Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln bei Windows 10-Geräten mit Azure Active Directory

In diesem Dokument liegt der Schwerpunkt auf der Aktivierung der auf FIDO2-Sicherheitsschlüsseln basierenden kennwortlosen Authentifizierung bei Windows 10-Geräten. Am Ende dieses Artikels können Sie sich mit Ihrem Azure AD-Konto mithilfe eines FIDO2-Sicherheitsschlüssels sowohl bei Ihren in Azure AD als auch in Azure AD Hybrid eingebundenen Windows 10-Geräten anmelden.

Requirements (Anforderungen)

Gerätetyp In Azure AD eingebunden Hybrid in Azure AD eingebunden
Azure AD Multi-Factor Authentication X X
Kombinierte Registrierung von Sicherheitsinformationen X X
Kompatible FIDO2-Sicherheitsschlüssel X X
WebAuthN erfordert Windows 10, Version 1903 oder höher X X
In Azure AD eingebundene Geräte erfordern Windows 10, Version 1909 oder höher X
In Azure AD Hybrid eingebundene Geräte erfordern Windows 10, Version 2004 oder höher X
Vollständig gepatchte Windows Server 2016/2019-Domänencontroller. X
Azure AD Connect Version 1.4.32.0 oder höher X
Microsoft Intune (optional) X X
Bereitstellungspaket (optional) X X
Gruppenrichtlinie (optional) X

Nicht unterstützte Szenarien

Folgende Szenarien werden nicht unterstützt:

  • Eine Bereitstellung von Windows Server Active Directory Domain Services (AD DS) für in die Domäne eingebundene (rein lokale) Geräte.
  • RDP-, VDI- und Citrix-Szenarien mit einem Sicherheitsschlüssel.
  • S/MIME mit einem Sicherheitsschlüssel.
  • „Ausführen als“ mit einem Sicherheitsschlüssel.
  • Die Anmeldung bei einem Server mithilfe eines Sicherheitsschlüssels.
  • Wenn Sie Ihren Sicherheitsschlüssel nicht verwendet haben, um sich online bei Ihrem Gerät anzumelden, können Sie ihn nicht verwenden, um sich offline anzumelden oder die Sperrung aufzuheben.
  • Anmelden oder Entsperren eines Windows 10-Geräts mit einem Sicherheitsschlüssel, der mehrere Azure AD-Konten enthält In diesem Szenario wird das letzte Konto verwendet, das dem Sicherheitsschlüssel hinzugefügt wurde. WebAuthN ermöglicht Benutzern die Auswahl des gewünschten Kontos.
  • Entsperren eines Geräts unter Windows 10, Version 1809. Hierfür eignet sich besonders Windows 10 (Version 1903 oder höher).

Vorbereiten von Geräten

Auf in Azure AD eingebundenen Geräten muss Windows 10, Version 1909 oder höher, ausgeführt werden.

Auf in Azure AD Hybrid eingebundenen Geräte muss Windows 10, Version 2004 oder höher, ausgeführt werden.

Aktivieren von Sicherheitsschlüsseln für die Windows-Anmeldung

Organisationen können je nach ihren Anforderungen eine oder mehrere der folgenden Methoden zum Aktivieren der Verwendung von Sicherheitsschlüsseln für die Windows-Anmeldung verwenden:

Wichtig

Organisationen mit in Azure AD Hybrid eingebundenen Geräten müssen auch die Schritte im Artikel Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln bei lokalen Ressourcen mit Azure Active Directory (Vorschau) ausführen, bevor die Authentifizierung mit Windows 10-FIDO2-Sicherheitsschlüsseln funktioniert.

Organisationen mit in Azure AD eingebundenen Geräten müssen dies tun, bevor sich ihre Geräte bei lokalen Ressourcen mit FIDO2-Sicherheitsschlüsseln authentifizieren können.

Aktivieren mit Intune

Führen Sie die folgenden Schritte aus, um die Verwendung von Sicherheitsschlüsseln mithilfe von Intune zu aktivieren:

  1. Melden Sie sich beim Azure-Portal an.
  2. Navigieren Sie zu Microsoft Intune > Geräteregistrierung > Windows-Registrierung > Windows Hello for Business > Eigenschaften.
  3. Legen Sie unter Einstellungen die Option Sicherheitsschlüssel zur Anmeldung verwenden auf Aktiviert fest.

