Kennwortlose Windows-Umgebung
Ab Windows 11 Version 22H2 mit KB5030310 ist windows passwordless eine Sicherheitsrichtlinie, die eine Benutzererfahrung ohne Kennwörter auf Microsoft Entra eingebundenen Geräten fördert.
Wenn die Richtlinie aktiviert ist, wird den Benutzer*innen in bestimmten Windows-Authentifizierungsszenarien keine Option zur Verwendung eines Kennworts angeboten, was Organisationen hilft und Benutzer*innen darauf vorbereitet, schrittweise auf Kennwörter zu verzichten.
Benutzer, die sich mit Windows Hello oder einem FIDO2-Sicherheitsschlüssel anmelden, verwenden die kennwortlose Windows-Umgebung:
Der Kennwortanmeldeinformationsanbieter kann nicht auf dem Windows-Sperrbildschirm verwendet werden.
Sie werden während der Authentifizierung in der Sitzung nicht aufgefordert, ein Kennwort zu verwenden (z. B. UAC-Rechteerweiterung, Kennwort-Manager im Browser usw.).
Die Option Konten > Kennwort ändern ist in der Einstellungs-App nicht verfügbar.
Hinweis
Benutzer können ihr Kennwort mit STRG+ALT+ENTF>zurücksetzen Konto verwalten
Die kennwortlose Windows-Erfahrung wirkt sich nicht auf die anfängliche Anmeldung und lokale Konten aus. Dies gilt nur für nachfolgende Anmeldungen für Microsoft Entra Konten. Es verhindert auch nicht, dass sich ein Benutzer mit einem Kennwort anmeldet, wenn die Option Anderer Benutzer auf dem Sperrbildschirm verwendet wird.
Der Kennwortanmeldeinformationsanbieter ist nur für den zuletzt angemeldeten Benutzer ausgeblendet, der sich Windows Hello oder einen FIDO2-Sicherheitsschlüssel angemeldet hat. Bei der Verwendung von Windows-Kennwörtern geht es nicht darum, Benutzer daran zu hindern, Kennwörter zu verwenden, sondern um sie dazu zu bringen, kennwörter nicht zu verwenden.
In diesem Artikel wird erläutert, wie Sie die kennwortlose Windows-Umgebung aktivieren, und die Benutzererfahrung wird beschrieben.
Tipp
Windows Hello for Business Benutzer können eine kennwortlose Anmeldung bei der ersten Anmeldung mithilfe des Webanmeldungsfeatures erreichen. Weitere Informationen zur Webanmeldung finden Sie unter Webanmeldung für Windows-Geräte.
Systemanforderungen
Die kennwortlose Windows-Umgebung hat die folgenden Anforderungen:
- Windows 11 Version 22H2 mit KB5030310 oder höher
- Microsoft Entra eingebunden
- Windows Hello for Business für den Benutzer registrierten Anmeldeinformationen oder einen FIDO2-Sicherheitsschlüssel
- MDM-verwaltet: Microsoft Intune oder eine andere MDM-Lösung
Hinweis
Microsoft Entra hybrid eingebundene Geräte und in die Active Directory-Domäne eingebundene Geräte liegen derzeit außerhalb des Bereichs.
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die die kennwortlose Windows-Umgebung unterstützen:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Ja | Ja | Ja | Ja |
Lizenzberechtigungen für die kennwortlose Windows-Umgebung werden von den folgenden Lizenzen gewährt:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Ja | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Aktivieren der kennwortlosen Windows-Benutzeroberfläche mit Intune
Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:
Kategorie | Einstellungsname | Wert |
---|---|---|
Authentication | Aktivieren der kennwortlosen Benutzeroberfläche | Aktiviert |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem Richtlinien-CSP konfigurieren.
Einstellung |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience - Datentyp: int - Wert: 1 |
Benutzeroberflächen
Sperrbildschirm
Kennwortlose Benutzeroberfläche deaktiviert: Benutzer können sich mit einem Kennwort anmelden, wie durch das Vorhandensein des Anbieters für Kennwortanmeldeinformationen auf dem Windows-Sperrbildschirm angegeben.
Kennwortlose Benutzeroberfläche aktiviert: Der Kennwortanmeldeinformationsanbieter fehlt für den letzten Benutzer, der sich mit sicheren Anmeldeinformationen angemeldet hat. Ein Benutzer kann sich entweder mit sicheren Anmeldeinformationen anmelden oder die Option Anderer Benutzer verwenden, um sich mit einem Kennwort anzumelden.
Authentifizierungserfahrungen in Sitzungen
Wenn die kennwortlose Windows-Umgebung aktiviert ist, können Benutzer den Kennwortanmeldeinformationsanbieter nicht für Sitzungs-Authentifizierungsszenarien verwenden. Zu den Szenarien für die In-Session-Authentifizierung gehören:
- Kennwort-Manager in einem Webbrowser
- Herstellen einer Verbindung mit Dateifreigaben oder Intranetwebsites
- Rechteerweiterungen für die Benutzerkontensteuerung (User Account Control, UAC), es sei denn, ein lokales Benutzerkonto wird für erhöhte Rechte verwendet.
Hinweis
Bei der RDP-Anmeldung wird standardmäßig der Anmeldeinformationsanbieter verwendet, der während der Anmeldung verwendet wird. Ein Benutzer kann jedoch die Option Anderes Konto zum Anmelden mit einem Kennwort verwenden auswählen.
Ausführen, da ein anderer Benutzer nicht von der kennwortlosen Windows-Erfahrung betroffen ist.
Beispiel für UAC-Rechteerweiterungen:
Kennwortlose Benutzeroberfläche deaktiviert: Die Erhöhung der UAC ermöglicht es dem Benutzer, sich mit einem Kennwort zu authentifizieren.
Kennwortlose Benutzeroberfläche aktiviert: Die Erhöhung der Benutzerkontensteuerung ermöglicht es dem Benutzer nicht, den Kennwortanmeldeinformationsanbieter für den aktuell angemeldeten Benutzer zu verwenden. Der Benutzer kann sich mit Windows Hello, einem FIDO2-Sicherheitsschlüssel oder einem lokalen Benutzerkonto authentifizieren, sofern verfügbar.
Empfehlungen
Hier finden Sie eine Liste der Empfehlungen, die Sie berücksichtigen sollten, bevor Sie die kennwortlose Windows-Umgebung aktivieren:
- Wenn Windows Hello for Business aktiviert ist, konfigurieren Sie das Pin-Zurücksetzungsfeature, damit Benutzer ihre PIN über den Sperrbildschirm zurücksetzen können. Die Pin-Zurücksetzung wird ab Windows 11 Version 22H2 mit KB5030310 verbessert.
- Konfigurieren Sie nicht die Sicherheitsrichtlinie Interaktive Anmeldung: Anzeigen der letzten Anmeldung nicht, da dies verhindert, dass windows-Kennwortlos funktioniert.
- Deaktivieren Sie den Kennwortanmeldeinformationsanbieter nicht mithilfe der Richtlinie Anmeldeinformationsanbieter ausschließen . Die wichtigsten Unterschiede zwischen den beiden Richtlinien sind:
- Die Richtlinie Anmeldeinformationsanbieter ausschließen deaktiviert Kennwörter für alle Konten, einschließlich lokaler Konten. Die kennwortlose Windows-Umgebung gilt nur für Microsoft Entra Konten, die sich mit Windows Hello oder einem FIDO2-Sicherheitsschlüssel anmelden. Außerdem wird anderer Benutzer von der Richtlinie ausgeschlossen, sodass Benutzer über eine Sicherungsanmeldungsoption verfügen.
- Die Richtlinie zum Ausschließen von Anmeldeinformationsanbietern verhindert die Verwendung von Kennwörtern für RDP- und Ausführen als Authentifizierungsszenarien.
- Um Helpdesk-Supportvorgänge zu erleichtern, sollten Sie das lokale Administratorkonto aktivieren oder ein separates Konto erstellen, indem Sie das Kennwort mit der Windows-Lösung für lokale Administratorkennwörter (Laps) zufällig festlegen.
Bekannte Probleme
Es gibt ein bekanntes Problem, das sich auf die Sitzungsauthentifizierung auswirkt, wenn FIDO2-Sicherheitsschlüssel verwendet werden, wobei Sicherheitsschlüssel nicht immer eine verfügbare Option sind. Die Produktgruppe ist sich dieses Verhalten bewusst und plant, dies in Zukunft zu verbessern.
Feedback geben
Um Feedback zur kennwortlosen Windows-Erfahrung zu geben, öffnen Sie den Feedback-Hub , und verwenden Sie die Kategorie Sicherheit und Datenschutz > Kennwortlose Erfahrung.