Freigeben über


Konfigurieren von Windows Hello for Business

In diesem Artikel werden die Optionen zum Konfigurieren von Windows Hello for Business in einem organization und deren Implementierung beschrieben.

Konfigurationsoptionen

Sie können Windows Hello for Business mithilfe der folgenden Optionen konfigurieren:

  • Konfigurationsdienstanbieter (Configuration Service Provider, CSP): Wird häufig für Geräte verwendet, die von einer Mobile Geräteverwaltung-Lösung (MDM) verwaltet werden, z. B. Microsoft Intune. CSPs können auch mit Bereitstellungspaketen konfiguriert werden, die normalerweise zur Bereitstellungszeit oder für nicht verwaltete Geräte verwendet werden. Verwenden Sie zum Konfigurieren von Windows Hello for Business den PassportForWork-CSP.
  • Gruppenrichtlinie (GPO): Wird für Geräte verwendet, die in Active Directory oder Microsoft Entra hybrid eingebunden sind und nicht von einer Geräteverwaltungslösung verwaltet werden.

Richtlinienrangfolge

Einige der Windows Hello for Business Richtlinien sind sowohl für die Computer- als auch für die Benutzerkonfiguration verfügbar. In der folgenden Liste wird die Richtlinienrangfolge für Windows Hello for Business beschrieben:

  • Benutzerrichtlinien haben Vorrang vor Computerrichtlinien. Wenn eine Benutzerrichtlinie festgelegt ist, wird die entsprechende Computerrichtlinie ignoriert. Wenn keine Benutzerrichtlinie festgelegt ist, wird die Computerrichtlinie verwendet.
  • Windows Hello for Business Richtlinieneinstellungen werden mithilfe der folgenden Hierarchie erzwungen:
    • Benutzer – Gruppenrichtlinienobjekt
    • Computer – Gruppenrichtlinienobjekt
    • User – PassportForWork CSP
    • Gerät – PassportForWork CSP
    • Exchange Active Sync – DeviceLock CSP

Wichtig

Wenn Sie kennwortlängen- und komplexitätseinstellungen konfigurieren, die vom DeviceLock-CSP definiert sind, sowie pin-längen- und komplexitätseinstellungen, die vom PassportForWork-CSP definiert werden, erzwingt Windows die strengste Richtlinie aus dem Satz der regelnden Richtlinien.

Der DeviceLock-CSP verwendet die EAS-Engine (Exchange ActiveSync Policy). Weitere Informationen finden Sie unter Übersicht über Exchange ActiveSync Richtlinien-Engine.

Hinweis

Wenn eine Richtlinie nicht explizit so konfiguriert ist, dass Buchstaben oder Sonderzeichen erforderlich sind, können Benutzer optional eine alphanumerische PIN festlegen.

Abrufen der Microsoft Entra Mandanten-ID

Bei der Konfiguration über den CSP oder die Registrierung verschiedener Windows Hello for Business Richtlinieneinstellungen muss die Microsoft Entra Mandanten-ID angegeben werden, in der das Gerät registriert ist.

Informationen zum Nachschlagen Ihrer Mandanten-ID finden Sie unter So finden Sie Ihre Microsoft Entra Mandanten-ID, oder versuchen Sie Folgendes, und stellen Sie sicher, dass Sie sich mit dem Konto Ihres organization anmelden:

GET https://graph.microsoft.com/v1.0/organization?$select=id

In der PassportForWork-CSP-Dokumentation wird beispielsweise beschrieben, wie sie Windows Hello for Business Optionen mithilfe des OMA-URI konfigurieren:

./Device/Vendor/MSFT/PassportForWork/{TenantId}

Ersetzen TenantID Sie beim Konfigurieren von Geräten durch Ihre Microsoft Entra Mandanten-ID. Wenn Ihre Microsoft Entra Mandanten-ID beispielsweise lautetdcd219dd-bc68-4b9b-bf0b-4a33a796be35, würde der OMA-URI wie folgt aussehen:

./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}

Konfigurieren von Windows Hello for Business mithilfe von Microsoft Intune

Für Microsoft Entra verbundene Geräte und Microsoft Entra hybrid eingebundenen Geräte, die bei Intune registriert sind, können Sie Intune Richtlinien verwenden, um Windows Hello for Business zu verwalten.

Es gibt verschiedene Möglichkeiten, Windows Hello for Business in Intune zu aktivieren und zu konfigurieren:

  • Verwenden einer Richtlinie, die auf Mandantenebene angewendet wird. Die Mandantenrichtlinie:
    • Wird nur zum Zeitpunkt der Registrierung angewendet, und alle Änderungen an der Konfiguration gelten nicht für Geräte, die bereits in Intune
    • Sie gilt für alle Geräte, die bei Intune registriert werden. Aus diesem Grund ist die Richtlinie in der Regel deaktiviert, und Windows Hello for Business wird mithilfe einer Richtlinie aktiviert, die auf eine Sicherheitsgruppe ausgerichtet ist.
  • Eine Gerätekonfigurationsrichtlinie, die nach der Geräteregistrierung angewendet wird. Alle Änderungen an der Richtlinie werden während regelmäßiger Richtlinienaktualisierungsintervalle auf die Geräte angewendet. Es stehen verschiedene Richtlinientypen zur Auswahl:

Überprüfen der mandantenweiten Richtlinie

So überprüfen Sie die Windows Hello for Business Richtlinieneinstellungen, die zum Zeitpunkt der Registrierung angewendet wurden:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Geräte>Windows>Windows-Registrierung aus.

  3. Wählen Sie Windows Hello for Business aus.

  4. Überprüfen Sie die status von Configure Windows Hello for Business (Konfigurieren von Windows Hello for Business) und ggf. konfigurierte Einstellungen.

    Deaktivieren von Windows Hello for Business aus Microsoft Intune Admin Center.

Richtlinienkonflikte aus mehreren Richtlinienquellen

Windows Hello for Business können durch GPO oder CSP konfiguriert werden, aber keine Kombination aus beidem. Vermeiden Sie die Vermischung von GPO- und CSP-Richtlinieneinstellungen für Windows Hello for Business, da dies zu unerwarteten Ergebnissen führen kann. Wenn Sie GPO- und CSP-Richtlinieneinstellungen kombinieren, werden die in Konflikt stehenden CSP-Einstellungen erst angewendet, wenn die Gruppenrichtlinieneinstellungen gelöscht sind.

Wichtig

Die Richtlinieneinstellung MDMWinsOverGP gilt nicht für Windows Hello for Business. MDMWinsOverGP gilt nur für Richtlinien im Richtlinien-CSP, während sich die Windows Hello for Business Richtlinien im PassportForWork-CSP befinden.

Hinweis

Weitere Informationen zum Bereitstellen Windows Hello for Business Konfiguration mit Microsoft Intune finden Sie unter Windows-Geräteeinstellungen zum Aktivieren von Windows Hello for Business in Intune und PassportForWork CSP.

Deaktivieren der Windows Hello for Business Registrierung

Windows Hello for Business ist standardmäßig für Geräte aktiviert, die Microsoft Entra eingebunden sind. Wenn Sie die automatische Aktivierung deaktivieren müssen, gibt es verschiedene Optionen, darunter:

  • Deaktivieren Windows Hello mithilfe der mandantenweiten Richtlinie
  • Deaktivieren Sie sie mithilfe eines der in Intune verfügbaren Richtlinientypen, während Sie die Registrierungsstatusseite (ESP) aktivieren. Die ESP kann so konfiguriert werden, dass ein Benutzer nicht auf den Desktop zugreifen kann, bis das Gerät alle erforderlichen Richtlinien erhält. Weitere Informationen finden Sie unter Einrichten der Seite "Registrierungsstatus". Die zu konfigurierende Richtlinieneinstellung ist Use Windows Hello for Business
  • Stellen Sie die Geräte mithilfe eines Bereitstellungspakets zur Verfügung, das Windows Hello for Business deaktiviert. Weitere Informationen finden Sie unter Bereitstellen von Paketen für Windows.
  • Skriptlösungen, die die Registrierungseinstellungen ändern können, um Windows Hello for Business während der Betriebssystembereitstellung zu deaktivieren
Konfigurationstyp Details
CSP (Benutzer) Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\Policies
Schlüsselname: UsePassportForWork
Typ: REG_DWORD
Wert:
1 so aktivieren Sie
0 , um zu deaktivieren
CSP (Gerät) Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\Policies
Schlüsselname: UsePassportForWork
Typ: REG_DWORD
Wert:
1 so aktivieren Sie
0 , um zu deaktivieren
GPO (Benutzer) Schlüsselpfad: HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWork
Schlüsselname: Enabled
Typ: REG_DWORD
Wert:
1 so aktivieren Sie
0 , um zu deaktivieren
GPO (Gerät) Schlüsselpfad: KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork
Schlüsselname: Enabled
Typ: REG_DWORD
Wert:
1 so aktivieren Sie
0 , um zu deaktivieren

Hinweis

Wenn eine Geräte- und Benutzerrichtlinie in Konflikt steht, hat die Benutzerrichtlinie Vorrang. Es wird nicht empfohlen, lokales Gruppenrichtlinienobjekt oder Registrierungseinstellungen zu erstellen, die mit einer MDM-Richtlinie in Konflikt treten könnten. Dieser Konflikt kann zu unerwarteten Ergebnissen führen.

Nächste Schritte

Eine Liste der Windows Hello for Business Richtlinieneinstellungen finden Sie unter Windows Hello for Business Richtlinieneinstellungen.

Weitere Informationen zu Windows Hello for Business Features und deren Konfiguration finden Sie unter: