Windows Hello for Business ersetzt die Kennwortanmeldung durch eine sichere Authentifizierung mithilfe eines asymmetrischen Schlüsselpaars. Dieser Artikel häufig gestellte Fragen (FAQ) soll Ihnen helfen, mehr über Windows Hello for Business zu erfahren.
Konzepte
Was ist der Unterschied zwischen Windows Hello und Windows Hello for Business?
Windows Hello stellt das biometrische Framework dar, das in Windows bereitgestellt wird. Windows Hello ermöglicht Benutzern die Verwendung von Biometrie, um sich bei ihren Geräten anzumelden, indem sie ihren Benutzernamen und ihr Kennwort sicher speichern und für die Authentifizierung freigeben, wenn sich der Benutzer erfolgreich mithilfe von Biometrie identifiziert. Windows Hello for Business verwendet asymmetrische Schlüssel, die durch das Sicherheitsmodul des Geräts geschützt sind. Dieses Modul erfordert eine Benutzergeste (PIN oder biometrische Daten) für die Authentifizierung.
Warum eine PIN besser ist als ein Onlinekennwort
Drei Hauptgründe:
- Eine PIN ist an ein Gerät gebunden: Ein wichtiger Unterschied zwischen einem Onlinekennwort und einer Hello-PIN besteht darin, dass die PIN an das bestimmte Gerät gebunden ist, auf dem sie eingerichtet ist. Diese PIN ist für Dritte ohne diese bestimmte Hardware nutzlos. Jemand, der Ihr Onlinekennwort erhält, kann sich von überall aus bei Ihrem Konto anmelden, aber wenn er Ihre PIN erhält, muss er auch auf Ihr Gerät zugreifen. Die PIN kann nur auf diesem gerät verwendet werden. Wenn Sie sich auf mehreren Geräten anmelden möchten, müssen Sie Hello auf jedem Gerät einrichten.
- Eine PIN befindet sich lokal auf dem Gerät: Ein Onlinekennwort wird an den Server übertragen. Das Kennwort kann bei der Übertragung abgefangen oder von einem Server abgerufen werden. Eine PIN wird lokal auf das Gerät übertragen, nie an einen beliebigen Ort übertragen und nicht auf dem Server gespeichert. Wenn die PIN erstellt wird, stellt sie ein Vertrauensverhältnis mit dem Identitätsanbieter her und erstellt ein asymmetrisches Schlüsselpaar, das für die Authentifizierung verwendet wird. Wenn Sie Ihre PIN eingeben, entsperren Sie den Authentifizierungsschlüssel, der zum Signieren der Anforderung verwendet wird, die an den Authentifizierungsserver gesendet wird. Bei Windows Hello for Business ist die PIN vom Benutzer bereitgestellte Entropie, die zum Laden des privaten Schlüssels in das Trusted Platform Module (TPM) verwendet wird. Der Server verfügt nicht über eine Kopie der PIN. In diesem Fall verfügt der Windows-Client auch nicht über eine Kopie der aktuellen PIN. Der Benutzer muss die Entropie, den TPM-geschützten Schlüssel und das TPM bereitstellen, das diesen Schlüssel generiert hat, um erfolgreich auf den privaten Schlüssel zugreifen zu können.
- Eine PIN wird durch Hardware unterstützt: Die Hello-PIN wird von einem TPM-Chip (Trusted Platform Module) unterstützt, bei dem es sich um einen sicheren Kryptografieprozessor handelt, der für kryptografische Vorgänge konzipiert ist. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren. Windows verknüpft lokale Kennwörter nicht mit TPM, daher gelten PINs als sicherer als lokale Kennwörter. Benutzerschlüsselmaterial wird generiert und ist im TPM des Geräts verfügbar. Das TPM schützt das Schlüsselmaterial vor Angreifern, die es erfassen und wiederverwenden möchten. Da Hello asymmetrische Schlüsselpaare verwendet, können Benutzeranmeldeinformationen nicht gestohlen werden, wenn der Identitätsanbieter oder die Websites, auf die der Benutzer zugreift, kompromittiert wurden. Das TPM schützt vor verschiedenen bekannten und potenziellen Angriffen, einschließlich PIN-Brute-Force-Angriffen. Nach zu vielen falschen Vermutungen ist das Gerät gesperrt.
Die Anweisung Eine PIN ist stärker als ein Kennwort ist nicht auf die Stärke der von der PIN verwendeten Entropie gerichtet. Es geht um den Unterschied zwischen der Bereitstellung von Entropie und der Fortgesetzten Verwendung eines symmetrischen Schlüssels (des Kennworts). Das TPM verfügt über Anti-Hammering-Features, die Brute-Force-PIN-Angriffe verhindern (der kontinuierliche Versuch eines Angreifers, alle Kombinationen von PINs auszuprobieren). Einige Organisationen können sich Gedanken über das Schulter-Surfen machen. Implementieren Sie für diese Organisationen das Feature Multi-Faktor-Entsperren , anstatt die Komplexität der PIN zu erhöhen.
Was geschieht, wenn jemand das Gerät stiehlt?
Um windows Hello-Anmeldeinformationen zu kompromittieren, die von TPM geschützt werden, muss ein Angreifer Zugriff auf das physische Gerät haben. Anschließend muss der Angreifer eine Möglichkeit finden, die biometrischen Daten des Benutzers zu spoofen oder die PIN zu erraten. Alle diese Aktionen müssen ausgeführt werden, bevor der TPM-Antihämmerschutz das Gerät sperrt.
Warum benötigen Sie bei Verwendung von Biometrie eine PIN?
Windows Hello ermöglicht die biometrische Anmeldung mit Fingerabdruck, Iris oder Gesichtserkennung. Wenn Sie Windows Hello einrichten, werden Sie aufgefordert, nach der biometrischen Einrichtung eine PIN zu erstellen. Mit der PIN können Sie sich anmelden, wenn Sie Ihre bevorzugte biometrische Daten aufgrund einer Verletzung nicht verwenden können oder weil der Sensor nicht verfügbar ist oder nicht ordnungsgemäß funktioniert. Wenn Sie nur eine biometrische Anmeldung konfiguriert haben und diese Methode aus irgendeinem Grund nicht für die Anmeldung verwenden können, müssten Sie sich mit Ihrem Konto und Kennwort anmelden. Dadurch erhalten Sie nicht den gleichen Schutz wie Hello.
Wie werden Schlüssel geschützt?
Jedes Mal, wenn Schlüsselmaterial generiert wird, muss es vor Angriffen geschützt werden. Die zuverlässigste Möglichkeit diesbezüglich ist über spezialisierte Hardware möglich. Es gibt eine lange Geschichte der Verwendung von Hardwaresicherheitsmodulen (HSMs) zum Generieren, Speichern und Verarbeiten von Schlüsseln für sicherheitskritische Anwendungen. Bei Smartcards handelt es sich um einen besonderen HSM-Typ, ebenso wie Geräte, die mit dem Trusted Computing Group TPM-Standard konform sind. Wenn möglich, nutzt die Windows Hello for Business-Implementierung das Onboarding von TPM-Hardware, um Schlüssel zu generieren und zu schützen. Administratoren können schlüsselbasierte Vorgänge in Software zulassen, es wird jedoch empfohlen, TPM-Hardware zu verwenden. Das TPM schützt vor einer Vielzahl von unbekannten und potenziellen Angriffen, einschließlich Brute-Force-Angriffen auf die PIN. Das TPM stellt auch nach einer Kontosperre eine zusätzliche Schutzebene bereit. Wenn das TPM das Schlüsselmaterial gesperrt hat, muss der Benutzer die PIN zurücksetzen (was bedeutet, dass der Benutzer MFA verwenden muss, um sich erneut beim IdP zu authentifizieren, bevor der IdP die erneute Registrierung zulässt). Beim Zurücksetzen der PIN werden alle mit dem alten Schlüsselmaterial verschlüsselten Schlüssel und Zertifikate entfernt.
Wie funktioniert PIN-Caching mit Windows Hello for Business?
Windows Hello for Business bietet eine BEnutzeroberfläche für die PIN-Zwischenspeicherung mithilfe eines Ticketsystems. Die entsprechenden Prozesse speichern nicht eine PIN, sondern ein Ticket, das sie verwenden, um private Schlüssel zu verarbeiten. Microsoft Entra ID und Active Directory-Anmeldeschlüssel werden gesperrt zwischengespeichert. Dies bedeutet, dass die Schlüssel ohne Aufforderung zur Verwendung zur Verfügung stehen, solange der Benutzer interaktiv angemeldet ist. Anmeldeschlüssel für microsoft-Konten sind Transaktionsschlüssel, was bedeutet, dass der Benutzer beim Zugriff auf den Schlüssel immer aufgefordert wird.
Windows Hello for Business, das als Smartcard verwendet wird (Smartcardemulation, die standardmäßig aktiviert ist) bietet die gleiche Benutzererfahrung wie die standardmäßige Smartcard-PIN-Zwischenspeicherung. Jeder Prozess, der einen Vorgang mit einem privaten Schlüssel anfordert, fordert den Benutzer bei der ersten Verwendung zur Eingabe der PIN auf. Bei nachfolgenden Vorgängen mit privaten Schlüsseln wird der Benutzer nicht zur Eingabe der PIN aufgefordert.
Das Smartcard-Emulationsfeature von Windows Hello for Business überprüft die PIN und verwirft sie anschließend im Austausch gegen ein Ticket. Der Prozess empfängt nicht die PIN, sondern das Ticket, das ihnen Vorgänge mit privaten Schlüsseln gewährt. Es gibt keine Richtlinieneinstellung zum Anpassen des Zwischenspeicherns.
Wo werden biometrische Windows Hello-Daten gespeichert?
Wenn Sie sich bei Windows Hello registrieren, wird eine Darstellung Ihrer biometrischen Daten erstellt, die als Registrierungsprofil bezeichnet wird. Die biometrischen Daten des Registrierungsprofils sind gerätespezifisch, werden lokal auf dem Gerät gespeichert und verlassen das Gerät nicht oder roamingn nicht mit dem Benutzer. Einige externe Fingerabdrucksensoren speichern biometrische Daten auf dem Fingerabdruckmodul selbst und nicht auf einem Windows-Gerät. Selbst in diesem Fall werden die biometrischen Daten lokal auf diesen Modulen gespeichert, sind gerätespezifisch, werden nicht verschoben, verlassen das Modul nie und werden nie an die Microsoft-Cloud oder einen externen Server gesendet. Weitere Informationen finden Sie unter Windows Hello-Biometrie im Unternehmen und Windows Hello-Gesichtsauthentifizierung.
Welches Format wird zum Speichern biometrischer Windows Hello-Daten auf dem Gerät verwendet?
Biometrische Windows Hello-Daten werden auf dem Gerät als verschlüsselte Vorlagendatenbank gespeichert. Die Daten des biometrischen Sensors (z. B. Gesichtskamera oder Fingerabdruckleser) erstellen eine Datendarstellung oder einen Graphen, die dann verschlüsselt wird, bevor sie auf dem Gerät gespeichert werden. Jeder biometrische Sensor auf dem Gerät, das von Windows Hello verwendet wird (Gesicht oder Fingerabdruck), verfügt über eine eigene biometrische Datenbankdatei, in der Vorlagendaten gespeichert werden. Jede biometrische Datenbankdatei wird mit einem eindeutigen, zufällig generierten Schlüssel verschlüsselt, der mithilfe der AES-Verschlüsselung für das System verschlüsselt wird und einen SHA256-Hash erzeugt.
Wer hat Zugriff auf biometrische Windows Hello-Daten?
Da biometrische Windows Hello-Daten im verschlüsselten Format gespeichert werden, hat kein Benutzer oder ein anderer Prozess als Windows Hello Zugriff darauf.
Wann wird die biometrische Windows Hello-Datenbankdatei erstellt? Wie wird ein Benutzer bei der Windows Hello-Gesichts- oder Fingerabdruckauthentifizierung registriert?
Die Windows Hello-Biometrievorlagen-Datenbankdatei wird nur auf dem Gerät erstellt, wenn ein Benutzer bei der biometrischen Authentifizierung auf Windows Hello registriert ist. Ein IT-Administrator kann Richtlinieneinstellungen konfigurieren, aber es ist immer die Wahl eines Benutzers, wenn er Biometrie oder PIN verwenden möchte. Benutzer können ihre aktuelle Registrierung bei Der Windows Hello-Biometrie überprüfen, indem sie auf ihrem Gerät zu Den Anmeldeoptionen wechseln. Wechseln Sie zu Starteinstellungen >> Konten > Anmeldeoptionen . Wenn Windows Hello in den Anmeldeoptionen nicht angezeigt wird, ist es möglicherweise nicht für Ihr Gerät verfügbar oder vom Administrator über eine Richtlinie blockiert. Administratoren können Benutzer auffordern, sich während Autopilot oder während der ersteinrichtung des Geräts bei Windows Hello zu registrieren. Administratoren können Benutzern die Registrierung für biometrische Daten über Windows Hello for Business-Richtlinienkonfigurationen verbieten. Wenn dies jedoch über Richtlinienkonfigurationen zulässig ist, ist die Registrierung bei biometrischen Windows Hello-Daten für Benutzer immer optional.
Wann wird die biometrische Windows Hello-Datenbankdatei gelöscht? Wie kann die Registrierung eines Benutzers bei der Windows Hello-Gesichts- oder Fingerabdruckauthentifizierung aufgehoben werden?
Um Windows Hello und alle zugehörigen biometrischen Identifikationsdaten vom Gerät zu entfernen, öffnen Sie Starteinstellungen >> Konten > Anmeldeoptionen. Wählen Sie die Windows Hello-Authentifizierungsmethode für biometrische Daten aus, die Sie entfernen möchten, und wählen Sie dann Entfernen aus. Die Aktion hebt die Registrierung der biometrischen Windows Hello-Authentifizierung auf und löscht die zugeordnete Datenbankdatei der biometrischen Vorlage. Weitere Informationen finden Sie unter Windows-Anmeldeoptionen und Kontoschutz (microsoft.com).
Verwaltung und Betrieb
Kann ich Windows Hello for Business mithilfe von Microsoft Configuration Manager bereitstellen und verwalten?
Ab Configuration Manager, Version 2203, werden Windows Hello for Business-Bereitstellungen mit Configuration Manager nicht mehr unterstützt.
Wie lösche ich einen Windows Hello for Business-Container auf einem Gerät?
Sie können den Windows Hello for Business-Container löschen, indem Sie den Befehl certutil.exe -deleteHelloContainer
ausführen.
Was passiert, wenn ein Benutzer seine PIN vergisst?
Wenn sich der Benutzer mit einem Kennwort anmelden kann, kann er seine PIN zurücksetzen, indem er den Link Ich habe meine PIN vergessen in der App Einstellungen oder auf dem Sperrbildschirm auswählt, indem er den Link Ich habe meine PIN vergessen auf dem PIN-Anmeldeinformationsanbieter auswählt.
Bei lokalen Bereitstellungen müssen Geräte mit ihrem lokalen Netzwerk (Domänencontroller und/oder Zertifizierungsstelle) verbunden sein, um ihre PINs zurückzusetzen. Hybridbereitstellungen können das Onboarding ihres Microsoft Entra-Mandanten durchführen, um den Windows Hello for Business-PIN-Zurücksetzungsdienst zum Zurücksetzen ihrer PINs zu verwenden. Die destruktive PIN-Zurücksetzung funktioniert ohne Zugriff auf das Unternehmensnetzwerk. Die destruktive PIN-Zurücksetzung erfordert Zugriff auf das Unternehmensnetzwerk. Weitere Informationen zum destruktiven und nicht destruktiven Zurücksetzen von PIN finden Sie unter PIN-Zurücksetzung.
Verhindert Windows Hello for Business die Verwendung zu einfacher PINs?
Ja. Unser Algorithmus zur Erkennung zu einfacher PINs lehnt jede PIN mit einem konstanten Abstand zwischen den Ziffern ab. Der Algorithmus zählt die Anzahl der Schritte, die erforderlich sind, um die nächste Ziffer zu erreichen, die bei 10 ("null") überläuft. Beispiele:
- Die PIN 1111 weist ein konstantes Delta von (0,0,0) auf, sodass sie nicht zulässig ist.
- Die PIN 1234 weist ein konstantes Delta von (1,1,1) auf, sodass sie nicht zulässig ist.
- Die PIN 1357 weist ein konstantes Delta von (2,2,2) auf, sodass sie nicht zulässig ist.
- Die PIN 9630 weist ein konstantes Delta von (7,7,7) auf, sodass sie nicht zulässig ist.
- Die PIN 1593 weist ein konstantes Delta von (4,4,4) auf, sodass sie nicht zulässig ist.
- Die PIN 7036 weist ein konstantes Delta von (3,3,3) auf, sodass sie nicht zulässig ist.
- Die PIN 1231 verfügt nicht über ein konstantes Delta (1,1,2), daher ist sie zulässig.
- Die PIN 1872 verfügt nicht über ein konstantes Delta (7,9,5), daher ist sie zulässig.
Diese Überprüfung verhindert wiederholte Zahlen, sequenzielle Zahlen und einfache Muster. Dies führt immer zu einer Liste von 100 unzulässigen PINs (unabhängig von der PIN-Länge). Dieser Algorithmus gilt nicht für alphanumerische PINs.
Welche Diagnosedaten werden gesammelt, wenn Windows Hello for Business aktiviert ist?
Damit Microsoft ordnungsgemäß funktioniert, um Betrug zu erkennen und zu verhindern und Windows Hello weiter zu verbessern, werden Diagnosedaten zur Verwendung von Windows Hello gesammelt. Zum Beispiel:
- Daten darüber, ob sich Personen mit Gesicht, Iris, Fingerabdruck oder PIN anmelden
- Die Häufigkeit, mit der sie es verwenden
- Ob es funktioniert oder nicht All dies sind wertvolle Informationen, die Microsoft helfen, ein besseres Produkt zu entwickeln. Die Daten sind pseudonymisiert, enthalten keine biometrischen Informationen und werden verschlüsselt, bevor sie an Microsoft übertragen werden. Sie können das Senden von Diagnosedaten an Microsoft jederzeit beenden. Erfahren Sie mehr über Diagnosedaten in Windows.
Kann ich die PIN bei Verwendung von Windows Hello for Business deaktivieren?
Nein. Die Vermeidung von Kennwörtern beginnt mit einer allmähliche Reduzierung der Kennwortverwendung. In Situationen, in denen Sie sich nicht mithilfe von Biometrie authentifizieren können, benötigen Sie einen Fallbackmechanismus, bei dem es sich nicht um ein Kennwort handelt. Die PIN ist der Fallbackmechanismus. Durch das Deaktivieren oder Ausblenden des ANBIETERs von PIN-Anmeldeinformationen wird die Verwendung von Biometrie deaktiviert.
Was geschieht, wenn ein nicht autorisierter Benutzer in den Besitz eines in Windows Hello for Business registrierten Geräts gewinnt?
Der nicht autorisierte Benutzer kann keine biometrischen Optionen verwenden und hat die einzige Möglichkeit, eine PIN einzugeben.
Wenn der Benutzer versucht, das Gerät durch Eingabe zufälliger PINs zu entsperren, zeigt der Anmeldeinformationsanbieter nach drei erfolglosen Versuchen die folgende Meldung an: Sie haben mehrmals eine falsche PIN eingegeben. Um es erneut zu versuchen, geben Sie unten A1B2C3 ein. Nach eingabe des Aufforderungsausdrucks A1B2C3 erhält der Benutzer eine weitere Möglichkeit, die PIN einzugeben. Wenn der Anbieter nicht erfolgreich ist, wird der Anbieter deaktiviert, sodass der Benutzer die einzige Option hat, das Gerät neu zu starten. Nach dem Neustart wird das oben genannte Muster wiederholt.
Wenn erfolglose Versuche fortgesetzt werden, wechselt das Gerät in einen Sperrzustand, der 1 Minute nach dem ersten Neustart, 2 Minuten nach dem vierten Neustart und 10 Minuten nach dem fünften Neustart dauert. Die Dauer jeder Sperre erhöht sich entsprechend. Dieses Verhalten ist das Ergebnis der TPM 2.0-Antihämmerfunktion. Weitere Informationen zum TPM-Antihämmern finden Sie unter TPM 2.0 Anti-Hämmern.
Entwurf und Planung
Kann Windows Hello for Business in Air Gap-Umgebungen funktionieren?
Ja. Sie können die lokale Windows Hello for Business-Bereitstellung verwenden und mit einem nicht von Microsoft stammenden MFA-Anbieter kombinieren, der keine Internetverbindung erfordert, um eine Windows Hello for Business-Bereitstellung mit Air Gap zu erreichen.
Wie viele Benutzer können sich auf einem einzelnen Windows-Gerät für Windows Hello for Business registrieren?
Die maximale Anzahl unterstützter Registrierungen auf einem einzelnen Gerät beträgt 10. Dadurch können 10 Benutzer ihr Gesicht und bis zu 10 Fingerabdrücke registrieren. Für Geräte mit mehr als 10 Benutzern oder für Benutzer, die sich bei vielen Geräten anmelden (z. B. ein Supporttechniker), wird die Verwendung von FIDO2-Sicherheitsschlüsseln empfohlen.
Ich habe Active Directory auf Microsoft Entra ID erweitert. Kann ich das lokale Bereitstellungsmodell verwenden?
Nein. Wenn Ihre Organisation Microsoft-Clouddienste verwendet, müssen Sie ein Hybridbereitstellungsmodell verwenden. Lokale Bereitstellungen sind exklusiv für Organisationen verfügbar, die mehr Zeit benötigen, bevor sie in die Cloud wechseln und ausschließlich Active Directory verwenden.
Welche Attribute werden von Microsoft Entra Connect mit Windows Hello for Business synchronisiert?
Eine Liste der Attribute, die basierend auf Szenarien synchronisiert werden, finden Sie unter Microsoft Entra Connect Sync: Attribute synchronized to Microsoft Entra ID (Microsoft Entra Connect-Synchronisierung: Mit Microsoft Entra ID synchronisierte Attribute ). Die Basisszenarien, die Windows Hello for Business enthalten, sind das Windows 10-Szenario und das Szenario zum Rückschreiben von Geräten . Ihre Umgebung kann andere Attribute enthalten.
Kann ich MFA-Nicht-Microsoft-Anbieter mit Windows Hello for Business verwenden?
Ja, wenn Sie eine Verbundhybridbereitstellung verwenden, können Sie jeden Nicht-Microsoft-Anbieter verwenden, der einen AD FS-MFA-Adapter bereitstellt. Eine Liste der nicht von Microsoft stammenden MFA-Adapter finden Sie hier.
Funktioniert Windows Hello for Business mit Nicht-Microsoft-Verbundservern?
Windows Hello for Business funktioniert mit allen Nicht-Microsoft-Verbundservern, die die während der Bereitstellung verwendeten Protokolle unterstützen.
Protokoll | Beschreibung |
---|---|
[MS-KPP]: Key Provisioning Protocol | Gibt das Key Provisioning Protocol an, das einen Mechanismus für einen Client definiert, um eine Reihe von kryptografischen Schlüsseln für ein Benutzer- und ein Gerätepaar zu registrieren. |
[MS-OAPX]: OAuth 2.0-Protokollerweiterungen | Gibt die OAuth 2.0-Protokollerweiterungen an, die verwendet werden, um das OAuth 2.0-Autorisierungsframework zu erweitern. Diese Erweiterungen ermöglichen Autorisierungsfeatures wie Ressourcenspezifikation, Anforderungsbezeichner und Anmeldehinweise. |
[MS-OAPXBC]: OAuth 2.0-Protokollerweiterungen für Broker-Clients | Gibt die OAuth 2.0-Protokollerweiterungen für Brokerclients an, Erweiterungen für RFC6749 (das OAuth 2.0-Autorisierungsframework), die es einem Brokerclient ermöglichen, Zugriffstoken für aufrufende Clients abzurufen. |
[MS-OIDCE]: OpenID Connect 1.0-Protokollerweiterungen | Gibt die OpenID Connect 1.0-Protokollerweiterungen an. Diese Erweiterungen definieren andere Ansprüche, die Informationen über den Benutzer enthalten, einschließlich des Benutzerprinzipalsnamens, eines lokal eindeutigen Bezeichners, eines Zeitpunkts für den Kennwortablauf und einer URL für die Kennwortänderung. Diese Erweiterungen definieren auch mehr Anbietermetadaten, die die Ermittlung des Ausstellers von Zugriffstoken ermöglichen und zusätzliche Informationen zu Anbieterfunktionen bereitstellen. |
Kann ich lokale Windows-Konten in Windows Hello for Business registrieren?
Windows Hello for Business ist nicht für die Verwendung mit lokalen Konten konzipiert.
Welche biometrischen Anforderungen gelten für Windows Hello for Business?
Weitere Informationen finden Sie unter Biometrische Anforderungen für Windows Hello .
Kann ich eine Maske tragen, um mich mit der Windows Hello-Gesichtsauthentifizierung zu registrieren oder zu entsperren?
Das Tragen einer Maske zur Registrierung ist ein Sicherheitsproblem, da andere Benutzer, die eine ähnliche Maske tragen, ihr Gerät möglicherweise entsperren können. Entfernen Sie eine Maske, wenn Sie eine tragen, wenn Sie sich mit der Windows Hello-Gesichtsauthentifizierung registrieren oder entsperren. Wenn Ihre Arbeitsumgebung das vorübergehende Entfernen einer Maske nicht zulässt, sollten Sie erwägen, die Registrierung von der Gesichtsauthentifizierung aufzuheben und nur PIN oder Fingerabdruck zu verwenden.
Wie funktioniert Windows Hello for Business mit bei Microsoft Entra registrierten Geräten?
Ein Benutzer wird aufgefordert, einen Windows Hello for Business-Schlüssel auf einem bei Microsoft Entra registrierten Gerät einzurichten, wenn das Feature durch eine Richtlinie aktiviert ist. Wenn der Benutzer über einen vorhandenen Windows Hello-Container verfügt, wird der Windows Hello for Business-Schlüssel in diesem Container registriert und mit vorhandenen Gesten geschützt.
Wenn sich ein Benutzer bei seinem bei Microsoft Entra registrierten Gerät mit Windows Hello angemeldet hat, wird sein Windows Hello for Business-Schlüssel verwendet, um die Geschäftliche Identität des Benutzers zu authentifizieren, wenn er versucht, Microsoft Entra-Ressourcen zu verwenden. Der Windows Hello for Business-Schlüssel erfüllt die MFA-Anforderungen (Multi-Factor Authentication) von Microsoft Entra und reduziert die Anzahl der MFA-Aufforderungen, die Benutzern beim Zugriff auf Ressourcen angezeigt werden.
Es ist möglich, microsoft Entra ein in die Domäne eingebundenes Gerät zu registrieren. Wenn das in die Domäne eingebundene Gerät über eine praktische PIN verfügt, funktioniert die Anmeldung mit der Komfort-PIN nicht mehr. Diese Konfiguration wird von Windows Hello for Business nicht unterstützt.
Weitere Informationen finden Sie unter Bei Microsoft Entra registrierte Geräte.
Funktioniert Windows Hello for Business mit Nicht-Windows-Betriebssystemen?
Windows Hello for Business ist ein Feature der Windows-Plattform.
Funktioniert Windows Hello for Business mit Microsoft Entra Domain Services-Clients?
Nein, Microsoft Entra Domain Services ist eine separat verwaltete Umgebung in Azure, und die Hybridgeräteregistrierung mit microsoft Entra ID in der Cloud ist nicht über Microsoft Entra Connect verfügbar. Daher funktioniert Windows Hello for Business nicht mit Microsoft Entra Domain Services.
Wird Windows Hello for Business als mehrstufige Authentifizierung betrachtet?
Windows Hello for Business ist eine zweistufige Authentifizierung, die auf den beobachteten Authentifizierungsfaktoren basiert: etwas, das Sie haben, etwas, das Sie kennen, und etwas, das Teil von Ihnen ist. Windows Hello for Business umfasst zwei dieser Faktoren: etwas, das Sie haben (der privaten Schlüssel des Benutzers, geschützt durch das Sicherheitsmodul des Geräts), sowie etwas, das Sie wissen (Ihre PIN). Mit der entsprechenden Hardware können Sie durch die Einführung von biometrischen Daten die Benutzerfreundlichkeit verbessern. Durch die Verwendung von Biometrie können Sie den Authentifizierungsfaktor "etwas, das Sie kennen" durch den Faktor "etwas, das Teil von Ihnen ist" ersetzen, mit der Gewissheit, dass Benutzer auf den Faktor "Etwas, das Sie kennen" zurückgreifen können.
Hinweis
Der Windows Hello for Business-Schlüssel erfüllt die MFA-Anforderungen (Multi-Factor Authentication) von Microsoft Entra und reduziert die Anzahl der MFA-Aufforderungen, die Benutzern beim Zugriff auf Ressourcen angezeigt werden. Weitere Informationen finden Sie unter Was ist ein primäres Aktualisierungstoken?
Welches ist besser oder sicherer für die Authentifizierung, den Schlüssel oder das Zertifikat?
Beide Arten der Authentifizierung bieten die gleiche Sicherheit. eine ist nicht sicherer als die andere. Die Vertrauensmodelle Ihrer Bereitstellung bestimmen, wie Sie sich bei Active Directory authentifizieren. Sowohl die Schlüsselvertrauensstellung als auch die Zertifikatvertrauensstellung verwenden dieselben hardwaregestützten, zweistufigen Anmeldeinformationen. Der Unterschied zwischen den beiden Vertrauenstypen besteht in der Ausstellung von Endentitätszertifikaten:
- Das Schlüsselvertrauensmodell authentifiziert sich bei Active Directory mithilfe eines unformatierten Schlüssels. Die Schlüsselvertrauensstellung erfordert kein vom Unternehmen ausgestelltes Zertifikat, daher müssen Sie keine Zertifikate für Benutzer ausstellen (Domänencontrollerzertifikate sind weiterhin erforderlich).
- Das Zertifikatvertrauensmodell wird mithilfe eines Zertifikats bei Active Directory authentifiziert. Daher müssen Sie Zertifikate für Benutzer ausstellen. Das in der Zertifikatvertrauensstellung verwendete Zertifikat verwendet den TPM-geschützten privaten Schlüssel, um ein Zertifikat von der ausstellenden Zertifizierungsstelle Ihres Unternehmens anzufordern.
Was ist eine komfortfreundliche PIN?
Die praktische PIN bietet eine einfachere Möglichkeit, sich bei Windows anzumelden als Kennwörter, verwendet aber trotzdem ein Kennwort für die Authentifizierung. Wenn windows die richtige Komfort-PIN bereitgestellt wird, werden die Kennwortinformationen aus dem Cache geladen und der Benutzer authentifiziert. Organisationen, die benutzerfreundliche PINs verwenden, sollten zu Windows Hello for Business wechseln. Neue Windows-Bereitstellungen sollten Windows Hello for Business und keine komfortablen PINs bereitstellen.
Kann ich eine praktische PIN mit Microsoft Entra ID verwenden?
Nein. Es ist zwar möglich, auf in Microsoft Entra eingebundenen und hybrid eingebundenen Microsoft Entra-Geräten eine praktische PIN festzulegen, für Microsoft Entra-Benutzerkonten (einschließlich synchronisierter Identitäten) wird jedoch keine Benutzerfreundlichkeits-PIN unterstützt. Die Praktische PIN wird nur für lokale Active Directory-Benutzer und benutzer mit lokalem Konto unterstützt.
Wie sieht es mit virtuellen Smartcards aus?
Windows Hello for Business ist die moderne Zwei-Faktor-Authentifizierung für Windows. Kunden, die virtuelle Smartcards verwenden, wird dringend empfohlen, auf Windows Hello for Business umzusteigen.
Welche URLs benötige ich, um eine Hybridbereitstellung zuzulassen?
Eine Liste der erforderlichen URLs finden Sie unter Microsoft 365 Common und Office Online.
Wenn Ihre Umgebung Microsoft Intune verwendet, finden Sie weitere Informationen unter Netzwerkendpunkte für Microsoft Intune.
Features
Kann ich eine externe Windows Hello-kompatible Kamera verwenden, wenn mein Computer über eine integrierte Windows Hello-kompatible Kamera verfügt?
Ja, Sie können eine externe Windows Hello-kompatible Kamera verwenden, wenn ein Gerät über eine interne Windows Hello-Kamera verfügt. Wenn beide Kameras vorhanden sind, wird die externe Kamera für die Gesichtsauthentifizierung verwendet. Weitere Informationen finden Sie unter IT-Tools zur Unterstützung von Windows 10, Version 21H1. Wenn ESS aktiviert ist, finden Sie weitere Informationen unter Erweiterte Anmeldesicherheit für Windows Hello.
Kann ich eine externe Windows Hello-kompatible Kamera oder ein anderes mit Windows Hello kompatibles Zubehör verwenden, wenn mein Laptopdeckel geschlossen oder angedockt ist?
Einige Laptops und Tablets mit tastaturen, die geschlossen werden, verwenden möglicherweise keine externe Windows Hello-kompatible Kamera oder ein anderes mit Windows Hello kompatibles Zubehör, wenn der Computer mit geschlossenem Deckel angedockt ist. Das Problem wurde in Windows 11, Version 22H2 behoben.
Kann ich Windows Hello for Business-Anmeldeinformationen im privaten Browsermodus oder im "Inkognito"-Modus verwenden?
Windows Hello for Business-Anmeldeinformationen benötigen Zugriff auf den Gerätezustand, der im privaten Browsermodus oder Inkognitomodus nicht verfügbar ist. Daher kann es nicht im privaten Browser oder im Inkognitomodus verwendet werden.
Kann ich sowohl eine PIN als auch biometrische Daten verwenden, um mein Gerät zu entsperren?
Sie können die mehrstufige Entsperrung verwenden, um von Benutzern die Bereitstellung eines zusätzlichen Faktors zum Entsperren ihres Geräts zu verlangen. Die Authentifizierung bleibt zweistufig, es ist allerdings eine weitere Authentifizierungsstufe erforderlich, damit Windows dem Benutzer Zugriff auf den Desktop ermöglicht. Weitere Informationen finden Sie unter Mehrstufiges Entsperren.
Cloud Kerberos-Vertrauensstellung
Was ist die Kerberos-Vertrauensstellung in der Windows Hello for Business-Cloud?
Die Windows Hello for Business-Cloud-Kerberos-Vertrauensstellung ist ein Vertrauensmodell , das die Bereitstellung von Windows Hello for Business mithilfe der Infrastruktur ermöglicht, die für die Unterstützung der Anmeldung mit Sicherheitsschlüsseln auf hybrid eingebundenen Microsoft Entra-Geräten und des lokalen Ressourcenzugriffs auf in Microsoft Entra eingebundenen Geräten eingeführt wurde. Die Cloud-Kerberos-Vertrauensstellung ist das bevorzugte Bereitstellungsmodell, wenn Sie keine Zertifikatauthentifizierungsszenarien unterstützen müssen. Weitere Informationen finden Sie unter Cloudbereitstellung mit Kerberos-Vertrauensstellung.
Funktioniert windows Hello for Business cloud kerberos trust in meiner lokalen Umgebung?
Dieses Feature funktioniert nicht in einer reinen lokalen AD-Domänendienstumgebung.
Funktioniert die Windows Hello for Business-Cloud-Kerberos-Vertrauensstellung bei einer Windows-Anmeldung mit RODC, die in der Hybridumgebung vorhanden ist?
Die Kerberos-Vertrauensstellung für die Windows Hello for Business-Cloud sucht nach einem schreibbaren Domänencontroller, um das partielle TGT auszutauschen. Solange Sie über mindestens einen beschreibbaren DC pro Standort verfügen, funktioniert die Anmeldung mit der Kerberos-Cloud-Vertrauensstellung.
Benötige ich eine Sichtverbindung zu einem Domänencontroller, um die Kerberos-Vertrauensstellung der Windows Hello for Business-Cloud zu verwenden?
Die Kerberos-Vertrauensstellung für die Windows Hello for Business-Cloud erfordert eine Sichtverbindung zu einem Domänencontroller in folgenden Fällen:
- Ein Benutzer meldet sich zum ersten Mal an oder entsperrt nach der Bereitstellung mit Windows Hello for Business
- Versuchen, auf lokale Ressourcen zuzugreifen, die durch Active Directory geschützt sind
Kann ich RDP/VDI mit der Windows Hello for Business-Cloud-Kerberos-Vertrauensstellung verwenden?
Die Windows Hello for Business-Cloud-Kerberos-Vertrauensstellung kann nicht als bereitgestellte Anmeldeinformationen mit RDP/VDI verwendet werden. Ähnlich wie bei der Schlüsselvertrauensstellung kann die Kerberos-Cloudvertrauensstellung für RDP verwendet werden, wenn ein Zertifikat für diesen Zweck bei Windows Hello for Business registriert ist . Alternativ können Sie Remote Credential Guard verwenden, bei dem keine Zertifikate bereitgestellt werden müssen.
Müssen alle meine Domänencontroller gemäß den Voraussetzungen für die Verwendung der Windows Hello for Business-Cloud-Kerberos-Vertrauensstellung vollständig gepatcht werden?
Nein, nur die Anzahl, die erforderlich ist, um die Last von allen Geräten mit Kerberos-Vertrauensstellung in der Cloud zu verarbeiten.
Schlüsselbasiertes Vertrauen
Warum schlägt die Authentifizierung sofort nach der Bereitstellung der Hybridschlüsselvertrauensstellung fehl?
In einer Hybridbereitstellung muss der öffentliche Schlüssel eines Benutzers von der Microsoft Entra-ID mit Active Directory synchronisiert werden, bevor er für die Authentifizierung bei einem Domänencontroller verwendet werden kann. Diese Synchronisierung wird von Microsoft Entra Connect verarbeitet und findet während eines normalen Synchronisierungszyklus statt.
Kann ich Windows Hello for Business key trust und RDP verwenden?
Das Remotedesktopprotokoll (RDP) unterstützt die Verwendung der schlüsselbasierten Authentifizierung als angegebene Anmeldeinformationen nicht. Sie können jedoch Zertifikate im Schlüsselvertrauensmodell bereitstellen, um RDP zu aktivieren. Weitere Informationen finden Sie unter Bereitstellen von Zertifikaten für Schlüsselvertrauensbenutzer zum Aktivieren von RDP. Alternativ können Sie Remote Credential Guard verwenden, bei dem keine Zertifikate bereitgestellt werden müssen.