Verwalten von Windows Hello for Business im Unternehmen

Sie können eine Gruppenrichtlinie oder eine Richtlinie für die mobile Geräteverwaltung (Mobile Device Management, MDM) erstellen, mit der Windows Hello auf Geräten mit Windows 10 implementiert wird.

Wichtig

Die Gruppenrichtlinieneinstellung PIN-Anmeldung aktivieren gilt nicht für Windows Hello for Business. Sie verhindert oder aktiviert immer noch die Erstellung einer praktischen PIN für Windows 10, Version 1507 und 1511.

Ab Version 1607 ist die Komfort-PIN-Anmeldung mit Windows Hello auf allen Computern, die in die Domäne eingebunden sind, standardmäßig deaktiviert. Zum Aktivieren der Komfort-PIN für Windows 10, Version 1607, aktivieren Sie die Gruppenrichtlinieneinstellung Komfortable PIN-Anmeldung aktivieren.

Verwenden Sie PIN-Komplexität-Richtlinieneinstellungen zur Verwaltung von PINs für Windows Hello for Business.

Gruppenrichtlinieneinstellungen für Windows Hello for Business

Die folgende Tabelle enthält die Gruppenrichtlinieneinstellungen, die Sie für die Verwendung von Windows Hello an Ihrem Arbeitsplatz konfigurieren können. Diese Richtlinieneinstellungen sind unter Benutzerkonfiguration und Computerkonfiguration unter Richtlinien > Administrative Vorlagen > Windows-Komponenten > Windows Hello for Business verfügbar.

Hinweis

Ab Windows 10 Version 1709 lautet der Speicherort des Abschnitts "PIN-Komplexität" des Gruppenrichtlinie: Computerkonfiguration > Administrative Vorlagen > System-PIN-Komplexität****>.

Richtlinie Bereich Optionen
Windows Hello for Business verwenden Computer oder Benutzer

Nicht konfiguriert: Das Gerät stellt keine Windows Hello for Business für Benutzer bereit.

Aktiviert: Das Gerät stellt Windows Hello for Business mithilfe von Schlüsseln oder Zertifikaten für alle Benutzer bereit.

Deaktiviert: Das Gerät stellt Windows Hello for Business für keinen Benutzer bereit.

Gerät mit sicherer Hardware verwenden Computer

Nicht konfiguriert: Windows Hello for Business wird mit TPM (sofern verfügbar) bereitgestellt. Wenn TPM nicht verfügbar ist, wird Windows Hello for Business mithilfe von Software bereitgestellt.

Aktiviert: Windows Hello for Business wird nur mit TPM bereitgestellt. Dieses Feature stellt Windows Hello for Business mit TPM 1.2 bereit, es sei denn, die Option zum Ausschließen ist explizit festgelegt.

Deaktiviert: Windows Hello for Business wird mit TPM (sofern verfügbar) bereitgestellt. Wenn TPM nicht verfügbar ist, wird Windows Hello for Business mithilfe von Software bereitgestellt.

Zertifikat für die lokale Authentifizierung verwenden Computer oder Benutzer

Nicht konfiguriert: Windows Hello for Business registriert einen Schlüssel, der für die lokale Authentifizierung verwendet wird.

Aktiviert: Windows Hello for Business registriert ein Anmeldezertifikat mithilfe von AD FS, das für die lokale Authentifizierung verwendet wird.

Deaktiviert: Windows Hello for Business registriert einen Schlüssel, der für die lokale Authentifizierung verwendet wird.

Verwenden der PIN-Wiederherstellung Computer

Hinzugefügt in Windows 10 Version 1703

Nicht konfiguriert: Windows Hello for Business erstellt oder speichert kein PIN-Wiederherstellungsgeheimnis. Die PIN-Zurücksetzung verwendet nicht den Azure-basierten PIN-Wiederherstellungsdienst.

