Windows Hello for BusinessWindows Hello for Business

In Windows10 ersetzt Windows Hello for Business Kennwörter durch eine starke zweistufige Authentifizierung auf PCs und mobilen Geräten.In Windows10, Windows Hello for Business replaces passwords with strong two-factor authentication on PCs and mobile devices. Diese Authentifizierung besteht aus einer neuen Art von Benutzeranmeldeinformationen, die an ein Gerät gebunden ist und ein biometrisches Merkmal oder eine PIN verwendet.This authentication consists of a new type of user credential that is tied to a device and uses a biometric or PIN.
Mit Windows Hello for Business können Benutzer sich bei einem Active Directory- oder Azure Active Directory-Konto authentifizieren.Windows Hello for Business lets user authenticate to an Active Directory or Azure Active Directory account.

Windows Hello behandelt die folgenden Probleme mit Kennwörtern:Windows Hello addresses the following problems with passwords:

  • Sichere Kennwörter kann man sich teilweise schlecht merken. Benutzer verwenden deshalb häufig dieselben Kennwörter für mehrere Websites.Strong passwords can be difficult to remember, and users often reuse passwords on multiple sites.
  • Serververletzungen können symmetrische Netzwerkanmeldeinformationen (Kennwörter) verfügbar machen.Server breaches can expose symmetric network credentials (passwords).
  • Kennwörter sind Ziel von Replay-Angriffen.Passwords are subject to replay attacks.
  • Benutzer können versehentlich ihre Kennwörter aufgrund von Phishing-Angriffen offenlegen.Users can inadvertently expose their passwords due to phishing attacks.
Übersichtssymbol
ÜbersichtOverview
Warum eine PIN besser als ein Kennwort ist
Warum eine PIN besser als ein Kennwort istWhy PIN is better than a password
Symbol für „Hello verwalten”
Verwalten von Windows Hello for Business im UnternehmenManage Windows Hello in your Organization

VoraussetzungenPrerequisites

Bereitstellung nur in der CloudCloud Only Deployment

  • Windows10, Version 1511 oder höherWindows 10, version 1511 or later
  • MicrosoftAzure-KontoMicrosoft Azure Account
  • Azure Active DirectoryAzure Active Directory
  • Azure-mehrstufige AuthentifizierungAzure Multi-factor authentication
  • Moderne Verwaltung (Intune oder unterstütztes MDM von Drittanbietern) optionalModern Management (Intune or supported third-party MDM), optional
  • Azure AD Premium-Abonnement – optional, erforderlich für die automatische MDM-Registrierung, wenn das Gerät zu Azure Active Directory hinzugefügt wirdAzure AD Premium subscription - optional, needed for automatic MDM enrollment when the device joins Azure Active Directory

HybridbereitstellungenHybrid Deployments

Die Tabelle enthält die Mindestanforderungen für jede Bereitstellung.The table shows the minimum requirements for each deployment. Für die Schlüssel Vertrauensstellung in einer Bereitstellung mit mehreren Domänen/Gesamtstrukturen gelten die folgenden Anforderungen für jede Domäne/Gesamtstruktur, die Windows Hello for Business-Komponenten hostet oder am Kerberos-Verweis Prozess beteiligt ist.For key trust in a multi-domain/multi-forest deployment, the following requirements are applicable for each domain/forest that hosts Windows Hello for business components or is involved in the Kerberos referral process.

Schlüsselbasiertes VertrauenKey trust
Verwaltete GruppenrichtlinieGroup Policy managed
Zertifikatbasiertes VertrauenCertificate trust
Gemischt verwaltetMixed managed
Schlüsselbasiertes VertrauenKey trust
Modern verwaltetModern managed
Zertifikatbasiertes VertrauenCertificate trust
Modern verwaltetModern managed
Windows10, Version 1511 oder höherWindows 10, version 1511 or later In Azure AD eingebunden:Hybrid Azure AD Joined:
Minimum: Windows 10, Version 1703Minimum: Windows 10, version 1703
Beste Erfahrung: Windows10, Version 1709 oder höher (unterstützt synchrone Zertifikatregistrierung).Best experience: Windows 10, version 1709 or later (supports synchronous certificate enrollment).
In Azure AD eingebunden:Azure AD Joined:
Windows10, Version 1511 oder höherWindows 10, version 1511 or later
Windows10, Version 1511 oder höherWindows 10, version 1511 or later Windows10, Version 1511 oder höherWindows 10, version 1511 or later
Schema für Windows Server 2016 oder höherWindows Server 2016 or later Schema Schema für Windows Server 2016 oder höherWindows Server 2016 or later Schema Schema für Windows Server 2016 oder höherWindows Server 2016 or later Schema Schema für Windows Server 2016 oder höherWindows Server 2016 or later Schema
Windows Server 2008 R2 Domänen-/GesamtstrukturfunktionsebeneWindows Server 2008 R2 Domain/Forest functional level Windows Server 2008 R2 Domänen-/GesamtstrukturfunktionsebeneWindows Server 2008 R2 Domain/Forest functional level Windows Server 2008 R2 Domänen-/GesamtstrukturfunktionsebeneWindows Server 2008 R2 Domain/Forest functional level Windows Server 2008 R2 Domänen-/GesamtstrukturfunktionsebeneWindows Server 2008 R2 Domain/Forest functional level
Windows Server 2016 oder höher-DomänencontrollerWindows Server 2016 or later Domain Controllers Windows Server 2008R2-Domänencontroller oder höherWindows Server 2008 R2 or later Domain Controllers Windows Server 2016 oder höher-DomänencontrollerWindows Server 2016 or later Domain Controllers Windows Server 2008R2-Domänencontroller oder höherWindows Server 2008 R2 or later Domain Controllers
Windows Server2012-Zertifizierungsstelle oder höherWindows Server 2012 or later Certificate Authority Windows Server2012-Zertifizierungsstelle oder höherWindows Server 2012 or later Certificate Authority Windows Server2012-Zertifizierungsstelle oder höherWindows Server 2012 or later Certificate Authority Windows Server2012-Zertifizierungsstelle oder höherWindows Server 2012 or later Certificate Authority
N/A Windows Server2016 AD FS mit KB4088889 Update (in hybride Azure AD eingebundene Clients),Windows Server 2016 AD FS with KB4088889 update (hybrid Azure AD joined clients),
undand
Windows Server2012 Network Device Enrollment Service oder höher (in Azure AD eingebunden)Windows Server 2012 or later Network Device Enrollment Service (Azure AD joined)
n.a.N/A Windows Server2012 Network Device Enrollment Service oder höherWindows Server 2012 or later Network Device Enrollment Service
Azure MFA-Mandant oderAzure MFA tenant, or
AD FS mit Azure MFA-Adapter oderAD FS w/Azure MFA adapter, or
AD FS mit Azure MFA-Serveradapter oderAD FS w/Azure MFA Server adapter, or
AD FS mit MFA-Adapter von DrittanbieterAD FS w/3rd Party MFA Adapter
Azure MFA-Mandant oderAzure MFA tenant, or
AD FS mit Azure MFA-Adapter oderAD FS w/Azure MFA adapter, or
AD FS mit Azure MFA-Serveradapter oderAD FS w/Azure MFA Server adapter, or
AD FS mit MFA-Adapter von DrittanbieterAD FS w/3rd Party MFA Adapter
Azure MFA-Mandant oderAzure MFA tenant, or
AD FS mit Azure MFA-Adapter oderAD FS w/Azure MFA adapter, or
AD FS mit Azure MFA-Serveradapter oderAD FS w/Azure MFA Server adapter, or
AD FS mit MFA-Adapter von DrittanbieterAD FS w/3rd Party MFA Adapter
Azure MFA-Mandant oderAzure MFA tenant, or
AD FS mit Azure MFA-Adapter oderAD FS w/Azure MFA adapter, or
AD FS mit Azure MFA-Serveradapter oderAD FS w/Azure MFA Server adapter, or
AD FS mit MFA-Adapter von DrittanbieterAD FS w/3rd Party MFA Adapter
Azure-KontoAzure Account Azure-KontoAzure Account Azure-KontoAzure Account Azure-KontoAzure Account
Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory Azure Active DirectoryAzure Active Directory
Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect Azure AD ConnectAzure AD Connect
Azure AD Premium, optionalAzure AD Premium, optional Azure AD Premium, erforderlich für das Zurückschreiben von GerätenAzure AD Premium, needed for device write-back Azure AD Premium, optional für automatische MDM-RegistrierungAzure AD Premium, optional for automatic MDM enrollment Azure AD Premium, optional für automatische MDM-RegistrierungAzure AD Premium, optional for automatic MDM enrollment

Wichtig

  1. Hybrid Bereitstellungen unterstützen den zerstörungsfreien Pin-Reset, der sowohl mit der Zertifikats Vertrauensstellung als auch mit den Schlüssel Vertrauensstellungs Modellen funktioniert.Hybrid deployments support non-destructive PIN reset that works with both the certificate trust and key trust models.
    Anforderungen:Requirements:
    Microsoft Pin-Zurücksetzungs Dienst – Windows 10, Versionen 1709 bis 1809, Enterprise Edition.Microsoft PIN Reset Service - Windows 10, versions 1709 to 1809, Enterprise Edition. Es gibt keine Lizenzierungsanforderung für diesen Dienst seit Version 1903There is no licensing requirement for this service since version 1903
    Zurücksetzen über dem Sperrbildschirm (Ich habe meinen PIN -Link vergessen)-Windows 10, Version 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

  2. Lokale Bereitstellungen unterstützen den destruktiven Pin-Reset, der sowohl mit der Zertifikats Vertrauensstellung als auch mit den Schlüssel Vertrauensstellungs Modellen funktioniert.On-premises deployments support destructive PIN reset that works with both the certificate trust and the key trust models.
    Anforderungen:Requirements:
    Zurücksetzen von Einstellungen – Windows 10, Version 1703, professionellReset from settings - Windows 10, version 1703, Professional
    Zurücksetzen über den Sperrbildschirm – Windows 10, Version 1709, professionellReset above lock screen - Windows 10, version 1709, Professional
    Zurücksetzen über dem Sperrbildschirm (Ich habe meinen PIN -Link vergessen)-Windows 10, Version 1903Reset above lock screen (I forgot my PIN link) - Windows 10, version 1903

Lokale BereitstellungenOn-premises Deployments

Die Tabelle enthält die Mindestanforderungen für jede Bereitstellung.The table shows the minimum requirements for each deployment.

Schlüsselbasiertes VertrauenKey trust
Verwaltete GruppenrichtlinieGroup Policy managed
Zertifikatbasiertes VertrauenCertificate trust
Verwaltete GruppenrichtlinieGroup Policy managed
Windows10, Version 1703 oder höherWindows 10, version 1703 or later Windows10, Version 1703 oder höherWindows 10, version 1703 or later
Windows Server2016-SchemaWindows Server 2016 Schema Windows Server2016-SchemaWindows Server 2016 Schema
Windows Server 2008 R2 Domänen-/GesamtstrukturfunktionsebeneWindows Server 2008 R2 Domain/Forest functional level Windows Server 2008 R2 Domänen-/GesamtstrukturfunktionsebeneWindows Server 2008 R2 Domain/Forest functional level
Windows Server 2016 oder höher-DomänencontrollerWindows Server 2016 or later Domain Controllers Windows Server 2008R2-Domänencontroller oder höherWindows Server 2008 R2 or later Domain Controllers
Windows Server2012-Zertifizierungsstelle oder höherWindows Server 2012 or later Certificate Authority Windows Server2012-Zertifizierungsstelle oder höherWindows Server 2012 or later Certificate Authority
Windows Server 2016 AD FS mit KB4088889 UpdateWindows Server 2016 AD FS with KB4088889 update Windows Server 2016 AD FS mit KB4088889 UpdateWindows Server 2016 AD FS with KB4088889 update
AD FS mit MFA-Adapter von DrittanbieterAD FS with 3rd Party MFA Adapter AD FS mit MFA-Adapter von DrittanbieterAD FS with 3rd Party MFA Adapter
Azure-Konto, optional für Azure MFA-AbrechnungAzure Account, optional for Azure MFA billing Azure-Konto, optional für Azure MFA-AbrechnungAzure Account, optional for Azure MFA billing

Wichtig

Für Windows Hello for Business-Schlüssel Vertrauensstellungs Bereitstellungen ist für jede Domäne mindestens ein Windows Server-Domänen Controller 2016 oder höher erforderlich, wenn Sie über mehrere Domänen verfügen.For Windows Hello for Business key trust deployments, if you have several domains, at least one Windows Server Domain Controller 2016 or newer is required for each domain. Weitere Informationen finden Sie im Planungshandbuch.For more information, see the planning guide.