hybrid Join.

---

Sobald die Voraussetzungen erfüllt sind und die PKI-Konfiguration überprüft wurde, umfasst die Bereitstellung von Windows Hello for Business die folgenden Schritte:

• Konfigurieren der Richtlinieneinstellungen für Windows Hello for Business
• Registrieren bei Windows Hello for Business

Konfigurieren der Richtlinieneinstellungen für Windows Hello for Business

Es ist eine Richtlinieneinstellung erforderlich, um Windows Hello for Business in einem Schlüsselvertrauensmodell zu aktivieren:

• Windows Hello for Business verwenden

Eine weitere optionale, aber empfohlene Richtlinieneinstellung ist:

• Gerät mit sicherer Hardware verwenden

In den folgenden Anweisungen wird beschrieben, wie Sie Ihre Geräte mithilfe von Microsoft Intune oder gruppenrichtlinien (GPO) konfigurieren.

Intune/CSP

Hinweis

Lesen Sie den Artikel Konfigurieren von Windows Hello for Business mit Microsoft Intune , um mehr über die verschiedenen Optionen zu erfahren, die Microsoft Intune zum Konfigurieren von Windows Hello for Business bietet.

Wenn die mandantenweite Intune-Richtlinie aktiviert und für Ihre Anforderungen konfiguriert ist, können Sie mit Registrieren bei Windows Hello for Business fortfahren.

Erstellen Sie zum Konfigurieren von Geräten mit Microsoft Intune eine Einstellungskatalogrichtlinie , und verwenden Sie die folgenden Einstellungen:

Kategorie	Einstellungsname	Wert
Windows Hello for Business	Verwenden von Passport for Work	true
Windows Hello for Business	Sicherheitsgerät anfordern	true

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem PassportForWork-CSP konfigurieren.

Einstellung
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Datentyp:bool - Wert:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Datentyp:bool - Wert:True

GPO

Sie können die Richtlinieneinstellung Windows Hello for Business verwenden auf dem Computer- oder Benutzerknoten eines Gruppenrichtlinienobjekts konfigurieren:

• Die Bereitstellung der Richtlinieneinstellung für Computerknoten führt dazu, dass sich alle Benutzer, die sich bei den Zielgeräten anmelden, um eine Windows Hello for Business-Registrierung zu versuchen.
• Die Bereitstellung der Benutzerknotenrichtlinieneinstellung führt dazu, dass nur die Zielbenutzer versuchen, eine Windows Hello for Business-Registrierung zu versuchen.

Wenn Richtlinieneinstellungen sowohl für Benutzer als auch Computer bereitgestellt werden, hat die Einstellung für Benutzer Vorrang.

Verwenden Sie den Editor für lokale Gruppenrichtlinien, um ein Gerät mit Einer Gruppenrichtlinie zu konfigurieren. Um mehrere Geräte zu konfigurieren, die mit Active Directory verknüpft sind, erstellen oder bearbeiten Sie ein Gruppenrichtlinienobjekt (GPO), und verwenden Sie die folgenden Einstellungen:

Gruppenrichtlinienpfad	Gruppenrichtlinieneinstellung	Wert
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business or Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business	Windows Hello for Business verwenden	Ermöglichte
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business	Gerät mit sicherer Hardware verwenden	Ermöglichte

Gruppenrichtlinien können mit Domänen oder Organisationseinheiten verknüpft , mithilfe von Sicherheitsgruppen gefiltert oder mithilfe von WMI-Filtern gefiltert werden.

Tipp

Die beste Möglichkeit zum Bereitstellen des Windows Hello for Business-Gruppenrichtlinienobjekts ist die Verwendung der Sicherheitsgruppenfilterung. Nur Mitglieder der Zielsicherheitsgruppe stellen Windows Hello for Business bereit, wodurch ein stufenweises Rollout ermöglicht wird. Diese Lösung ermöglicht das Verknüpfen des Gruppenrichtlinienobjekts mit der Domäne, um sicherzustellen, dass das Gruppenrichtlinienobjekt auf alle Sicherheitsprinzipale festgelegt ist. Die Sicherheitsgruppenfilterung stellt sicher, dass nur die Mitglieder der globalen Gruppe das Gruppenrichtlinienobjekt empfangen und anwenden, was zur Bereitstellung von Windows Hello for Business führt.

Wenn Sie die Windows Hello for Business-Konfiguration sowohl mithilfe von Gruppenrichtlinien als auch mit Intune bereitstellen, haben Gruppenrichtlinieneinstellungen Vorrang, und Intune-Einstellungen werden ignoriert. Weitere Informationen zu Richtlinienkonflikten finden Sie unter Richtlinienkonflikte aus mehreren Richtlinienquellen.

Andere Richtlinieneinstellungen können konfiguriert werden, um das Verhalten von Windows Hello for Business zu steuern. Weitere Informationen finden Sie unter Windows Hello for Business-Richtlinieneinstellungen.

Registrieren bei Windows Hello for Business

Der Windows Hello for Business-Bereitstellungsprozess beginnt unmittelbar nach dem Laden des Benutzerprofils und bevor der Benutzer seinen Desktop erhält. Damit der Bereitstellungsprozess beginnen kann, müssen alle Voraussetzungsprüfungen bestanden werden.

Sie können den Status der Voraussetzungsprüfungen ermitteln, indem Sie das Administratorprotokoll benutzergeräteregistrierung unter Anwendungs- und Dienstprotokolle > Microsoft > Windows anzeigen.
Diese Informationen sind auch über den dsregcmd.exe /status Befehl über eine Konsole verfügbar. Weitere Informationen finden Sie unter dsregcmd.

Benutzerfreundlichkeit

Nachdem sich ein Benutzer angemeldet hat, beginnt der Windows Hello for Business-Registrierungsprozess:

1. Wenn das Gerät die biometrische Authentifizierung unterstützt, wird der Benutzer aufgefordert, eine biometrische Geste einzurichten. Diese Geste kann verwendet werden, um das Gerät zu entsperren und sich bei Ressourcen zu authentifizieren, die Windows Hello for Business erfordern. Der Benutzer kann diesen Schritt überspringen, wenn er keine biometrische Geste einrichten möchte.
2. Der Benutzer wird aufgefordert, Windows Hello mit dem Organisationskonto zu verwenden. Der Benutzer wählt OK aus.
3. Der Bereitstellungsablauf wird mit dem Mehrstufigen Authentifizierungsteil der Registrierung fortgesetzt. Die Bereitstellung informiert den Benutzer darüber, dass er aktiv versucht, den Benutzer über seine konfigurierte MFA-Form zu kontaktieren. Der Bereitstellungsprozess wird erst fortgesetzt, wenn die Authentifizierung erfolgreich war, ein Fehler auftritt oder ein Timeout auftritt. Ein MFA-Fehler oder Timeout führt zu einem Fehler und fordert den Benutzer auf, es erneut zu versuchen.
4. Nach einer erfolgreichen MFA wird der Benutzer von der Bereitstellung aufgefordert, eine PIN zu erstellen und zu validieren. Diese PIN muss alle auf dem Gerät konfigurierten PIN-Komplexitätsrichtlinien beachten.
5. Im verbleibenden Teil der Bereitstellung fordert Windows Hello for Business ein asymmetrisches Schlüsselpaar für den Benutzer an, vorzugsweise vom TPM (oder ausdrücklich, wenn dies durch Gruppenrichtlinien explizit festgelegt ist). Sobald das Schlüsselpaar abgerufen wurde, kommuniziert Windows mit dem IdP, um den öffentlichen Schlüssel zu registrieren. Wenn die Schlüsselregistrierung abgeschlossen ist, informiert die Windows Hello for Business-Bereitstellung den Benutzer darüber, dass er seine PIN für die Anmeldung verwenden kann. Der Benutzer kann die Bereitstellungsanwendung schließen und auf seinen Desktop zugreifen.

Nach der Registrierung synchronisiert Microsoft Entra Connect den Schlüssel des Benutzers aus der Microsoft Entra-ID mit Active Directory.

Wichtig

Die minimale Zeit, die zum Synchronisieren des öffentlichen Schlüssels des Benutzers von der Microsoft Entra-ID mit dem lokalen Active Directory benötigt wird, beträgt 30 Minuten. Der Microsoft Entra Connect-Scheduler steuert das Synchronisierungsintervall. Diese Synchronisierungslatenz verzögert die Fähigkeit des Benutzers, sich zu authentifizieren und lokale Ressourcen zu verwenden, bis der öffentliche Schlüssel des Benutzers mit Active Directory synchronisiert wurde. Nach der Synchronisierung kann der Benutzer sich authentifizieren und auf lokale Ressourcen zugreifen. Lesen Sie Microsoft Entra Connect Sync: Scheduler , um den Synchronisierungszyklus für Ihre Organisation anzuzeigen und anzupassen.

Sequenzdiagramme

Um die Bereitstellungsabläufe besser zu verstehen, überprüfen Sie die folgenden Sequenzdiagramme basierend auf dem Gerätejoin und dem Authentifizierungstyp:

• Bereitstellung für in Microsoft Entra eingebundene Geräte mit verwalteter Authentifizierung
• Bereitstellung für in Microsoft Entra eingebundene Geräte mit Verbundauthentifizierung
• Bereitstellung in einem Hybridschlüssel-Vertrauensstellungsmodell mit verwalteter Authentifizierung

Um die Authentifizierungsflüsse besser zu verstehen, sehen Sie sich das folgende Sequenzdiagramm an:

• Microsoft Entra Hybrid Join-Authentifizierung mithilfe eines Schlüssels
• Microsoft Entra Join-Authentifizierung bei Active Directory mithilfe eines Schlüssels