Planen einer Windows Hello for Business Bereitstellung
Diese Planungsanleitung erläutert die verschiedenen Topologien, Architekturen und Komponenten, die eine Windows Hello for Business-Infrastruktur umfasst.
Diese Anleitung erklärt die Rolle der einzelnen Komponenten in Windows Hello for Business und zeigt, wie sich bestimmte Entscheidungen auf andere Aspekte der Infrastruktur auswirken.
Tipp
Wenn Sie über einen Microsoft Entra ID Mandanten verfügen, können Sie unseren interaktiven, online verfügbaren kennwortlosen Assistenten verwenden, der die gleichen Optionen durchläuft, anstatt unseren nachstehenden manuellen Leitfaden zu verwenden. Der Kennwortlose Assistent ist im Microsoft 365 Admin Center verfügbar.
Verwenden dieser Anleitung
Es gibt viele Optionen für die Bereitstellung von Windows Hello for Business, um die Kompatibilität mit verschiedenen Organisationsinfrastrukturen sicherzustellen. Obwohl der Bereitstellungsprozess komplex erscheinen kann, werden die meisten Organisationen feststellen, dass sie die erforderliche Infrastruktur bereits implementiert haben. Es ist wichtig zu beachten, dass Windows Hello for Business ein verteiltes System ist und eine ordnungsgemäße Planung über mehrere Teams innerhalb eines organization erfordert.
Dieser Leitfaden zielt darauf ab, den Bereitstellungsprozess zu vereinfachen, indem Sie fundierte Entscheidungen zu jedem Aspekt Ihrer Windows Hello for Business Bereitstellung treffen können. Es enthält Informationen zu den verfügbaren Optionen und hilft bei der Auswahl des Bereitstellungsansatzes, der am besten zu Ihrer Umgebung passt.
Vorgehensweise
Lesen Sie dieses Dokument, und notieren Sie Ihre Entscheidungen. Wenn Sie fertig sind, sollten Sie über alle erforderlichen Informationen verfügen, um die verfügbaren Optionen auszuwerten und die Anforderungen für Ihre Windows Hello for Business Bereitstellung zu bestimmen.
Es gibt sieben Standard Bereiche, die bei der Planung einer Windows Hello for Business Bereitstellung zu berücksichtigen sind:
Bereitstellungsoptionen
Das Ziel ist, Windows Hello for Business für Organisationen jeder Größe und in allen denkbaren Szenarien bereitzustellen. Dazu bietet Windows Hello for Business eine entsprechende Auswahl von Bereitstellungsoptionen.
Bereitstellungsmodelle
Es ist von grundlegender Bedeutung, zu verstehen, welches Bereitstellungsmodell für eine erfolgreiche Bereitstellung verwendet werden soll. Einige Aspekte der Bereitstellung wurden möglicherweise bereits basierend auf Ihrer aktuellen Infrastruktur für Sie entschieden.
Es gibt drei Bereitstellungsmodelle, aus denen Sie auswählen können:
Bereitstellungsmodell | Beschreibung | |
---|---|---|
🔲 | Nur Cloud | Für Organisationen, die nur über Cloudidentitäten verfügen und nicht auf lokale Ressourcen zugreifen. Diese Organisationen binden ihre Geräte in der Regel in die Cloud ein und verwenden ausschließlich Ressourcen in der Cloud wie SharePoint Online, OneDrive und andere. Da die Benutzer keine lokalen Ressourcen verwenden, benötigen sie auch keine Zertifikate für Dinge wie VPN, da alles, was sie benötigen, in Clouddiensten gehostet wird. |
🔲 | Hybridbereitstellung | Für Organisationen, in denen Identitäten von Active Directory mit Microsoft Entra ID synchronisiert wurden. Diese Organisationen verwenden Anwendungen, die in Microsoft Entra ID registriert sind, und wünschen eine Einmaliges Anmelden (Single Sign-On, SSO) für lokale und Microsoft Entra Ressourcen. |
🔲 | Lokale Bereitstellungen | Für Organisationen, die nicht über Cloudidentitäten verfügen oder anwendungen verwenden, die in Microsoft Entra ID gehostet werden. Diese Organisationen verwenden lokale Anwendungen, die in Active Directory integriert sind, und möchten eine SSO-Benutzererfahrung beim Zugriff darauf. |
Hinweis
- Der Hauptanwendungsfall der lokalen Bereitstellung ist "Erweiterte Sicherheitsverwaltungsumgebungen", auch bekannt als "Rote Gesamtstrukturen".
