Anmeldung mit FIDO2-Sicherheitsschlüssel bei Windows - Microsoft Entra ID (2024)

Table of Contents
In diesem Artikel Anforderungen Nicht unterstützte Szenarien Vorbereiten von Geräten Aktivieren von Sicherheitsschlüsseln für die Windows-Anmeldung Aktivieren mit Microsoft Intune Zielgerichtete Intune-Bereitstellung Aktivieren mit einem Bereitstellungspaket Aktivieren mit Gruppenrichtlinie Anmelden mit dem FIDO2-Sicherheitsschlüssel Verwalten eines biometrischen Sicherheitsschlüssels bzw. einer PIN oder Zurücksetzen eines Sicherheitsschlüssels Problembehandlung und Feedback Nächste Schritte
  • Artikel

In diesem Dokument liegt der Schwerpunkt auf der Aktivierung der auf FIDO2-Sicherheitsschlüsseln basierenden kennwortlosen Authentifizierung bei Windows 10- und 11-Geräten. Nach Abschluss der Schritte in diesem Artikel können Sie sich mit Ihrem Microsoft Entra-Konto mithilfe eines FIDO2-Sicherheitsschlüssels sowohl bei Microsoft Entra ID als auch bei hybrid in Microsoft Entra eingebundenen Windows-Geräten anmelden.

Anforderungen

GerätetypIn Microsoft Entra eingebundenHybrid in Microsoft Entra eingebunden
Multi-Faktor-Authentifizierung in Microsoft EntraXX
Kombinierte Registrierung von SicherheitsinformationenXX
Kompatible FIDO2-SicherheitsschlüsselXX
WebAuthN erfordert Windows10, Version 1903 oder höherXX
In Microsoft Entra eingebundene Geräte erfordern Windows10, Version 1909 oder höherX
In Microsoft Entra hybrid eingebundene Geräte erfordern Windows10, Version 2004 oder höherX
Vollständig gepatchte Windows Server2016/2019-Domänencontroller.X
Modul zur Verwaltung der Microsoft Entra-HybridauthentifizierungX
Microsoft Intune (optional)XX
Bereitstellungspaket (optional)XX
Gruppenrichtlinie (optional)X

Nicht unterstützte Szenarien

Folgende Szenarien werden nicht unterstützt:

  • Anmelden oder Entsperren eines Windows-Geräts mit einem Hauptschlüssel in Microsoft Authenticator.
  • Eine Bereitstellung von Windows Server Active Directory Domain Services (AD DS) für in die Domäne eingebundene (rein lokale) Geräte.
  • Szenarien wie RDP, VDI und Citrix, die einen anderen Sicherheitsschlüssel als die webauthn-Umleitungverwenden.
  • S/MIME mit einem Sicherheitsschlüssel.
  • Ausführen als mithilfe eines Sicherheitsschlüssels.
  • Anmelden bei einem Server mithilfe eines Sicherheitsschlüssels.
  • Wenn Sie keinen Sicherheitsschlüssel verwenden, um sich bei Ihrem Gerät anzumelden, wenn Sie online sind, können Sie ihn nicht verwenden, um sich offline anzumelden oder die Sperrung aufzuheben.
  • Anmelden oder Entsperren eines Windows-Geräts mit einem Sicherheitsschlüssel, der mehrere Microsoft Entra-Konten enthält. In diesem Szenario wird das letzte Konto verwendet, das dem Sicherheitsschlüssel hinzugefügt wurde. WebAuthN ermöglicht Benutzern die Auswahl des gewünschten Kontos.
  • Entsperren eines Geräts unter Windows 10, Version 1809. Hierfür eignet sich besonders Windows10 (Version 1903 oder höher).

Vorbereiten von Geräten

In Microsoft Entra eingebundene Geräte müssen Windows 10, Version 1909 oder höher ausführen.

In Microsoft Entra hybrid eingebundene Geräte müssen Windows 10, Version 2004 oder höher ausführen.

Aktivieren von Sicherheitsschlüsseln für die Windows-Anmeldung

Organisationen können basierend auf ihren Anforderungen eine oder mehrere der folgenden Methoden zum Aktivieren der Verwendung von Sicherheitsschlüsseln für die Windows-Anmeldung verwenden:

See Also
Windows-Anmeldeoptionen und Kontoschutz - Microsoft-SupportFür die Anmeldung Passkeys statt Passwörter verwenden

  • Aktivieren mit Microsoft Intune
  • Gezielte Microsoft Intune-Bereitstellung
  • Aktivieren mit einem Bereitstellungspaket
  • Aktivieren mit Gruppenrichtlinie (nur hybrid in Microsoft Entra eingebundene Geräte)

Wichtig

Organisationen mit in Microsoft Entra hybrid eingebundenen Geräten müssen auch die Schritte im Artikel Verwenden von SSO zum Anmelden bei lokalen Ressourcen mithilfe von FIDO2-Schlüsseln ausführen, damit die Authentifizierung mit Windows10-FIDO2-Sicherheitsschlüsseln funktioniert.

Organisationen mit in Microsoft Entra eingebundenen Geräten müssen diese Schritte durchführen, damit sich ihre Geräte mit FIDO2-Sicherheitsschlüsseln bei lokalen Ressourcen authentifizieren können.

Aktivieren mit Microsoft Intune

Führen Sie die folgenden Schritte aus, um die Verwendung von Sicherheitsschlüsseln mithilfe von Intune zu aktivieren:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Navigieren Sie zu Geräte>Geräte registrieren>Windows-Registrierung>Windows Hello for Business.
  3. Legen Sie die Option Sicherheitsschlüssel zur Anmeldung verwenden auf Aktiviert fest.

Die Konfiguration von Sicherheitsschlüsseln für die Anmeldung ist nicht von der Konfiguration von Windows Hello for Business abhängig.

Hinweis

Dadurch werden keine Sicherheitsschlüssel auf bereits bereitgestellten Geräten aktiviert. Verwenden Sie in diesem Fall die nächste Methode (zielgerichtete Intune-Bereitstellung).

Zielgerichtete Intune-Bereitstellung

Verwenden Sie zum Festlegen bestimmter Gerätegruppen als Ziel die folgenden benutzerdefinierten Einstellungen über Intune, um den Anmeldeinformationsanbieter zu aktivieren:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Navigieren Sie zu Geräte>Windows>Konfigurationsprofile>Profil erstellen.
  3. Konfigurieren Sie das neue Profil mit den folgenden Einstellungen:
    • Plattform: Windows10 und höher
    • Profiltyp: Vorlagen > Benutzerdefiniert
    • Name: Sicherheitsschlüssel für die Windows-Anmeldung
    • Beschreibung: Aktiviert FIDO-Sicherheitsschlüssel für die Windows-Anmeldung
  4. Wählen Sie Weiter>Hinzufügen aus, und fügen Sie unter Zeile hinzufügen die folgenden benutzerdefinierten OMA-URI-Einstellungen hinzu:
    • Name: Aktivieren der FIDO-Sicherheitsschlüssel für die Windows-Anmeldung
    • Beschreibung (optional):
    • OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
    • Datentyp: Integer
    • Wert: 1
  5. Weisen Sie die restlichen Richtlinieneinstellungen zu, einschließlich bestimmte Benutze, Geräte oder Gruppen. Weitere Informationen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen in Microsoft Intune.

Aktivieren mit einem Bereitstellungspaket

Für nicht von Microsoft Intune verwaltete Geräte können Sie ein Bereitstellungspaket installieren, um die Funktion zu aktivieren. Die Windows Configuration Designer-App kann aus dem Microsoft Store heruntergeladen und installiert werden. Führen Sie die folgenden Schritte aus, um ein Bereitstellungspaket zu erstellen:

  1. Starten Sie Windows Configuration Designer.
  2. Klicken Sie auf Datei>Neues Projekt.
  3. Geben Sie dem Projekt einen Namen, notieren Sie sich den Pfad, in dem Ihr Projekt erstellt wird, und wählen Sie Weiter aus.
  4. Lassen Sie das Bereitstellungspaket als Selected project workflow (Ausgewählter Projektworkflow), und klicken Sie auf Weiter.
  5. Wählen Sie unter Einstellungen auswählen, die angezeigt und konfiguriert werden sollen die Option Alle Windows-Desktopeditionen und dann Weiter aus.
  6. Wählen Sie Fertig stellen aus.
  7. Navigieren Sie in Ihrem neu erstellten Projekt zu Runtimeeinstellungen>Windows Hello For Business>Sicherheitsschlüssel>Use Security Key For Sign In (Sicherheitsschlüssel für die Anmeldung verwenden).
  8. Legen Sie Use Security Key For Sign In (Sicherheitsschlüssel für die Anmeldung verwenden) auf Aktiviert fest.
  9. Klicken Sie auf Exportieren>Bereitstellungspaket.
  10. Lassen Sie die Standardwerte im Fenster Erstellen unter Beschreibung des Bereitstellungspakets unverändert, und wählen Sie Weiter aus.
  11. Lassen Sie die Standardwerte im Fenster Erstellen unter Sicherheitsdetails für das Bereitstellungspaket auswählen unverändert, und klicken Sie auf Weiter.
  12. Notieren Sie sich den Pfad oder ändern Sie diesen im Fenster Erstellen unter Speicherort des Bereitstellungspakets auswählen, und klicken Sie dann auf Weiter.
  13. Klicken Sie auf der Seite Bereitstellungspaket erstellen auf Erstellen.
  14. Speichern Sie die zwei erstellten Dateien (ppkg und cat) an einem Speicherort, von dem aus Sie sie später auf Computer anwenden können.
  15. Um das von Ihnen erstellte Bereitstellungspaket anzuwenden, befolgen Sie die Anweisungen unter Anwenden eines Bereitstellungspakets.

Hinweis

Auf Geräten unter Windows 10 (Version 1903) muss auch der Modus für freigegebene PCs (EnableSharedPCMode) aktiviert sein. Weitere Informationen zum Aktivieren dieser Funktion finden Sie unter Einrichten eines freigegebenen oder Gast-PCs unter Windows 10.

Aktivieren mit Gruppenrichtlinie

Für in Microsoft Entra hybrid eingebundene Geräte können Organisationen die folgende Gruppenrichtlinieneinstellung konfigurieren, um die Anmeldung mit dem FIDO-Sicherheitsschlüssel zu aktivieren. Die Einstellung finden Sie unter Computerkonfiguration>Administrative Vorlagen>System>Anmeldung>Anmeldung mit Sicherheitsschlüssel aktivieren:

  • Wenn Sie diese Richtlinie auf Aktiviert festlegen, können Benutzer sich mit Sicherheitsschlüsseln anmelden.
  • Das Festlegen dieser Richtlinie auf Deaktiviert oder Nicht konfiguriert verhindert, dass Benutzer sich mit Sicherheitsschlüsseln anmelden.

Diese Gruppenrichtlinieneinstellung erfordert eine aktualisierte Version der CredentialProviders.admx-Gruppenrichtlinienvorlage. Diese neue Vorlage ist mit der nächsten Version von Windows Server und mit Windows1020h1 verfügbar. Diese Einstellung kann mit einem Gerät verwaltet werden, auf dem eine dieser neueren Versionen von Windows ausgeführt wird, oder zentral anhand der Anleitung hier: Erstellen und Verwalten des zentralen Speichers für administrative Vorlagendateien für Gruppenrichtlinien in Windows.

Anmelden mit dem FIDO2-Sicherheitsschlüssel

In diesem Beispiel hat ein Benutzer namens Bala Sandhu seinen FIDO2-Sicherheitsschlüssel bereits mithilfe der Schritte im vorherigen Artikel Kennwortlose Anmeldung mit Sicherheitsschlüssel aktivieren bereitgestellt. Stellen Sie für hybrid in Microsoft Entra eingebundene Geräte sicher, dass Sie auch die kennwortlose Anmeldung mit Sicherheitsschlüsseln für lokale Ressourcen aktiviert haben. Bala kann auf dem Windows10-Sperrbildschirm den Anbieter für Sicherheitsschlüsselanmeldeinformationen auswählen und den Sicherheitsschlüssel für die Anmeldung bei Windows einfügen.

Anmeldung mit FIDO2-Sicherheitsschlüssel bei Windows - Microsoft Entra ID (1)

Verwalten eines biometrischen Sicherheitsschlüssels bzw. einer PIN oder Zurücksetzen eines Sicherheitsschlüssels

  • Windows10, Version1903 oder höher
    • Benutzer können Windows-Einstellungen auf ihrem Gerät öffnen >Konten>Sicherheitsschlüssel
    • Benutzer können ihre PIN ändern, Biometrie aktualisieren oder ihren Sicherheitsschlüssel zurücksetzen.

Problembehandlung und Feedback

Wenn Sie Feedback geben möchten oder Probleme mit diesem Feature auftreten, teilen Sie uns dies in folgenden Schritten über die Windows-Feedback-Hub-App mit:

  1. Starten Sie Feedback-Hub, und stellen Sie sicher, dass Sie angemeldet sind.
  2. Senden Sie Ihr Feedback unter der folgenden Kategorisierung:
    • Kategorie: Sicherheit und Datenschutz
    • Unterkategorie: FIDO
  3. Verwenden Sie die Option Problem reproduzieren, um Protokolle zu erfassen.

Nächste Schritte

Aktivieren des Zugriffs auf lokale Ressourcen für Microsoft Entra ID und hybrid in Microsoft Entra eingebundene Geräte

Erfahren Sie mehr über die Geräteregistrierung

Weitere Informationen zur Multi-Faktor-Authentifizierung in Microsoft Entra

Anmeldung mit FIDO2-Sicherheitsschlüssel bei Windows - Microsoft Entra ID (2024)
Top Articles
Game Day Totchos (Tater Tot Nachos) Recipe
The Best Beef Totchos
Restored Republic January 20 2023
10 Grocery Stores on The Las Vegas Strip (Grocery Store Map) - FeelingVegas
Clever Disd
Little's Funeral Home Smithfield Virginia
Las.cruces Craigslist
3 Evergreen Row, Armonk, NY, 10504 | MLS #H6313449 | RocketHomes
Chocolate Island Blox Fruits
Courier Express Dubois Pa Obituaries
Latest Posts
Tater Tot Nachos (Loaded Totchos) - Peas and Crayons
Tachos Loaded Tater Tots
Article information

Author: Corie Satterfield

Last Updated:

Views: 5868

Rating: 4.1 / 5 (42 voted)

Reviews: 89% of readers found this page helpful

Author information

Name: Corie Satterfield

Birthday: 1992-08-19

Address: 850 Benjamin Bridge, Dickinsonchester, CO 68572-0542

Phone: +26813599986666

Job: Sales Manager

Hobby: Table tennis, Soapmaking, Flower arranging, amateur radio, Rock climbing, scrapbook, Horseback riding

Introduction: My name is Corie Satterfield, I am a fancy, perfect, spotless, quaint, fantastic, funny, lucky person who loves writing and wants to share my knowledge and understanding with you.