Verwenden von Windows Hello for BusinessUse Windows Hello for Business

Gilt für: Intune im Azure-PortalApplies to: Intune in the Azure portal
Suchen Sie nach der Dokumentation zu Intune im klassischen Portal?Looking for documentation about Intune in the classic portal? Klicken Sie hier.Go here.

Erfahren Sie, wie Microsoft Intune in Windows Hello for Business (früher Microsoft Passport for Work) integriert wird. Dies ist eine alternative Anmeldemethode, die Active Directory oder ein Azure Active Directory-Konto verwendet, um ein Kennwort, eine Smartcard oder eine virtuelle Smartcard zu ersetzen.Microsoft Intune integrates with Windows Hello for Business (formerly Microsoft Passport for Work), an alternative sign-in method that uses Active Directory or an Azure Active Directory account to replace a password, smart card, or a virtual smart card.

Mit Hello for Business können Sie anstelle eines Kennworts eine Benutzeraktion zur Anmeldung verwenden.Hello for Business lets you use a user gesture to sign in, instead of a password. Eine Benutzeraktion kann eine einfache PIN, eine biometrische Authentifizierung wie Windows Hello oder ein externes Gerät sein, z. B. ein Fingerabdruckleser.A user gesture might be a simple PIN, biometric authentication such as Windows Hello, or an external device such as a fingerprint reader.

Intune integriert Hello for Business auf zwei Arten:Intune integrates with Hello for Business in two ways:

  • Sie können mithilfe einer Intune-Richtlinie steuern, welche Aktionen von Benutzern zum Anmelden verwendet werden können.You can use an Intune policy to control which gestures users can and cannot use to sign in.

Wichtig

Bei Desktop- und mobilen Versionen von Windows 10 vor dem Anniversary Update konnten Sie zwei unterschiedliche PINS für die Authentifizierung bei Ressourcen festlegen:In Windows 10 desktop and mobile versions prior to the Anniversary Update, you could set two different PINS that could be used to authenticate to resources:

  • Die Geräte-PIN konnte zum Entsperren des Geräts und zur Verbindung mit Cloudressourcen verwendet werden.The device PIN could be used to unlock the device and connect to cloud resources.
  • Die Arbeits-PIN wurde für den Zugang zu Azure AD-Ressourcen auf persönlichen Geräten von Benutzern (BYOD) verwendet.The work PIN was used to access Azure AD resources on user’s personal devices (BYOD).

Im Anniversary Update wurden diese beiden PINs in eine einzige Geräte-PIN zusammengeführt.In the Anniversary Update, these two PINS were merged into one single device PIN. Dieser neue PIN-Wert wird jetzt sowohl von allen Intune-Konfigurationsrichtlinien, die Sie zum Steuern der Geräte-PIN festlegen, als auch von allen konfigurierten Windows Hello for Business-Richtlinien festgelegt.Any Intune configuration policies you set to control the device PIN, and additionally, any Windows Hello for Business policies you configured, now both set this new PIN value. Wenn Sie beide Richtlinientypen für die PIN-Steuerung eingerichtet haben, wird sowohl auf Desktop- als auch auf mobilen Geräten mit Windows 10 die Windows Hello for Business-Richtlinie angewendet.If you have set both policy types to control the PIN, the Windows Hello for Business policy will be applied on both Windows 10 desktop and mobile devices. Um sicherzustellen, dass Richtlinienkonflikte gelöst werden und dass die PIN-Richtlinie korrekt angewendet wird, aktualisieren Sie Ihre Windows Hello for Business-Richtlinie auf die Einstellungen in der Konfigurationsrichtlinie. Fordern Sie auch die Benutzer auf, ihre Geräte in der Unternehmensportal-App zu synchronisieren.To ensure policy conflicts are resolved and that the PIN policy is applied correctly, update your Windows Hello for Business Policy to match the settings in your configuration policy, and ask your users to sync their devices in the Company Portal app.

Erstellen einer Windows Hello for Business-RichtlinieCreate a Windows Hello for Business policy

  1. Wählen Sie im Azure-Portal Weitere Dienste > Überwachung und Verwaltung > Intune aus.In the Azure portal, choose More Services > Monitoring + Management > Intune.

  2. Wählen Sie auf dem Blatt „Intune“ die Option Geräte registrieren und dann Verwalten > Windows Hello for Business aus.On the Intune blade, choose Enroll devices, and then choose Manage > Windows Hello for Business.

  3. Wählen Sie auf dem daraufhin geöffneten Blatt die Standardeinstellungen aus.On the blade that opens, choose the Default settings.

  4. Klicken Sie auf dem Blatt Alle Benutzer auf Eigenschaften, und geben Sie einen Namen und eine optionale Beschreibung für die Einstellungen für Windows Hello for Business ein.On the All Users blade, click Properties and then enter a Name and optional Description for the Windows Hello for Business settings.

  5. Klicken Sie auf dem Blatt Alle Benutzer auf Einstellungen, und wählen Sie für Windows Hello for Business konfigurieren aus Folgendem aus:On the All Users blade, click Settings and then choose from the following for Configure Windows Hello for Business:

    • Deaktiviert.Disabled. Wenn Sie Windows Hello for Business nicht verwenden möchten, wählen Sie diese Einstellung aus.If you don't want to use Windows Hello for Business, select this setting. In diesem Fall ist keine der anderen Einstellungen auf dem Bildschirm verfügbar.All other settings on the screen are then unavailable.
    • Aktiviert.Enabled. Wählen Sie diese Einstellung aus, wenn Sie Windows Hello for Business-Einstellungen konfigurieren möchten.Select this setting if you want to configure Windows Hello for Business settings.
    • Nicht konfiguriert.Not configured. Wählen Sie diese Einstellung aus, wenn Sie Windows Hello for Business-Einstellungen nicht mit Intune steuern möchten.Select this setting if you don't want to use Intune to control Windows Hello for Business settings. Vorhandene Windows Hello for Business-Einstellungen auf Geräten mit Windows 10 werden nicht geändert.Any existing Windows Hello for Business settings on Windows 10 devices will not be changed. Alle anderen Einstellungen auf dem Bildschirm sind nicht verfügbar.All other settings on the blade are unavailable.
  6. Wenn Sie im letzten Schritt Aktiviert ausgewählt haben, konfigurieren Sie die erforderlichen Einstellungen, die auf alle registrierten Geräte mit Windows 10 und Windows 10 Mobile angewendet werden.If you selected Enabled in the previous step, configure the required settings that will be applied to all enrolled Windows 10 and Windows 10 Mobile devices.

    • Trusted Platform Module (TPM) verwenden.Use a Trusted Platform Module (TPM). Ein TPM-Chip bietet eine zusätzliche Sicherheitsebene für Daten.A TPM chip provides an additional layer of data security.
      Wählen Sie einen der folgenden Werte aus:Choose one of the following values:

      • Erforderlich (Standard).Required (default). Nur Geräte mit verfügbarem TPM können Windows Hello for Business bereitstellen.Only devices with an accessible TPM can provision Windows Hello for Business.
      • Bevorzugt.Preferred. Geräte versuchen zunächst, ein TPM zu verwenden.Devices first attempt to use a TPM. Wenn diese Option nicht verfügbar ist, können sie die Softwareverschlüsselung verwenden.If this is not available, they can use software encryption.
    • Minimale PIN-Länge vorschreiben/Maximale PIN-Länge vorschreiben.Require minimum PIN length/Require maximum PIN length. Konfiguriert Geräte für die Verwendung der von Ihnen angegebenen minimalen und maximalen PIN-Länge, um eine sichere Anmeldung zu gewährleisten.Configures devices to use the minimum and maximum PIN lengths that you specify to help ensure secure sign-in. Die Standard-PIN-Länge beträgt 6 Zeichen, aber Sie können eine Mindestlänge von 4 Zeichen erzwingen.The default PIN length is 6 characters, but you can enforce a minimum length of 4 characters. Die maximale PIN-Länge ist 127 Zeichen.The maximum PIN length is 127 characters.

    • Kleinbuchstaben in PIN vorschreiben/Großbuchstaben in PIN vorschreiben/Sonderzeichen in PIN vorschreiben.Require lowercase letters in PIN/Require uppercase letters in PIN/Require special characters in PIN. Sie können eine stärkere PIN erzwingen, indem Sie die Nutzung von Großbuchstaben, Kleinbuchstaben und Sonderzeichen in der PIN vorschreiben.You can enforce a stronger PIN by requiring the use of uppercase letters, lowercase letters, and special characters in the PIN. Wählen Sie aus:Choose from:

      • Zulässig.Allowed. Benutzer können den Zeichentyp in ihrer PIN verwenden, aber es ist nicht zwingend erforderlich.Users can use the character type in their PIN, but it is not mandatory.

      • Erforderlich.Required. Benutzer müssen mindestens einen der Zeichentypen in ihrer PIN verwenden.Users must include at least one of the character types in their PIN. Beispielsweise ist es üblich, die Verwendung mindestens eines Großbuchstabens und eines Sonderzeichens vorzuschreiben.For example, it's common practice to require at least one uppercase letter and one special character.

      • Nicht zulässig (Standard).Not allowed (default). Benutzer dürfen diese Zeichentypen in ihrer PIN nicht verwenden.Users must not use these character types in their PIN. (Dies trifft auch zu, wenn die Einstellung nicht konfiguriert ist.)(This is also the behavior if the setting is not configured.)
        Gilt für diese Sonderzeichen: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~Special characters include: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    • PIN-Ablauf (Tage).PIN expiration (days). Es wird empfohlen, ein Ablaufdatum für eine PIN anzugeben, nach dem sie vom Benutzer geändert werden muss.It's a good practice to specify an expiration period for a PIN, after which users must change it. Die Standardeinstellung ist 41 Tage.The default is 41 days.

    • PIN-Verlauf speichern.Remember PIN history. Schränkt die Wiederverwendung zuvor verwendeter PINs ein.Restricts the reuse of previously used PINs. Standardmäßig können die letzten fünf PINs nicht erneut verwendet werden.By default, the last 5 PINs cannot be reused.

    • Biometrische Authentifizierung zulassen.Allow biometric authentication. Aktiviert die biometrische Authentifizierung, z. B. die Gesichtserkennung oder Fingerabdrücke, als Alternative zu einer PIN für Windows Hello for Business.Enables biometric authentication, such as facial recognition or fingerprint, as an alternative to a PIN for Windows Hello for Business. Benutzer müssen für den Fall dennoch eine PIN konfigurieren, dass die biometrische Authentifizierung fehlschlägt.Users must still configure a work PIN in case biometric authentication fails. Wählen Sie aus:Choose from:

      • Ja.Yes. Windows Hello for Business ermöglicht biometrische Authentifizierung.Windows Hello for Business allows biometric authentication.
      • Nein.No. Windows Hello for Business verhindert die biometrische Authentifizierung (für alle Arten von Konten).Windows Hello for Business prevents biometric authentication (for all account types).
    • Erweitertes Antispoofing verwenden, falls verfügbar.Use enhanced anti-spoofing, when available. Konfiguriert, ob die Antispoofingfeatures von Windows Hello auf Geräten verwendet werden, die diese unterstützen (z. B. Erkennung eines Fotos von einem Gesicht anstelle eines echten Gesichts).Configures whether the anti-spoofing features of Windows Hello are used on devices that support it (for example, detecting a photograph of a face instead of a real face).
      Wenn diese Option auf Ja festgelegt ist, erfordert Windows von allen Benutzern die Verwendung von Antispoofing für Gesichtsmerkmale, sofern dies unterstützt wird.If this is set to Yes, Windows requires all users to use anti-spoofing for facial features when that is supported.

    • Anmeldung per Telefon verwenden.Use phone sign-in. Wenn diese Option auf Ja festgelegt ist, können die Benutzer einen Remote-Passport als tragbares Begleitgerät für die Authentifizierung von Desktopcomputern verwenden.If this option is set to Yes, users can use a remote passport to serve as a portable companion device for desktop computer authentication. Der Desktopcomputer muss Azure Active Directory angehören, und das Begleitgerät muss mit einer Windows Hello for Business-PIN konfiguriert werden.The desktop computer must be Azure Active Directory joined, and the companion device must be configured with a Windows Hello for Business PIN.

Weitere InformationenFurther information

Weitere Informationen zu Microsoft Passport finden Sie im Leitfaden in der Dokumentation zu Windows 10.For more information about Microsoft Passport, see the guide in the Windows 10 documentation.