In der heutigen digitalen Welt ist Sicherheit wichtiger denn je. Passwörter allein bieten keinen ausreichenden Schutz mehr vor Datenverlust und unbefugtem Zugriff. Genau hier kommt Windows Hello for Business ins Spiel. Dieses moderne Authentifizierungsverfahren von Microsoft ermöglicht es Unternehmen, ihre Mitarbeiter durch biometrische Daten wie Gesichtserkennung oder Fingerabdruck und weiteren Entsperrfaktoren wie PIN-Codes oder vertrauenswürdigen Signalen noch sicherer zu authentifizieren. Darüber hinaus unterstützt Windows Hello for Business die mehrstufige Entsperrung, bei der mehrere Authentifizierungsfaktoren kombiniert werden, um den Zugriff auf Geräte noch sicherer zu gestalten. Diese mehrstufige Entsperrung bietet einen erheblichen Sicherheitsvorteil, da sie mehrere Ebenen des Schutzes integriert und somit das Risiko von Sicherheitsverletzungen deutlich reduziert.

Dieser Artikel bietet eine Schritt-für-Schritt-Anleitung zur Einrichtung von Windows Hello for Business mit mehrstufiger Entsperrung unter Verwendung von Microsoft Intune. In der Beispiel Konfiguration werden biometrische Daten und vertrauenswürdige Signale aus dem Unternehmensnetzwerk verwendet, um die Sicherheit zu erhöhen und gleichzeitig den Komfort für die Benutzer zu verbessern.

Voraussetzungen und Lizenzierung

Um Windows Hello for Business mehrstufige Entsperrung einzurichten, müssen folgende Voraussetzungen erfüllt sein:

Betriebssysteme
Windows 10 Pro oder höher, mit aktuellem Build und vollständig gepatcht Windows 11 Pro oder höher, mit aktuellem Build und vollständig gepatcht

TPM
Trusted Platform Modul (TPM)

Hardware für die biometrische Authentifizierung
Fingerabdruckscanner und/oder Kamera für die Gesichtserkennung

Benutzerauthentifizierung
Benutzer haben einen PIN sowie Gesichtserkennung und/oder Fingerabdruck für Windows Hello for Business eingerichtet.

Geräteregistrierung
Die Geräte sind mit Microsoft Intune verwaltet.

Lizenz
Diese Anleitung nutzt Microsoft Intune für die Konfiguration und den Rollout und erfordert daher mindestens Microsoft Intune P1 oder höher.
Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.

Aktivieren von Windows Hello for Business mehrstufige Entsperrung

Die Konfiguration von Windows Hello for Business erfolgt über eine Richtlinie im Microsoft Intune Admin Center (https://intune.microsoft.com).

Neue Richtlinie für Windows Hello for Business anlegen.

Geräte > Geräte verwalten > Konfiguration > Richtlinien > Erstellen > Neue Richtlinie

Plattform Windows 10 und höher (1), Profiltyp Einstellungskatalog (2) auswählen und die Richtlinie mit Erstellen (3) erstellen.

Das Konfigurationsprofil benennen (z.B. WCP_WHfB) und auf Weiter klicken.

Einstellungen hinzufügen (1) anklicken, Filter auf Windows Hello for Business setzen (2) und Windows Hello for Business (3) auswählen.

Folgende Einstellungen für Windows Hello for Business mit mehrstufiger Entsperrung aktivieren. Andere Einstellungen können nach den eigenen Anforderungen zusätzlich hinzugefügt und angepasst werden.

  1. Verwendung von Biometrie zulassen: True
  2. Sicherheitsgerät erforderlich: True
  3. Gruppe A: GUIDs der zulässigen Anmeldeinformationsanbieter für den ersten Entsperrfaktor (Komma getrennte Liste)
  4. Gruppe B: GUIDs der zulässigen Anmeldeinformationsanbieter für den zweiten Entsperrfaktor (Komma getrennte Liste)
  5. Plug-Ins zum Entsperren von Geräten: vertrauenswürdige Signale

In unserem Beispiel sind für den ersten Entsperrfaktor folgende Anmeldeinformationsanbieter zulässig (Gruppe A (3) , Komma getrennte Liste):

  • PIN {D6886603-9D2F-4EB2-B667-1971041FA96B}
  • Fingerabdruck {BEC09223-B018-416D-A0AC-523971B639F5}
  • Gesichtserkennung {8AF662BF-65A0-4D0A-A540-A338A999D36F}

Für den zweiten Entsperrfaktor sind folgende Anmeldeinformationsanbieter zulässig (Gruppe B (4), , Komma getrennte Liste):

  • Vertrauenswürdiges Signal {27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}
  • PIN {D6886603-9D2F-4EB2-B667-1971041FA96B}
  • Fingerabdruck {BEC09223-B018-416D-A0AC-523971B639F5}
  • Gesichtserkennung {8AF662BF-65A0-4D0A-A540-A338A999D36F}

Für die Plug-Ins zum Entsperren von Geräten (5) wird ein vertrauenswürdiges Signal aus dem Unternehmensnetzwerk konfiguriert. Dadurch wird der zweite Entsperrfaktor automatisch erkannt und der Benutzer muss innerhalb des Unternehmensnetzwerk nur den ersten Entsperrfaktor erfolgreich durchlaufen.
IPv4 Gateway: 192.168.125.2
DNS Suffix: int.cloudcoffee.ch

Eine detaillierte Auflistung und Beschreibung aller Anmeldeinformationsanbieter ist im folgenden Artikel auf Microsoft Learn zu finden: Mehrstufige Entsperrung | Microsoft Learn

Bereichstags nach individuellen Bedürfnissen erstellen.

Die Zuweisung an Geräte kann hier individuell den eigenen Bedürfnissen angepasst werden.

Die gewählten Einstellungen werden zur Prüfung nochmals angezeigt und mit einem Klick auf Erstellen wird die Richtlinie erstellt.

Nach der Synchronisation des Konfigurationsprofils mit dem Gerät ist ein Neustart des Geräts erforderlich.

Funktionskontrolle

Die oben genannte Schritt-für-Schritt-Anleitung konfiguriert die folgende Benutzererfahrung für das Anmeldeverhalten.

Gerät ist im Unternehmensnetzwerk

Das Gerät ist mit dem Unternehmensnetzwerk verbunden. Für den ersten Entsperrfaktor stehen folgende Anmeldeinformationsanbieter zur Auswahl:

  • PIN
  • Fingerabdruck
  • Gesichtserkennung
  • Kennwort

Falls die Kennwortanmeldung nicht angezeigt werden soll, beachte den Abschnitt Konfigurationstipps.

Da sich das Gerät mit dem Unternehmensnetzwerk verbindet, erfüllt es die Anforderungen für den zweiten Entsperrfaktor durch das vertrauenswürdige Signal des IPv4-Gateways (192.168.125.2) und den DNS-Suffix (int.cloudcoffee.ch). Der zweite Entsperrfaktor wird somit ohne Benutzerinteraktion erkannt und authentifiziert.

Gerät ist ausserhalb des Unternehmensnetzwerk

Das Gerät ist nicht mit dem Unternehmensnetzwerk verbunden. Für den ersten Entsperrfaktor stehen folgende Anmeldeinformationsanbieter zur Auswahl:

  • PIN
  • Fingerabdruck
  • Gesichtserkennung
  • Kennwort

Falls die Kennwortanmeldung nicht angezeigt werden soll, beachte den Abschnitt Konfigurationstipps.

Das Gerät erkennt kein vertrauenswürdiges Signal und fordert deshalb zur Authentifizierung mit einem zweiten Entsperrfaktor auf. Der zweite Entsperrfaktor muss unterschiedlich zum für diese Anmeldung verwendeten ersten Entsperrfaktor sein.

  • PIN
  • Fingerabdruck
  • Gesichtserkennung
  • Kennwort

Konfigurationstipps

Kennwortlose Benutzeroberfläche aktivieren

Diese Einstellung blendet die Kennwortanmeldung bei den Authentifizierungsoptionen der Windows-Anmeldung aus und fordert den Benutzer zur Anmeldung mit Windows Hello for Business auf. Die Anmeldung mit Benutzername und Passwort bleibt jedoch weiterhin für RDP-Verbindungen und UAC-Eingabeaufforderungen (als Administrator ausführen) möglich.

