Windows Hello for Business Deployment Prerequisite OverviewWindows Hello for Business Deployment Prerequisite Overview

In diesem Artikel werden die Infrastrukturanforderungen für die verschiedenen Bereitstellungsmodelle für Windows Hello for Business aufgeführt.This article lists the infrastructure requirements for the different deployment models for Windows Hello for Business.

Bereitstellung nur in der CloudCloud Only Deployment

  • Windows10, Version 1511 oder höherWindows 10, version 1511 or later
  • MicrosoftAzure-KontoMicrosoft Azure Account
  • Azure Active DirectoryAzure Active Directory
  • Mehrstufige Azure AD-AuthentifizierungAzure AD Multi-Factor Authentication
  • Moderne Verwaltung (Intune oder unterstütztes MDM von Drittanbietern) optionalModern Management (Intune or supported third-party MDM), optional
  • Azure AD Premium-Abonnement – optional, erforderlich für die automatische MDM-Registrierung, wenn das Gerät zu Azure Active Directory hinzugefügt wirdAzure AD Premium subscription - optional, needed for automatic MDM enrollment when the device joins Azure Active Directory

HybridbereitstellungenHybrid Deployments

Die Tabelle enthält die Mindestanforderungen für jede Bereitstellung.The table shows the minimum requirements for each deployment. Für die Schlüsselvertrauensstellung in einer Bereitstellung mit mehreren Domänen/Gesamtstrukturen gelten die folgenden Anforderungen für jede Domäne/Gesamtstruktur, die Windows Hello für Geschäftskomponenten hostet oder am Kerberos-Empfehlungsprozess beteiligt ist.For key trust in a multi-domain/multi-forest deployment, the following requirements are applicable for each domain/forest that hosts Windows Hello for business components or is involved in the Kerberos referral process.

Schlüsselbasiertes VertrauenKey trust
Verwaltete GruppenrichtlinieGroup Policy managed
Zertifikatbasiertes VertrauenCertificate trust
Gemischt verwaltetMixed managed
Schlüsselbasiertes VertrauenKey trust
Modern verwaltetModern managed
Zertifikatbasiertes VertrauenCertificate trust
Modern verwaltetModern managed
Windows10, Version 1511 oder höherWindows 10, version 1511 or later In Azure AD eingebunden:Hybrid Azure AD Joined:
Minimum: Windows 10, Version 1703Minimum: Windows 10, version 1703
Beste Erfahrung: Windows10, Version 1709 oder höher (unterstützt synchrone Zertifikatregistrierung).Best experience: Windows 10, version 1709 or later (supports synchronous certificate enrollment).
In Azure AD eingebunden:Azure AD Joined:
Windows10, Version 1511 oder höherWindows 10, version 1511 or later
Windows10, Version 1511 oder höherWindows 10, version 1511 or later Windows10, Version 1511 oder höherWindows 10, version 1511 or later
Windows Server 2016 oder höher SchemaWindows Server 2016 or later Schema Windows Server 2016 oder höher SchemaWindows Server 2016 or later Schema Windows Server 2016 oder höher SchemaWindows Server 2016 or later Schema Windows Server 2016 oder höher SchemaWindows Server 2016 or later Schema
Windows Server 2008 R2 Domänen-/GesamtstrukturfunktionsebeneWindows Server 2008 R2 Domain/Forest functional level Windows Server 2008 R2 Domänen-/GesamtstrukturfunktionsebeneWindows Server 2008 R2 Domain/Forest functional level Windows Server 2008 R2 Domänen-/GesamtstrukturfunktionsebeneWindows Server 2008 R2 Domain/Forest functional level Windows Server 2008 R2 Domänen-/GesamtstrukturfunktionsebeneWindows Server 2008 R2 Domain/Forest functional level
Windows Server 2016 oder höher DomänencontrollerWindows Server 2016 or later Domain Controllers Windows Server 2008R2-Domänencontroller oder höherWindows Server 2008 R2 or later Domain Controllers Windows Server 2016 oder höher DomänencontrollerWindows Server 2016 or later Domain Controllers Windows Server 2008R2-Domänencontroller oder höherWindows Server 2008 R2 or later Domain Controllers
Windows Server2012-Zertifizierungsstelle oder höherWindows Server 2012 or later Certificate Authority Windows Server2012-Zertifizierungsstelle oder höherWindows Server 2012 or later Certificate Authority Windows Server2012-Zertifizierungsstelle oder höherWindows Server 2012 or later Certificate Authority Windows Server2012-Zertifizierungsstelle oder höherWindows Server 2012 or later Certificate Authority
N/A Windows Server2016 AD FS mit KB4088889 Update (in hybride Azure AD eingebundene Clients),Windows Server 2016 AD FS with KB4088889 update (hybrid Azure AD joined clients),
undand
Windows Server2012 Network Device Enrollment Service oder höher (in Azure AD eingebunden)Windows Server 2012 or later Network Device Enrollment Service (Azure AD joined)
n.a.N/A Windows Server2012 Network Device Enrollment Service oder höherWindows Server 2012 or later Network Device Enrollment Service
Azure MFA-Mandant oderAzure MFA tenant, or
AD FS mit Azure MFA-Adapter oderAD FS w/Azure MFA adapter, or
AD FS mit Azure MFA-Serveradapter oderAD FS w/Azure MFA Server adapter, or
AD FS mit MFA-Adapter von DrittanbieterAD FS w/3rd Party MFA Adapter
Azure MFA-Mandant oderAzure MFA tenant, or
AD FS mit Azure MFA-Adapter oderAD FS w/Azure MFA adapter, or
AD FS mit Azure MFA-Serveradapter oderAD FS w/Azure MFA Server adapter, or
AD FS mit MFA-Adapter von DrittanbieterAD FS w/3rd Party MFA Adapter
Azure MFA-Mandant oderAzure MFA tenant, or
AD FS mit Azure MFA-Adapter oderAD FS w/Azure MFA adapter, or
AD FS mit Azure MFA-Serveradapter oderAD FS w/Azure MFA Server adapter, or
AD FS mit MFA-Adapter von DrittanbieterAD FS w/3rd Party MFA Adapter
Azure MFA-Mandant oderAzure MFA tenant, or
AD FS mit Azure MFA-Adapter oderAD FS w/Azure MFA adapter, or
AD FS mit Azure MFA-Serveradapter oderAD FS w/Azure MFA Server adapter, or
AD FS mit MFA-Adapter von DrittanbieterAD FS w/3rd Party MFA Adapter
Azure-KontoAzure Account Azure-KontoAzure Account Azure-KontoAzure Account Azure-KontoAzure Account
Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory
Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect
Azure AD Premium, optionalAzure AD Premium, optional Azure AD Premium, erforderlich für gerätezusend zurückschreibenAzure AD Premium, needed for device write-back Azure AD Premium, optional für automatische MDM-RegistrierungAzure AD Premium, optional for automatic MDM enrollment Azure AD Premium, optional für automatische MDM-RegistrierungAzure AD Premium, optional for automatic MDM enrollment

Wichtig

  1. Hybridbereitstellungen unterstützen die nicht destruktive PIN-Zurücksetzung, die sowohl mit der Zertifikatvertrauensstellung als auch mit den wichtigsten Vertrauensmodellen funktioniert.Hybrid deployments support non-destructive PIN reset that works with both the certificate trust and key trust models.
    Anforderungen:Requirements:
    Microsoft PIN Reset Service – Windows 10, Versionen 1709 bis 1809, Enterprise Edition.Microsoft PIN Reset Service - Windows 10, versions 1709 to 1809, Enterprise Edition. Seit Version 1903 gibt es keine Lizenzierungsanforderung für diesen Dienst.There is no licensing requirement for this service since version 1903
    Zurücksetzen über sperrbildschirm (Ich habe meinen PIN-Link vergessen) - Windows 10, Version 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

  2. Lokale Bereitstellungen unterstützen eine destruktive PIN-Zurücksetzung, die sowohl mit der Zertifikatvertrauensstellung als auch mit den wichtigsten Vertrauensmodellen funktioniert.On-premises deployments support destructive PIN reset that works with both the certificate trust and the key trust models.
    Anforderungen:Requirements:
    Zurücksetzen von Einstellungen – Windows 10, Version 1703, ProfessionalReset from settings - Windows 10, version 1703, Professional
    Zurücksetzen oberhalb des Sperrbildschirms – Windows 10, Version 1709, ProfessionalReset above lock screen - Windows 10, version 1709, Professional
    Zurücksetzen über sperrbildschirm (Ich habe meinen PIN-Link vergessen) - Windows 10, Version 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

Lokale BereitstellungenOn-premises Deployments

Die Tabelle enthält die Mindestanforderungen für jede Bereitstellung.The table shows the minimum requirements for each deployment.

Schlüsselbasiertes VertrauenKey trust
Verwaltete GruppenrichtlinieGroup Policy managed
Zertifikatbasiertes VertrauenCertificate trust
Verwaltete GruppenrichtlinieGroup Policy managed
Windows10, Version 1703 oder höherWindows 10, version 1703 or later Windows10, Version 1703 oder höherWindows 10, version 1703 or later
Windows Server2016-SchemaWindows Server 2016 Schema Windows Server2016-SchemaWindows Server 2016 Schema
Windows Server 2008 R2 Domänen-/GesamtstrukturfunktionsebeneWindows Server 2008 R2 Domain/Forest functional level Windows Server 2008 R2 Domänen-/GesamtstrukturfunktionsebeneWindows Server 2008 R2 Domain/Forest functional level
Windows Server 2016 oder höher DomänencontrollerWindows Server 2016 or later Domain Controllers Windows Server 2008R2-Domänencontroller oder höherWindows Server 2008 R2 or later Domain Controllers
Windows Server2012-Zertifizierungsstelle oder höherWindows Server 2012 or later Certificate Authority Windows Server2012-Zertifizierungsstelle oder höherWindows Server 2012 or later Certificate Authority
Windows Server 2016 AD FS mit KB4088889 UpdateWindows Server 2016 AD FS with KB4088889 update Windows Server 2016 AD FS mit KB4088889 UpdateWindows Server 2016 AD FS with KB4088889 update
AD FS mit MFA-Adapter von DrittanbieterAD FS with 3rd Party MFA Adapter AD FS mit MFA-Adapter von DrittanbieterAD FS with 3rd Party MFA Adapter
Azure-Konto, optional für Azure MFA-AbrechnungAzure Account, optional for Azure MFA billing Azure-Konto, optional für Azure MFA-AbrechnungAzure Account, optional for Azure MFA billing

Wichtig

Wenn Sie über mehrere Domänen verfügen, ist für Windows Hello for Business-Schlüsselvertrauensbereitstellungen mindestens ein Windows Server-Domänencontroller 2016 oder neuer für jede Domäne erforderlich.For Windows Hello for Business key trust deployments, if you have several domains, at least one Windows Server Domain Controller 2016 or newer is required for each domain. Weitere Informationen finden Sie im Planungshandbuch.For more information, see the planning guide.