Verwalten von Windows Hello for Business im Unternehmen

Betrifft

  • Windows 10

Sie können eine Gruppenrichtlinie oder eine MDM-Richtlinie (Mobile Device Management) erstellen, die Windows Hello auf Geräten mit Windows10 implementiert.

Wichtig

Die Gruppenrichtlinieneinstellung PIN-Anmeldung aktivieren gilt nicht für Windows Hello for Business. Sie verhindert oder aktiviert immer noch die Erstellung einer praktischen PIN für Windows 10, Version 1507 und 1511.

Ab Version 1607 ist die Komfort-PIN-Anmeldung mit Windows Hello auf allen Computern, die in die Domäne eingebunden sind, standardmäßig deaktiviert. Zum Aktivieren der Komfort-PIN für Windows 10, Version 1607, aktivieren Sie die Gruppenrichtlinieneinstellung Komfortable PIN-Anmeldung aktivieren.

Verwenden Sie PIN-Komplexität-Richtlinieneinstellungen zur Verwaltung von PINs für Windows Hello for Business.

Gruppenrichtlinieneinstellungen für Windows Hello for Business

Die folgende Tabelle enthält die Gruppenrichtlinieneinstellungen, die Sie für die Verwendung von Windows Hello an Ihrem Arbeitsplatz konfigurieren können. Diese Richtlinieneinstellungen stehen sowohl unter Benutzerkonfiguration als auch unter Computerkonfiguration unter Richtlinien > Administrative Vorlagen > Windows-Komponenten > Windows Hello for Business zur Verfügung.

Richtlinie Optionen
Windows Hello for Business verwenden

Nicht konfiguriert: Benutzer können Windows Hello for Business bereitstellen. Mit diesem Feature wird ihr Domänenkennwort verschlüsselt.

Aktiviert: Das Gerät stellt Windows Hello for Business mithilfe von Schlüsseln oder Zertifikaten für alle Benutzer bereit.

Deaktiviert: Das Gerät stellt Windows Hello for Business für keinen Benutzer bereit.

Gerät mit sicherer Hardware verwenden

Nicht konfiguriert: Windows Hello for Business wird mit TPM (sofern verfügbar) bereitgestellt. Wenn TPM nicht verfügbar ist, wird Windows Hello for Business mithilfe von Software bereitgestellt.

Aktiviert: Windows Hello for Business wird nur mit TPM bereitgestellt.

Deaktiviert: Windows Hello for Business wird mit TPM (sofern verfügbar) bereitgestellt. Wenn TPM nicht verfügbar ist, wird Windows Hello for Business mithilfe von Software bereitgestellt.

Biometrie verwenden

Nicht konfiguriert: Biometrie kann als Geste anstelle einer PIN verwendet werden.

Aktiviert: Biometrie kann als Geste anstelle einer PIN verwendet werden.

Deaktiviert: Nur eine PIN kann als Geste verwendet werden.

PIN-Komplexität Ziffern erforderlich

Nicht konfiguriert: Benutzer müssen eine Ziffer in ihrer PIN verwenden.

Aktiviert: Benutzer müssen eine Ziffer in ihrer PIN verwenden.

Deaktiviert: Benutzer können keine Ziffern in ihrer PIN verwenden.

Kleinbuchstaben erforderlich

Nicht konfiguriert: Benutzer können in ihrer PIN keine Kleinbuchstaben verwenden.

Aktiviert: Benutzer müssen in ihrer PIN mindestens einen Kleinbuchstaben verwenden.

Deaktiviert: Benutzer können in ihrer PIN keine Kleinbuchstaben verwenden.

Maximale PIN-Länge

Nicht konfiguriert: Die PIN darf maximal 127 Zeichen lang sein.

Aktiviert: Die PIN darf maximal so lang wie der angegebene Wert sein.

Deaktiviert: Die PIN darf maximal 127 Zeichen lang sein.

Minimale PIN-Länge

Nicht konfiguriert: Die PIN muss mindestens 4 Zeichen lang sein.

Aktiviert: Die PIN muss mindestens so lang wie der angegebene Wert sein.

Deaktiviert: Die PIN muss mindestens 4 Zeichen lang sein.

Ablauf

Nicht konfiguriert: Die PIN läuft nicht ab.

Aktiviert: Der Ablauf der PIN kann auf eine beliebige Anzahl von Tagen zwischen 1 und 730 festgelegt werden. Sie können auch angeben, dass die PIN nie abläuft, indem Sie die Richtlinieneinstellung auf 0 festlegen.

Deaktiviert: Die PIN läuft nicht ab.

Verlauf

Nicht konfiguriert: Frühere PINs werden nicht gespeichert.

Aktiviert: Geben Sie die Anzahl der vorherigen PINs an, die einem Benutzerkonto zugeordnet werden können, das't wieder verwendet werden kann.

Deaktiviert: Frühere PINs werden nicht gespeichert.

Hinweisdie aktuelle PIN ist im PIN-Protokoll enthalten.
Sonderzeichen anfordern

Nicht konfiguriert: Benutzer können keine Sonderzeichen in ihrer PIN verwenden.

Aktiviert: Benutzer müssen mindestens ein Sonderzeichen in ihrer PIN verwenden.

Deaktiviert: Benutzer können keine Sonderzeichen in ihrer PIN verwenden.

Großbuchstaben erforderlich

Nicht konfiguriert: Benutzer können keinen Großbuchstaben in ihrer PIN verwenden.

Aktiviert: Benutzer müssen mindestens einen Großbuchstaben in ihrer PIN verwenden.

Deaktiviert: Benutzer können in ihrer PIN keinen Großbuchstaben verwenden.

>Anmeldung per Handy

Anmeldung per Telefon verwenden

Derzeit nicht unterstützt.

MDM-Richtlinieneinstellungen für Windows Hello for Business

Die folgende Tabelle enthält die MDM-Richtlinieneinstellungen, die Sie für die Verwendung von Windows Hello for Business an Ihrem Arbeitsplatz konfigurieren können. Diese MDM-Richtlinieneinstellungen verwenden den PassportForWork-Konfigurationsdienstanbieter.

Wichtig

Ab Windows10, Version 1607, darf Geräten nur eine mit Windows Hello for Business verknüpfte PIN zugeordnet sein. Somit unterliegen alle PINs eines Geräts den Richtlinien, die im PassportForWork CSP angegeben wurden. Die angegebenen Werte haben Vorrang vor allen Komplexitätsregeln, die über Exchange ActiveSync (EAS) oder DeviceLock CSP festgelegt wurden.

Richtlinie Bereich Standard Optionen
UsePassportForWork Gerät True

True: Windows Hello for Business wird für alle Benutzer auf dem Gerät bereitgestellt.

False: Benutzer können Windows Hello for Business nicht bereitstellen.

Hinweiswenn Windows Hello for Business aktiviert ist und die Richtlinie dann auf "false" geändert wird, können Benutzer, die Windows Hello for Business zuvor eingerichtet haben, diese weiterhin verwenden, aber nicht in der Lage sein, Windows Hello for Business auf anderen Geräten einzurichten.
RequireSecurityDevice Gerät False

True: Windows Hello for Business wird nur mit TPM bereitgestellt.

False: Windows Hello for Business wird mit TPM (sofern verfügbar) bereitgestellt. Wenn TPM nicht verfügbar ist, wird Windows Hello for Business mithilfe von Software bereitgestellt.

Biometrie

UseBiometrics

Gerät False

True: Anstelle einer PIN kann Biometrie als Geste für die Domänenanmeldung verwendet werden.

False: Nur eine PIN kann als Geste für die Domänenanmeldung verwendet werden.

FacialFeaturesUser

EnhancedAntiSpoofing

Gerät Nicht konfiguriert

Nicht konfiguriert: Benutzer können auswählen, ob erweitertes Anti-Spoofing aktiviert werden soll.

True: Erweitertes Anti-Spoofing ist bei Geräten erforderlich, die dies unterstützen.

False: Benutzer können das erweiterte Anti-Spoofing nicht aktivieren.

PINComplexity
Ziffern Gerät oder Benutzer 2

1: Zahlen sind nicht zulässig.

2: Es ist mindestens eine Zahl erforderlich.

Kleinbuchstaben Gerät oder Benutzer 1

1: Kleinbuchstaben sind nicht zulässig.

2: Es ist mindestens ein Kleinbuchstabe erforderlich.

Maximale PIN-Länge Gerät oder Benutzer 127

Die maximale Länge, die festgelegt werden kann, beträgt 127. Maximale Länge darf nicht kleiner als die minimale Einstellung sein.

Minimale PIN-Länge Gerät oder Benutzer 4

Mindestlänge, die festgelegt werden kann, beträgt 4. Mindestlänge darf nicht größer als die maximale Einstellung sein.

Ablauf Gerät oder Benutzer 0

Ein ganzzahliger Wert gibt den Zeitraum (in Tagen) an, für den eine PIN verwendet wird, bis der Benutzer vom System zum Ändern aufgefordert wird. Die größte Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 730. Die kleinste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 0. Wenn diese Richtlinie auf 0 festgelegt ist, läuft die PIN des Benutzers nie ab.

Verlauf Gerät oder Benutzer 0

Eine ganze Zahl, die die Anzahl der früheren PINs für ein Benutzerkonto angibt, die nicht wiederverwendet werden können. Die größte Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 50. Die kleinste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 0. Wenn diese Richtlinie auf 0 festgelegt ist, ist keine Speicherung früherer PINs erforderlich.

Sonderzeichen Gerät oder Benutzer 1

1: Sonderzeichen sind nicht zulässig.

2: Es ist mindestens ein Sonderzeichen erforderlich.

Großbuchstaben Gerät oder Benutzer 1

1: Großbuchstaben sind nicht zulässig.

2: Mindestens ein Großbuchstabe ist erforderlich.

Remote

UseRemotePassport

Gerät oder Benutzer False

Derzeit nicht unterstützt

Hinweis

Wenn die Anforderung von Buchstaben oder Sonderzeichen in einer Richtlinie nicht explizit konfiguriert ist, können Benutzer nur eine numerische PIN erstellen.

Verwendung von Windows Hello for Business mit Azure Active Directory

Es gibt drei Szenarien für die Verwendung von Windows Hello for Business in reinen Azure AD-Organisationen:

  • Organisationen, die die Version von Azure AD verwenden, die in Office 365 enthalten ist. Für diese Organisationen sind keine zusätzlichen Aktionen erforderlich. Als Windows 10 allgemein verfügbar gemacht wurde, hat Microsoft das Verhalten des Office 365 Azure AD-Stapels geändert. Wenn ein Benutzer die Option auswählt, um die Verbindung mit einem Arbeits- oder Schulnetzwerk herzustellen, wird das Gerät automatisch mit der Verzeichnispartition des Office 365-Mandanten verbunden. Anschließend wird ein Zertifikat für das Gerät ausgestellt und es erhält die Berechtigung, Office 365-MDM zu verwenden, wenn der Mandant dieses Feature abonniert hat. Zusätzlich wird der Benutzer aufgefordert, sich anzumelden, und, sofern MFA aktiviert ist, einen MFA-Nachweis einzugeben, den Azure AD an sein Telefon sendet.
  • Organisationen, die den Free-Tarif von Azure AD verwenden. Für diese Organisationen hat Microsoft den automatischen Domänenbetritt zu Azure AD nicht aktiviert. Organisationen, die sich für den Free-Tarif registriert haben, können dieses Feature aktivieren oder deaktivieren. Daher wird der automatische Domänenbetritt erst aktiviert, wenn sich die Administratoren der Organisation dazu entschließen. Wenn dieses Feature aktiviert ist, werden Geräte, die die Verbindung mit der Azure AD-Domäne mithilfe des Dialogfelds „Mit Arbeitsplatz oder Schule verbinden” herstellen, automatisch für die Windows Hello for Business-Unterstützung registriert. Zuvor verbundene Geräte werden jedoch nicht registriert.
  • Organisationen, die Azure AD Premium abonniert haben, haben Zugriff auf den vollständigen Satz an Azure AD-MDM-Features. Diese Features umfassen Steuerelemente zur Verwaltung von Windows Hello for Business. Sie können Richtlinien festlegen, um die Verwendung von Windows Hello for Business zu deaktivieren oder zu erzwingen, um die Verwendung eines TPMs zu erzwingen und um die Länge und Sicherheit von PINs zu steuern, die für das Gerät festgelegt wurden.

Wenn Sie Windows Hello for Business mit Zertifikaten verwenden möchten, benötigen Sie ein Geräteregistrierungssystem. Demzufolge müssen Sie Configuration Manager Technical Preview, Microsoft Intune oder ein kompatibles nicht von Microsoft stammendes MDM-System einrichten und es aktivieren, um Geräte zu registrieren. Dies ist eine Voraussetzung für die Verwendung von Windows Hello for Business mit Zertifikaten, dabei spielt der IDP keine Rolle, da das Registrierungssystem verantwortlich dafür ist, die erforderlichen Zertifikate auf den Geräten bereitzustellen.

Verwandte Themen