Dieser Referenzartikel enthält eine umfassende Liste der Richtlinieneinstellungen für Windows Hello for Business. Die Liste der Einstellungen ist alphabetisch sortiert und in vier Kategorien organisiert:
Wählen Sie eine der Registerkarten aus, um die Liste der verfügbaren Einstellungen anzuzeigen:
Konfigurieren Sie eine durch Trennzeichen getrennte Liste von Anmeldeinformationsanbieter-GUIDs, z. B. GUIDs für Gesichtserkennungs- und Fingerabdruckanbieter, die als erster und zweiter Entsperrfaktor verwendet werden. Wenn der vertrauenswürdige Signalanbieter als einer der Entsperrfaktoren angegeben ist, sollten Sie auch eine durch Trennzeichen getrennte Liste von Signalregeln in Form von XML für jeden zu überprüfenden Signaltyp konfigurieren.
Wenn Sie diese Richtlinieneinstellung aktivieren, muss der Benutzer einen Faktor aus jeder Liste verwenden, um das Entsperren erfolgreich zu ermöglichen. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, können Benutzer die Entsperrung mit vorhandenen Optionen fortsetzen.
|
Pfad |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/
DeviceUnlock |
|
GPO |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business |
Weitere Informationen finden Sie unter Multi-Factor Unlock.
Konfigurieren Sie eine durch Trennzeichen getrennte Liste von Signalregeln in Form von XML für jeden Signaltyp.
- Wenn Sie diese Richtlinieneinstellung aktivieren, werden die Signalregeln ausgewertet, um die Abwesenheit des Benutzers zu erkennen und das Gerät automatisch zu sperren.
- Wenn Sie die Einstellung deaktivieren oder nicht konfigurieren, können Benutzer weiterhin mit vorhandenen Optionen sperren.
|
Pfad |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/
DynamicLock |
|
GPO |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business |
Gerät mit sicherer Hardware verwenden
Ein Trusted Platform Module (TPM) bietet zusätzliche Sicherheitsvorteile gegenüber Software, da damit geschützte Daten nicht auf anderen Geräten verwendet werden können.
- Wenn Sie diese Richtlinieneinstellung aktivieren, erfolgt die Windows Hello for Business-Bereitstellung nur auf Geräten mit verwendbaren 1.2- oder 2.0-TPMs. Sie können optional TPM-Module der Revision 1.2 ausschließen, was die Bereitstellung von Windows Hello for Business auf diesen Geräten verhindert.
Tipp
Die TPM 1.2-Spezifikation lässt nur die Verwendung von RSA und dem SHA-1-Hashalgorithmus zu. TPM 1.2-Implementierungen variieren in den Richtlinieneinstellungen, was zu Supportproblemen führen kann, da sperrungsrichtlinien variieren. Es wird empfohlen, TPM 1.2-Geräte von der Windows Hello for Business-Bereitstellung auszuschließen.
– Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird das TPM weiterhin bevorzugt, aber alle Geräte können Windows Hello for Business mithilfe von Software bereitstellen, wenn das TPM nicht funktionsfähig oder nicht verfügbar ist.
|
Pfad |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
RequireSecurityDevice
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/
TPM12 |
|
GPO |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business |
Zertifikat für die lokale Authentifizierung verwenden
Verwenden Sie diese Richtlinieneinstellung, um Windows Hello for Business für die Registrierung eines Anmeldezertifikats zu konfigurieren, das für die lokale Authentifizierung verwendet wird.
- Wenn Sie diese Richtlinieneinstellung aktivieren, registriert Windows Hello for Business ein Anmeldezertifikat, das für die lokale Authentifizierung verwendet wird.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet Windows Hello for Business einen Schlüssel oder ein Kerberos-Ticket (abhängig von anderen Richtlinieneinstellungen) für die lokale Authentifizierung.
|
Pfad |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UseCertificateForOnPremAuth |
|
GPO |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business
Benutzerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business |
Verwenden der Cloudvertrauensstellung für die lokale Authentifizierung
Verwenden Sie diese Richtlinieneinstellung, um Windows Hello for Business für die Verwendung des Kerberos-Vertrauensmodells in der Cloud zu konfigurieren.
- Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet Windows Hello for Business ein Kerberos-Ticket, das bei der Authentifizierung bei Microsoft Entra ID für die lokale Authentifizierung abgerufen wurde.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwendet Windows Hello for Business einen Schlüssel oder ein Zertifikat (abhängig von anderen Richtlinieneinstellungen) für die lokale Authentifizierung.
|
Pfad |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UseCloudTrustForOnPremAuth |
|
GPO |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business |
Hinweis
Die Kerberos-Cloudvertrauensstellung ist mit der Zertifikatvertrauensstellung nicht kompatibel. Wenn die Einstellung der Zertifikatvertrauensrichtlinie aktiviert ist, hat sie Vorrang vor dieser Richtlinieneinstellung.
Windows Hello for Business verwenden
- Wenn Sie diese Richtlinie aktivieren, stellt das Gerät Windows Hello for Business mithilfe von Schlüsseln oder Zertifikaten für alle Benutzer bereit.
- Wenn Sie diese Richtlinieneinstellung deaktivieren, stellt das Gerät Windows Hello for Business für keinen Benutzer bereit.
- Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, können Benutzer Windows Hello for Business bereitstellen.
Wählen Sie die Option Windows Hello-Bereitstellung nach der Anmeldung nicht starten aus, wenn Sie eine Nicht-Microsoft-Lösung zum Bereitstellen von Windows Hello for Business verwenden:
- Wenn Sie Die Windows Hello-Bereitstellung nach der Anmeldung nicht starten auswählen, startet Windows Hello for Business die Bereitstellung nicht automatisch, nachdem sich der Benutzer angemeldet hat.
- Wenn Sie die Option Windows Hello-Bereitstellung nach der Anmeldung nicht starten auswählen, startet Windows Hello for Business die Bereitstellung automatisch, nachdem sich der Benutzer angemeldet hat.
|
Pfad |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UsePassportForWork
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
DisablePostLogonProvisioning |
|
GPO |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business
Benutzerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business |
Ablauf
Diese Einstellung gibt den Zeitraum (in Tagen) an, in dem eine PIN verwendet werden kann, bevor das System vom Benutzer verlangt, sie zu ändern. Die PIN kann so festgelegt werden, dass sie nach einer beliebigen Anzahl von Tagen zwischen 1 und 730 abläuft, oder PINs können so festgelegt werden, dass sie nie ablaufen, wenn die Richtlinie auf 0 festgelegt ist.
Der Standardwert ist 0.
Verlauf
Diese Einstellung gibt die Anzahl der vergangenen PINs an, die einem Benutzerkonto zugeordnet werden können, das nicht wiederverwendet werden kann. Diese Richtlinie erhöht die Sicherheit, indem sichergestellt wird, dass alte PINs nicht ständig wiederverwendet werden. Der Wert muss zwischen 0 und 50 PINs sein. Wenn diese Richtlinie auf 0 festgelegt ist, ist keine Speicherung früherer PINs erforderlich.
Der Standardwert ist 0.
Hinweis
Der PIN-Verlauf wird durch zurücksetzen der PIN nicht beibehalten.
Maximale PIN-Länge
Die maximale PIN-Länge konfiguriert die maximale Anzahl von Zeichen, die für die PIN zulässig sind. Die größte Anzahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 127. Die niedrigste Zahl, die Sie konfigurieren können, muss größer sein als die Zahl, die in der Richtlinieneinstellung Minimale PIN-Länge oder die Zahl 4 konfiguriert ist, je nachdem, welcher Wert größer ist. Wenn Sie diese Richtlinieneinstellung konfigurieren, muss die PIN-Länge kleiner oder gleich dieser Zahl sein.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, muss die PIN-Länge kleiner oder gleich 127 sein.
Hinweis
Wenn die oben angegebenen Bedingungen für die maximale PIN-Länge nicht erfüllt sind, werden Standardwerte sowohl für die maximale als auch für die minimale PIN-Länge verwendet.
Minimale PIN-Länge
Die minimale PIN-Länge konfiguriert die Mindestanzahl von Zeichen, die für die PIN erforderlich sind. Die niedrigste Zahl, die Sie für diese Richtlinieneinstellung konfigurieren können, ist 4. Die größte Zahl, die Sie konfigurieren können, muss kleiner als die Zahl sein, die in der Richtlinieneinstellung Maximale PIN-Länge oder die Zahl 127 konfiguriert wurde, je nachdem, welcher Wert die niedrigste ist.
Wenn Sie diese Richtlinieneinstellung konfigurieren, muss die PIN-Länge größer oder gleich dieser Zahl sein.
Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, muss die PIN-Länge größer oder gleich 6 sein.
Hinweis
Wenn die oben angegebenen Bedingungen für die minimale PIN-Länge nicht erfüllt sind, werden Standardwerte sowohl für die maximale als auch für die minimale PIN-Länge verwendet.
Ziffern erforderlich
Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Ziffern in der PIN zu konfigurieren:
- Wenn Sie diese Richtlinieneinstellung aktivieren, verlangt Windows, dass der Benutzer mindestens eine Ziffer in seine PIN einschließt.
- Wenn Sie diese Richtlinieneinstellung deaktivieren, lässt Windows dem Benutzer nicht zu, Ziffern in seine PINs einzuschließen.
- Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, lässt Windows Ziffern in der PIN zu, erfordert sie jedoch nicht.
Kleinbuchstaben erforderlich
Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Kleinbuchstaben in der PIN zu konfigurieren:
- Wenn Sie diese Richtlinieneinstellung aktivieren, fordert Windows, dass der Benutzer mindestens einen Kleinbuchstaben in seine PIN einschließt.
- Wenn Sie diese Richtlinieneinstellung deaktivieren, erlaubt Windows dem Benutzer nicht, Kleinbuchstaben in seine PIN einzufügen.
- Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, lässt Windows Kleinbuchstaben in der PIN zu, erfordert sie jedoch nicht.
Sonderzeichen erforderlich
Bereich: Computer
Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Sonderzeichen in der PIN zu konfigurieren. Sonderzeichen umfassen den folgenden Satz:
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- Wenn Sie diese Richtlinieneinstellung aktivieren, verlangt Windows, dass der Benutzer mindestens ein Sonderzeichen in seine PIN einschließt.
- Wenn Sie diese Richtlinieneinstellung deaktivieren, lässt Windows dem Benutzer nicht zu, Sonderzeichen in seine PIN einzufügen.
- Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, lässt Windows Sonderzeichen in der PIN zu, erfordert sie jedoch nicht.
Großbuchstaben erforderlich
Verwenden Sie diese Richtlinieneinstellung, um die Verwendung von Großbuchstaben in der PIN zu konfigurieren:
- Wenn Sie diese Richtlinieneinstellung aktivieren, fordert Windows, dass der Benutzer mindestens einen Großbuchstaben in seine PIN einschließt.
- Wenn Sie diese Richtlinieneinstellung deaktivieren, lässt Windows dem Benutzer nicht zu, Großbuchstaben in seine PIN einzufügen.
- Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, lässt Windows Großbuchstaben in der PIN zu, erfordert aber nicht.
Verwenden der PIN-Wiederherstellung
Die PIN-Wiederherstellung ermöglicht es einem Benutzer, eine vergessene PIN mithilfe des Windows Hello for Business-PIN-Wiederherstellungsdiensts zu ändern, ohne zugehörige Anmeldeinformationen oder Zertifikate zu verlieren, einschließlich aller Schlüssel, die den persönlichen Konten des Benutzers auf dem Gerät zugeordnet sind.
Um dies zu erreichen, verschlüsselt der PIN-Wiederherstellungsdienst ein Wiederherstellungsgeheimnis, das auf dem Gerät gespeichert ist, und erfordert, dass sowohl der PIN-Wiederherstellungsdienst als auch das Gerät entschlüsselt werden.
Die PIN-Wiederherstellung erfordert, dass der Benutzer die mehrstufige Authentifizierung bei der Microsoft Entra-ID durchführt.
- Wenn Sie diese Richtlinieneinstellung aktivieren, verwendet Windows Hello for Business den PIN-Wiederherstellungsdienst.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, erstellt oder speichert Windows das PIN-Wiederherstellungsgeheimnis nicht. Wenn der Benutzer seine PIN vergisst, muss er seine vorhandene PIN löschen und eine neue erstellen, und er muss sich erneut bei allen Diensten registrieren, für die die alte PIN Zugriff gewährt hat.
|
Pfad |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
EnablePinRecovery
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
EnablePinRecovery |
|
GPO |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business |
Weitere Informationen finden Sie unter ZURÜCKSETZEN DER PIN.
Diese Richtlinieneinstellung bestimmt, ob erweitertes Antispoofing für die Windows Hello-Gesichtsauthentifizierung erforderlich ist.
- Wenn Sie diese Einstellung aktivieren, muss Windows erweitertes Antispoofing für die Gesichtsauthentifizierung verwenden.
Wichtig
Dadurch wird die Gesichtsauthentifizierung auf Geräten deaktiviert, die kein erweitertes Anti-Spoofing unterstützen.
- Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, erfordert Windows kein erweitertes Antispoofing für die Gesichtsauthentifizierung.
|
Pfad |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/
FacialFeaturesUseEnhancedAntiSpoofing |
|
GPO |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business |
Aktivieren von ESS mit unterstützten Peripheriegeräten
Enhanced Sign-in Security (ESS) fügt biometrischen Daten eine Sicherheitsebene hinzu, indem spezielle Hardware- und Softwarekomponenten verwendet werden, z. B. Virtualisierungsbasierte Sicherheit (VBS) und Trusted Platform Module 2.0.
Mit ESS werden biometrische Windows Hello-Vorlagendaten (Gesichtserkennung und Fingerabdruck) und Abgleichsvorgänge für vertrauenswürdige Hardware oder bestimmte Speicherbereiche isoliert, und der Rest des Betriebssystems kann nicht darauf zugreifen oder sie manipulieren. Da der Kommunikationskanal zwischen den Sensoren und dem Algorithmus ebenfalls gesichert ist, ist es für Schadsoftware unmöglich, Daten einschleusen oder wiederzugeben, um eine Benutzeranmeldung zu simulieren oder einen Benutzer von seinem Computer zu sperren.
Wenn Sie diese Richtlinie aktivieren, können Sie die folgenden Werte konfigurieren:
-
0: ESS ist mit Peripherie- oder integrierten Nicht-ESS-Sensoren aktiviert. Authentifizierungsvorgänge von Windows Hello-Peripheriegeräten sind zulässig, vorbehaltlich der aktuellen Featurebeschränkungen. ESS ist auf Geräten mit einer Mischung aus biometrischen Geräten aktiviert, z. B. einem ESS-fähigen Fingerabdruckleser und einer Nicht-ESS-fähigen Kamera. Daher wird diese Einstellung nicht empfohlen.
-
1: ESS ist ohne Peripheriegeräte oder integrierte Nicht-ESS-Sensoren aktiviert. Authentifizierungsvorgänge von biometrischen Peripheriegeräten sind blockiert und für Windows Hello nicht verfügbar. Diese Einstellung wird für höchste Sicherheit empfohlen.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden Nicht-ESS-Sensoren auf dem ESS-Gerät blockiert.
|
Pfad |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/
EnableESSwithSupportedPeripherals |
|
GPO |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business |
Weitere Informationen finden Sie unter Wie schützt die erweiterte Anmeldesicherheit biometrische Daten?
Biometrie verwenden
Mit Windows Hello for Business können Benutzer biometrische Gesten wie Gesicht und Fingerabdrücke als Alternative zur PIN-Geste verwenden. Benutzer müssen jedoch weiterhin eine PIN konfigurieren, die bei Fehlern verwendet werden soll.
- Wenn Sie diese Richtlinieneinstellung aktivieren oder nicht konfigurieren, lässt Windows Hello for Business die Verwendung biometrischer Gesten zu.
- Wenn Sie diese Richtlinieneinstellung deaktivieren, verhindert Windows Hello for Business die Verwendung biometrischer Gesten.
Hinweis
Das Deaktivieren dieser Richtlinie verhindert, dass der Benutzer biometrische Gesten auf dem Gerät für alle Kontotypen verwendet.
|
Pfad |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/
UseBiometrics |
|
GPO |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business |
Aufzählung emulierter Smartcards für alle Benutzer zulassen
Windows verhindert, dass Benutzer auf demselben Gerät bereitgestellte Windows Hello for Business-Anmeldeinformationen für andere Benutzer auflisten. Wenn Sie diese Richtlinieneinstellung aktivieren, ermöglicht Windows allen Benutzern des Geräts, alle Windows Hello for Business-Anmeldeinformationen aufzuzählen, aber dennoch muss jeder Benutzer seine eigenen Faktoren für die Authentifizierung angeben. Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, lässt Windows die Enumeration der bereitgestellten Windows Hello for Business-Anmeldeinformationen für andere Benutzer auf demselben Gerät nicht zu.
Diese Richtlinieneinstellung ist für einen einzelnen Benutzer konzipiert, der privilegierte und nicht privilegierte Konten auf einem einzelnen Gerät registriert. Der Benutzer besitzt beide Anmeldeinformationen, die es ihnen ermöglichen, sich mit nicht privilegierten Anmeldeinformationen anzumelden, kann aber Aufgaben mit erhöhten Rechten ausführen, ohne sich abzumelden. Diese Richtlinieneinstellung ist nicht mit windows Hello for Business-Anmeldeinformationen kompatibel, die bereitgestellt werden, wenn die Richtlinieneinstellung Smartcardemulation deaktivieren aktiviert ist.
|
Pfad |
|
CSP |
Nicht verfügbar |
|
GPO |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business |
Deaktivieren der Smartcardemulation
Windows Hello for Business bietet automatisch Eine Smartcardemulation für die Kompatibilität mit Smartcard-fähigen Anwendungen.
- Wenn Sie diese Richtlinieneinstellung aktivieren, stellt Windows Hello for Business Anmeldeinformationen für Windows Hello for Business bereit, die nicht mit Smartcardanwendungen kompatibel sind.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, stellt Windows Hello for Business Anmeldeinformationen bereit, die mit Smartcardanwendungen kompatibel sind.
Wichtig
Diese Richtlinie wirkt sich auf Windows Hello for Business-Anmeldeinformationen zum Zeitpunkt der Erstellung aus. Anmeldeinformationen, die vor der Anwendung dieser Richtlinie erstellt wurden, stellen weiterhin eine Smartcardemulation bereit. Um vorhandene Anmeldeinformationen zu ändern, aktivieren Sie diese Richtlinieneinstellung, und wählen Sie unter Einstellungen die Option Ich habe meine PIN vergessen aus.
|
Pfad |
|
CSP |
Nicht verfügbar |
|
GPO |
Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Hello for Business |
Verwenden von Windows Hello for Business-Zertifikaten als Smartcardzertifikate
Diese Richtlinieneinstellung ist so konzipiert, dass sie die Kompatibilität mit Anwendungen ermöglicht, die ausschließlich auf Smartcardzertifikaten basieren.
- Wenn Sie diese Richtlinieneinstellung aktivieren, verwenden Anwendungen Windows Hello for Business-Zertifikate als Smartcardzertifikate. Biometrische Faktoren sind nicht verfügbar, wenn ein Benutzer aufgefordert wird, die Verwendung des privaten Schlüssels des Zertifikats zu autorisieren.
- Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, verwenden Anwendungen keine Windows Hello for Business-Zertifikate als Smartcardzertifikate, und biometrische Faktoren sind verfügbar, wenn ein Benutzer aufgefordert wird, die Verwendung des privaten Schlüssels des Zertifikats zu autorisieren.
Diese Richtlinieneinstellung ist nicht mit Windows Hello for Business-Anmeldeinformationen kompatibel, die bereitgestellt werden, wenn Smartcardemulation deaktivieren aktiviert ist.
Featureeinstellungen
PIN-Einstellungen
Biometrische Einstellungen
Smartcardeinstellungen