Integrieren von Windows Hello for Business in Microsoft IntuneIntegrate Windows Hello for Business with Microsoft Intune

Sie können Windows Hello for Business (früher Microsoft Passport for Work) in Microsoft Intune integrieren.You can integrate Windows Hello for Business (formerly Microsoft Passport for Work) with Microsoft Intune.

Hello for Business ist eine alternative Anmeldemethode, die Active Directory oder ein Azure Active Directory-Konto verwendet, um ein Kennwort, eine Smartcard oder eine virtuelle Smartcard zu ersetzen.Hello for Business is an alternative sign-in method that uses Active Directory or an Azure Active Directory account to replace a password, smart card, or a virtual smart card. Damit können Sie anstelle eines Kennworts eine Benutzergeste zur Anmeldung verwenden.It lets you use a user gesture to sign in, instead of a password. Eine Benutzeraktion kann eine einfache PIN, eine biometrische Authentifizierung wie Windows Hello oder ein externes Gerät sein, z. B. ein Fingerabdruckleser.A user gesture might be a simple PIN, biometric authentication such as Windows Hello, or an external device such as a fingerprint reader.

Intune integriert Hello for Business auf zwei Arten:Intune integrates with Hello for Business in two ways:

  • Sie können mithilfe einer Intune-Richtlinie steuern, welche Aktionen von Benutzern zum Anmelden verwendet werden können.You can use an Intune policy to control which gestures users can and cannot use to sign in.

Wichtig

Bei Desktop- und mobilen Versionen von Windows 10 vor dem Anniversary Update konnten Sie zwei unterschiedliche PINS für die Authentifizierung bei Ressourcen festlegen:In Windows 10 desktop and mobile versions prior to the Anniversary Update, you could set two different PINS that could be used to authenticate to resources:

  • Die Geräte-PIN konnte zum Entsperren des Geräts und zur Verbindung mit Cloudressourcen verwendet werden.The device PIN could be used to unlock the device and connect to cloud resources.
  • Die Arbeits-PIN wurde für den Zugang zu Azure AD-Ressourcen auf persönlichen Geräten von Benutzern (BYOD) verwendet.The work PIN was used to access Azure AD resources on user’s personal devices (BYOD).

Im Anniversary Update wurden diese beiden PINs in eine einzige Geräte-PIN zusammengeführt.In the Anniversary Update, these two PINS were merged into one single device PIN. Dieser neue PIN-Wert wird jetzt sowohl von allen Intune-Konfigurationsrichtlinien, die Sie zum Steuern der Geräte-PIN festlegen, als auch von allen konfigurierten Windows Hello for Business-Richtlinien festgelegt.Any Intune configuration policies you set to control the device PIN, and additionally, any Windows Hello for Business policies you configured, now both set this new PIN value. Wenn Sie beide Richtlinientypen für die PIN-Steuerung eingerichtet haben, wird sowohl auf Desktop- als auch auf mobilen Geräten mit Windows 10 die Windows Hello for Business-Richtlinie angewendet.If you have set both policy types to control the PIN, the Windows Hello for Business policy is applied on both Windows 10 desktop and mobile devices. Um sicherzustellen, dass Richtlinienkonflikte gelöst werden und dass die PIN-Richtlinie korrekt angewendet wird, aktualisieren Sie Ihre Windows Hello for Business-Richtlinie auf die Einstellungen in der Konfigurationsrichtlinie. Fordern Sie auch die Benutzer auf, ihre Geräte in der Unternehmensportal-App zu synchronisieren.To ensure policy conflicts are resolved and that the PIN policy is applied correctly, update your Windows Hello for Business Policy to match the settings in your configuration policy, and ask your users to sync their devices in the Company Portal app.

Erstellen einer Windows Hello for Business-RichtlinieCreate a Windows Hello for Business policy

  1. Wählen Sie im Azure-Portal die Optionen Alle Dienste > Überwachung + Verwaltung > Intune aus.In the the Azure portal, choose All Services > Monitoring + Management > Intune.

  2. Wählen Sie im Bereich „Intune“ die Option Geräteregistrierung aus, und klicken Sie anschließend auf Windows-Registrierung > Windows Hello for Business.On the Intune pane, choose Device enrollment, and then choose Windows enrollment > Windows Hello for Business.

  3. Wählen Sie in dem Bereich, der geöffnet wird, die Standardeinstellungen aus.On the pane that opens, choose the Default settings.

