Identitätsschutzprofileinstellungen in Intune für Windows Hello for Business
Wichtig
Im Juli 2024 wurden die folgenden Intune Profile für Identitätsschutz und Kontoschutz veraltet und durch ein neues konsolidiertes Profil namens Kontoschutz ersetzt. Dieses neuere Profil befindet sich im Kontoschutzrichtlinienknoten der Endpunktsicherheit und ist die einzige Profilvorlage, die weiterhin verfügbar ist, um neue Richtlinieninstanzen für identitäts- und kontoschutz zu erstellen. Die Einstellungen aus diesem neuen Profil sind auch über den Einstellungskatalog verfügbar.
Alle Instanzen der folgenden älteren Profile, die Sie erstellt haben, können weiterhin verwendet und bearbeitet werden:
- Identity Protection – zuvor unter Gerätekonfiguration>>Neue Richtlinie>erstellen>Windows 10 und höher>Vorlagen>Identity Protection
- Kontoschutz (Vorschau) – zuvor über Endpoint Security>Account Protection>verfügbar Windows 10 und höher>Kontoschutz (Vorschau)
Hinweis
Intune unterstützen möglicherweise mehr Einstellungen als die in diesem Artikel aufgeführten Einstellungen. Nicht alle Einstellungen sind dokumentiert und werden nicht dokumentiert. Um die Einstellungen anzuzeigen, die Sie konfigurieren können, erstellen Sie eine Gerätekonfigurationsrichtlinie, und wählen Sie Einstellungskatalog aus. Weitere Informationen finden Sie unter Einstellungskatalog.
In diesem Artikel werden Windows Hello for Business Einstellungen beschrieben, die Sie mit einem Identitätsschutzprofil verwalten können. Identity Protection-Profile sind Teil der Gerätekonfigurationsrichtlinie in Microsoft Intune. Ab Juli 2024 werden jedoch Gerätekonfigurationsprofile für Identity Protection durch Endpunktsicherheitsprofile für den Kontoschutz ersetzt. Sie können zwar weiterhin Identity Protection-Profile verwenden, die Sie zuvor erstellt haben, aber Intune das Erstellen neuer Instanzen nicht mehr unterstützt. Verwenden Sie stattdessen zum Verwalten von Einstellungen für den Identitätsschutz eine Richtlinie zum Schutz von Endpunktsicherheitskonten.
Mit einem Identity Protection-Profil können Sie Einstellungen für diskrete Gruppen von Windows 10/11-Geräten konfigurieren. Informationen zum Konfigurieren Windows Hello for Business mandantenweiten Geräteregistrierung finden Sie unter Erstellen einer Windows Hello for Business-Richtlinie unter Integrieren von Windows Hello for Business mit Microsoft Intune.
In diesem Artikel werden die Einstellungen für die Registrierungsrichtlinie beschrieben.
Weitere Informationen zu diesen Einstellungen finden Sie unter Konfigurieren Windows Hello for Business Richtlinieneinstellungen in der Windows Hello Dokumentation.
Windows Hello for Business
Die folgenden Einstellungen gelten nur für die Gerätekonfigurationsprofilvorlage für Identity Protection, die im Juli 2024 veraltet war.
Konfigurieren sie Windows Hello for Business:
Nicht konfiguriert (Standardeinstellung): Wählen Sie diese Einstellung aus, wenn Sie Intune nicht verwenden möchten, um Windows Hello for Business Einstellungen zu steuern. Vorhandene Windows Hello for Business Einstellungen auf Windows 10/11-Geräten werden nicht geändert. Alle anderen Einstellungen in dem Bereich sind nicht verfügbar.
Deaktivieren: Wenn Sie Windows Hello for Business nicht verwenden möchten, wählen Sie diese Einstellung aus. Alle anderen Einstellungen auf dem Bildschirm sind dann nicht verfügbar.
Aktivieren: Wählen Sie diese Einstellung aus, wenn Sie Windows Hello for Business Einstellungen konfigurieren möchten.
Wenn diese Einstellung auf Aktivieren festgelegt ist, sind die folgenden Einstellungen verfügbar:
PIN-Mindestlänge
Geben Sie eine minimale PIN-Länge für Geräte von 4 bis 127 Zeichen an. Standardmäßig ist diese Einstellung Nicht konfiguriert.Höchstlänge für PIN
Geben Sie eine maximale PIN-Länge für Geräte von vier bis 127 Zeichen an. Standardmäßig ist diese Einstellung Nicht konfiguriert.Kleinbuchstaben in PIN
Bei Bedarf muss die Benutzer-PIN mindestens einen Kleinbuchstaben enthalten. Standardmäßig ist diese Einstellung Nicht konfiguriert.- Nicht zulässig : Verhindert, dass Benutzer Kleinbuchstaben in der PIN verwenden. Dieses Verhalten tritt auch auf, wenn die Einstellung nicht konfiguriert ist.
- Zulässig : Ermöglicht Benutzern die Verwendung von Kleinbuchstaben in der PIN, dies ist jedoch nicht erforderlich.
- Erforderlich : Benutzer müssen mindestens einen Kleinbuchstaben in die PIN einfügen. Beispielsweise ist es üblich, die Verwendung mindestens eines Großbuchstabens und eines Sonderzeichens vorzuschreiben.
Großbuchstaben in PIN
Bei Bedarf muss die Benutzer-PIN mindestens einen Großbuchstaben enthalten. Standardmäßig ist diese Einstellung Nicht konfiguriert.- Nicht zulässig : Verhindert, dass Benutzer Großbuchstaben in der PIN verwenden. Dieses Verhalten tritt auch auf, wenn die Einstellung nicht konfiguriert ist.
- Zulässig : Ermöglicht Benutzern die Verwendung von Großbuchstaben in der PIN, dies ist jedoch nicht erforderlich.
- Erforderlich : Benutzer müssen mindestens einen Großbuchstaben in die PIN einfügen. Beispielsweise ist es üblich, die Verwendung mindestens eines Großbuchstabens und eines Sonderzeichens vorzuschreiben.
Sonderzeichen in PIN
Bei Bedarf muss die Benutzer-PIN mindestens ein Sonderzeichen enthalten. Zu den Sonderzeichen gehören:! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- Nicht zulässig (Standardeinstellung): Verhindert, dass Benutzer Sonderzeichen in der PIN verwenden. Dieses Verhalten tritt auch auf, wenn die Einstellung nicht konfiguriert ist.
- Zulässig : Ermöglicht Benutzern die Verwendung von Großbuchstaben in der PIN, dies ist jedoch nicht erforderlich.
- Erforderlich : Benutzer müssen mindestens einen Großbuchstaben in die PIN einfügen. Beispielsweise ist es üblich, die Verwendung mindestens eines Großbuchstabens und eines Sonderzeichens vorzuschreiben.
PIN-Ablauf (Tage)
Falls konfiguriert, wird der Benutzer gezwungen, seine PIN nach der festgelegten Anzahl von Tagen zu ändern. Der Benutzer kann seine PIN trotzdem proaktiv ändern, bevor er abläuft. Standardmäßig ist diese Einstellung Nicht konfiguriert.PIN-Verlauf speichern
Falls konfiguriert, kann der Benutzer diese Anzahl vorheriger PINs nicht wiederverwenden. Standardmäßig ist diese Einstellung Nicht konfiguriert.Aktivieren Sie die PIN-Wiederherstellung
Ermöglicht benutzern die Verwendung des Windows Hello for Business PIN-Wiederherstellungsdiensts.- Aktivieren : Das PIN-Wiederherstellungsgeheimnis wird auf dem Gerät gespeichert, und der Benutzer kann seine PIN bei Bedarf ändern.
- Nicht konfiguriert (Standard): Das Wiederherstellungsgeheimnis wird nicht erstellt oder gespeichert.
Verwenden eines Trusted Platform Module (TPM)
Ein TPM-Chip bietet eine zusätzliche Sicherheitsebene für Daten.- Aktivieren: Nur Geräte mit einem zugänglichen TPM können Windows Hello for Business bereitstellen.
- Nicht konfiguriert (Standard): Geräte versuchen zuerst, ein TPM zu verwenden. Wenn kein TPM verfügbar ist, kann die Softwareverschlüsselung verwendet werden.
Biometrische Authentifizierung zulassen
Wenn dies zulässig ist, können Windows Hello for Business sich mithilfe von Gesten wie Gesicht und Fingerabdruck authentifizieren. Benutzer müssen im Falle eines Fehlers weiterhin eine PIN konfigurieren.- Aktivieren: Windows Hello for Business ermöglicht die biometrische Authentifizierung.
- Nicht konfiguriert (Standard): Windows Hello for Business verhindert die biometrische Authentifizierung (für alle Kontotypen).
Verwenden Des erweiterten Antispoofings (sofern verfügbar)
Wenn diese Option aktiviert ist, verwenden Geräte erweitertes Anti-Spoofing, sofern verfügbar (z. B. Erkennen eines Fotos eines Gesichts anstelle eines echten Gesichts).- Aktivieren : Windows erfordert, dass alle Benutzer Anti-Spoofing für Gesichtsfunktionen verwenden, wenn dies unterstützt wird.
- Nicht konfiguriert (Standard): Windows berücksichtigt die Antispoofingkonfigurationen auf dem Gerät.
Zertifikat für lokale Ressourcen
- Aktivieren: Ermöglicht Windows Hello for Business die Verwendung von Zertifikaten zur Authentifizierung bei lokalen Ressourcen.
- Nicht konfiguriert (Standard): Verhindert, dass Windows Hello for Business Zertifikate für die Authentifizierung bei lokalen Ressourcen verwenden. Stattdessen verwenden Geräte das Standardverhalten der lokalen Authentifizierung mit Schlüsselvertrauen. Weitere Informationen finden Sie unter Benutzerzertifikat für die lokale Authentifizierung in der Windows Hello-Dokumentation.
Verwenden von Sicherheitsschlüsseln für die Anmeldung
Diese Einstellung ist für Geräte verfügbar, die Windows 10 Version 1903 oder höher oder Windows 11 ausgeführt werden. Verwenden Sie es, um die Unterstützung für die Verwendung von Windows Hello Sicherheitsschlüsseln für die Anmeldung zu verwalten.- Aktivieren: Benutzer können einen Windows Hello Sicherheitsschlüssel als Anmeldeinformationen für PCs verwenden, für die diese Richtlinie gilt.
- Nicht konfiguriert : Sicherheitsschlüssel sind deaktiviert, und Benutzer können sie nicht für die Anmeldung bei PCs verwenden.