Falls erforderlich, kann die Anmeldung weiterhin über die Option Anderer Benutzer mit dem Kennwort erfolgen.

Die dafür erforderliche Richtlinie für die kennwortlose Benutzeroberfläche wie folgt anlegen:

Geräte > Geräte verwalten > Konfiguration > Richtlinien > Erstellen > Neue Richtlinie

Plattform Windows 10 und höher (1), Profiltyp Einstellungskatalog (2) auswählen und die Richtlinie mit Erstellen (3) erstellen.

Das Konfigurationsprofil benennen (z.B. WCP_Passwordless_Experience) und auf Weiter klicken.

Einstellungen hinzufügen (1) anklicken, Authentifizierung (2) auswählen und Option Kennwortlose Benutzeroberfläche aktivieren (3) auf Aktiviert. Die kennwortlose Benutzeroberfläche wird unter Windows aktiviert. (4) setzen.

Bereichstags nach individuellen Bedürfnissen erstellen.

Die Zuweisung an Geräte kann hier individuell den eigenen Bedürfnissen angepasst werden.

Die gewählten Einstellungen werden zur Prüfung nochmals angezeigt und mit einem Klick auf Erstellen wird die Richtlinie erstellt.

Kennwort Anmeldeanbieter ausschliessen

Durch den Ausschluss des Kennwort-Anmeldeanbieters können sich Benutzer nicht mehr mit einem Kennwort anmelden. Stattdessen muss Windows Hello for Business verwendet werden. Diese Änderung betrifft auch RDP-Verbindungen und UAC-Eingabeaufforderungen (als Administrator ausführen), die ebenfalls keine Anmeldung mit Benutzername und Kennwort mehr zulassen.

Sign-in options passwordless experience

Die Anmeldung mit Kennwort über die Option Anderer Benutzer ist nicht mehr möglich.

Die dafür erforderliche Richtlinie für den Ausschluss des Anmeldeanbieters wie folgt anlegen:

Geräte > Geräte verwalten > Konfiguration > Richtlinien > Erstellen > Neue Richtlinie

Plattform Windows 10 und höher (1), Profiltyp Einstellungskatalog (2) auswählen und die Richtlinie mit Erstellen (3) erstellen.

Das Konfigurationsprofil benennen (z.B. WCP_Exclude_Credential_Provider) und auf Weiter klicken.

Einstellungen hinzufügen (1) anklicken, Administrative Vorlagen > System > Anmeldung (2) auswählen und Option Exclude credential providers (3) aktivieren und Anmeldeinformationsanbieter auf {60b78e88-ead8-445c-9cfd-0b87f74ea6cd} (4) setzen.

Bereichstags nach individuellen Bedürfnissen erstellen.

Die Zuweisung an Geräte kann hier individuell den eigenen Bedürfnissen angepasst werden.

Die gewählten Einstellungen werden zur Prüfung nochmals angezeigt und mit einem Klick auf Erstellen wird die Richtlinie erstellt.

Fehlersuche und Fehlerbehebung

Konflikt beim Rollout der Konfigurationsrichtline

Windows Hello for Business ist in jedem Microsoft-Tenant standardmässig aktiviert. Um Konflikte beim Rollout der Einstellungen für die mehrstufige Entsperrung zu vermeiden, muss sichergestellt werden, dass diese Standardrichtlinie auf nicht konfiguriert gesetzt ist.

Geräte > Geräte-Onboarding > Registrierung > Registrierungsoptionen > Windows Hello for Business

Optionen Windows Hello for Business konfigurieren und Sicherheitsschlüssel zur Anmeldung verwenden auf Nicht konfiguriert setzen.
Klicke hier, um Windows Hello for Business zu aktivieren.

WHfB Entrollment options

Folge mir auf LinkedIn und BlueSky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!

Buy me a coffee