Verwalten von Windows Hello for Business im UnternehmenManage Windows Hello for Business in your organization

Gilt für:Applies to

  • Windows 10Windows 10

Sie können eine Gruppenrichtlinie oder eine Richtlinie für die mobile Geräteverwaltung (Mobile Device Management, MDM) erstellen, mit der Windows Hello auf Geräten mit Windows 10 implementiert wird.You can create a Group Policy or mobile device management (MDM) policy that will implement Windows Hello on devices running Windows 10.

Wichtig

Die Gruppenrichtlinieneinstellung PIN-Anmeldung aktivieren gilt nicht für Windows Hello for Business.The Group Policy setting Turn on PIN sign-in does not apply to Windows Hello for Business. Sie verhindert oder aktiviert immer noch die Erstellung einer praktischen PIN für Windows 10, Version 1507 und 1511.It still prevents or enables the creation of a convenience PIN for Windows 10, version 1507 and 1511.

Ab Version 1607 ist die Komfort-PIN-Anmeldung mit Windows Hello auf allen Computern, die in die Domäne eingebunden sind, standardmäßig deaktiviert.Beginning in version 1607, Windows Hello as a convenience PIN is disabled by default on all domain-joined computers. Zum Aktivieren der Komfort-PIN für Windows 10, Version 1607, aktivieren Sie die Gruppenrichtlinieneinstellung Komfortable PIN-Anmeldung aktivieren.To enable a convenience PIN for Windows 10, version 1607, enable the Group Policy setting Turn on convenience PIN sign-in.

Verwenden Sie PIN-Komplexität-Richtlinieneinstellungen zur Verwaltung von PINs für Windows Hello for Business.Use PIN Complexity policy settings to manage PINs for Windows Hello for Business.

Gruppenrichtlinieneinstellungen für Windows Hello for BusinessGroup Policy settings for Windows Hello for Business

Die folgende Tabelle enthält die Gruppenrichtlinieneinstellungen, die Sie für die Verwendung von Windows Hello an Ihrem Arbeitsplatz konfigurieren können.The following table lists the Group Policy settings that you can configure for Windows Hello use in your workplace. Diese Richtlinieneinstellungen sind in der Benutzerkonfiguration und computerkonfiguration unter Richtlinien administrative Vorlagen > **** > Windows-Komponenten > Windows Hello for Business verfügbar.These policy settings are available in User configuration and Computer Configuration under Policies > Administrative Templates > Windows Components > Windows Hello for Business.

Hinweis

Ab Windows 10, Version 1709, ist der Speicherort des Abschnitts "PIN-Komplexität" der Gruppenrichtlinie: Computer Configuration > Administrative Templates > System > PIN Complexity.Starting with Windows 10, version 1709, the location of the PIN complexity section of the Group Policy is: Computer Configuration > Administrative Templates > System > PIN Complexity.

RichtliniePolicy BereichScope OptionenOptions
Windows Hello for Business verwendenUse Windows Hello for Business Computer oder BenutzerComputer or user

Nicht konfiguriert: Windows Hello for Business wird vom Gerät nicht für einen Benutzer bereitgestellt.Not configured: Device does not provision Windows Hello for Business for any user.

Aktiviert: Das Gerät stellt Windows Hello for Business mithilfe von Schlüsseln oder Zertifikaten für alle Benutzer bereit.Enabled: Device provisions Windows Hello for Business using keys or certificates for all users.

Deaktiviert: Das Gerät stellt Windows Hello for Business für keinen Benutzer bereit.Disabled: Device does not provision Windows Hello for Business for any user.

Gerät mit sicherer Hardware verwendenUse a hardware security device ComputerComputer

Nicht konfiguriert: Windows Hello for Business wird mit TPM (sofern verfügbar) bereitgestellt. Wenn TPM nicht verfügbar ist, wird Windows Hello for Business mithilfe von Software bereitgestellt.Not configured: Windows Hello for Business will be provisioned using TPM if available, and will be provisioned using software if TPM is not available.

Aktiviert: Windows Hello for Business wird nur mit TPM bereitgestellt.Enabled: Windows Hello for Business will only be provisioned using TPM. Dieses Feature wird Windows Hello for Business mit TPM 1.2 bereitstellen, es sei denn, die Option zum Ausschließen ist explizit festgelegt.This feature will provision Windows Hello for Business using TPM 1.2 unless the option to exclude them is explicitly set.

Deaktiviert: Windows Hello for Business wird mit TPM (sofern verfügbar) bereitgestellt. Wenn TPM nicht verfügbar ist, wird Windows Hello for Business mithilfe von Software bereitgestellt.Disabled: Windows Hello for Business will be provisioned using TPM if available, and will be provisioned using software if TPM is not available.

Zertifikat für die lokale Authentifizierung verwendenUse certificate for on-premises authentication Computer oder BenutzerComputer or user

Nicht konfiguriert: Windows Hello for Business registriert einen Schlüssel, der für die lokale Authentifizierung verwendet wird.Not configured: Windows Hello for Business enrolls a key that is used for on-premises authentication.

Aktiviert: Windows Hello for Business registriert ein Anmeldezertifikat mithilfe von ADFS, das für die lokale Authentifizierung verwendet wird.Enabled: Windows Hello for Business enrolls a sign-in certificate using ADFS that is used for on-premises authentication.

Deaktiviert: Windows Hello for Business registriert einen Schlüssel, der für die lokale Authentifizierung verwendet wird.Disabled: Windows Hello for Business enrolls a key that is used for on-premises authentication.

Verwenden der PIN-WiederherstellungUse PIN recovery ComputerComputer

Hinzugefügt in Windows 10, Version 1703Added in Windows 10, version 1703

Nicht konfiguriert: Windows Hello for Business erstellt oder speichert keinen geheimen PIN-Wiederherstellungsgeheimnis.Not configured: Windows Hello for Business does not create or store a PIN recovery secret. Die Pinzurücksetzung verwendet nicht den Azure-basierten PIN-Wiederherstellungsdienst.PIN reset does not use the Azure-based PIN recovery service.

Aktiviert: Windows Hello for Business verwendet den Azure-basierten PIN-Wiederherstellungsdienst für die PIN-Zurücksetzung.Enabled: Windows Hello for Business uses the Azure-based PIN recovery service for PIN reset.

Deaktiviert: Windows Hello for Business erstellt oder speichert keinen geheimen PIN-Wiederherstellungsgeheimnis.Disabled: Windows Hello for Business does not create or store a PIN recovery secret. Das Zurücksetzen der PIN verwendet nicht den Azure-basierten PIN-Wiederherstellungsdienst.PIN reset does not use the Azure-based PIN recovery service.

Weitere Informationen zur Verwendung des PIN-Wiederherstellungsdiensts für die PIN-Zurücksetzung finden Sie unter Windows Hello for Business PIN Reset.For more information about using the PIN recovery service for PIN reset see Windows Hello for Business PIN Reset.

Biometrie verwendenUse biometrics ComputerComputer

Nicht konfiguriert: Biometrie kann als Geste anstelle einer PIN verwendet werden.Not configured: Biometrics can be used as a gesture in place of a PIN.

Aktiviert: Biometrie kann als Geste anstelle einer PIN verwendet werden.Enabled: Biometrics can be used as a gesture in place of a PIN.

Deaktiviert: Nur eine PIN kann als Geste verwendet werden.Disabled: Only a PIN can be used as a gesture.

PIN-KomplexitätPIN Complexity Ziffern erforderlichRequire digits ComputerComputer

Nicht konfiguriert: Benutzer müssen eine Ziffer in ihrer PIN verwenden.Not configured: Users must include a digit in their PIN.

Aktiviert: Benutzer müssen eine Ziffer in ihrer PIN verwenden.Enabled: Users must include a digit in their PIN.

Deaktiviert: Benutzer können keine Ziffern in ihrer PIN verwenden.Disabled: Users cannot use digits in their PIN.

Kleinbuchstaben erforderlichRequire lowercase letters ComputerComputer

Nicht konfiguriert: Benutzer können in ihrer PIN keine Kleinbuchstaben verwenden.Not configured: Users cannot use lowercase letters in their PIN.

Aktiviert: Benutzer müssen in ihrer PIN mindestens einen Kleinbuchstaben verwenden.Enabled: Users must include at least one lowercase letter in their PIN.

Deaktiviert: Benutzer können in ihrer PIN keine Kleinbuchstaben verwenden.Disabled: Users cannot use lowercase letters in their PIN.

Maximale PIN-LängeMaximum PIN length ComputerComputer

Nicht konfiguriert: Die PIN darf maximal 127 Zeichen lang sein.Not configured: PIN length must be less than or equal to 127.

Aktiviert: Die PIN darf maximal so lang wie der angegebene Wert sein.Enabled: PIN length must be less than or equal to the number you specify.

Deaktiviert: Die PIN darf maximal 127 Zeichen lang sein.Disabled: PIN length must be less than or equal to 127.

Minimale PIN-LängeMinimum PIN length ComputerComputer

Nicht konfiguriert: Die PIN muss mindestens 4 Zeichen lang sein.Not configured: PIN length must be greater than or equal to 4.

Aktiviert: Die PIN muss mindestens so lang wie der angegebene Wert sein.Enabled: PIN length must be greater than or equal to the number you specify.

Deaktiviert: Die PIN muss mindestens 4 Zeichen lang sein.Disabled: PIN length must be greater than or equal to 4.

AblaufExpiration ComputerComputer

Nicht konfiguriert: Die PIN läuft nicht ab.Not configured: PIN does not expire.

Aktiviert: Der Ablauf der PIN kann auf eine beliebige Anzahl von Tagen zwischen 1 und 730 festgelegt werden. Sie können auch angeben, dass die PIN nie abläuft, indem Sie die Richtlinieneinstellung auf 0 festlegen.Enabled: PIN can be set to expire after any number of days between 1 and 730, or PIN can be set to never expire by setting policy to 0.

Deaktiviert: Die PIN läuft nicht ab.Disabled: PIN does not expire.

VerlaufHistory ComputerComputer

Nicht konfiguriert: Frühere PINs werden nicht gespeichert.Not configured: Previous PINs are not stored.

Aktiviert: Geben Sie die Anzahl der vorherigen PINs an, die einem Benutzerkonto zugeordnet werden können,' nicht wiederverwendet werden kann.Enabled: Specify the number of previous PINs that can be associated to a user account that can't be reused.

Deaktiviert: Frühere PINs werden nicht gespeichert.Disabled: Previous PINs are not stored.

Hinweis Die aktuelle PIN ist im PIN-Verlauf enthalten.Note Current PIN is included in PIN history.
Sonderzeichen anfordernRequire special characters ComputerComputer

Nicht konfiguriert: Benutzer können keine Sonderzeichen in ihrer PIN verwenden.Not configured: Users cannot include a special character in their PIN.

Aktiviert: Benutzer müssen mindestens ein Sonderzeichen in ihrer PIN verwenden.Enabled: Users must include at least one special character in their PIN.

Deaktiviert: Benutzer können keine Sonderzeichen in ihrer PIN verwenden.Disabled: Users cannot include a special character in their PIN.

Großbuchstaben erforderlichRequire uppercase letters ComputerComputer

Nicht konfiguriert: Benutzer können keinen Großbuchstaben in ihrer PIN verwenden.Not configured: Users cannot include an uppercase letter in their PIN.

Aktiviert: Benutzer müssen mindestens einen Großbuchstaben in ihrer PIN verwenden.Enabled: Users must include at least one uppercase letter in their PIN.

Deaktiviert: Benutzer können in ihrer PIN keinen Großbuchstaben verwenden.Disabled: Users cannot include an uppercase letter in their PIN.

Anmeldung per HandyPhone Sign-in Anmeldung per Telefon verwendenUse Phone Sign-in ComputerComputer

Derzeit nicht unterstützt.Not currently supported.

MDM-Richtlinieneinstellungen für Windows Hello for BusinessMDM policy settings for Windows Hello for Business

Die folgende Tabelle enthält die MDM-Richtlinieneinstellungen, die Sie für die Verwendung von Windows Hello for Business an Ihrem Arbeitsplatz konfigurieren können.The following table lists the MDM policy settings that you can configure for Windows Hello for Business use in your workplace. Diese MDM-Richtlinieneinstellungen verwenden den PassportForWork-Konfigurationsdienstanbieter.These MDM policy settings use the PassportForWork configuration service provider (CSP).

Wichtig

Ab Windows10, Version 1607, darf Geräten nur eine mit Windows Hello for Business verknüpfte PIN zugeordnet sein.Starting in Windows 10, version 1607, all devices only have one PIN associated with Windows Hello for Business. Somit unterliegen alle PINs eines Geräts den Richtlinien, die im PassportForWork CSP angegeben wurden.This means that any PIN on a device will be subject to the policies specified in the PassportForWork CSP. Die angegebenen Werte haben Vorrang vor allen Komplexitätsregeln, die über Exchange ActiveSync (EAS) oder DeviceLock CSP festgelegt wurden.The values specified take precedence over any complexity rules set via Exchange ActiveSync (EAS) or the DeviceLock CSP.

RichtliniePolicy BereichScope StandardDefault OptionenOptions
UsePassportForWorkUsePassportForWork Gerät oder BenutzerDevice or user TrueTrue

True: Windows Hello for Business wird für alle Benutzer auf dem Gerät bereitgestellt.True: Windows Hello for Business will be provisioned for all users on the device.

False: Benutzer können Windows Hello for Business nicht bereitstellen.False: Users will not be able to provision Windows Hello for Business.

Hinweis Falls Windows Hello for Business aktiviert ist und die Richtlinie in „False“ geändert wird, können Benutzer, die Windows Hello for Business zuvor eingerichtet haben, das Feature weiterhin nutzen, Windows Hello for Business aber nicht auf anderen Geräten einrichten.Note If Windows Hello for Business is enabled, and then the policy is changed to False, users who previously set up Windows Hello for Business can continue to use it, but will not be able to set up Windows Hello for Business on other devices.
RequireSecurityDeviceRequireSecurityDevice Gerät oder BenutzerDevice or user FalseFalse

True: Windows Hello for Business wird nur mit TPM bereitgestellt.True: Windows Hello for Business will only be provisioned using TPM.

False: Windows Hello for Business wird mit TPM (sofern verfügbar) bereitgestellt. Wenn TPM nicht verfügbar ist, wird Windows Hello for Business mithilfe von Software bereitgestellt.False: Windows Hello for Business will be provisioned using TPM if available, and will be provisioned using software if TPM is not available.

ExcludeSecurityDeviceExcludeSecurityDevice TPM12TPM12 GerätDevice FalseFalse

Hinzugefügt in Windows 10, Version 1703Added in Windows 10, version 1703

True: Die Verwendung von TPM-Revision 1.2-Modulen mit Windows Hello for Business ist nicht zulässig.True: TPM revision 1.2 modules will be disallowed from being used with Windows Hello for Business.

False: TPM-Revision 1.2-Module dürfen mit Windows Hello for Business verwendet werden.False: TPM revision 1.2 modules will be allowed to be used with Windows Hello for Business.

EnablePinRecoveryEnablePinRecovery Gerät oder BenutzerDevice or user FalseFalse

Hinzugefügt in Windows 10, Version 1703Added in Windows 10, version 1703

True: Windows Hello for Business verwendet den Azure-basierten PIN-Wiederherstellungsdienst für die PIN-Zurücksetzung.True: Windows Hello for Business uses the Azure-based PIN recovery service for PIN reset.

False: Windows Hello for Business erstellt oder speichert keinen geheimen PIN-Wiederherstellungsgeheimnis.False: Windows Hello for Business does not create or store a PIN recovery secret. Die Pinzurücksetzung verwendet nicht den Azure-basierten PIN-Wiederherstellungsdienst.PIN reset does not use the Azure-based PIN recovery service.

Weitere Informationen zur Verwendung des PIN-Wiederherstellungsdiensts für die PIN-Zurücksetzung finden Sie unter Windows Hello for Business PIN Reset.For more information about using the PIN recovery service for PIN reset see Windows Hello for Business PIN Reset.

BiometrieBiometrics

UseBiometricsUseBiometrics

GerätDevice FalseFalse

True: Anstelle einer PIN kann Biometrie als Geste für die Domänenanmeldung verwendet werden.True: Biometrics can be used as a gesture in place of a PIN for domain sign-in.

False: Nur eine PIN kann als Geste für die Domänenanmeldung verwendet werden.False: Only a PIN can be used as a gesture for domain sign-in.

FacialFeaturesUserFacialFeaturesUser

EnhancedAntiSpoofingEnhancedAntiSpoofing

GerätDevice Nicht konfiguriertNot configured

Nicht konfiguriert: Benutzer können auswählen, ob erweitertes Anti-Spoofing aktiviert werden soll.Not configured: users can choose whether to turn on enhanced anti-spoofing.

True: Erweitertes Anti-Spoofing ist bei Geräten erforderlich, die dies unterstützen.True: Enhanced anti-spoofing is required on devices which support it.

False: Benutzer können das erweiterte Anti-Spoofing nicht aktivieren.False: Users cannot turn on enhanced anti-spoofing.

PINComplexityPINComplexity
ZiffernDigits Gerät oder BenutzerDevice or user 11

0: Ziffern sind zulässig.0: Digits are allowed.

1: Mindestens eine Ziffer ist erforderlich.1: At least one digit is required.

2: Ziffern sind nicht zulässig.2: Digits are not allowed.

KleinbuchstabenLowercase letters Gerät oder BenutzerDevice or user 22

0: Kleinbuchstaben sind zulässig.0: Lowercase letters are allowed.

1: Mindestens ein Kleinbuchstabe ist erforderlich.1: At least one lowercase letter is required.

2: Kleinbuchstaben sind nicht zulässig.2: Lowercase letters are not allowed.

SonderzeichenSpecial characters Gerät oder BenutzerDevice or user 22

0: Sonderzeichen sind zulässig.0: Special characters are allowed.

1: Mindestens ein Sonderzeichen ist erforderlich.1: At least one special character is required.

2: Sonderzeichen sind nicht zulässig.2: Special characters are not allowed.

GroßbuchstabenUppercase letters Gerät oder BenutzerDevice or user 22

0: Großbuchstaben sind zulässig.0: Uppercase letters are allowed.

1: Mindestens ein Großbuchstabe ist erforderlich.1: At least one uppercase letter is required.

2: Großbuchstaben sind nicht zulässig.2: Uppercase letters are not allowed.

Maximale PIN-LängeMaximum PIN length Gerät oder BenutzerDevice or user 127127

Die maximale Länge, die festgelegt werden kann, beträgt 127.Maximum length that can be set is 127. Maximale Länge darf nicht kleiner als die minimale Einstellung sein.Maximum length cannot be less than minimum setting.

Minimale PIN-LängeMinimum PIN length Gerät oder BenutzerDevice or user 44

Mindestlänge, die festgelegt werden kann, beträgt 4.Minimum length that can be set is 4. Mindestlänge darf nicht größer als die maximale Einstellung sein.Minimum length cannot be greater than maximum setting.

AblaufExpiration Gerät oder BenutzerDevice or user 00

Ein ganzzahliger Wert gibt den Zeitraum (in Tagen) an, für den eine PIN verwendet wird, bis der Benutzer vom System zum Ändern aufgefordert wird.Integer value specifies the period of time (in days) that a PIN can be used before the system requires the user to change it. Die größte Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 730.The largest number you can configure for this policy setting is 730. Die kleinste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 0.The lowest number you can configure for this policy setting is 0. Wenn diese Richtlinie auf 0 festgelegt ist, läuft die PIN des Benutzers nie ab.If this policy is set to 0, then the user's PIN will never expire.

VerlaufHistory Gerät oder BenutzerDevice or user 00

Ganzzahliger Wert, der die Anzahl früherer PINs angibt, die einem Benutzerkonto zugeordnet werden können, das nicht wiederverwendet werden kann.Integer value that specifies the number of past PINs that can be associated to a user account that can't be reused. Die größte Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 50.The largest number you can configure for this policy setting is 50. Die kleinste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 0.The lowest number you can configure for this policy setting is 0. Wenn diese Richtlinie auf 0 festgelegt ist, ist keine Speicherung früherer PINs erforderlich.If this policy is set to 0, then storage of previous PINs is not required.

RemoteRemote

UseRemotePassportUseRemotePassport

Gerät oder BenutzerDevice or user FalseFalse

Derzeit nicht unterstütztNot currently supported.

Hinweis

In Windows 10, Version 1709 und höher, können Benutzer optional eine alphanumerische PIN festlegen, wenn die Richtlinie nicht so konfiguriert ist, dass explizit Buchstaben oder Sonderzeichen erforderlich sind.In Windows 10, version 1709 and later, if policy is not configured to explicitly require letters or special characters, users can optionally set an alphanumeric PIN. Vor Version 1709 muss der Benutzer eine numerische PIN festlegen.Prior to version 1709 the user is required to set a numeric PIN.

Richtlinienkonflikte aus mehreren RichtlinienquellenPolicy conflicts from multiple policy sources

Windows Hello for Business wurde für die Gruppenrichtlinie oder MDM entwickelt, aber nicht über eine Kombination aus beiden.Windows Hello for Business is designed to be managed by Group Policy or MDM but not a combination of both. Wenn Richtlinien aus beiden Quellen festgelegt werden, kann dies zu einem gemischten Ergebnis führen, was tatsächlich für einen Benutzer oder ein Gerät erzwungen wird.If policies are set from both sources it can result in a mixed result of what is actually enforced for a user or device.

Richtlinien für Windows Hello for Business werden mithilfe der folgenden Hierarchie erzwungen: Benutzergruppenrichtlinie > Computergruppenrichtlinie > MdM > Gerät MDM > Gerätesperrungsrichtlinie.Policies for Windows Hello for Business are enforced using the following hierarchy: User Group Policy > Computer Group Policy > User MDM > Device MDM > Device Lock policy.

Feature-Aktivierungs- und Zertifikatvertrauensrichtlinien werden basierend auf der obigen Regel in derselben Quelle (GP oder MDM) gruppieren und erzwungen.Feature enablement policy and certificate trust policy are grouped together and enforced from the same source (either GP or MDM), based on the rule above. Die Richtlinie "Passport for Work verwenden" wird verwendet, um die Quelle zu ermitteln, aus der die Richtlinie gewonnen wurde.The Use Passport for Work policy is used to determine the winning policy source.

Alle PIN-Komplexitätsrichtlinien werden getrennt von der Feature-Aktivierung gruppieren und von einer einzigen Richtlinienquelle erzwungen.All PIN complexity policies, are grouped separately from feature enablement and are enforced from a single policy source. Verwenden Sie ein Hardwaresicherheitsgerät, und die Erzwingung von RequireSecurityDevice wird ebenfalls mit einer PIN-Komplexitätsrichtlinie gruppieren.Use a hardware security device and RequireSecurityDevice enforcement are also grouped together with PIN complexity policy. Die Konfliktlösung für andere Windows Hello for Business-Richtlinien wird auf Richtlinienbasis erzwungen.Conflict resolution for other Windows Hello for Business policies are enforced on a per policy basis.

Hinweis

Die Logik für die Konfliktlösung von Windows Hello for Business-Richtlinien respektiert nicht die Richtlinie "ControlPolicyConflict/MDMWinsOverGP" im Richtlinien-CSP.Windows Hello for Business policy conflict resolution logic does not respect the ControlPolicyConflict/MDMWinsOverGP policy in the Policy CSP.

BeispieleExamples

Die folgenden Einstellungen werden mithilfe von Computergruppenrichtlinien konfiguriert:The following are configured using computer Group Policy:

  • Verwenden von Windows Hello for Business – aktiviertUse Windows Hello for Business - Enabled
  • Benutzerzertifikat für die lokale Authentifizierung – AktiviertUser certificate for on-premises authentication - Enabled

Die folgenden Einstellungen werden mithilfe der Geräte-MDM-Richtlinie konfiguriert:The following are configured using device MDM Policy:

  • UsePassportForWork – DeaktiviertUsePassportForWork - Disabled
  • UseCertificateForOnPremAuth – DeaktiviertUseCertificateForOnPremAuth - Disabled
  • MinimumPINLength - 8MinimumPINLength - 8
  • Ziffern - 1Digits - 1
  • Kleinbuchstaben - 1LowercaseLetters - 1
  • SpecialCharacters - 1SpecialCharacters - 1

Erzwungener Richtliniensatz:Enforced policy set:

  • Verwenden von Windows Hello for Business – AktiviertUse Windows Hello for Business - Enabled
  • Verwenden des Zertifikats für die lokale Authentifizierung – AktiviertUse certificate for on-premises authentication - Enabled
  • MinimumPINLength - 8MinimumPINLength - 8
  • Ziffern - 1Digits - 1
  • Kleinbuchstaben - 1LowercaseLetters - 1
  • SpecialCharacters - 1SpecialCharacters - 1

Verwendung von Windows Hello for Business mit Azure Active DirectoryHow to use Windows Hello for Business with Azure Active Directory

Es gibt drei Szenarien für die Verwendung von Windows Hello for Business in reinen Azure AD-Organisationen:There are three scenarios for using Windows Hello for Business in Azure AD–only organizations:

  • Organisationen, die die Version von Azure AD verwenden, die in Office 365 enthalten ist.Organizations that use the version of Azure AD included with Office 365. Für diese Organisationen sind keine zusätzlichen Aktionen erforderlich.For these organizations, no additional work is necessary. Als Windows 10 allgemein verfügbar gemacht wurde, hat Microsoft das Verhalten des Office 365 Azure AD-Stapels geändert.When Windows 10 was released to general availability, Microsoft changed the behavior of the Office 365 Azure AD stack. Wenn ein Benutzer die Option zum Beitreten zu einem Geschäfts-, Schul- oder Schulnetzwerk auswählt, wird das Gerät automatisch der Verzeichnispartition des Office 365-Mandanten hinzugefügt, ein Zertifikat wird für das Gerät ausgestellt, und es wird für Office 365 MDM berechtigt, wenn der Mandant dieses Feature abonniert hat.When a user selects the option to join a work or school network, the device is automatically joined to the Office 365 tenant's directory partition, a certificate is issued for the device, and it becomes eligible for Office 365 MDM if the tenant has subscribed to that feature. Zusätzlich wird der Benutzer aufgefordert, sich anzumelden, und, sofern MFA aktiviert ist, einen MFA-Nachweis einzugeben, den Azure AD an sein Telefon sendet.In addition, the user will be prompted to log on and, if MFA is enabled, to enter an MFA proof that Azure AD sends to his or her phone.
  • Organisationen, die den Free-Tarif von Azure AD verwenden.Organizations that use the free tier of Azure AD. Für diese Organisationen hat Microsoft den automatischen Domänenbetritt zu Azure AD nicht aktiviert.For these organizations, Microsoft has not enabled automatic domain join to Azure AD. Organisationen, die sich für die kostenlose Stufe registriert haben, haben die Möglichkeit, dieses Feature zu aktivieren oder zu deaktivieren, sodass der automatische Domänen beitritt erst aktiviert wird, wenn sich die Administratoren der Organisation entschließen, es zu aktivieren.Organizations that have signed up for the free tier have the option to enable or disable this feature, so automatic domain join won't be enabled unless and until the organization's administrators decide to enable it. Wenn dieses Feature aktiviert ist, werden Geräte, die die Verbindung mit der Azure AD-Domäne mithilfe des Dialogfelds „Mit Arbeitsplatz oder Schule verbinden” herstellen, automatisch für die Windows Hello for Business-Unterstützung registriert. Zuvor verbundene Geräte werden jedoch nicht registriert.When that feature is enabled, devices that join the Azure AD domain by using the Connect to work or school dialog box will be automatically registered with Windows Hello for Business support, but previously joined devices will not be registered.
  • Organisationen, die Azure AD Premium abonniert haben, haben Zugriff auf den vollständigen Satz an Azure AD-MDM-Features.Organizations that have subscribed to Azure AD Premium have access to the full set of Azure AD MDM features. Diese Features umfassen Steuerelemente zur Verwaltung von Windows Hello for Business.These features include controls to manage Windows Hello for Business. Sie können Richtlinien festlegen, um die Verwendung von Windows Hello for Business zu deaktivieren oder zu erzwingen, um die Verwendung eines TPMs zu erzwingen und um die Länge und Sicherheit von PINs zu steuern, die für das Gerät festgelegt wurden.You can set policies to disable or force the use of Windows Hello for Business, require the use of a TPM, and control the length and strength of PINs set on the device.

Wenn Sie Windows Hello for Business mit Zertifikaten verwenden möchten, benötigen Sie ein Geräteregistrierungssystem.If you want to use Windows Hello for Business with certificates, you'll need a device registration system. Demzufolge müssen Sie Configuration Manager Technical Preview, Microsoft Intune oder ein kompatibles nicht von Microsoft stammendes MDM-System einrichten und es aktivieren, um Geräte zu registrieren.That means that you set up Configuration Manager, Microsoft Intune, or a compatible non-Microsoft MDM system and enable it to enroll devices. Dies ist eine Voraussetzung für die Verwendung von Windows Hello for Business mit Zertifikaten, dabei spielt der IDP keine Rolle, da das Registrierungssystem verantwortlich dafür ist, die erforderlichen Zertifikate auf den Geräten bereitzustellen.This is a prerequisite step to use Windows Hello for Business with certificates, no matter the IDP, because the enrollment system is responsible for provisioning the devices with the necessary certificates.

Verwandte ThemenRelated topics