Die Konfiguration von Sicherheitsschlüsseln für die Anmeldung ist nicht von der Konfiguration von Windows Hello for Business abhängig.

Zielgerichtete Intune-Bereitstellung

Verwenden Sie zum Festlegen bestimmter Gerätegruppen als Ziel die folgenden benutzerdefinierten Einstellungen über Intune, um den Anmeldeinformationsanbieter zu aktivieren:

  1. Melden Sie sich beim Azure-Portal an.
  2. Navigieren Sie zu Microsoft Intune > Gerätekonfiguration > Profile > Profil erstellen.
  3. Konfigurieren Sie das neue Profil mit den folgenden Einstellungen:
    • Name: Sicherheitsschlüssel für die Windows-Anmeldung
    • Beschreibung: Aktiviert FIDO-Sicherheitsschlüssel für die Windows-Anmeldung
    • Plattform: Windows 10 und höher
    • Profiltyp: Benutzerdefiniert
    • Benutzerdefinierte OMA-URI-Einstellungen:
      • Name: Aktivieren der FIDO-Sicherheitsschlüssel für die Windows-Anmeldung
      • OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
      • Datentyp: Integer
      • Wert: 1
  4. Diese Richtlinie kann bestimmten Benutzern, Geräten oder Gruppen zugewiesen werden. Weitere Informationen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen in Microsoft Intune.

Screenshot: Richtlinienerstellung für die benutzerdefinierte Gerätekonfiguration in Intune

Aktivieren mit einem Bereitstellungspaket

Für nicht von Intune verwaltete Geräte können Sie ein Bereitstellungspaket installieren, um die Funktion zu aktivieren. Die Windows Configuration Designer-App kann aus dem Microsoft Store heruntergeladen und installiert werden. Führen Sie die folgenden Schritte aus, um ein Bereitstellungspaket zu erstellen:

  1. Starten Sie Windows Configuration Designer.
  2. Klicken Sie auf Datei > Neues Projekt.
  3. Geben Sie dem Projekt einen Namen, notieren Sie sich den Pfad, in dem Ihr Projekt erstellt wird, und wählen Sie Weiter aus.
  4. Lassen Sie das Bereitstellungspaket als Selected project workflow (Ausgewählter Projektworkflow), und klicken Sie auf Weiter.
  5. Wählen Sie unter Einstellungen auswählen, die angezeigt und konfiguriert werden sollen die Option Alle Windows-Desktopeditionen und dann Weiter aus.
  6. Wählen Sie Fertig stellen aus.
  7. Navigieren Sie in Ihrem neu erstellten Projekt zu Runtimeeinstellungen > Windows Hello For Business > Sicherheitsschlüssel > Use Security Key For Sign In (Sicherheitsschlüssel für die Anmeldung verwenden).
  8. Legen Sie Use Security Key For Sign In (Sicherheitsschlüssel für die Anmeldung verwenden) auf Aktiviert fest.
  9. Klicken Sie auf Exportieren > Bereitstellungspaket.
  10. Lassen Sie die Standardwerte im Fenster Erstellen unter Beschreibung des Bereitstellungspakets unverändert, und wählen Sie Weiter aus.
  11. Lassen Sie die Standardwerte im Fenster Erstellen unter Sicherheitsdetails für das Bereitstellungspaket auswählen unverändert, und klicken Sie auf Weiter.
  12. Notieren Sie sich den Pfad oder ändern Sie diesen im Fenster Erstellen unter Speicherort des Bereitstellungspakets auswählen, und klicken Sie dann auf Weiter.
  13. Klicken Sie auf der Seite Bereitstellungspaket erstellen auf Erstellen.
  14. Speichern Sie die zwei erstellten Dateien (ppkg und cat) an einem Speicherort, von dem aus Sie sie später auf Computer anwenden können.
  15. Um das von Ihnen erstellte Bereitstellungspaket anzuwenden, befolgen Sie die Anweisungen unter Anwenden eines Bereitstellungspakets.

Hinweis

Auf Geräten unter Windows 10 (Version 1903) muss auch der Modus für freigegebene PCs (EnableSharedPCMode) aktiviert sein. Weitere Informationen zum Aktivieren dieser Funktion finden Sie unter Einrichten eines freigegebenen oder Gast-PCs unter Windows 10.

Aktivieren mit Gruppenrichtlinie

Für in Azure AD Hybrid eingebundene Geräte können Organisationen die folgende Gruppenrichtlinieneinstellung konfigurieren, um die Anmeldung mit dem FIDO-Sicherheitsschlüssel zu aktivieren. Die Einstellung finden Sie unter Computerkonfiguration > Administrative Vorlagen > System > Anmeldung > Anmeldung mit Sicherheitsschlüssel aktivieren:

  • Wenn Sie diese Richtlinie auf Aktiviert festlegen, können Benutzer sich mit Sicherheitsschlüsseln anmelden.
  • Das Festlegen dieser Richtlinie auf Deaktiviert oder Nicht konfiguriert verhindert, dass Benutzer sich mit Sicherheitsschlüsseln anmelden.

Diese Gruppenrichtlinieneinstellung erfordert eine aktualisierte Version der CredentialProviders.admx-Gruppenrichtlinienvorlage. Diese neue Vorlage ist mit der nächsten Version von Windows Server und mit Windows 10 20h1 verfügbar. Diese Einstellung kann mit einem Gerät verwaltet werden, auf dem eine dieser neueren Versionen von Windows ausgeführt wird, oder zentral anhand der Anleitung im Supportthema Erstellen und Verwalten des zentralen Speichers für administrative Vorlagendateien für Gruppenrichtlinien in Windows.

Anmelden mit dem FIDO2-Sicherheitsschlüssel

Im nachstehenden Beispiel hat der Benutzer Bala Sandhu den FIDO2-Sicherheitsschlüssel bereits anhand der im vorherigen Artikel Aktivieren der kennwortlosen Anmeldung mit Sicherheitsschlüsseln aufgeführten Schritte bereitgestellt. Stellen Sie für in Azure AD Hybrid eingebundene Geräte sicher, dass Sie auch die kennwortlose Anmeldung mit Sicherheitsschlüsseln für lokale Ressourcen aktiviert haben. Bala kann auf dem Windows 10-Sperrbildschirm den Anbieter für Sicherheitsschlüsselanmeldeinformationen auswählen und den Sicherheitsschlüssel für die Anmeldung bei Windows einfügen.

Anmelden mit Sicherheitsschlüssel auf dem Windows 10-Sperrbildschirm

Verwalten eines biometrischen Sicherheitsschlüssels bzw. einer PIN oder Zurücksetzen eines Sicherheitsschlüssels

  • Windows 10, Version 1903 oder höher
    • Benutzer können die Windows-Einstellungen auf ihrem Gerät öffnen und zu Konten > Sicherheitsschlüssel navigieren.
    • Benutzer können ihre PIN ändern, Biometrie aktualisieren oder ihren Sicherheitsschlüssel zurücksetzen.

Problembehandlung und Feedback

Wenn Sie Feedback geben möchten oder Probleme mit diesem Feature auftreten, teilen Sie uns dies in folgenden Schritten über die Windows-Feedback-Hub-App mit:

  1. Starten Sie Feedback-Hub, und stellen Sie sicher, dass Sie angemeldet sind.
  2. Senden Sie Ihr Feedback unter der folgenden Kategorisierung:
    • Kategorie: Sicherheit und Datenschutz
    • Unterkategorie: FIDO
  3. Verwenden Sie die Option Problem reproduzieren, um Protokolle zu erfassen.

Nächste Schritte

Aktivieren des Zugriffs auf lokale Ressourcen für in Azure AD und Azure AD Hybrid eingebundene Geräte

Erfahren Sie mehr über die Geräteregistrierung

Erfahren Sie mehr über Azure AD Multi-Factor Authentication