Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Windows Hello for Business eignet sich ideal für Information-Worker, die über einen eigenen Windows-PC verfügen. Die biometrischen und PIN-Anmeldeinformationen sind direkt an den PC des Benutzers gebunden, wodurch der Zugriff von anderen Personen als dem Besitzer verhindert wird. Mit der PKI-Integration (Public Key Infrastructure) und der integrierten Unterstützung für einmaliges Anmelden (Single Sign-On, SSO) bietet Windows Hello for Business eine bequeme Methode für den nahtlosen Zugriff auf Unternehmensressourcen lokal und in der Cloud.
Funktionsweise der Anmeldung für Windows Hello for Business in der Microsoft Entra-ID
Die folgenden Schritte zeigen, wie der Anmeldevorgang mit Microsoft Entra ID funktioniert:
- Ein Benutzer meldet sich bei Windows mit biometrischer Geste oder PIN an. Die Geste entsperrt den privaten Schlüssel von Windows Hello for Business, und die Daten werden an den Security Support Provider für die Cloud-Authentifizierung, als Cloudauthentifizierungsanbieter (CloudAP) bezeichnet, weitergeleitet. Weitere Informationen zum CloudAP finden Sie unter Was ist ein primäres Aktualisierungstoken?.
- CloudAP fordert eine Nonce (eine zufällige, einmal verwendbare Zahl) von Microsoft Entra ID an.
- Microsoft Entra ID gibt eine Nonce zurück, die 5 Minuten lang gültig ist.
- Der CloudAP signiert die Nonce mit dem privaten Schlüssel des Benutzers und gibt die signierte Nonce an Microsoft Entra ID zurück.
- Microsoft Entra ID überprüft die signierte Nonce, indem der Dienst den sicher registrierten öffentlichen Schlüssel des Benutzers mit der Nonce-Signatur abgleicht. Microsoft Entra ID überprüft die Signatur und dann die zurückgegebene signierte Nonce. Nach der Überprüfung der Nonce erstellt Microsoft Entra ID ein primäres Aktualisierungstoken (Primary Refresh Token, PRT) mit Sitzungsschlüssel, das mit dem Transportschlüssel des Geräts verschlüsselt ist, und gibt es an den CloudAP zurück.
- Der CloudAP empfängt das verschlüsselte PRT mit Sitzungsschlüssel. CloudAP entschlüsselt mithilfe des privaten Transportschlüssels des Geräts den Sitzungsschlüssel und schützt den Sitzungsschlüssel mit dem Trusted Platform Module (TPM) des Geräts.
- Der CloudAP gibt als Antwort an Windows zurück, dass die Authentifizierung erfolgreich war. Der Benutzer kann dann über Single Sign-On (SSO) auf Windows, die Cloud und lokale Anwendungen zugreifen.
Das Planungshandbuch für Windows Hello for Business kann die Auswahl des Bereitstellungstyps von Windows Hello for Business und die zu berücksichtigenden Optionen erleichtern.