  4. Klicken Sie im Bereich Alle Benutzer auf Eigenschaften, und geben Sie einen Namen und optional eine Beschreibung für die Windows Hello for Business-Einstellungen ein.On the All Users pane, click Properties and then enter a Name and optional Description for the Windows Hello for Business settings.

  5. Klicken Sie im Bereich Alle Benutzer auf Einstellungen, und wählen Sie für Windows Hello for Business konfigurieren folgende Einstellungen aus:On the All Users pane, click Settings and then choose from the following for Configure Windows Hello for Business:

    • Deaktiviert.Disabled. Wenn Sie Windows Hello for Business nicht verwenden möchten, wählen Sie diese Einstellung aus.If you don't want to use Windows Hello for Business, select this setting. In diesem Fall ist keine der anderen Einstellungen auf dem Bildschirm verfügbar.All other settings on the screen are then unavailable.
    • Aktiviert.Enabled. Wählen Sie diese Einstellung aus, wenn Sie Windows Hello for Business-Einstellungen konfigurieren möchten.Select this setting if you want to configure Windows Hello for Business settings.
    • Nicht konfiguriert.Not configured. Wählen Sie diese Einstellung aus, wenn Sie Windows Hello for Business-Einstellungen nicht mit Intune steuern möchten.Select this setting if you don't want to use Intune to control Windows Hello for Business settings. Vorhandene Windows Hello for Business-Einstellungen auf Geräten mit Windows 10 werden nicht geändert.Any existing Windows Hello for Business settings on Windows 10 devices is not changed. Alle anderen Einstellungen in dem Bereich sind nicht verfügbar.All other settings on the pane are unavailable.
  6. Wenn Sie im letzten Schritt Aktiviert ausgewählt haben, konfigurieren Sie die erforderlichen Einstellungen, die auf alle registrierten Geräte mit Windows 10 und Windows 10 Mobile angewendet werden.If you selected Enabled in the previous step, configure the required settings that are applied to all enrolled Windows 10 and Windows 10 Mobile devices.

    • Trusted Platform Module (TPM) verwenden.Use a Trusted Platform Module (TPM). Ein TPM-Chip bietet eine zusätzliche Sicherheitsebene für Daten.A TPM chip provides an additional layer of data security.
      Wählen Sie einen der folgenden Werte aus:Choose one of the following values:

      • Erforderlich (Standard).Required (default). Nur Geräte mit verfügbarem TPM können Windows Hello for Business bereitstellen.Only devices with an accessible TPM can provision Windows Hello for Business.
      • Bevorzugt.Preferred. Geräte versuchen zunächst, ein TPM zu verwenden.Devices first attempt to use a TPM. Wenn diese Option nicht verfügbar ist, können sie die Softwareverschlüsselung verwenden.If this is not available, they can use software encryption.
    • PIN-Mindestlänge/Maximale PIN-Länge.Minimum PIN length/Maximum PIN length. Konfiguriert Geräte für die Verwendung der von Ihnen angegebenen minimalen und maximalen PIN-Länge, um eine sichere Anmeldung zu gewährleisten.Configures devices to use the minimum and maximum PIN lengths that you specify to help ensure secure sign-in. Die Standard-PIN-Länge beträgt 6 Zeichen, aber Sie können eine Mindestlänge von 4 Zeichen erzwingen.The default PIN length is six characters, but you can enforce a minimum length of four characters. Die maximale PIN-Länge ist 127 Zeichen.The maximum PIN length is 127 characters.

    • Kleinbuchstaben in PIN/Großbuchstaben in PIN/Sonderzeichen in PIN.Lowercase letters in PIN/Uppercase letters in PIN/Special characters in PIN. Sie können eine stärkere PIN erzwingen, indem Sie die Nutzung von Großbuchstaben, Kleinbuchstaben und Sonderzeichen in der PIN vorschreiben.You can enforce a stronger PIN by requiring the use of uppercase letters, lowercase letters, and special characters in the PIN. Es stehen die folgenden Optionen zur Auswahl:Choose from:

      • Zulässig.Allowed. Benutzer können den Zeichentyp in ihrer PIN verwenden, aber es ist nicht zwingend erforderlich.Users can use the character type in their PIN, but it is not mandatory.

      • Erforderlich.Required. Benutzer müssen mindestens einen der Zeichentypen in ihrer PIN verwenden.Users must include at least one of the character types in their PIN. Beispielsweise ist es üblich, die Verwendung mindestens eines Großbuchstabens und eines Sonderzeichens vorzuschreiben.For example, it's common practice to require at least one uppercase letter and one special character.

