Konfigurieren von Windows Hello for Business
In diesem Artikel werden die Optionen zum Konfigurieren von Windows Hello for Business in einem organization und deren Implementierung beschrieben.
Konfigurationsoptionen
Sie können Windows Hello for Business mithilfe der folgenden Optionen konfigurieren:
- Konfigurationsdienstanbieter (Configuration Service Provider, CSP): Wird häufig für Geräte verwendet, die von einer Mobile Geräteverwaltung-Lösung (MDM) verwaltet werden, z. B. Microsoft Intune. CSPs können auch mit Bereitstellungspaketen konfiguriert werden, die normalerweise zur Bereitstellungszeit oder für nicht verwaltete Geräte verwendet werden. Verwenden Sie zum Konfigurieren von Windows Hello for Business den PassportForWork-CSP.
- Gruppenrichtlinie (GPO): Wird für Geräte verwendet, die in Active Directory oder Microsoft Entra hybrid eingebunden sind und nicht von einer Geräteverwaltungslösung verwaltet werden.
Richtlinienrangfolge
Einige der Windows Hello for Business Richtlinien sind sowohl für die Computer- als auch für die Benutzerkonfiguration verfügbar. In der folgenden Liste wird die Richtlinienrangfolge für Windows Hello for Business beschrieben:
- Benutzerrichtlinien haben Vorrang vor Computerrichtlinien. Wenn eine Benutzerrichtlinie festgelegt ist, wird die entsprechende Computerrichtlinie ignoriert. Wenn keine Benutzerrichtlinie festgelegt ist, wird die Computerrichtlinie verwendet.
- Windows Hello for Business Richtlinieneinstellungen werden mithilfe der folgenden Hierarchie erzwungen:
- Benutzer – Gruppenrichtlinienobjekt
- Computer – Gruppenrichtlinienobjekt
- User – PassportForWork CSP
- Gerät – PassportForWork CSP
- Exchange Active Sync – DeviceLock CSP
Wichtig
Wenn Sie kennwortlängen- und komplexitätseinstellungen konfigurieren, die vom DeviceLock-CSP definiert sind, sowie pin-längen- und komplexitätseinstellungen, die vom PassportForWork-CSP definiert werden, erzwingt Windows die strengste Richtlinie aus dem Satz der regelnden Richtlinien.
Der DeviceLock-CSP verwendet die EAS-Engine (Exchange ActiveSync Policy). Weitere Informationen finden Sie unter Übersicht über Exchange ActiveSync Richtlinien-Engine.
Hinweis
Wenn eine Richtlinie nicht explizit so konfiguriert ist, dass Buchstaben oder Sonderzeichen erforderlich sind, können Benutzer optional eine alphanumerische PIN festlegen.
Abrufen der Microsoft Entra Mandanten-ID
Bei der Konfiguration über den CSP oder die Registrierung verschiedener Windows Hello for Business Richtlinieneinstellungen muss die Microsoft Entra Mandanten-ID angegeben werden, in der das Gerät registriert ist.
Informationen zum Nachschlagen Ihrer Mandanten-ID finden Sie unter So finden Sie Ihre Microsoft Entra Mandanten-ID, oder versuchen Sie Folgendes, und stellen Sie sicher, dass Sie sich mit dem Konto Ihres organization anmelden:
GET https://graph.microsoft.com/v1.0/organization?$select=id
In der PassportForWork-CSP-Dokumentation wird beispielsweise beschrieben, wie sie Windows Hello for Business Optionen mithilfe des OMA-URI konfigurieren:
./Device/Vendor/MSFT/PassportForWork/{TenantId}
Ersetzen TenantID Sie beim Konfigurieren von Geräten durch Ihre Microsoft Entra Mandanten-ID. Wenn Ihre Microsoft Entra Mandanten-ID beispielsweise lautetdcd219dd-bc68-4b9b-bf0b-4a33a796be35, würde der OMA-URI wie folgt aussehen:
./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}
Konfigurieren von Windows Hello for Business mithilfe von Microsoft Intune
Für Microsoft Entra verbundene Geräte und Microsoft Entra hybrid eingebundenen Geräte, die bei Intune registriert sind, können Sie Intune Richtlinien verwenden, um Windows Hello for Business zu verwalten.
Es gibt verschiedene Möglichkeiten, Windows Hello for Business in Intune zu aktivieren und zu konfigurieren:
- Verwenden einer Richtlinie, die auf Mandantenebene angewendet wird. Die Mandantenrichtlinie:
- Wird nur zum Zeitpunkt der Registrierung angewendet, und alle Änderungen an der Konfiguration gelten nicht für Geräte, die bereits in Intune
- Sie gilt für alle Geräte, die bei Intune registriert werden. Aus diesem Grund ist die Richtlinie in der Regel deaktiviert, und Windows Hello for Business wird mithilfe einer Richtlinie aktiviert, die auf eine Sicherheitsgruppe ausgerichtet ist.
- Eine Gerätekonfigurationsrichtlinie, die nach der Geräteregistrierung angewendet wird. Alle Änderungen an der Richtlinie werden während regelmäßiger Richtlinienaktualisierungsintervalle auf die Geräte angewendet. Es stehen verschiedene Richtlinientypen zur Auswahl:
Überprüfen der mandantenweiten Richtlinie
So überprüfen Sie die Windows Hello for Business Richtlinieneinstellungen, die zum Zeitpunkt der Registrierung angewendet wurden:
Melden Sie sich beim Microsoft Intune Admin Center an.
Wählen Sie Geräte>Windows>Windows-Registrierung aus.
Wählen Sie Windows Hello for Business aus.
Überprüfen Sie die status von Configure Windows Hello for Business (Konfigurieren von Windows Hello for Business) und ggf. konfigurierte Einstellungen.
Richtlinienkonflikte aus mehreren Richtlinienquellen
Windows Hello for Business können durch GPO oder CSP konfiguriert werden, aber keine Kombination aus beidem. Vermeiden Sie die Vermischung von GPO- und CSP-Richtlinieneinstellungen für Windows Hello for Business, da dies zu unerwarteten Ergebnissen führen kann. Wenn Sie GPO- und CSP-Richtlinieneinstellungen kombinieren, werden die in Konflikt stehenden CSP-Einstellungen erst angewendet, wenn die Gruppenrichtlinieneinstellungen gelöscht sind.
Wichtig
Die Richtlinieneinstellung MDMWinsOverGP gilt nicht für Windows Hello for Business. MDMWinsOverGP gilt nur für Richtlinien im Richtlinien-CSP, während sich die Windows Hello for Business Richtlinien im PassportForWork-CSP befinden.
Hinweis
Weitere Informationen zum Bereitstellen Windows Hello for Business Konfiguration mit Microsoft Intune finden Sie unter Windows-Geräteeinstellungen zum Aktivieren von Windows Hello for Business in Intune und PassportForWork CSP.
Deaktivieren der Windows Hello for Business Registrierung
Windows Hello for Business ist standardmäßig für Geräte aktiviert, die Microsoft Entra eingebunden sind. Wenn Sie die automatische Aktivierung deaktivieren müssen, gibt es verschiedene Optionen, darunter:
- Deaktivieren Windows Hello mithilfe der mandantenweiten Richtlinie
- Deaktivieren Sie sie mithilfe eines der in Intune verfügbaren Richtlinientypen, während Sie die Registrierungsstatusseite (ESP) aktivieren. Die ESP kann so konfiguriert werden, dass ein Benutzer nicht auf den Desktop zugreifen kann, bis das Gerät alle erforderlichen Richtlinien erhält. Weitere Informationen finden Sie unter Einrichten der Seite "Registrierungsstatus". Die zu konfigurierende Richtlinieneinstellung ist Use Windows Hello for Business
- Stellen Sie die Geräte mithilfe eines Bereitstellungspakets zur Verfügung, das Windows Hello for Business deaktiviert. Weitere Informationen finden Sie unter Bereitstellen von Paketen für Windows.
- Skriptlösungen, die die Registrierungseinstellungen ändern können, um Windows Hello for Business während der Betriebssystembereitstellung zu deaktivieren
| Konfigurationstyp | Details |
|---|---|
| CSP (Benutzer) |
Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\PoliciesSchlüsselname: UsePassportForWorkTyp: REG_DWORDWert: 1 so aktivieren Sie0 , um zu deaktivieren |
| CSP (Gerät) |
Schlüsselpfad: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\PoliciesSchlüsselname: UsePassportForWorkTyp: REG_DWORDWert: 1 so aktivieren Sie0 , um zu deaktivieren |
| GPO (Benutzer) |
Schlüsselpfad: HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWorkSchlüsselname: EnabledTyp: REG_DWORDWert: 1 so aktivieren Sie0 , um zu deaktivieren |
| GPO (Gerät) |
Schlüsselpfad: KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWorkSchlüsselname: EnabledTyp: REG_DWORDWert: 1 so aktivieren Sie0 , um zu deaktivieren |
Hinweis
Wenn eine Geräte- und Benutzerrichtlinie in Konflikt steht, hat die Benutzerrichtlinie Vorrang. Es wird nicht empfohlen, lokales Gruppenrichtlinienobjekt oder Registrierungseinstellungen zu erstellen, die mit einer MDM-Richtlinie in Konflikt treten könnten. Dieser Konflikt kann zu unerwarteten Ergebnissen führen.
Nächste Schritte
Eine Liste der Windows Hello for Business Richtlinieneinstellungen finden Sie unter Windows Hello for Business Richtlinieneinstellungen.
Weitere Informationen zu Windows Hello for Business Features und deren Konfiguration finden Sie unter: