Windows Hello for Business

In Windows 10 ersetzt Windows Hello for Business Kennwörter durch eine sichere zweistufige Authentifizierung auf Computern und mobilen Geräten. Diese Authentifizierung besteht aus einer neuen Art von Benutzeranmeldeinformationen, die an ein Gerät gebunden ist und ein biometrisches Merkmal oder eine PIN verwendet.
Mit Windows Hello for Business können Benutzer sich bei einem Active Directory- oder Azure Active Directory-Konto authentifizieren.

Windows Hello behandelt die folgenden Probleme mit Kennwörtern:

  • Sichere Kennwörter kann man sich teilweise schlecht merken. Benutzer verwenden deshalb häufig dieselben Kennwörter für mehrere Websites.
  • Serververletzungen können symmetrische Netzwerkanmeldeinformationen (Kennwörter) verfügbar machen.
  • Kennwörter sind Ziel von Replay-Angriffen.
  • Benutzer können versehentlich ihre Kennwörter aufgrund von Phishing-Angriffen offenlegen.

Voraussetzungen

Bereitstellung nur in der Cloud

  • Windows10, Version 1511 oder höher
  • MicrosoftAzure-Konto
  • Azure Active Directory
  • Azure Multi-Factor authentication
  • Moderne Verwaltung (Intune oder unterstütztes MDM von Drittanbietern) optional
  • Azure AD Premium-Abonnement – optional, erforderlich für die automatische MDM-Registrierung, wenn das Gerät zu Azure Active Directory hinzugefügt wird

Hybridbereitstellungen

Die Tabelle enthält die Mindestanforderungen für jede Bereitstellung. Für eine multi-domain/multi-forest Bereitstellung mit schlüsselbasiertem Vertrauensmodell gelten die folgenden Anforderungen für jede Domäne/Gesamtstruktur, die hostet Windows Hello for Business-Komponenten oder des Kerberos-Referral-Prozesses beteiligt ist.

Schlüsselbasiertes Vertrauen
Verwaltete Gruppenrichtlinie
Zertifikatbasiertes Vertrauen
Gemischt verwaltet
Schlüsselbasiertes Vertrauen
Modern verwaltet
Zertifikatbasiertes Vertrauen
Modern verwaltet
Windows10, Version 1511 oder höher In Azure AD eingebunden:
Minimum: Windows 10, Version 1703
Beste Erfahrung: Windows10, Version 1709 oder höher (unterstützt synchrone Zertifikatregistrierung).
In Azure AD eingebunden:
Windows10, Version 1511 oder höher
Windows10, Version 1511 oder höher Windows10, Version 1511 oder höher
Windows Server2016-Schema Windows Server2016-Schema Windows Server2016-Schema Windows Server2016-Schema
Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene
Windows Server 2016 oder neueren Domänencontrollern Windows Server 2008R2-Domänencontroller oder höher Windows Server 2016 oder neueren Domänencontrollern Windows Server 2008R2-Domänencontroller oder höher
Windows Server2012-Zertifizierungsstelle oder höher Windows Server2012-Zertifizierungsstelle oder höher Windows Server2012-Zertifizierungsstelle oder höher Windows Server2012-Zertifizierungsstelle oder höher
Windows Server2016 AD FS mit KB4088889 Update (in hybride Azure AD eingebundene Clients),
und
Windows Server2012 Network Device Enrollment Service oder höher (in Azure AD eingebunden)
n.a. Windows Server2012 Network Device Enrollment Service oder höher
Azure MFA-Mandant oder
AD FS mit Azure MFA-Adapter oder
AD FS mit Azure MFA-Serveradapter oder
AD FS mit MFA-Adapter von Drittanbieter
Azure MFA-Mandant oder
AD FS mit Azure MFA-Adapter oder
AD FS mit Azure MFA-Serveradapter oder
AD FS mit MFA-Adapter von Drittanbieter
Azure MFA-Mandant oder
AD FS mit Azure MFA-Adapter oder
AD FS mit Azure MFA-Serveradapter oder
AD FS mit MFA-Adapter von Drittanbieter
Azure MFA-Mandant oder
AD FS mit Azure MFA-Adapter oder
AD FS mit Azure MFA-Serveradapter oder
AD FS mit MFA-Adapter von Drittanbieter
Azure-Konto Azure-Konto Azure-Konto Azure-Konto
Azure Active Directory Azure Active Directory Azure Active Directory Azure Active Directory
Azure AD Connect Azure AD Connect Azure AD Connect Azure AD Connect
Azure AD Premium, optional Azure AD Premium, für die geräterückschreibung erforderlich Azure AD Premium, optional für automatische MDM-Registrierung Azure AD Premium, optional für automatische MDM-Registrierung

Lokale Bereitstellungen

Die Tabelle enthält die Mindestanforderungen für jede Bereitstellung.

Schlüsselbasiertes Vertrauen
Verwaltete Gruppenrichtlinie
Zertifikatbasiertes Vertrauen
Verwaltete Gruppenrichtlinie
Windows10, Version 1703 oder höher Windows10, Version 1703 oder höher
Windows Server2016-Schema Windows Server2016-Schema
Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene
Windows Server 2016 oder neueren Domänencontrollern Windows Server 2008R2-Domänencontroller oder höher
Windows Server2012-Zertifizierungsstelle oder höher Windows Server2012-Zertifizierungsstelle oder höher
Windows Server 2016 AD FS mit KB4088889 Update Windows Server 2016 AD FS mit KB4088889 Update
AD FS mit Azure MFA-Server oder
AD FS mit MFA-Adapter von Drittanbieter
AD FS mit Azure MFA-Server oder
AD FS mit MFA-Adapter von Drittanbieter
Azure-Konto, optional für Azure MFA-Abrechnung Azure-Konto, optional für Azure MFA-Abrechnung