      • Nicht zulässig (Standard).Not allowed (default). Benutzer dürfen diese Zeichentypen in ihrer PIN nicht verwenden.Users must not use these character types in their PIN. (Dies trifft auch zu, wenn die Einstellung nicht konfiguriert ist.)(This is also the behavior if the setting is not configured.)
        Gilt für diese Sonderzeichen: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~Special characters include: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    • PIN-Ablauf (Tage).PIN expiration (days). Es wird empfohlen, ein Ablaufdatum für eine PIN anzugeben, nach dem sie vom Benutzer geändert werden muss.It's a good practice to specify an expiration period for a PIN, after which users must change it. Die Standardeinstellung ist 41 Tage.The default is 41 days.

    • PIN-Verlauf speichern.Remember PIN history. Schränkt die Wiederverwendung zuvor verwendeter PINs ein.Restricts the reuse of previously used PINs. Standardmäßig können die letzten fünf PINs nicht erneut verwendet werden.By default, the last 5 PINs cannot be reused.

    • Biometrische Authentifizierung zulassen.Allow biometric authentication. Aktiviert die biometrische Authentifizierung, z. B. die Gesichtserkennung oder Fingerabdrücke, als Alternative zu einer PIN für Windows Hello for Business.Enables biometric authentication, such as facial recognition or fingerprint, as an alternative to a PIN for Windows Hello for Business. Benutzer müssen für den Fall dennoch eine PIN konfigurieren, dass die biometrische Authentifizierung fehlschlägt.Users must still configure a work PIN in case biometric authentication fails. Es stehen die folgenden Optionen zur Auswahl:Choose from:

      • Ja.Yes. Windows Hello for Business ermöglicht biometrische Authentifizierung.Windows Hello for Business allows biometric authentication.
      • Nein.No. Windows Hello for Business verhindert die biometrische Authentifizierung (für alle Arten von Konten).Windows Hello for Business prevents biometric authentication (for all account types).
    • Erweitertes Antispoofing verwenden, falls verfügbar.Use enhanced anti-spoofing, when available. Konfiguriert, ob die Antispoofingfeatures von Windows Hello auf Geräten verwendet werden, die diese unterstützen (z. B. Erkennung eines Fotos von einem Gesicht anstelle eines echten Gesichts).Configures whether the anti-spoofing features of Windows Hello are used on devices that support it (for example, detecting a photograph of a face instead of a real face).
      Wenn diese Option auf Ja festgelegt ist, erfordert Windows von allen Benutzern die Verwendung von Antispoofing für Gesichtsmerkmale, sofern dies unterstützt wird.If this is set to Yes, Windows requires all users to use anti-spoofing for facial features when that is supported.

    • Anmeldung per Telefon zulassen.Allow phone sign-in. Wenn diese Option auf Ja festgelegt ist, können die Benutzer einen Remote-Passport als tragbares Begleitgerät für die Authentifizierung von Desktopcomputern verwenden.If this option is set to Yes, users can use a remote passport to serve as a portable companion device for desktop computer authentication. Der Desktopcomputer muss Azure Active Directory angehören, und das Begleitgerät muss mit einer Windows Hello for Business-PIN konfiguriert werden.The desktop computer must be Azure Active Directory joined, and the companion device must be configured with a Windows Hello for Business PIN.

Unterstützung durch Windows Holographic for BusinessWindows Holographic for Business support

Windows Holographic for Business unterstützt die folgenden Windows Hello for Business-Einstellungen:Windows Holographic for Business supports the following Windows Hello for Business settings:

  • Trusted Platform Module (TPM) verwendenUse a Trusted Platform Module (TPM)
  • Mindestlänge für PINMinimum PIN length
  • Höchstlänge für PINMaximum PIN length
  • Kleinbuchstaben in PINLowercase letters in PIN
  • Großbuchstaben in PINUppercase letters in PIN
  • Sonderzeichen in PINSpecial characters in PIN
  • PIN-Ablauf (Tage)PIN expiration (days)
  • PIN-Verlauf speichernRemember PIN history

Weitere InformationenFurther information

Weitere Informationen zu Microsoft Passport finden Sie im Leitfaden in der Dokumentation zu Windows 10.For more information about Microsoft Passport, see the guide in the Windows 10 documentation.