Windows Hello für Business ermöglicht es Anwendern sich ohne Kennwort mit biometrischen Möglichkeiten, PINs oder Passkeys an Windows sowie an Ressourcen im Unternehmen und der Cloud anzumelden. Wir zeigen Möglichkeiten und Einrichtung von Windows Hello for Business.
Windows Hello for Business erweitert die biometrische Authentifizierungslösung Windows Hello um Features, die speziell für den Einsatz in Unternehmensumgebungen entwickelt wurden.
(Bild: everythingpossible - stock.adobe.com)
Windows Hello for Business erweitert die biometrische Authentifizierungslösung Windows Hello um Features, die speziell für den Einsatz in Unternehmensumgebungen entwickelt wurden. Während Windows Hello eine passwortlose Authentifizierung auf Basis biometrischer Merkmale (wie Fingerabdruck oder Gesichtserkennung) und PIN für die Anmeldung an einzelnen Geräten unterstützt, fügt Windows Hello for Business eine umfassende, mehrstufige Identitätsauthentifizierung hinzu.
Im Unterschied zu Windows Hello, das primär für lokale Geräteanmeldungen konzipiert ist, ermöglicht Windows Hello for Business eine nahtlose Integration in hybride und Azure AD/Entra ID-basierte Infrastrukturen. Es unterstützt sowohl asymmetrische Schlüsselpaare als auch Hardware-gestützte Sicherheitsmodule wie Trusted Platform Module (TPM) und Virtual Smart Cards, um eine deutlich höhere Sicherheitsebene zu gewährleisten. Die Kennwortlose Authentifizierung wird dabei nicht nur für den Zugriff auf das Betriebssystem, sondern auch für Ressourcen in der Domäne oder Cloud-Dienste erweitert, was eine stärkere Kontrolle über Zugriffsrechte ermöglicht.
Erweiterte Authentifizierung mit Windows Hello for Business
Windows Hello for Business bietet eine umfassende Lösung zur passwortlosen Authentifizierung in Unternehmensumgebungen und erweitert das Basismodell von Windows Hello, das vor allem für den privaten Gebrauch konzipiert ist. Während Windows Hello standardmäßig biometrische Methoden wie Gesichtserkennung und Fingerabdruck sowie die Eingabe einer PIN zur Anmeldung unterstützt, bietet Windows Hello for Business zusätzliche Sicherheitsoptionen, die speziell auf den Einsatz in Microsoft 365- und Azure AD/Entra ID-Umgebungen ausgerichtet sind.
Durch die Integration einer Public-Key-Infrastruktur (PKI) und die Nutzung hardwaregestützter Sicherheitsmodule wie des Trusted Platform Module (TPM) erreicht Windows Hello for Business eine hohe Sicherheit. Die für die Authentifizierung notwendigen Informationen verlassen niemals das Gerät selbst, was Angriffsvektoren, die bei der Übertragung entstehen könnten, minimiert. Neben der Konfiguration biometrischer Optionen lassen sich in der Unternehmensversion spezifische PIN-Richtlinien festlegen, um die Komplexität und Sicherheit je nach Bedarf anzupassen. So können Administratoren PIN-Längen, Zeichentypen und Sicherheitsmerkmale wie die Gültigkeitsdauer bestimmen, was das Risiko der Weitergabe oder Vergessen der Authentifizierungsmethode reduziert.
Windows Hello for Business unterstützt zudem Mehrfaktorauthentifizierung: Ein Gerät kann nur durch eine Kombination aus PIN und biometrischer Methode entsperrt werden. Damit ist der Anmeldeschutz besonders hoch, da die bloße Kenntnis eines Faktors, beispielsweise der PIN, nicht ausreicht. In hybriden Szenarien kann diese Sicherheitsstrategie auch für den Zugriff auf Cloud-Services genutzt werden. Die automatische Aktivierung dieser Lösung auf Microsoft 365-Tenants erleichtert die Bereitstellung, während Unternehmen durch zentrale Richtlinien die Authentifizierung für neue und bestehende Geräte einfach verwalten und den Sicherheitsansprüchen ihrer Infrastruktur gerecht werden können.
Während bei Windows Hello die Einrichtung durch einzelne Benutzer auf ihren jeweiligen Geräten erfolgt, wird die Anpassung von Windows Hello für Business zentral vorgegeben. Grundsätzlich bietet es sich an, mit Microsoft Intune zu arbeiten. Die Konfiguration erfolgt daher zunächst im Intune Admin Center, das über intune.microsoft.com. Windows Hello für Business wird über „Geräte -> Registrierung -> Windows Hello for Business“ angepasst. Hier setzt man „Windows Hello for Business konfigurieren“ auf „Aktiviert“. Danach kann man diese Einstellungen an einzelne oder alle Benutzer zuweisen.
Die Verteilung dieser Einstellungen kann auch über Richtlinien mit „Endpunktsicherheit -> Verwalten -> Kontoschutz“ erfolgen. Mit „Richtlinie erstellen“ wird eine neue Richtlinie erstellt. Als „Plattform“ wird „Windows“ und als „Profiltyp“ die Option „Kontoschutz“ ausgewählt. Danach erfolgt die Konfiguration von Windows Hello bei „Konfigurationseinstellungen“. Danach erfolgt die Konfiguration der PIN-Mindestlängen und der restlichen Einstellungen für Windows Hello für Business. Bei „Verwenden von Windows Hello for Business (Gerät)“ wählt man ebenfalls „true“ aus. Danach lässt sich auch diese Richtlinie an die Geräte zuweisen.
Unabhängig davon, über welchen Weg Windows Hello für Business in Microsoft Intune aktiviert wurde, startet bei den zugewiesenen Anwendern der Assistent zur Einrichtung von Windows Hello nach der Anbindung an Microsoft 365/Entra ID. Windows Hello lässt sich auf diesem Weg so konfigurieren, wie beim ausschließlichen privaten Einsatz. Der Unterschied liegt darin, dass bei der Einrichtung die Einstellungen der Richtlinien genutzt werden, die Admins in Intune vorgegeben haben. Typischerweise blendet Windows 11 dann noch einmal die Aufforderung sich per MFA anzumelden, idealerweise über die Authenticator-App. Im Anschluss erfolgt die Konfiguration von Windows Hello und die Verwendung der biometrischen Anmeldung, in Verbindung mit dem jeweiligen PIN. Diesen Einrichtungsassistenten müssen Anwender auf allen PCs vornehmen, an denen sie sich in der Umgebung anmelden. In den Einstellungen kann aber auch festgelegt werden, dass die Anmeldung nur über den PIN ohne biometrische Authentifizierung erfolgt. Die Absicherung über MFA ist ohnehin immer gegeben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Nach der erfolgreichen Registrierung können sich die Anwender mit den verschiedenen Ressourcen in der Cloud verbinden, ohne sich erneut anmelden zu müssen. Abhängig von der Konfiguration von Conditional Access kann es natürlich durchaus passieren, dass für den Zugriff auf die eine oder andere Ressource in der Cloud eine MFA-Bestätigung oder eine erneute Anmeldung konfiguriert ist. Das Gleiche gilt nach der Anmeldung an Microsoft Edge. Hier richtet der Browser ebenfalls eine gesicherte Umgebung ein, in welcher der Zugriff auf Ressourcen in Azure oder Microsoft 365 ohne zusätzliche Anmeldung erfolgen kann.
Sobald sich Benutzer mit ihrem Konto an Entra ID angemeldet haben und der Windows Hello-Assistent durchgelaufen ist, wird das entsprechende Geräte in Entra ID und Microsoft Intune registriert. Die Geräte sind im Intune Admin Center bei intune.microsoft.com über „Geräte“ zu finden. Anwender können mit der App „Unternehmensportal“ aus dem Microsoft-Store außerdem auf freigegebene Ressourcen oder Anwendungen zugreifen und Informationen ihres PCs abrufen. Die Erhöhung der Sicherheit von an Intune angebundenen PCs behandeln wir in einem eigenen Beitrag.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/bb/26/bb26d30b219159b2d1b1292f79ff8365/0122240505v1.jpeg "Windows Hello für Business über Microsoft Intune für einzelne oder alle Benutzer einrichten.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/ab/ef/abefab0ae90eaf0beb401348dbc9ca12/0122240506v1.jpeg "Konfigurieren der Richtlinie für Windows Hello für Business in Microsoft 365/Entra ID.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/e6/cd/e6cdd896e6c172de8f1043c2c62dab0f/0122240508v1.jpeg "Windows Hello für Business lässt sich auch als Richtlinie bereitstellen.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/ed/a9/eda94d2d44b53b57bffd15598d4b689b/0122240507v1.jpeg "Anpassen der Einstellungen für die PINs und Kennwörter, die mit Windows Hello für Business genutzt werden.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/a4/ffa4bf35c7597a0caad09638cee1778a/0121813103v2.jpeg "Mit der verpflichtenden Multifaktor-Authentifizierung für das Microsoft 365 Admin Center will Microsoft das Risiko von Kontokompromittierungen verringern. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/ef/39ef365ee7a1cb1de7549f743ffb721a/0121332988v2.jpeg "Microsoft hat die Update-Lösung Windows Server Update Services (WSUS) als „abgekündigt“ deklariert. Es ist also an der Zeit, auf alternative Lösungen zu setzen. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/fb/a4fb1ccd803728b4933845eba3ec9b20/0115710294.jpeg "Die Umsetzung von Zero-Trust in Azure und Microsoft 365 bedeutet, dass alle Zugriffe explizit verifiziert werden müssen und nur mit den geringsten Rechten erfolgen dürfen. (Bild: Val Thoermer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/46/fc465241978bee2c7a23033c05b69cd8/0118499304.jpeg "Wie man mit Microsoft Intune die Malware-Einstellungen von Microsoft Defender zentral steuert, zeigen wir in diesem Beitrag. (Bild: pinkeyes - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/07/330715e07e85cb5ab855b87277dd2bd8/0123215790v2.jpeg "Entra ID und Microsoft 365 mit Passkeys nutzen: So geht’s. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/5a/d65a05a6f1f8f938e4af7aeb6dba90ca/0128263315v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")