Implementieren von Microsoft Passport in Ihrer Organisation
Sie können eine Gruppenrichtlinie oder eine Richtlinie für die mobile Geräteverwaltung (Mobile Device Management, MDM) erstellen, mit der Microsoft Passport auf Geräten mit Windows 10 implementiert wird.
Wichtig
Die Gruppenrichtlinieneinstellung PIN-Anmeldung aktivieren gilt nicht für Windows 10. Verwalten Sie PINs mit Microsoft Passport for Work-Richtlinieneinstellungen.
Gruppenrichtlinieneinstellungen für Passport
Die folgende Tabelle enthält die Gruppenrichtlinieneinstellungen, die Sie für die Verwendung von Passport an Ihrem Arbeitsplatz konfigurieren können. Diese Richtlinieneinstellungen sind in Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Microsoft Passport for Work verfügbar.
| Richtlinie | Optionen | |
|---|---|---|
| Microsoft Passport for Work verwenden |
Nicht konfiguriert: Benutzer können Passport for Work bereitstellen, womit ihr Domänenkennwort verschlüsselt wird. Aktiviert: Das Gerät stellt Passport for Work mit Schlüsseln oder Zertifikaten für alle Benutzer bereit. Deaktiviert: Das Gerät stellt Passport for Work nicht für die Benutzer bereit. | |
| Gerät mit sicherer Hardware verwenden |
Nicht konfiguriert: Passport for Work wird mit TPM (falls vorhanden) bereitgestellt. Wenn TPM nicht verfügbar ist, wird Passport for Work mit Software bereitgestellt. Aktiviert: Passport for Work wird nur mit TPM bereitgestellt. Deaktiviert: Passport for Work wird mit TPM (falls vorhanden) bereitgestellt. Wenn TPM nicht verfügbar ist, wird Passport for Work mit Software bereitgestellt. | |
| Biometrie verwenden |
Nicht konfiguriert: Biometrie kann als Geste anstelle einer PIN verwendet werden. Aktiviert: Biometrie kann als Geste anstelle einer PIN verwendet werden. Deaktiviert: Nur eine PIN kann als Geste verwendet werden. | |
| PIN-Komplexität | Ziffern erforderlich |
Nicht konfiguriert: Benutzer müssen eine Ziffer in ihre PIN einschließen. Aktiviert: Benutzer müssen eine Ziffer in ihre PIN einschließen. Deaktiviert: Benutzer können keine Ziffern in ihrer PIN verwenden. |
| Kleinbuchstaben erforderlich |
Nicht konfiguriert: Benutzer können in ihrer PIN keine Kleinbuchstaben verwenden. Aktiviert: Benutzer müssen mindestens einen Kleinbuchstaben in ihre PIN einschließen. Deaktiviert: Benutzer können in ihrer PIN keine Kleinbuchstaben verwenden. | |
| Maximale PIN-Länge |
Nicht konfiguriert: Die PIN-Länge darf höchstens 127 betragen. Aktiviert: Die PIN-Länge muss kleiner als der oder gleich dem angegebenen Wert sein. Deaktiviert: Die PIN-Länge darf höchstens 127 betragen. | |
| Minimale PIN-Länge |
Nicht konfiguriert: Die PIN-Länge muss mindestens 4 betragen. Aktiviert: Die PIN-Länge muss größer als der oder gleich dem angegebenen Wert sein. Deaktiviert: Die PIN-Länge muss mindestens 4 betragen. | |
| Ablauf |
Nicht konfiguriert: Die PIN läuft nicht ab. Aktiviert: Der Ablauf der PIN kann auf eine beliebige Anzahl von Tagen zwischen 1 und 730 festgelegt werden, oder es kann angegeben werden, dass die PIN nie abläuft, indem die Richtlinieneinstellung auf 0 festgelegt wird. Deaktiviert: Die PIN läuft nicht ab. | |
| Verlauf |
Nicht konfiguriert: Frühere PINs werden nicht gespeichert. Aktiviert: Geben Sie die Anzahl der früheren PINs für ein Benutzerkonto an, die nicht wiederverwendet werden können. Deaktiviert: Frühere PINs werden nicht gespeichert. Hinweis Die aktuelle PIN ist im PIN-Verlauf enthalten. | |
| Sonderzeichen erforderlich |
Nicht konfiguriert: Benutzer können keine Sonderzeichen in ihre PIN einschließen. Aktiviert: Benutzer müssen mindestens ein Sonderzeichen in ihre PIN einschließen. Deaktiviert: Benutzer können keine Sonderzeichen in ihre PIN einschließen. | |
| Großbuchstaben erforderlich |
Nicht konfiguriert: Benutzer können in ihre PIN keinen Großbuchstaben einschließen. Aktiviert: Benutzer müssen mindestens einen Großbuchstaben in ihre PIN einschließen. Deaktiviert: Benutzer können in ihre PIN keinen Großbuchstaben einschließen. | |
| Remote Passport |
Remote Passport verwenden Hinweis Gilt nur für Desktop. Die Telefonanmeldung ist derzeit auf ausgewählte Teilnehmer des Technology Adoption-Programms (TAP) beschränkt. |
Nicht konfiguriert: Remote Passport ist deaktiviert. Aktiviert: Benutzer können ein tragbares, registriertes Gerät als Begleitgerät für die Desktopauthentifizierung verwenden. Deaktiviert: Remote Passport ist deaktiviert. |
MDM-Richtlinieneinstellungen für Passport
Die folgende Tabelle enthält die MDM-Richtlinieneinstellungen, die Sie für die Verwendung von Passport an Ihrem Arbeitsplatz konfigurieren können. Diese MDM-Richtlinieneinstellungen verwenden den PassportForWork-Konfigurationsdienstanbieter.
| Richtlinie | Bereich | Standard | Optionen | |
|---|---|---|---|---|
| UsePassportForWork | Gerät | True |
TRUE: Passport wird für alle Benutzer auf dem Gerät bereitgestellt. FALSE: Benutzer können Passport nicht bereitstellen. Hinweis Wenn Passport aktiviert ist und die Richtlinie dann auf FALSE geändert wird, können Benutzer, die die Verwendung von Passport bereits eingerichtet dies weiter tun, sie können Passport jedoch nicht auf anderen Geräten einrichten. | |
| RequireSecurityDevice | Gerät | False |
True: Passport wird nur mit TPM bereitgestellt. False: Passport wird mit TPM, falls vorhanden, bereitgestellt. Wenn TPM nicht verfügbar ist, wird Passport mit Software bereitgestellt. | |
| Biometrics |
UseBiometrics | Gerät | False |
True: Biometrie kann als Geste anstelle einer PIN verwendet werden. False: Nur eine PIN kann als Geste für die Domänenanmeldung verwendet werden. |
|
FacialFeaturesUser EnhancedAntiSpoofing | Gerät | Nicht konfiguriert |
Nicht konfiguriert: Benutzer können auswählen, ob erweitertes Anti-Spoofing aktiviert werden soll. True: Erweitertes Anti-Spoofing ist bei Geräten erforderlich, die dies unterstützen. False: Benutzer können das erweiterte Anti-Spoofing nicht aktivieren. | |
| PINComplexity | ||||
| Ziffern | Gerät oder Benutzer | 2 |
1: Zahlen sind nicht zulässig. 2: Es ist mindestens eine Zahl erforderlich. | |
| Kleinbuchstaben | Gerät oder Benutzer | 1 |
1: Kleinbuchstaben sind nicht zulässig. 2: Es ist mindestens ein Kleinbuchstabe erforderlich. | |
| Maximale PIN-Länge | Gerät oder Benutzer | 127 |
Die maximale Länge, die festgelegt werden kann, beträgt 127. Maximale Länge darf nicht kleiner als die minimale Einstellung sein. | |
| Minimale PIN-Länge | Gerät oder Benutzer | 4 |
Mindestlänge, die festgelegt werden kann, beträgt 4. Mindestlänge darf nicht größer als die maximale Einstellung sein. | |
| Ablauf | Gerät oder Benutzer | 0 |
Ein ganzzahliger Wert gibt den Zeitraum (in Tagen) an, für den eine PIN verwendet wird, bis der Benutzer vom System zum Ändern aufgefordert wird. Die größte Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 730. Die kleinste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 0. Wenn diese Richtlinie auf 0 festgelegt ist, läuft die PIN des Benutzers nie ab. | |
| Verlauf | Gerät oder Benutzer | 0 |
Eine ganze Zahl, die die Anzahl der früheren PINs für ein Benutzerkonto angibt, die nicht wiederverwendet werden können. Die größte Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 50. Die kleinste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 0. Wenn diese Richtlinie auf 0 festgelegt ist, ist keine Speicherung früherer PINs erforderlich. | |
| Sonderzeichen | Gerät oder Benutzer | 1 |
1: Sonderzeichen sind nicht zulässig. 2: Es ist mindestens ein Sonderzeichen erforderlich. | |
| Großbuchstaben | Gerät oder Benutzer | 1 |
1: Großbuchstaben sind nicht zulässig. 2: Es ist mindestens ein Großbuchstabe erforderlich | |
| Remote |
UseRemotePassport Hinweis Gilt nur für Desktop. Die Telefonanmeldung ist derzeit auf ausgewählte Teilnehmer des Technology Adoption-Programms (TAP) beschränkt. | Gerät oder Benutzer | False |
True: Remote Passport ist aktiviert. False: Remote Passport ist deaktiviert. |
Hinweis
Wenn die Anforderung von Buchstaben oder Sonderzeichen in einer Richtlinie nicht explizit konfiguriert ist, können Benutzer nur eine numerische PIN erstellen.
Voraussetzungen
Sie benötigen diese Software, um Microsoft Passport-Richtlinien in Ihrem Unternehmen festzulegen.
| Microsoft Passport-Modus | Azure AD | Lokales Active Directory (AD) (verfügbar mit Produktionsversion von Windows Server 2016 Technical Preview) | Azure AD/AD-Hybrid (verfügbar mit Produktionsversion von Windows Server 2016 Technical Preview) |
|---|---|---|---|
| Schlüsselbasierte Authentifizierung | Azure AD-Abonnement |
|
|
| Zertifikatbasierte Authentifizierung |
|
|
|
Configuration Manager und MDM bieten die Möglichkeit zum Verwalten der Passport-Richtlinie und Bereitstellen und Verwalten von Zertifikaten, die mit Passport geschützt sind.
Azure AD bietet die Möglichkeit zum Registrieren von Geräten mit Unternehmen und zum Bereitstellen von Passport für Unternehmenskonten.
Active Directory bietet die Möglichkeit zum Autorisieren von Benutzern und Geräten mithilfe von mit Passport geschützten Schlüsseln, wenn Domänencontroller unter Windows 10 ausgeführt werden, und den Microsoft Passport-Bereitstellungsdienst in Windows 10 AD FS.
Passport für BYOD
Passport kann auf persönlichen Geräten verwaltet werden, die Ihre Mitarbeitern für Arbeitszwecke mit MDM verwenden. Auf persönlichen Geräten können Benutzer eine persönliche Passport-PIN zum Entsperren des Geräts und eine separate Arbeits-PIN für den Zugriff auf Arbeitsressourcen erstellen.
Die Arbeits-PIN wird mit denselben Passport Richtlinien verwaltet, mit denen Sie Passport auf Geräten der Organisation verwalten. Die persönliche PIN wird separat mit der DeviceLock-Richtlinie verwaltet. Mit der DeviceLock-Richtlinie können Anforderungen in Bezug auf Länge, Komplexität, Verlauf und Ablauf gesteuert werden; sie kann mit dem Konfigurationsdienstanbieter für Richtlinien konfiguriert werden.
Verwandte Themen
Windows Hello-Biometrie im Unternehmen
Warum ist eine PIN besser als ein Kennwort?
Verwalten der Identitätsüberprüfung mit Microsoft Passport
Vorbereiten der Benutzer auf die Verwendung von Microsoft Passport
Microsoft Passport und Kennwortänderungen