- Für die Migration von der lokalen zur Hybridbereitstellung ist eine erneute Bereitstellung erforderlich.
Vertrauensmodelle
Der Vertrauenstyp einer Bereitstellung definiert, wie sich Windows Hello for Business Clients bei Active Directory authentifizieren. Der Vertrauenstyp wirkt sich nicht auf die Authentifizierung bei Microsoft Entra ID aus. Aus diesem Grund gilt der Vertrauenstyp nicht für ein reines Cloudbereitstellungsmodell.
Windows Hello for Business Authentifizierung bei Microsoft Entra ID verwendet immer den Schlüssel, nicht ein Zertifikat (mit Ausnahme der Smart Karte-Authentifizierung in einer Verbundumgebung).
Der Vertrauenstyp bestimmt, ob Sie Authentifizierungszertifikate für Ihre Benutzer ausstellen. Ein Vertrauensmodell ist nicht sicherer als das andere.
Die Bereitstellung von Zertifikaten für Benutzer und Domänencontroller erfordert mehr Konfiguration und Infrastruktur, was auch ein Faktor sein kann, der bei Ihrer Entscheidung berücksichtigt werden sollte. Eine zusätzliche Infrastruktur, die für Bereitstellungen mit Zertifikatvertrauen erforderlich ist, umfasst eine Zertifikatregistrierungsstelle. In einer Verbundumgebung müssen Sie die Option Geräterückschreiben in Microsoft Entra Connect aktivieren.
Es gibt drei Vertrauenstypen, aus denen Sie wählen können:
Vertrauensmodell | Beschreibung | |
---|---|---|
🔲 | Cloud Kerberos | Benutzer authentifizieren sich bei Active Directory, indem sie ein TGT von Microsoft Entra ID mithilfe von Microsoft Entra Kerberos anfordern. Die lokalen Domänencontroller sind weiterhin für Kerberos-Diensttickets und -Autorisierung verantwortlich. Die Cloud Kerberos-Vertrauensstellung verwendet dieselbe Infrastruktur, die für die Fido2-Sicherheitsschlüsselanmeldung erforderlich ist, und kann für neue oder vorhandene Windows Hello for Business-Bereitstellungen verwendet werden. |
🔲 | Schlüssel | Benutzer authentifizieren sich beim lokales Active Directory mithilfe eines gerätegebundenen Schlüssels (Hardware oder Software), der während der Windows Hello Bereitstellung erstellt wurde. Es ist erforderlich, Zertifikate an Domänencontroller zu verteilen. |
🔲 | Zertifikat | Der Zertifikatvertrauenstyp stellt Authentifizierungszertifikate für Benutzer aus. Benutzer authentifizieren sich mit einem Zertifikat, das mithilfe eines gerätegebundenen Schlüssels (Hardware oder Software) angefordert wurde, der während der Windows Hello Bereitstellung erstellt wurde. |
Schlüsselvertrauensstellung und Zertifikatvertrauensstellung verwenden zertifikatauthentifizierungsbasiertes Kerberos, wenn Kerberos-Ticket granting-tickets (TGTs) für die lokale Authentifizierung angefordert werden. Diese Art der Authentifizierung erfordert eine PKI für DC-Zertifikate und Endbenutzerzertifikate für die Zertifikatvertrauensstellung.
Das Ziel der Windows Hello for Business Cloud-Kerberos-Vertrauensstellung besteht darin, im Vergleich zu den anderen Vertrauenstypen eine einfachere Bereitstellung zu ermöglichen:
- Keine Notwendigkeit, eine Public Key-Infrastruktur (PKI) bereitzustellen oder eine vorhandene PKI zu ändern
- Es ist nicht erforderlich, öffentliche Schlüssel zwischen Microsoft Entra ID und Active Directory zu synchronisieren, damit Benutzer auf lokale Ressourcen zugreifen können. Es gibt keine Verzögerung zwischen der bereitstellung des Windows Hello for Business des Benutzers und der Authentifizierung bei Active Directory.
- Die FIDO2-Sicherheitsschlüsselanmeldung kann mit minimalem zusätzlichem Setup bereitgestellt werden.
Tipp
Windows Hello for Business Cloud-Kerberos-Vertrauensstellung ist das empfohlene Bereitstellungsmodell im Vergleich zum Schlüsselvertrauensmodell. Es ist auch das bevorzugte Bereitstellungsmodell, wenn Sie keine Zertifikatauthentifizierungsszenarien unterstützen müssen.
Die Cloud Kerberos-Vertrauensstellung erfordert die Bereitstellung von Microsoft Entra Kerberos. Weitere Informationen dazu, wie Microsoft Entra Kerberos den Zugriff auf lokale Ressourcen ermöglicht, finden Sie unter Aktivieren der kennwortlosen Anmeldung von Sicherheitsschlüsseln bei lokalen Ressourcen.
PKI-Anforderungen
Die Cloud Kerberos-Vertrauensstellung ist die einzige Hybridbereitstellungsoption, für die keine Zertifikate bereitgestellt werden müssen. Die anderen hybriden und lokalen Modelle hängen von einer Unternehmens-PKI als Vertrauensanker für die Authentifizierung ab:
- Domänencontroller für hybride und lokale Bereitstellungen benötigen ein Zertifikat für Windows-Geräte, um dem Domänencontroller als legitim zu vertrauen.
- Bereitstellungen, die den Zertifikatvertrauenstyp verwenden, erfordern eine Unternehmens-PKI und eine Zertifikatregistrierungsstelle (CERTIFICATE Registration Authority, CRA), um Authentifizierungszertifikate für Benutzer auszustellen. AD FS wird als CRA verwendet.
- Hybridbereitstellungen müssen möglicherweise VPN-Zertifikate für Benutzer ausstellen, um konnektivitätsbasierte Ressourcen zu ermöglichen.
Bereitstellungsmodell | Vertrauensmodell | PKI erforderlich? | |
---|---|---|---|
🔲 | Nur Cloud | n. a. | Nein |
🔲 | Hybridbereitstellung | Cloud Kerberos | Nein |
🔲 | Hybridbereitstellung | Schlüssel | Ja |
🔲 | Hybridbereitstellung | Zertifikat | Ja |
🔲 | Lokale Bereitstellungen | Schlüssel | Ja |
🔲 | Lokale Bereitstellungen | Zertifikat | Ja |
Authentifizierung bei Microsoft Entra ID
Benutzer können sich bei Microsoft Entra ID mithilfe der Verbundauthentifizierung oder der Cloudauthentifizierung (ohne Verbund) authentifizieren. Die Anforderungen variieren je nach Vertrauenstyp:
Bereitstellungsmodell | Vertrauensmodell | Authentifizierung bei Microsoft Entra ID | Anforderungen | |
---|---|---|---|---|
🔲 | Nur Cloud | n. a. | Cloudauthentifizierung | n. a. |
🔲 | Nur Cloud | n. a. | Verbundauthentifizierung | Nicht-Microsoft-Verbunddienst |
🔲 | Hybridbereitstellung | Cloud Kerberos-Vertrauensstellung | Cloudauthentifizierung | Kennworthashsynchronisierung (Password Hash Sync, PHS) oder Passthrough-Authentifizierung (PTA) |
🔲 | Hybridbereitstellung | Cloud Kerberos-Vertrauensstellung | Verbundauthentifizierung | AD FS oder Nicht-Microsoft-Verbunddienst |
🔲 | Hybridbereitstellung | Schlüsselbasiertes Vertrauen | Cloudauthentifizierung | Kennworthashsynchronisierung (Password Hash Sync, PHS) oder Passthrough-Authentifizierung (PTA) |
🔲 | Hybridbereitstellung | Schlüsselbasiertes Vertrauen | Verbundauthentifizierung | AD FS oder Nicht-Microsoft-Verbunddienst |
🔲 | Hybridbereitstellung | Zertifikatbasiertes Vertrauen | Verbundauthentifizierung | Dieses Bereitstellungsmodell unterstützt PTA oder PHS nicht. Active Directory muss mithilfe von AD FS mit Microsoft Entra ID verbunden werden. |
Weitere Informationen:
- Verbund mit Microsoft Entra ID
- Kennworthashsynchronisierung (PHS)
- Passthrough-Authentifizierung (PTA)
Geräteregistrierung
Bei lokalen Bereitstellungen ist der Server, auf dem die Rolle Active Directory-Verbunddienste (AD FS) (AD FS) ausgeführt wird, für die Geräteregistrierung verantwortlich. Für reine Cloud- und Hybridbereitstellungen müssen sich Geräte in Microsoft Entra ID registrieren.
Bereitstellungsmodell | Unterstützter Jointyp | Dienstanbieter für die Geräteregistrierung |
---|---|---|
Nur Cloud | Microsoft Entra eingebunden Microsoft Entra registriert |
Microsoft Entra ID |
Hybridbereitstellung | Microsoft Entra eingebunden Microsoft Entra hybrid eingebunden Microsoft Entra registriert |
Microsoft Entra ID |
Lokale Bereitstellungen | In Active Directory-Domäne eingebunden | AD FS |
Wichtig
Microsoft Entra Anleitung zur Hybrideinbindung finden Sie unter Planen der implementierung Ihrer Microsoft Entra Hybrid Joins.
Mehrstufige Authentifizierung
Das Ziel von Windows Hello for Business besteht darin, Organisationen von Kennwörtern zu entfernen, indem sie ihnen sichere Anmeldeinformationen zur Verfügung stellen, die eine einfache zweistufige Authentifizierung ermöglichen. Die integrierte Bereitstellungsoberfläche akzeptiert die schwachen Anmeldeinformationen (Benutzername und Kennwort) des Benutzers als ersten Faktor für die Authentifizierung. Der Benutzer muss jedoch einen zweiten Authentifizierungsfaktor angeben, bevor Windows starke Anmeldeinformationen bereitstellt:
- Für reine Cloud- und Hybridbereitstellungen gibt es verschiedene Optionen für die mehrstufige Authentifizierung, einschließlich Microsoft Entra MFA.
- Lokale Bereitstellungen müssen eine mehrstufige Option verwenden, die als AD FS-Multi-Faktor-Adapter integriert werden kann. Organisationen können aus Nicht-Microsoft-Optionen wählen, die einen AD FS-MFA-Adapter anbieten. Weitere Informationen finden Sie unter Zusätzliche Microsoft- und Nicht-Microsoft-Authentifizierungsmethoden.
Wichtig
Ab dem 1. Juli 2019 bietet Microsoft keinen MFA-Server für neue Bereitstellungen an. Neue Bereitstellungen, die eine mehrstufige Authentifizierung erfordern, sollten cloudbasierte Microsoft Entra mehrstufige Authentifizierung verwenden.
Ab dem 30. September 2024 verarbeiten Azure Multi-Factor Authentication-Serverbereitstellungen keine MFA-Anforderungen mehr. Um unterbrechungsfreie Authentifizierungsdienste sicherzustellen und in einem unterstützten Zustand zu bleiben, sollten Organisationen die Authentifizierungsdaten ihrer Benutzer zur cloudbasierten Azure MFA migrieren.
Bereitstellungsmodell | MFA-Optionen | |
---|---|---|
🔲 | Nur Cloud | Microsoft Entra MFA |
🔲 | Nur Cloud | Nicht-Microsoft MFA über externe Authentifizierungsmethode in Microsoft Entra ID oder Verbund |
🔲 | Hybridbereitstellung | Microsoft Entra MFA |
🔲 | Hybridbereitstellung | Nicht-Microsoft MFA über externe Authentifizierungsmethode in Microsoft Entra ID oder Verbund |
🔲 | Lokale Bereitstellungen | AD FS-MFA-Adapter |
Weitere Informationen finden Sie unter:
- Konfigurieren Microsoft Entra Multi-Faktor-Authentifizierungseinstellungen
- Verwalten einer externen Authentifizierungsmethode in Microsoft Entra ID
MFA und Verbundauthentifizierung
Verbunddomänen können das Flag FederatedIdpMfaBehavior konfigurieren. Das Flag weist Microsoft Entra ID an, die MFA-Anforderung vom Verbund-IdP anzunehmen, zu erzwingen oder abzulehnen. Weitere Informationen finden Sie unter federatedIdpMfaBehavior-Werte. Verwenden Sie den folgenden PowerShell-Befehl, um diese Einstellung zu überprüfen:
Connect-MgGraph
$DomainId = "<your federated domain name>"
Get-MgDomainFederationConfiguration -DomainId $DomainId |fl
Verwenden Sie den folgenden Befehl, um den MFA-Anspruch vom Verbund-IdP abzulehnen. Diese Änderung wirkt sich auf alle MFA-Szenarien für die Verbunddomäne aus:
Update-MgDomainFederationConfiguration -DomainId $DomainId -FederatedIdpMfaBehavior rejectMfaByFederatedIdp
Wenn Sie das Flag mit dem Wert acceptIfMfaDoneByFederatedIdp
(Standard) oder enforceMfaByFederatedIdp
konfigurieren, müssen Sie überprüfen, ob Ihr Verbund-IDP ordnungsgemäß konfiguriert ist und mit dem MFA-Adapter und -Anbieter funktioniert, der von Ihrem IdP verwendet wird.
Schlüsselregistrierung
Die integrierte Windows Hello for Business Bereitstellungsoberfläche erstellt ein gerätegebundenes asymmetrisches Schlüsselpaar als Anmeldeinformationen des Benutzers. Der private Schlüssel wird durch die Sicherheitsmodule des Geräts geschützt. Die Anmeldeinformationen sind ein Benutzerschlüssel, kein Geräteschlüssel. Bei der Bereitstellung wird der öffentliche Schlüssel des Benutzers beim Identitätsanbieter registriert:
Bereitstellungsmodell | Dienstanbieter für die Schlüsselregistrierung |
---|---|
Nur Cloud | Microsoft Entra ID |
Hybridbereitstellung | Microsoft Entra ID |
Lokale Bereitstellungen | AD FS |
Verzeichnissynchronisierung
Hybridbereitstellungen und lokale Bereitstellungen verwenden jedoch die Verzeichnissynchronisierung für einen anderen Zweck:
- Hybridbereitstellungen verwenden Microsoft Entra Connect Sync, um Active Directory-Identitäten (Benutzer und Geräte) oder Anmeldeinformationen zwischen sich selbst und Microsoft Entra ID zu synchronisieren. Während des Bereitstellungsprozesses von Window Hello for Business registrieren Benutzer den öffentlichen Teil ihrer Windows Hello for Business Anmeldeinformationen bei Microsoft Entra ID. Microsoft Entra Connect Sync synchronisiert den öffentlichen Windows Hello for Business Schlüssel mit Active Directory. Diese Synchronisierung ermöglicht SSO das Microsoft Entra ID und der zugehörigen Verbundkomponenten.
Wichtig
Windows Hello for Business ist zwischen einem Benutzer und einem Gerät gebunden. Sowohl das Benutzer- als auch das Geräteobjekt müssen zwischen Microsoft Entra ID und Active Directory synchronisiert werden.
- Lokale Bereitstellungen verwenden die Verzeichnissynchronisierung, um Benutzer aus Active Directory auf den Azure MFA-Server zu importieren. Dieser sendet Daten an den MFA-Clouddienst, um die Überprüfung durchzuführen.
Bereitstellungsmodell | Optionen für die Verzeichnissynchronisierung |
---|---|
Nur Cloud | n. a. |
Hybridbereitstellung | Microsoft Entra Connect Sync |
Lokale Bereitstellungen | Azure MFA-Server |
Wichtig
Ab dem 30. September 2024 verarbeiten Azure Multi-Factor Authentication-Serverbereitstellungen keine MFA-Anforderungen mehr. Um unterbrechungsfreie Authentifizierungsdienste sicherzustellen und in einem unterstützten Zustand zu bleiben, sollten Organisationen die Authentifizierungsdaten ihrer Benutzer zur cloudbasierten Azure MFA migrieren.
Gerätekonfigurationsoptionen
Windows Hello for Business bietet einen umfangreichen Satz präziser Richtlinieneinstellungen. Es gibt zwei Standard Optionen zum Konfigurieren von Windows Hello for Business: Konfigurationsdienstanbieter (Configuration Service Provider, CSP) und Gruppenrichtlinie (GPO).
- Die CSP-Option eignet sich ideal für Geräte, die über eine Mobile Geräteverwaltung(MDM)-Lösung wie Microsoft Intune verwaltet werden. CSPs können auch mit Bereitstellungspaketen konfiguriert werden.
- GPO kann verwendet werden, um in die Domäne eingebundene Geräte zu konfigurieren und geräte nicht über MDM verwaltet werden.
Bereitstellungsmodell | Gerätekonfigurationsoptionen | |
---|---|---|
🔲 | Nur Cloud | CSP |
🔲 | Nur Cloud | GPO (lokal) |
🔲 | Hybridbereitstellung | CSP |
🔲 | Hybridbereitstellung | GPO (Active Directory oder lokal) |
🔲 | Lokale Bereitstellungen | CSP |
🔲 | Lokale Bereitstellungen | GPO (Active Directory oder lokal) |
Lizenzierung für Clouddiensteanforderungen
Im Folgenden finden Sie einige Überlegungen zu Den Lizenzierungsanforderungen für Clouddienste:
- Windows Hello for Business erfordert kein Microsoft Entra ID P1- oder P2-Abonnement. Einige Abhängigkeiten, wie z. B. die automatische MDM-Registrierung und der bedingte Zugriff , sind jedoch vorhanden.
- Geräte, die über MDM verwaltet werden, erfordern kein Microsoft Entra ID P1- oder P2-Abonnement. Wenn Sie auf das Abonnement verzichten, müssen Benutzer Geräte manuell in der MDM-Lösung registrieren, z. B. Microsoft Intune oder eine unterstützte nicht von Microsoft stammende MDM-Lösung.
- Sie können Windows Hello for Business mit dem Microsoft Entra ID Free-Tarif bereitstellen. Alle Microsoft Entra ID Free-Konten können Microsoft Entra mehrstufige Authentifizierung für die kennwortlosen Windows-Features verwenden.
- Einige Microsoft Entra Features für die mehrstufige Authentifizierung erfordern eine Lizenz. Weitere Informationen finden Sie unter Features und Lizenzen für Microsoft Entra mehrstufige Authentifizierung.
- Zum Registrieren eines Zertifikats mithilfe der AD FS-Registrierungsstelle müssen sich Geräte beim AD FS-Server authentifizieren. Dies erfordert das Zurückschreiben des Geräts, ein Microsoft Entra ID P1- oder P2-Feature.
Bereitstellungsmodell | Vertrauensmodell | Clouddienstlizenzen (Minimum) | |
---|---|---|---|
🔲 | Nur Cloud | n. a. | nicht erforderlich |
🔲 | Hybridbereitstellung | Cloud Kerberos | nicht erforderlich |
🔲 | Hybridbereitstellung | Schlüssel | nicht erforderlich |
🔲 | Hybridbereitstellung | Zertifikat | Microsoft Entra ID P1 |
🔲 | Lokale Bereitstellungen | Schlüssel | Azure MFA, wenn sie als MFA-Lösung verwendet wird |
🔲 | Lokale Bereitstellungen | Zertifikat | Azure MFA, wenn sie als MFA-Lösung verwendet wird |
Wichtig
Ab dem 30. September 2024 verarbeiten Azure Multi-Factor Authentication-Serverbereitstellungen keine MFA-Anforderungen mehr. Um unterbrechungsfreie Authentifizierungsdienste sicherzustellen und in einem unterstützten Zustand zu bleiben, sollten Organisationen die Authentifizierungsdaten ihrer Benutzer zur cloudbasierten Azure MFA migrieren.
Betriebssystemanforderungen
Windows-Anforderungen
Alle unterstützten Windows-Versionen können mit Windows Hello for Business verwendet werden. Für die Kerberos-Cloud-Vertrauensstellung sind jedoch Mindestversionen erforderlich:
Bereitstellungsmodell | Vertrauensmodell | Windows-Version | |
---|---|---|---|
🔲 | Nur Cloud | n. a. | Alle unterstützten Versionen |
🔲 | Hybridbereitstellung | Cloud Kerberos | - Windows 10 21H2 mit KB5010415 und höher - Windows 11 21H2 mit KB5010414 und höher |
🔲 | Hybridbereitstellung | Schlüssel | Alle unterstützten Versionen |
🔲 | Hybridbereitstellung | Zertifikat | Alle unterstützten Versionen |
🔲 | Lokale Bereitstellungen | Schlüssel | Alle unterstützten Versionen |
🔲 | Lokale Bereitstellungen | Zertifikat | Alle unterstützten Versionen |
Windows Server-Anforderungen
Windows Hello for Business können für die Authentifizierung bei allen unterstützten Windows Server-Versionen als Domänencontroller verwendet werden. Für die Kerberos-Cloud-Vertrauensstellung sind jedoch Mindestversionen erforderlich:
Bereitstellungsmodell | Vertrauensmodell | Betriebssystemversion des Domänencontrollers | |
---|---|---|---|
🔲 | Nur Cloud | n. a. | Alle unterstützten Versionen |
🔲 | Hybridbereitstellung | Cloud Kerberos | - Windows Server 2016, mit KB3534307 und höher – Windows Server 2019 mit KB4534321 und höher – Windows Server 2022 – Windows Server 2025 |
🔲 | Hybridbereitstellung | Schlüssel | Alle unterstützten Versionen |
🔲 | Hybridbereitstellung | Zertifikat | Alle unterstützten Versionen |
🔲 | Lokale Bereitstellungen | Schlüssel | Alle unterstützten Versionen |
🔲 | Lokale Bereitstellungen | Zertifikat | Alle unterstützten Versionen |
Die mindestens erforderlichen Domänenfunktions- und Gesamtstrukturfunktionsebenen sind Windows Server 2008 R2 für alle Bereitstellungsmodelle.
Vorbereiten von Benutzern
Wenn Sie bereit sind, Windows Hello for Business in Ihrem organization zu aktivieren, stellen Sie sicher, dass Sie die Benutzer vorbereiten, indem Sie erläutern, wie sie Windows Hello bereitstellen und verwenden.
Weitere Informationen finden Sie unter Vorbereiten von Benutzern.
Nächste Schritte
Nachdem Sie sich nun über die verschiedenen Bereitstellungsoptionen und -anforderungen informiert haben, können Sie die Implementierung auswählen, die am besten zu Ihrem organization passt.
Um mehr über den Bereitstellungsprozess zu erfahren, wählen Sie in den folgenden Dropdownlisten ein Bereitstellungsmodell und einen Vertrauenstyp aus: