Planen einer Windows Hello for Business Bereitstellung

Diese Planungsanleitung erläutert die verschiedenen Topologien, Architekturen und Komponenten, die eine Windows Hello for Business-Infrastruktur umfasst.

Diese Anleitung erklärt die Rolle der einzelnen Komponenten in Windows Hello for Business und zeigt, wie sich bestimmte Entscheidungen auf andere Aspekte der Infrastruktur auswirken.

Tipp

Wenn Sie über einen Microsoft Entra ID Mandanten verfügen, können Sie unseren interaktiven, online verfügbaren kennwortlosen Assistenten verwenden, der die gleichen Optionen durchläuft, anstatt unseren nachstehenden manuellen Leitfaden zu verwenden. Der Kennwortlose Assistent ist im Microsoft 365 Admin Center verfügbar.

Verwenden dieser Anleitung

Es gibt viele Optionen für die Bereitstellung von Windows Hello for Business, um die Kompatibilität mit verschiedenen Organisationsinfrastrukturen sicherzustellen. Obwohl der Bereitstellungsprozess komplex erscheinen kann, werden die meisten Organisationen feststellen, dass sie die erforderliche Infrastruktur bereits implementiert haben. Es ist wichtig zu beachten, dass Windows Hello for Business ein verteiltes System ist und eine ordnungsgemäße Planung über mehrere Teams innerhalb eines organization erfordert.

Dieser Leitfaden zielt darauf ab, den Bereitstellungsprozess zu vereinfachen, indem Sie fundierte Entscheidungen zu jedem Aspekt Ihrer Windows Hello for Business Bereitstellung treffen können. Es enthält Informationen zu den verfügbaren Optionen und hilft bei der Auswahl des Bereitstellungsansatzes, der am besten zu Ihrer Umgebung passt.

Vorgehensweise

Lesen Sie dieses Dokument, und notieren Sie Ihre Entscheidungen. Wenn Sie fertig sind, sollten Sie über alle erforderlichen Informationen verfügen, um die verfügbaren Optionen auszuwerten und die Anforderungen für Ihre Windows Hello for Business Bereitstellung zu bestimmen.

Es gibt sieben Standard Bereiche, die bei der Planung einer Windows Hello for Business Bereitstellung zu berücksichtigen sind:

Bereitstellungsoptionen

Das Ziel ist, Windows Hello for Business für Organisationen jeder Größe und in allen denkbaren Szenarien bereitzustellen. Dazu bietet Windows Hello for Business eine entsprechende Auswahl von Bereitstellungsoptionen.

Bereitstellungsmodelle

Es ist von grundlegender Bedeutung, zu verstehen, welches Bereitstellungsmodell für eine erfolgreiche Bereitstellung verwendet werden soll. Einige Aspekte der Bereitstellung wurden möglicherweise bereits basierend auf Ihrer aktuellen Infrastruktur für Sie entschieden.

Es gibt drei Bereitstellungsmodelle, aus denen Sie auswählen können:

Bereitstellungsmodell Beschreibung
🔲 Nur Cloud Für Organisationen, die nur über Cloudidentitäten verfügen und nicht auf lokale Ressourcen zugreifen. Diese Organisationen binden ihre Geräte in der Regel in die Cloud ein und verwenden ausschließlich Ressourcen in der Cloud wie SharePoint Online, OneDrive und andere. Da die Benutzer keine lokalen Ressourcen verwenden, benötigen sie auch keine Zertifikate für Dinge wie VPN, da alles, was sie benötigen, in Clouddiensten gehostet wird.
🔲 Hybridbereitstellung Für Organisationen, in denen Identitäten von Active Directory mit Microsoft Entra ID synchronisiert wurden. Diese Organisationen verwenden Anwendungen, die in Microsoft Entra ID registriert sind, und wünschen eine Einmaliges Anmelden (Single Sign-On, SSO) für lokale und Microsoft Entra Ressourcen.
🔲 Lokale Bereitstellungen Für Organisationen, die nicht über Cloudidentitäten verfügen oder anwendungen verwenden, die in Microsoft Entra ID gehostet werden. Diese Organisationen verwenden lokale Anwendungen, die in Active Directory integriert sind, und möchten eine SSO-Benutzererfahrung beim Zugriff darauf.

Hinweis

  • Der Hauptanwendungsfall der lokalen Bereitstellung ist "Erweiterte Sicherheitsverwaltungsumgebungen", auch bekannt als "Rote Gesamtstrukturen".
  • Für die Migration von der lokalen zur Hybridbereitstellung ist eine erneute Bereitstellung erforderlich.

Vertrauensmodelle

Der Vertrauenstyp einer Bereitstellung definiert, wie sich Windows Hello for Business Clients bei Active Directory authentifizieren. Der Vertrauenstyp wirkt sich nicht auf die Authentifizierung bei Microsoft Entra ID aus. Aus diesem Grund gilt der Vertrauenstyp nicht für ein reines Cloudbereitstellungsmodell.

Windows Hello for Business Authentifizierung bei Microsoft Entra ID verwendet immer den Schlüssel, nicht ein Zertifikat (mit Ausnahme der Smart Karte-Authentifizierung in einer Verbundumgebung).

Der Vertrauenstyp bestimmt, ob Sie Authentifizierungszertifikate für Ihre Benutzer ausstellen. Ein Vertrauensmodell ist nicht sicherer als das andere.

Die Bereitstellung von Zertifikaten für Benutzer und Domänencontroller erfordert mehr Konfiguration und Infrastruktur, was auch ein Faktor sein kann, der bei Ihrer Entscheidung berücksichtigt werden sollte. Eine zusätzliche Infrastruktur, die für Bereitstellungen mit Zertifikatvertrauen erforderlich ist, umfasst eine Zertifikatregistrierungsstelle. In einer Verbundumgebung müssen Sie die Option Geräterückschreiben in Microsoft Entra Connect aktivieren.

Es gibt drei Vertrauenstypen, aus denen Sie wählen können:

Vertrauensmodell Beschreibung
🔲 Cloud Kerberos Benutzer authentifizieren sich bei Active Directory, indem sie ein TGT von Microsoft Entra ID mithilfe von Microsoft Entra Kerberos anfordern. Die lokalen Domänencontroller sind weiterhin für Kerberos-Diensttickets und -Autorisierung verantwortlich. Die Cloud Kerberos-Vertrauensstellung verwendet dieselbe Infrastruktur, die für die Fido2-Sicherheitsschlüsselanmeldung erforderlich ist, und kann für neue oder vorhandene Windows Hello for Business-Bereitstellungen verwendet werden.
🔲 Schlüssel Benutzer authentifizieren sich beim lokales Active Directory mithilfe eines gerätegebundenen Schlüssels (Hardware oder Software), der während der Windows Hello Bereitstellung erstellt wurde. Es ist erforderlich, Zertifikate an Domänencontroller zu verteilen.
🔲 Zertifikat Der Zertifikatvertrauenstyp stellt Authentifizierungszertifikate für Benutzer aus. Benutzer authentifizieren sich mit einem Zertifikat, das mithilfe eines gerätegebundenen Schlüssels (Hardware oder Software) angefordert wurde, der während der Windows Hello Bereitstellung erstellt wurde.

Schlüsselvertrauensstellung und Zertifikatvertrauensstellung verwenden zertifikatauthentifizierungsbasiertes Kerberos, wenn Kerberos-Ticket granting-tickets (TGTs) für die lokale Authentifizierung angefordert werden. Diese Art der Authentifizierung erfordert eine PKI für DC-Zertifikate und Endbenutzerzertifikate für die Zertifikatvertrauensstellung.

Das Ziel der Windows Hello for Business Cloud-Kerberos-Vertrauensstellung besteht darin, im Vergleich zu den anderen Vertrauenstypen eine einfachere Bereitstellung zu ermöglichen:

  • Keine Notwendigkeit, eine Public Key-Infrastruktur (PKI) bereitzustellen oder eine vorhandene PKI zu ändern
  • Es ist nicht erforderlich, öffentliche Schlüssel zwischen Microsoft Entra ID und Active Directory zu synchronisieren, damit Benutzer auf lokale Ressourcen zugreifen können. Es gibt keine Verzögerung zwischen der bereitstellung des Windows Hello for Business des Benutzers und der Authentifizierung bei Active Directory.
  • Die FIDO2-Sicherheitsschlüsselanmeldung kann mit minimalem zusätzlichem Setup bereitgestellt werden.

Tipp

Windows Hello for Business Cloud-Kerberos-Vertrauensstellung ist das empfohlene Bereitstellungsmodell im Vergleich zum Schlüsselvertrauensmodell. Es ist auch das bevorzugte Bereitstellungsmodell, wenn Sie keine Zertifikatauthentifizierungsszenarien unterstützen müssen.

Die Cloud Kerberos-Vertrauensstellung erfordert die Bereitstellung von Microsoft Entra Kerberos. Weitere Informationen dazu, wie Microsoft Entra Kerberos den Zugriff auf lokale Ressourcen ermöglicht, finden Sie unter Aktivieren der kennwortlosen Anmeldung von Sicherheitsschlüsseln bei lokalen Ressourcen.

PKI-Anforderungen

Die Cloud Kerberos-Vertrauensstellung ist die einzige Hybridbereitstellungsoption, für die keine Zertifikate bereitgestellt werden müssen. Die anderen hybriden und lokalen Modelle hängen von einer Unternehmens-PKI als Vertrauensanker für die Authentifizierung ab:

  • Domänencontroller für hybride und lokale Bereitstellungen benötigen ein Zertifikat für Windows-Geräte, um dem Domänencontroller als legitim zu vertrauen.
  • Bereitstellungen, die den Zertifikatvertrauenstyp verwenden, erfordern eine Unternehmens-PKI und eine Zertifikatregistrierungsstelle (CERTIFICATE Registration Authority, CRA), um Authentifizierungszertifikate für Benutzer auszustellen. AD FS wird als CRA verwendet.
  • Hybridbereitstellungen müssen möglicherweise VPN-Zertifikate für Benutzer ausstellen, um konnektivitätsbasierte Ressourcen zu ermöglichen.
Bereitstellungsmodell Vertrauensmodell PKI erforderlich?
🔲 Nur Cloud n. a. Nein
🔲 Hybridbereitstellung Cloud Kerberos Nein
🔲 Hybridbereitstellung Schlüssel Ja
🔲 Hybridbereitstellung Zertifikat Ja
🔲 Lokale Bereitstellungen Schlüssel Ja
🔲 Lokale Bereitstellungen Zertifikat Ja

Authentifizierung bei Microsoft Entra ID

Benutzer können sich bei Microsoft Entra ID mithilfe der Verbundauthentifizierung oder der Cloudauthentifizierung (ohne Verbund) authentifizieren. Die Anforderungen variieren je nach Vertrauenstyp:

Bereitstellungsmodell Vertrauensmodell Authentifizierung bei Microsoft Entra ID Anforderungen
🔲 Nur Cloud n. a. Cloudauthentifizierung n. a.
🔲 Nur Cloud n. a. Verbundauthentifizierung Nicht-Microsoft-Verbunddienst
🔲 Hybridbereitstellung Cloud Kerberos-Vertrauensstellung Cloudauthentifizierung Kennworthashsynchronisierung (Password Hash Sync, PHS) oder Passthrough-Authentifizierung (PTA)
🔲 Hybridbereitstellung Cloud Kerberos-Vertrauensstellung Verbundauthentifizierung AD FS oder Nicht-Microsoft-Verbunddienst
🔲 Hybridbereitstellung Schlüsselbasiertes Vertrauen Cloudauthentifizierung Kennworthashsynchronisierung (Password Hash Sync, PHS) oder Passthrough-Authentifizierung (PTA)
🔲 Hybridbereitstellung Schlüsselbasiertes Vertrauen Verbundauthentifizierung AD FS oder Nicht-Microsoft-Verbunddienst
🔲 Hybridbereitstellung Zertifikatbasiertes Vertrauen Verbundauthentifizierung Dieses Bereitstellungsmodell unterstützt PTA oder PHS nicht. Active Directory muss mithilfe von AD FS mit Microsoft Entra ID verbunden werden.

Weitere Informationen:

Geräteregistrierung

Bei lokalen Bereitstellungen ist der Server, auf dem die Rolle Active Directory-Verbunddienste (AD FS) (AD FS) ausgeführt wird, für die Geräteregistrierung verantwortlich. Für reine Cloud- und Hybridbereitstellungen müssen sich Geräte in Microsoft Entra ID registrieren.

Bereitstellungsmodell Unterstützter Jointyp Dienstanbieter für die Geräteregistrierung
Nur Cloud Microsoft Entra eingebunden
Microsoft Entra registriert
Microsoft Entra ID
Hybridbereitstellung Microsoft Entra eingebunden
Microsoft Entra hybrid eingebunden
Microsoft Entra registriert
Microsoft Entra ID
Lokale Bereitstellungen In Active Directory-Domäne eingebunden AD FS

Wichtig

Microsoft Entra Anleitung zur Hybrideinbindung finden Sie unter Planen der implementierung Ihrer Microsoft Entra Hybrid Joins.

Mehrstufige Authentifizierung

Das Ziel von Windows Hello for Business besteht darin, Organisationen von Kennwörtern zu entfernen, indem sie ihnen sichere Anmeldeinformationen zur Verfügung stellen, die eine einfache zweistufige Authentifizierung ermöglichen. Die integrierte Bereitstellungsoberfläche akzeptiert die schwachen Anmeldeinformationen (Benutzername und Kennwort) des Benutzers als ersten Faktor für die Authentifizierung. Der Benutzer muss jedoch einen zweiten Authentifizierungsfaktor angeben, bevor Windows starke Anmeldeinformationen bereitstellt:

  • Für reine Cloud- und Hybridbereitstellungen gibt es verschiedene Optionen für die mehrstufige Authentifizierung, einschließlich Microsoft Entra MFA.
  • Lokale Bereitstellungen müssen eine mehrstufige Option verwenden, die als AD FS-Multi-Faktor-Adapter integriert werden kann. Organisationen können aus Nicht-Microsoft-Optionen wählen, die einen AD FS-MFA-Adapter anbieten. Weitere Informationen finden Sie unter Zusätzliche Microsoft- und Nicht-Microsoft-Authentifizierungsmethoden.

Wichtig

Ab dem 1. Juli 2019 bietet Microsoft keinen MFA-Server für neue Bereitstellungen an. Neue Bereitstellungen, die eine mehrstufige Authentifizierung erfordern, sollten cloudbasierte Microsoft Entra mehrstufige Authentifizierung verwenden. Vorhandene Bereitstellungen, bei denen der MFA-Server vor dem 1. Juli 2019 aktiviert wurde, können die neueste Version und zukünftige Updates herunterladen und Aktivierungsanmeldeinformationen generieren. Weitere Informationen finden Sie unter Erste Schritte mit dem Azure Multi-Factor Authentication-Server.

Bereitstellungsmodell MFA-Optionen
🔲 Nur Cloud Microsoft Entra MFA
🔲 Nur Cloud Nicht-Microsoft MFA über Microsoft Entra ID benutzerdefinierte Steuerelemente oder einen Verbund
🔲 Hybridbereitstellung Microsoft Entra MFA
🔲 Hybridbereitstellung Nicht-Microsoft MFA über Microsoft Entra ID benutzerdefinierte Steuerelemente oder einen Verbund
🔲 Lokale Bereitstellungen AD FS-MFA-Adapter

Weitere Informationen zum Konfigurieren Microsoft Entra mehrstufigen Authentifizierung finden Sie unter Konfigurieren Microsoft Entra Multi-Faktor-Authentifizierungseinstellungen.

Weitere Informationen zum Konfigurieren von AD FS für die Bereitstellung der mehrstufigen Authentifizierung finden Sie unter Konfigurieren von Azure MFA als Authentifizierungsanbieter mit AD FS.

MFA und Verbundauthentifizierung

Verbunddomänen können das Flag FederatedIdpMfaBehavior konfigurieren. Das Flag weist Microsoft Entra ID an, die MFA-Anforderung vom Verbund-IdP anzunehmen, zu erzwingen oder abzulehnen. Weitere Informationen finden Sie unter federatedIdpMfaBehavior-Werte. Verwenden Sie den folgenden PowerShell-Befehl, um diese Einstellung zu überprüfen:

Connect-MgGraph
$DomainId = "<your federated domain name>"
Get-MgDomainFederationConfiguration -DomainId $DomainId |fl

Verwenden Sie den folgenden Befehl, um den MFA-Anspruch vom Verbund-IdP abzulehnen. Diese Änderung wirkt sich auf alle MFA-Szenarien für die Verbunddomäne aus:

Update-MgDomainFederationConfiguration -DomainId $DomainId -FederatedIdpMfaBehavior rejectMfaByFederatedIdp

Wenn Sie das Flag mit dem Wert acceptIfMfaDoneByFederatedIdp (Standard) oder enforceMfaByFederatedIdpkonfigurieren, müssen Sie überprüfen, ob Ihr Verbund-IDP ordnungsgemäß konfiguriert ist und mit dem MFA-Adapter und -Anbieter funktioniert, der von Ihrem IdP verwendet wird.

Schlüsselregistrierung

Die integrierte Windows Hello for Business Bereitstellungsoberfläche erstellt ein gerätegebundenes asymmetrisches Schlüsselpaar als Anmeldeinformationen des Benutzers. Der private Schlüssel wird durch die Sicherheitsmodule des Geräts geschützt. Die Anmeldeinformationen sind ein Benutzerschlüssel, kein Geräteschlüssel. Bei der Bereitstellung wird der öffentliche Schlüssel des Benutzers beim Identitätsanbieter registriert:

Bereitstellungsmodell Dienstanbieter für die Schlüsselregistrierung
Nur Cloud Microsoft Entra ID
Hybridbereitstellung Microsoft Entra ID
Lokale Bereitstellungen AD FS

Verzeichnissynchronisierung

Hybridbereitstellungen und lokale Bereitstellungen verwenden jedoch die Verzeichnissynchronisierung für einen anderen Zweck:

  • Hybridbereitstellungen verwenden Microsoft Entra Connect Sync, um Active Directory-Identitäten (Benutzer und Geräte) oder Anmeldeinformationen zwischen sich selbst und Microsoft Entra ID zu synchronisieren. Während des Windows Hello for Business-Bereitstellungsprozesses registrieren Benutzer den öffentlichen Teil ihrer Windows Hello for Business Anmeldeinformationen bei Microsoft Entra ID. Microsoft Entra Connect Sync synchronisiert den öffentlichen Windows Hello for Business Schlüssel mit Active Directory. Diese Synchronisierung ermöglicht SSO das Microsoft Entra ID und der zugehörigen Verbundkomponenten.

    Wichtig

    Windows Hello for Business ist zwischen einem Benutzer und einem Gerät gebunden. Sowohl das Benutzer- als auch das Geräteobjekt müssen zwischen Microsoft Entra ID und Active Directory synchronisiert werden.

  • Lokale Bereitstellungen verwenden die Verzeichnissynchronisierung, um Benutzer aus Active Directory auf den Azure MFA-Server zu importieren. Dieser sendet Daten an den MFA-Clouddienst, um die Überprüfung durchzuführen.
Bereitstellungsmodell Optionen für die Verzeichnissynchronisierung
Nur Cloud n. a.
Hybridbereitstellung Microsoft Entra Connect Sync
Lokale Bereitstellungen Azure MFA-Server

Gerätekonfigurationsoptionen

Windows Hello for Business bietet einen umfangreichen Satz präziser Richtlinieneinstellungen. Es gibt zwei Standard Optionen zum Konfigurieren von Windows Hello for Business: Konfigurationsdienstanbieter (Configuration Service Provider, CSP) und Gruppenrichtlinie (GPO).

  • Die CSP-Option eignet sich ideal für Geräte, die über eine Mobile Geräteverwaltung(MDM)-Lösung wie Microsoft Intune verwaltet werden. CSPs können auch mit Bereitstellungspaketen konfiguriert werden.
  • GPO kann verwendet werden, um in die Domäne eingebundene Geräte zu konfigurieren und geräte nicht über MDM verwaltet werden.
Bereitstellungsmodell Gerätekonfigurationsoptionen
🔲 Nur Cloud CSP
🔲 Nur Cloud GPO (lokal)
🔲 Hybridbereitstellung CSP
🔲 Hybridbereitstellung GPO (Active Directory oder lokal)
🔲 Lokale Bereitstellungen CSP
🔲 Lokale Bereitstellungen GPO (Active Directory oder lokal)

Lizenzierung für Clouddiensteanforderungen

Im Folgenden finden Sie einige Überlegungen zu Den Lizenzierungsanforderungen für Clouddienste:

  • Windows Hello for Business erfordert kein Microsoft Entra ID P1- oder P2-Abonnement. Einige Abhängigkeiten, wie z. B. die automatische MDM-Registrierung und der bedingte Zugriff , sind jedoch vorhanden.
    • Geräte, die über MDM verwaltet werden, erfordern kein Microsoft Entra ID P1- oder P2-Abonnement. Wenn Sie auf das Abonnement verzichten, müssen Benutzer Geräte manuell in der MDM-Lösung registrieren, z. B. Microsoft Intune oder eine unterstützte nicht von Microsoft stammende MDM-Lösung.
  • Sie können Windows Hello for Business mit dem Microsoft Entra ID Free-Tarif bereitstellen. Alle Microsoft Entra ID Free-Konten können Microsoft Entra mehrstufige Authentifizierung für die kennwortlosen Windows-Features verwenden.
  • Zum Registrieren eines Zertifikats mithilfe der AD FS-Registrierungsstelle müssen sich Geräte beim AD FS-Server authentifizieren. Dies erfordert das Zurückschreiben des Geräts, ein Microsoft Entra ID P1- oder P2-Feature.
Bereitstellungsmodell Vertrauensmodell Clouddienstlizenzen (Minimum)
🔲 Nur Cloud n. a. nicht erforderlich
🔲 Hybridbereitstellung Cloud Kerberos nicht erforderlich
🔲 Hybridbereitstellung Schlüssel nicht erforderlich
🔲 Hybridbereitstellung Zertifikat Microsoft Entra ID P1
🔲 Lokale Bereitstellungen Schlüssel Azure MFA, wenn sie als MFA-Lösung verwendet wird
🔲 Lokale Bereitstellungen Zertifikat Azure MFA, wenn sie als MFA-Lösung verwendet wird

Betriebssystemanforderungen

Windows-Anforderungen

Alle unterstützten Windows-Versionen können mit Windows Hello for Business verwendet werden. Für die Kerberos-Cloud-Vertrauensstellung sind jedoch Mindestversionen erforderlich:

Bereitstellungsmodell Vertrauensmodell Windows-Version
🔲 Nur Cloud n. a. Alle unterstützten Versionen
🔲 Hybridbereitstellung Cloud Kerberos - Windows 10 21H2 mit KB5010415 und höher
- Windows 11 21H2 mit KB5010414 und höher
🔲 Hybridbereitstellung Schlüssel Alle unterstützten Versionen
🔲 Hybridbereitstellung Zertifikat Alle unterstützten Versionen
🔲 Lokale Bereitstellungen Schlüssel Alle unterstützten Versionen
🔲 Lokale Bereitstellungen Zertifikat Alle unterstützten Versionen

Windows Server-Anforderungen

Alle unterstützten Windows Server-Versionen können mit Windows Hello for Business als Domänencontroller verwendet werden. Für die Kerberos-Cloud-Vertrauensstellung sind jedoch Mindestversionen erforderlich:

Bereitstellungsmodell Vertrauensmodell Betriebssystemversion des Domänencontrollers
🔲 Nur Cloud n. a. Alle unterstützten Versionen
🔲 Hybridbereitstellung Cloud Kerberos - Windows Server 2016, mit KB3534307 und höher
– Windows Server 2019 mit KB4534321 und höher
– Windows Server 2022
🔲 Hybridbereitstellung Schlüssel Alle unterstützten Versionen
🔲 Hybridbereitstellung Zertifikat Alle unterstützten Versionen
🔲 Lokale Bereitstellungen Schlüssel Alle unterstützten Versionen
🔲 Lokale Bereitstellungen Zertifikat Alle unterstützten Versionen

Vorbereiten von Benutzern

Wenn Sie bereit sind, Windows Hello for Business in Ihrem organization zu aktivieren, stellen Sie sicher, dass Sie die Benutzer vorbereiten, indem Sie erläutern, wie sie Windows Hello bereitstellen und verwenden.

Weitere Informationen finden Sie unter Vorbereiten von Benutzern.

Nächste Schritte

Nachdem Sie sich nun über die verschiedenen Bereitstellungsoptionen und -anforderungen informiert haben, können Sie die Implementierung auswählen, die am besten zu Ihrem organization passt.

Um mehr über den Bereitstellungsprozess zu erfahren, wählen Sie in den folgenden Dropdownlisten ein Bereitstellungsmodell und einen Vertrauenstyp aus: