Windows Hello for Business – Übersicht über die Voraussetzungen für die Bereitstellung

In diesem Artikel werden die Infrastrukturanforderungen für die verschiedenen Bereitstellungsmodelle für Windows Hello for Business aufgeführt.

Azure AD Nur-Cloud-Bereitstellung

  • Windows 10, Version 1511 oder höher oder Windows 11
  • MicrosoftAzure-Konto
  • Azure Active Directory
  • Azure AD Mehrstufige Authentifizierung
  • Moderne Verwaltung (Intune oder unterstütztes MDM von Drittanbietern) optional
  • Azure AD Premium-Abonnement – optional, erforderlich für die automatische MDM-Registrierung, wenn das Gerät zu Azure Active Directory hinzugefügt wird

Hybridbereitstellungen

Die Tabelle enthält die Mindestanforderungen für jede Bereitstellung. Für die Schlüsselvertrauensstellung in einer Bereitstellung mit mehreren Domänen/mehreren Gesamtstrukturen gelten die folgenden Anforderungen für jede Domäne/Gesamtstruktur, die Windows Hello für Geschäftskomponenten hostet oder am Kerberos-Verweisprozess beteiligt ist.

Anforderung Cloud-Vertrauensstellung (Vorschau)
Gruppenrichtlinie oder modern verwaltete
Schlüsselbasiertes Vertrauen
Gruppenrichtlinie oder modern verwaltete
Zertifikatbasiertes Vertrauen
Gemischt verwaltet
Zertifikatbasiertes Vertrauen
Modern verwaltet
Windows-Version Windows 10, Version 21H2 mit KB5010415; Windows 11 mit KB5010414 oder höher Windows10, Version 1511 oder höher In Azure AD eingebunden:
Minimum: Windows 10, Version 1703
Beste Erfahrung: Windows10, Version 1709 oder höher (unterstützt synchrone Zertifikatregistrierung).
In Azure AD eingebunden:
Windows10, Version 1511 oder höher
Windows10, Version 1511 oder höher
Schemaversion Keine spezifische Schemaanforderung Windows Server 2016 oder höher Windows Server 2016 oder höher Windows Server 2016 oder höher
Domänen- und Gesamtstrukturfunktionsebene Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene
Domänencontrollerversion Windows Server 2016 oder höher Windows Server 2016 oder höher Windows Server 2008 R2 oder höher Windows Server 2008 R2 oder höher
Zertifizierungsstelle Nicht zutreffend Windows Server2012-Zertifizierungsstelle oder höher Windows Server2012-Zertifizierungsstelle oder höher Windows Server2012-Zertifizierungsstelle oder höher
AD FS-Version Nicht zutreffend Nicht zutreffend Windows Server2016 AD FS mit KB4088889 Update (in hybride Azure AD eingebundene Clients),
und
Windows Server2012 Network Device Enrollment Service oder höher (in Azure AD eingebunden)
Windows Server2012 Network Device Enrollment Service oder höher
MFA-Anforderung Azure MFA-Mandant oder
AD FS mit Azure MFA-Adapter oder
AD FS mit Azure MFA-Serveradapter oder
AD FS mit MFA-Adapter von Drittanbieter
Azure MFA-Mandant oder
AD FS mit Azure MFA-Adapter oder
AD FS mit Azure MFA-Serveradapter oder
AD FS mit MFA-Adapter von Drittanbieter
Azure MFA-Mandant oder
AD FS mit Azure MFA-Adapter oder
AD FS mit Azure MFA-Serveradapter oder
AD FS mit MFA-Adapter von Drittanbieter
Azure MFA-Mandant oder
AD FS mit Azure MFA-Adapter oder
AD FS mit Azure MFA-Serveradapter oder
AD FS mit MFA-Adapter von Drittanbieter
Azure AD Connect Nicht zutreffend Erforderlich Erforderlich Erforderlich
Azure AD-Lizenz Azure AD Premium, optional Azure AD Premium, optional Azure AD Premium, erforderlich für den Geräterückschreiben Azure AD Premium, optional. Intune-Lizenz erforderlich

Wichtig

  • Hybridbereitstellungen unterstützen die nicht destruktive PIN-Zurücksetzung, die mit Zertifikatvertrauensmodellen, Schlüsselvertrauensmodellen und Cloudvertrauensmodellen funktioniert.

    Anforderungen:

    • Microsoft PIN Reset Service – Windows 10, Versionen 1709 bis 1809, Enterprise Edition. Es gibt keine Lizenzierungsanforderung für diesen Dienst seit Version 1903.
    • Oberhalb des Sperrbildschirms zurücksetzen (ich habe meinen PIN-Link vergessen) – Windows 10, Version 1903
  • Lokale Bereitstellungen unterstützen die destruktive PIN-Zurücksetzung, die sowohl mit der Zertifikatvertrauensstellung als auch mit den Schlüsselvertrauensmodellen funktioniert.

    Anforderungen:

    • Zurücksetzen von Einstellungen – Windows 10, Version 1703, Professional
    • Oberhalb des Sperrbildschirms zurücksetzen – Windows 10, Version 1709, Professional
    • Oberhalb des Sperrbildschirms zurücksetzen (ich habe meinen PIN-Link vergessen) – Windows 10, Version 1903

Lokale Bereitstellungen

Die Tabelle enthält die Mindestanforderungen für jede Bereitstellung.

Schlüsselbasiertes Vertrauen
Verwaltete Gruppenrichtlinie
Zertifikatbasiertes Vertrauen
Verwaltete Gruppenrichtlinie
Windows10, Version 1703 oder höher Windows10, Version 1703 oder höher
Windows Server2016-Schema Windows Server2016-Schema
Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene
Windows Server 2016 oder höher Domänencontroller Windows Server 2008R2-Domänencontroller oder höher
Windows Server2012-Zertifizierungsstelle oder höher Windows Server2012-Zertifizierungsstelle oder höher
Windows Server 2016 AD FS mit KB4088889 Update Windows Server 2016 AD FS mit KB4088889 Update
AD FS mit MFA-Adapter von Drittanbieter AD FS mit MFA-Adapter von Drittanbieter
Azure-Konto, optional für Azure MFA-Abrechnung Azure-Konto, optional für Azure MFA-Abrechnung

Wichtig

Wenn Sie über mehrere Domänen verfügen, ist für Windows Hello for Business-Schlüsselvertrauensbereitstellungen mindestens ein Windows Serverdomänencontroller 2016 oder höher für jede Domäne erforderlich. Weitere Informationen finden Sie im Planungshandbuch.