Windows Hello for Business

In Windows10 ersetzt Windows Hello for Business Kennwörter durch eine starke zweistufige Authentifizierung auf PCs und mobilen Geräten. Diese Authentifizierung besteht aus einer neuen Art von Benutzeranmeldeinformationen, die an ein Gerät gebunden ist und ein biometrisches Merkmal oder eine PIN verwendet.
Mit Windows Hello for Business können Benutzer sich bei einem Active Directory- oder Azure Active Directory-Konto authentifizieren.

Windows Hello behandelt die folgenden Probleme mit Kennwörtern:

  • Sichere Kennwörter kann man sich teilweise schlecht merken. Benutzer verwenden deshalb häufig dieselben Kennwörter für mehrere Websites.
  • Serververletzungen können symmetrische Netzwerkanmeldeinformationen (Kennwörter) verfügbar machen.
  • Kennwörter sind Ziel von Replay-Angriffen.
  • Benutzer können versehentlich ihre Kennwörter aufgrund von Phishing-Angriffen offenlegen.
Übersichtssymbol
Übersicht
Warum eine PIN besser als ein Kennwort ist
Warum eine PIN besser als ein Kennwort ist
Symbol für „Hello verwalten”
Verwalten von Windows Hello for Business im Unternehmen

Voraussetzungen

Wichtig

  1. Hybrid Bereitstellungen unterstützen die nicht destruktive Pin-Zurücksetzung, die nur mit dem Zertifikat Vertrauensmodell funktioniert.
    . Anforderungen:
    Microsoft Pin-Zurücksetzungs Dienst – Windows 10, Versionen 1709 bis 1809, Enterprise Edition. Es gibt keine Lizenzierungsanforderung für diesen Dienst seit Version 1903
    Zurücksetzen über dem Sperrbildschirm (Ich habe meinen PIN -Link vergessen)-Windows 10, Version 1903

  2. Lokale Bereitstellungen unterstützen den destruktiven Pin-Reset, der sowohl mit der Zertifikats Vertrauensstellung als auch mit den Schlüssel Vertrauensstellungs Modellen funktioniert.
    Anforderungen:
    Zurücksetzen von Einstellungen – Windows 10, Version 1703, professionell
    Zurücksetzen über den Sperrbildschirm – Windows 10, Version 1709, professionell
    Zurücksetzen über dem Sperrbildschirm (Ich habe meinen PIN -Link vergessen)-Windows 10, Version 1903

Bereitstellung nur in der Cloud

  • Windows10, Version 1511 oder höher
  • MicrosoftAzure-Konto
  • Azure Active Directory
  • Azure-mehrstufige Authentifizierung
  • Moderne Verwaltung (Intune oder unterstütztes MDM von Drittanbietern) optional
  • Azure AD Premium-Abonnement – optional, erforderlich für die automatische MDM-Registrierung, wenn das Gerät zu Azure Active Directory hinzugefügt wird

Hybridbereitstellungen

Die Tabelle enthält die Mindestanforderungen für jede Bereitstellung. Für die Schlüssel Vertrauensstellung in einer Bereitstellung mit mehreren Domänen/Gesamtstrukturen gelten die folgenden Anforderungen für jede Domäne/Gesamtstruktur, die Windows Hello for Business-Komponenten hostet oder am Kerberos-Verweis Prozess beteiligt ist.

Schlüsselbasiertes Vertrauen
Verwaltete Gruppenrichtlinie
Zertifikatbasiertes Vertrauen
Gemischt verwaltet
Schlüsselbasiertes Vertrauen
Modern verwaltet
Zertifikatbasiertes Vertrauen
Modern verwaltet
Windows10, Version 1511 oder höher In Azure AD eingebunden:
Minimum: Windows 10, Version 1703
Beste Erfahrung: Windows10, Version 1709 oder höher (unterstützt synchrone Zertifikatregistrierung).
In Azure AD eingebunden:
Windows10, Version 1511 oder höher
Windows10, Version 1511 oder höher Windows10, Version 1511 oder höher
Windows Server2016-Schema Windows Server2016-Schema Windows Server2016-Schema Windows Server2016-Schema
Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene
Windows Server 2016 oder höher-Domänencontroller Windows Server 2008R2-Domänencontroller oder höher Windows Server 2016 oder höher-Domänencontroller Windows Server 2008R2-Domänencontroller oder höher
Windows Server2012-Zertifizierungsstelle oder höher Windows Server2012-Zertifizierungsstelle oder höher Windows Server2012-Zertifizierungsstelle oder höher Windows Server2012-Zertifizierungsstelle oder höher
Windows Server2016 AD FS mit KB4088889 Update (in hybride Azure AD eingebundene Clients),
und
Windows Server2012 Network Device Enrollment Service oder höher (in Azure AD eingebunden)
n.a. Windows Server2012 Network Device Enrollment Service oder höher
Azure MFA-Mandant oder
AD FS mit Azure MFA-Adapter oder
AD FS mit Azure MFA-Serveradapter oder
AD FS mit MFA-Adapter von Drittanbieter
Azure MFA-Mandant oder
AD FS mit Azure MFA-Adapter oder
AD FS mit Azure MFA-Serveradapter oder
AD FS mit MFA-Adapter von Drittanbieter
Azure MFA-Mandant oder
AD FS mit Azure MFA-Adapter oder
AD FS mit Azure MFA-Serveradapter oder
AD FS mit MFA-Adapter von Drittanbieter
Azure MFA-Mandant oder
AD FS mit Azure MFA-Adapter oder
AD FS mit Azure MFA-Serveradapter oder
AD FS mit MFA-Adapter von Drittanbieter
Azure-Konto Azure-Konto Azure-Konto Azure-Konto
Azure Active Directory Azure Active Directory Azure Active Directory Azure Active Directory
Azure AD Connect Azure AD Connect Azure AD Connect Azure AD Connect
Azure AD Premium, optional Azure AD Premium, erforderlich für das Zurückschreiben von Geräten Azure AD Premium, optional für automatische MDM-Registrierung Azure AD Premium, optional für automatische MDM-Registrierung

Lokale Bereitstellungen

Die Tabelle enthält die Mindestanforderungen für jede Bereitstellung.

Schlüsselbasiertes Vertrauen
Verwaltete Gruppenrichtlinie
Zertifikatbasiertes Vertrauen
Verwaltete Gruppenrichtlinie
Windows10, Version 1703 oder höher Windows10, Version 1703 oder höher
Windows Server2016-Schema Windows Server2016-Schema
Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene Windows Server 2008 R2 Domänen-/Gesamtstrukturfunktionsebene
Windows Server 2016 oder höher-Domänencontroller Windows Server 2008R2-Domänencontroller oder höher
Windows Server2012-Zertifizierungsstelle oder höher Windows Server2012-Zertifizierungsstelle oder höher
Windows Server 2016 AD FS mit KB4088889 Update Windows Server 2016 AD FS mit KB4088889 Update
AD FS mit MFA-Adapter von Drittanbieter AD FS mit MFA-Adapter von Drittanbieter
Azure-Konto, optional für Azure MFA-Abrechnung Azure-Konto, optional für Azure MFA-Abrechnung

Wichtig

Für Windows Hello for Business-Schlüssel Vertrauensstellungs Bereitstellungen ist für jede Domäne mindestens ein Windows Server-Domänen Controller 2016 oder höher erforderlich, wenn Sie über mehrere Domänen verfügen. Weitere Informationen finden Sie im Planungshandbuch.