Aktiviert: Windows Hello for Business verwendet den Azure-basierten PIN-Wiederherstellungsdienst für die PIN-Zurücksetzung.

Deaktiviert: Windows Hello for Business erstellt oder speichert kein PIN-Wiederherstellungsgeheimnis. Die PIN-Zurücksetzung verwendet nicht den Azure-basierten PIN-Wiederherstellungsdienst.

Weitere Informationen zur Verwendung des PIN-Wiederherstellungsdiensts für die PIN-Zurücksetzung finden Sie unter Windows Hello for Business PIN-Zurücksetzung.

Biometrie verwenden Computer

Nicht konfiguriert: Biometrie kann als Geste anstelle einer PIN verwendet werden.

Aktiviert: Biometrie kann als Geste anstelle einer PIN verwendet werden.

Deaktiviert: Nur eine PIN kann als Geste verwendet werden.

PIN-Komplexität

Richtlinie Bereich Optionen
Ziffern erforderlich Computer

Nicht konfiguriert: Benutzer müssen eine Ziffer in ihrer PIN verwenden.

Aktiviert: Benutzer müssen eine Ziffer in ihrer PIN verwenden.

Deaktiviert: Benutzer können keine Ziffern in ihrer PIN verwenden.

Kleinbuchstaben erforderlich Computer

Nicht konfiguriert: Benutzer können keine Kleinbuchstaben in ihrer PIN verwenden.

Aktiviert: Benutzer müssen in ihrer PIN mindestens einen Kleinbuchstaben verwenden.

Deaktiviert: Benutzer können in ihrer PIN keine Kleinbuchstaben verwenden.

Maximale PIN-Länge Computer

Nicht konfiguriert: Die PIN darf maximal 127 Zeichen lang sein.

Aktiviert: Die PIN darf maximal so lang wie der angegebene Wert sein.

Deaktiviert: Die PIN darf maximal 127 Zeichen lang sein.

Minimale PIN-Länge Computer

Nicht konfiguriert: Die PIN muss mindestens 4 Zeichen lang sein.

Aktiviert: Die PIN muss mindestens so lang wie der angegebene Wert sein.

Deaktiviert: Die PIN muss mindestens 4 Zeichen lang sein.

Ablauf Computer

Nicht konfiguriert: Die PIN läuft nicht ab.

Aktiviert: Der Ablauf der PIN kann auf eine beliebige Anzahl von Tagen zwischen 1 und 730 festgelegt werden. Sie können auch angeben, dass die PIN nie abläuft, indem Sie die Richtlinieneinstellung auf 0 festlegen.

Deaktiviert: Die PIN läuft nicht ab.

Verlauf Computer

Nicht konfiguriert: Frühere PINs werden nicht gespeichert.

Aktiviert: Geben Sie die Anzahl der vorherigen PINs an, die einem Benutzerkonto zugeordnet werden können, das'nicht wiederverwendet werden kann.

Deaktiviert: Frühere PINs werden nicht gespeichert.

Hinweis Die aktuelle PIN ist im PIN-Verlauf enthalten.
Sonderzeichen anfordern Computer

Nicht konfiguriert: Windows lässt Sonderzeichen in der PIN zu, erfordert sie jedoch nicht.

Aktiviert: Windows erfordert, dass der Benutzer mindestens ein Sonderzeichen in seine PIN einschließt.

Deaktiviert: Windows erlaubt es dem Benutzer nicht, Sonderzeichen in seine PIN einzufügen.

Großbuchstaben erforderlich Computer

Nicht konfiguriert: Benutzer können keinen Großbuchstaben in ihrer PIN verwenden.

Aktiviert: Benutzer müssen mindestens einen Großbuchstaben in ihrer PIN verwenden.

Deaktiviert: Benutzer können in ihrer PIN keinen Großbuchstaben verwenden.

Anmeldung per Handy

Richtlinie Bereich Optionen
Anmeldung per Telefon verwenden Computer Derzeit nicht unterstützt.

MDM-Richtlinieneinstellungen für Windows Hello for Business

Die folgende Tabelle enthält die MDM-Richtlinieneinstellungen, die Sie für die Verwendung von Windows Hello for Business an Ihrem Arbeitsplatz konfigurieren können. Diese MDM-Richtlinieneinstellungen verwenden den PassportForWork-Konfigurationsdienstanbieter.

Wichtig

Ab Windows10, Version 1607, darf Geräten nur eine mit Windows Hello for Business verknüpfte PIN zugeordnet sein. Somit unterliegen alle PINs eines Geräts den Richtlinien, die im PassportForWork CSP angegeben wurden. Die angegebenen Werte haben Vorrang vor allen Komplexitätsregeln, die über Exchange ActiveSync (EAS) oder DeviceLock CSP festgelegt wurden.

Richtlinie Bereich Standard Optionen
UsePassportForWork Gerät oder Benutzer True

True: Windows Hello for Business wird für alle Benutzer auf dem Gerät bereitgestellt.

False: Benutzer können Windows Hello for Business nicht bereitstellen.

Hinweis: Wenn Windows Hello for Business aktiviert ist und die Richtlinie dann in False geändert wird, können Benutzer, die zuvor Windows Hello for Business eingerichtet haben, diese weiterhin verwenden, können aber keine Windows Hello for Business auf anderen Geräten einrichten.
RequireSecurityDevice Gerät oder Benutzer False

True: Windows Hello for Business wird nur mit TPM bereitgestellt.

False: Windows Hello for Business wird mit TPM (sofern verfügbar) bereitgestellt. Wenn TPM nicht verfügbar ist, wird Windows Hello for Business mithilfe von Software bereitgestellt.

ExcludeSecurityDevice

TPM12

Gerät False Hinzugefügt in Windows 10 Version 1703

True: Module der TPM-Revision 1.2 dürfen nicht mit Windows Hello for Business verwendet werden.

False: Module der TPM-Revision 1.2 dürfen mit Windows Hello for Business verwendet werden.

EnablePinRecovery Gerät oder Verwendung False

Hinzugefügt in Windows 10 Version 1703

True: Windows Hello for Business verwendet den Azure-basierten PIN-Wiederherstellungsdienst für die PIN-Zurücksetzung.

False: Windows Hello for Business kein PIN-Wiederherstellungsgeheimnis erstellt oder speichert. Die PIN-Zurücksetzung verwendet nicht den Azure-basierten PIN-Wiederherstellungsdienst. Weitere Informationen zur Verwendung des PIN-Wiederherstellungsdiensts für die PIN-Zurücksetzung finden Sie unter Windows Hello for Business PIN-Zurücksetzung.

Biometrie

Richtlinie Bereich Standard Optionen
UseBiometrics Gerät False

True: Anstelle einer PIN kann Biometrie als Geste für die Domänenanmeldung verwendet werden.

False: Nur eine PIN kann als Geste für die Domänenanmeldung verwendet werden.

FacialFeaturesUser

EnhancedAntiSpoofing

Gerät Nicht konfiguriert

Nicht konfiguriert: Benutzer können auswählen, ob erweitertes Anti-Spoofing aktiviert werden soll.

True: Erweitertes Anti-Spoofing ist bei Geräten erforderlich, die dies unterstützen.

False: Benutzer können das erweiterte Anti-Spoofing nicht aktivieren.

PINComplexity

Richtlinie Bereich Standard Optionen
Ziffern Gerät oder Benutzer 1

0: Ziffern sind zulässig.

1: Mindestens eine Ziffer ist erforderlich.

2: Ziffern sind nicht zulässig.

Kleinbuchstaben Gerät oder Benutzer 2

0: Kleinbuchstaben sind zulässig.

1: Es ist mindestens ein Kleinbuchstabe erforderlich.

2: Kleinbuchstaben sind nicht zulässig.

Sonderzeichen Gerät oder Benutzer 2

0: Sonderzeichen sind zulässig.

1: Es ist mindestens ein Sonderzeichen erforderlich.

2: Sonderzeichen sind nicht zulässig.

Großbuchstaben Gerät oder Benutzer 2

0: Großbuchstaben sind zulässig.

1: Es ist mindestens ein Großbuchstabe erforderlich.

2: Großbuchstaben sind nicht zulässig.

Maximale PIN-Länge Gerät oder Benutzer 127

Die maximale Länge, die festgelegt werden kann, beträgt 127. Maximale Länge darf nicht kleiner als die minimale Einstellung sein.

Minimale PIN-Länge Gerät oder Benutzer 6

Die Mindestlänge, die festgelegt werden kann, ist 6. Mindestlänge darf nicht größer als die maximale Einstellung sein.

Ablauf Gerät oder Benutzer 0

Ein ganzzahliger Wert gibt den Zeitraum (in Tagen) an, für den eine PIN verwendet wird, bis der Benutzer vom System zum Ändern aufgefordert wird. Die größte Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 730. Die kleinste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 0. Wenn diese Richtlinie auf 0 festgelegt ist, läuft die PIN des Benutzers nie ab.

Verlauf Gerät oder Benutzer 0

Ganzzahliger Wert, der die Anzahl der vergangenen PINs angibt, die einem Benutzerkonto zugeordnet werden können, das nicht wiederverwendet werden kann. Die größte Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 50. Die kleinste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 0. Wenn diese Richtlinie auf 0 festgelegt ist, ist keine Speicherung früherer PINs erforderlich.

Remote

Richtlinie Bereich Standard Optionen
UseRemotePassport Gerät oder Benutzer False Derzeit nicht unterstützt

Hinweis

In Windows 10 Version 1709 und höher können Benutzer optional eine alphanumerische PIN festlegen, wenn die Richtlinie nicht so konfiguriert ist, dass sie explizit Buchstaben oder Sonderzeichen erfordert. Vor Version 1709 muss der Benutzer eine numerische PIN festlegen.

Richtlinienkonflikte aus mehreren Richtlinienquellen

Windows Hello for Business ist so konzipiert, dass sie von Gruppenrichtlinie oder MDM verwaltet werden kann, aber keine Kombination aus beidem. Wenn Richtlinien aus beiden Quellen festgelegt werden, kann dies zu einem gemischten Ergebnis dessen führen, was tatsächlich für einen Benutzer oder ein Gerät erzwungen wird.

Richtlinien für Windows Hello for Business werden mithilfe der folgenden Hierarchie erzwungen: Benutzer Gruppenrichtlinie > Computer Gruppenrichtlinie > Benutzer MDM > Gerät MDM > Gerätesperrrichtlinie.

Die Featureaktivierungsrichtlinie und die Zertifikatvertrauensrichtlinie werden basierend auf der obigen Regel gruppiert und von derselben Quelle (entweder GP oder MDM) erzwungen. Die Richtlinie Passport for Work verwenden wird verwendet, um die Quelle der gewinnbringenden Richtlinie zu bestimmen.

Alle PIN-Komplexitätsrichtlinien werden getrennt von der Featureaktivierung gruppiert und von einer einzigen Richtlinienquelle erzwungen. Verwenden Sie ein Hardwaresicherheitsgerät und die RequireSecurityDevice-Erzwingung werden auch mit einer PIN-Komplexitätsrichtlinie gruppiert. Die Konfliktlösung für andere Windows Hello for Business Richtlinien wird auf Richtlinienbasis erzwungen.

Hinweis

Windows Hello for Business Richtlinienkonfliktlösungslogik berücksichtigt die Richtlinie ControlPolicyConflict/MDMWinsOverGP im Richtlinien-CSP nicht.

Beispiele

Die folgenden Optionen werden mithilfe von Computer Gruppenrichtlinie konfiguriert:

  • Verwenden von Windows Hello for Business – Aktiviert
  • Benutzerzertifikat für die lokale Authentifizierung : Aktiviert

Die folgenden Optionen werden mithilfe der MDM-Richtlinie für Geräte konfiguriert:

  • UsePassportForWork – Deaktiviert
  • UseCertificateForOnPremAuth – Deaktiviert
  • MinimumPINLength - 8
  • Ziffern – 1
  • Kleinbuchstaben- 1
  • SpecialCharacters - 1

Erzwungener Richtliniensatz:

  • Verwenden von Windows Hello for Business – Aktiviert
  • Verwenden des Zertifikats für die lokale Authentifizierung : Aktiviert
  • MinimumPINLength - 8
  • Ziffern – 1
  • Kleinbuchstaben- 1
  • SpecialCharacters - 1

Verwendung von Windows Hello for Business mit Azure Active Directory

Es gibt drei Szenarien für die Verwendung von Windows Hello for Business in reinen Azure AD-Organisationen:

  • Organisationen, die die Version von Azure AD verwenden, die in Office 365 enthalten ist. Für diese Organisationen sind keine zusätzlichen Aktionen erforderlich. Als Windows 10 allgemein verfügbar gemacht wurde, hat Microsoft das Verhalten des Office 365 Azure AD-Stapels geändert. Wenn ein Benutzer die Option zum Beitreten zu einem Geschäfts-, Schul- oder Uninetzwerk auswählt, wird das Gerät automatisch mit der Verzeichnispartition des Office 365 Mandanten verknüpft, ein Zertifikat wird für das Gerät ausgestellt, und es wird für Office 365 MDM qualifiziert, wenn der Mandant dieses Feature abonniert hat. Zusätzlich wird der Benutzer aufgefordert, sich anzumelden, und, sofern MFA aktiviert ist, einen MFA-Nachweis einzugeben, den Azure AD an sein Telefon sendet.
  • Organisationen, die den Free-Tarif von Azure AD verwenden. Für diese Organisationen hat Microsoft den automatischen Domänenbetritt zu Azure AD nicht aktiviert. Organisationen, die sich für den Free-Tarif registriert haben, haben die Möglichkeit, dieses Feature zu aktivieren oder zu deaktivieren, sodass der automatische Domänenbeitritt erst aktiviert wird, wenn und bis die Administratoren der Organisation beschließen, ihn zu aktivieren. Wenn dieses Feature aktiviert ist, werden Geräte, die die Verbindung mit der Azure AD-Domäne mithilfe des Dialogfelds „Mit Arbeitsplatz oder Schule verbinden” herstellen, automatisch für die Windows Hello for Business-Unterstützung registriert. Zuvor verbundene Geräte werden jedoch nicht registriert.
  • Organisationen, die Azure AD Premium abonniert haben, haben Zugriff auf den vollständigen Satz an Azure AD-MDM-Features. Diese Features umfassen Steuerelemente zur Verwaltung von Windows Hello for Business. Sie können Richtlinien festlegen, um die Verwendung von Windows Hello for Business zu deaktivieren oder zu erzwingen, um die Verwendung eines TPMs zu erzwingen und um die Länge und Sicherheit von PINs zu steuern, die für das Gerät festgelegt wurden.

Wenn Sie Windows Hello for Business mit Zertifikaten verwenden möchten, benötigen Sie ein Geräteregistrierungssystem. Demzufolge müssen Sie Configuration Manager Technical Preview, Microsoft Intune oder ein kompatibles nicht von Microsoft stammendes MDM-System einrichten und es aktivieren, um Geräte zu registrieren. Dies ist eine Voraussetzung für die Verwendung von Windows Hello for Business mit Zertifikaten, dabei spielt der IDP keine Rolle, da das Registrierungssystem verantwortlich dafür ist, die erforderlichen Zertifikate auf den Geräten bereitzustellen.

Verwandte Themen