Windows Hello for Business ist eine Authentifizierungstechnologie von Microsoft, die es Unternehmen ermöglicht, ein sicheres und benutzerfreundliches Anmeldeverfahren für Windows zu implementieren.
Windows Hello for Business ermöglicht eine sichere, passwortlose Authentifizierung bspw. über eine PIN, die nur lokal gespeichert ist und nicht ins Netz übertragen wird.
(Bild: Joos - Microsoft)
Im Gegensatz zu herkömmlichen Anmeldeverfahren, die auf Benutzernamen und Passwörtern basieren, bietet Windows Hello for Business eine passwortlose Lösung, die auf biometrischen Daten wie Gesichtserkennung, Fingerabdruck oder einer PIN basiert. Diese Methode erhöht die Sicherheit erheblich, da keine sensiblen Daten wie Passwörter über das Internet übertragen werden.
Die Authentifizierung erfolgt lokal auf dem Gerät, wobei ein kryptografischer Schlüssel generiert wird, der als Token für die Anmeldung bei Diensten wie Microsoft 365 oder Azure dient. Durch die Integration von Hardware-Sicherheitsmodulen wie TPM-Chips kann die Sicherheit weiter gesteigert werden. Windows Hello for Business unterstützt zudem Multi-Faktor-Authentifizierung und ermöglicht Unternehmen eine flexible Konfiguration, um strengere Sicherheitsrichtlinien zum Beispiel für höher privilegierte Konten zu implementieren. Diese Technologie vereint Benutzerfreundlichkeit mit hohem Schutz und trägt zur Reduzierung von Sicherheitsrisiken durch kompromittierte Passwörter bei. Es lohnt sich daher, wenn sich Admins mit dem Thema auseinandersetzen.
Windows Hello for Business ermöglicht eine sichere, passwortlose Authentifizierung, indem es biometrische Daten oder eine PIN zur Anmeldung verwendet. Die Integration von Cloud Kerberos Trust erlaubt eine nahtlose Authentifizierung sowohl für Cloud- als auch für On-Premises-Ressourcen wie Active Directory. Durch die Nutzung von Azure AD/Entra ID Kerberos wird eine sichere Verbindung zu lokalen Active-Directory-Domänen hergestellt, während gleichzeitig Single Sign-On (SSO) für Anwendungen in Entra ID ermöglicht wird.
Der Cloud Kerberos Trust zwischen Entra ID und AD ist der aktuellste und am einfachsten einzurichtende Trust für hybride Bereitstellungen von Windows Hello for Business. Eine lokale PKI ist dazu nicht notwendig. Bei diesem Trust arbeitet Windows Hello für Business mit einem neuen Computerobjekt in der Form eines Read-Only-Domänencontrollers (RODC) in Active Directory, das die Anmeldung der Benutzerkonten aus Entra ID steuert. Es muss dafür aber kein Server installiert werden, das Objekt in AD reicht aus. Die Verwendung des Cloud Kerberos Trust ist daher der empfohlene Weg.
Parallel gibt es noch Key Trust und Certificate Trust. Eine dieser drei Vertrauensstellungen zwischen Azure AD/Entra ID und dem lokalen Active Directory muss eingerichtet sein, damit sich Anwender mit Windows Hello for Business an Entra ID und an AD anmelden können. Für Key Trust und Certificate Trust ist eine lokale PKI notwendig, da für die Authentifizierung Zertifikate eine wichtige Rolle spielen. Hierzu kommen Benutzerzertifikate zum Einsatz, die Admins an die Benutzer zuteilen müssen. Die Benutzer können anschließend ihre Zertifikate nutzen, um von Active Directory ein Kerberos-Ticket zu erhalten.
Zu den wichtigsten Schritten bei der Einrichtung gehören das Konfigurieren von Gruppenrichtlinien und das Einrichten von Multifaktor-Authentifizierung, um die Erstregistrierung der Benutzer zu unterstützen. Bei der Anmeldung an modernen Notebooks oder PCs kann Windows Hello for Business Benutzer mit der integrierten Kamera anmelden, natürlich in Verbindung mit MFA und anderen Technologien. Bei der Anmeldung über eine PIN ist ein Benutzer ebenfalls sicherer unterwegs als mit einem Kennwort. Während Benutzername und Kennwort auch auf anderen PCs funktionieren und damit Angreifern einen Nutzen bringen, wenn sie die Daten erbeuten, ist die PIN nur auf dem PC gültig, für den sie registriert ist, also der PC oder das Notebook des Benutzers selbst. Gespeichert wird die PIN nur auf dem PC. Daher muss sie nicht sehr komplex sein, um sicheren Zugang zu ermöglichen. Da PINs einfach zu merken sind, sinkt die Gefahr, dass Anwender diese notieren müssen oder sie mit anderen Diensten nutzen. Die PIN dient auch als Fallback. Erkennt die Kamera oder der Fingerabdruck-Sensor den Benutzer nicht, kann er sich mit der PIN an seinem PC anmelden. Das geht aber nur an diesem einen PC, auf dem die PIN konfiguriert ist.
Neben biometrischen Anmeldungen lassen sich auch Fido-Keys nutzen. Windows Hello und Windows Hello for Business speichern ihre Daten verschlüsselt auf dem TPM-Chip des jeweiligen Gerätes. Die Daten verlassen den Chip und damit den PC nicht. Durch die Sicherheitstechnologien im TPM sind die Daten sehr sicher. Generell ist der Einsatz von Windows Hello for Business daher auch nur auf PCs und Notebooks sinnvoll, auf denen ein TPM-Chip verbaut und aktiv ist. Die Aktivierung erfolgt im BIOS/UEFI. Ist der Chip aktiv, lassen sich dessen Daten zum Beispiel mit „tpm.msc“ in Windows abrufen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Windows Hello versus Windows Hello for Business
bei Windows Hello und Windows Hello for Business erfolgt die Anmeldung zwar auf der gleichen Basis, nach der erfolgreichen Anmeldung versendet Windows Hello aber die gespeicherten Anmeldedaten des Benutzers über das Netzwerk an die Domänencontroller. Angreifer könnten hier die Password-Hashes wie bei normalen Anmeldungen über Benutzername und Kennwort einfach abgreifen.
Im Gegensatz dazu verwendet Windows Hello for Business für die Anmeldung an Azure AD/Entra ID und an Domänencontrollern asymmetrische Schlüssel. Es fließen daher keine Benutzerdaten über das Netzwerk, sondern nur hochsichere und asymmetrische Schlüssel. Das ist wesentlich sicherer als bei der Anmeldung mit Windows Hello. Mit Windows Hello for Business können Unternehmen drei verschiedene Anmeldeszenarien abdecken:
Anmeldung an Azure AD/Entra ID: Hier gibt es nur Zugriff auf die Cloud, keinerlei Zugriff auf lokale Ressourcen und Active Directory. Die Geräte sind Mitglied in Entra ID/Azure AD
Anmeldung an Active Directory im lokalen Rechenzentrum: Dieses Einsatzgebiet ist relativ selten, aber möglich. Hier gibt es keinerlei Cloud-Ressourcen, sondern alle Ressourcen befinden sich im lokalen Rechenzentrum
Anmeldung an Azure AD/Entra ID und Active Directory (hybride Anmeldung): Hier können Anwender mit Ressourcen in Active Directory und in Entra ID arbeiten, meistens erfolgt eine Synchronisierung der Benutzerdaten zwischen Active Directory und Azure AD/Entra ID
Wie erfolgt die Einrichtung von Windows Hello for Business
Windows Hello for Business wird durch Admins aktiviert. Sobald der Dienst aktiv ist, erhalten Benutzer bei der Anmeldung einen Assistenten, mit dem sie Windows Hello einrichten können. Diese entspricht generell der Einrichtung von Windows Hello, mit dem Unterschied, dass im Hintergrund keine Benutzerdaten über das Netzwerk geschickt werden, sondern nur die asymmetrischen Schlüssel. Die Einrichtung selbst ist für den Benutzer über den Assistenten in Windows 10 und Windows 11 einfach abzuschließen. Die Einrichtung muss ein Benutzer auf jedem seiner PCs durchführen, da die Daten von Windows Hello for Business immer lokal im TPM-Chip gespeichert werden.
Die Aktivierung von Windows Hello for Business erfolgt üblicherweise über Microsoft Intune. Hier sind die Einstellungen im Intune Admin Center über „Geräte -> Registrierung -> Windows Hello for Business“ zu finden. Hier wird zunächst die Option „Windows Hello for Business konfigurieren“ auf „Aktiviert“ gesetzt. Dadurch lassen sich verschiedene Einstellungen vorgeben. Generell gelten die Einstellungen für alle Nutzer des Abonnements. Das kann im oberen Bereich des Fensters bei „Zugewiesen an“ aber geändert werden.
Die zweite Möglichkeit, Windows Hello for Business zu konfigurieren, besteht über eine Richtlinie, die den jeweiligen Geräten zugewiesen wird. Diese Einstellungen sind bei „Endpunktsicherheit -> Verwalten -> Kontoschutz“ zu finden. Mit „Richtlinie erstellen“ erstellt man eine neue Richtlinie zur Zuweisung von Windows Hello for Business. Als „Plattform“ wird „Windows“ und als „Profiltyp“ die Option „Kontoschutz“ ausgewählt. Danach erfolgt die Konfiguration bei „Konfigurationseinstellungen“. Danach erfolgt die Festlegung der gewünschten PIN-Mindestlängen, der Kennwörter und weiterer Einstellungen. Bei „Verwenden von Windows Hello for Business (Gerät)“ wählt man ebenfalls „true“ aus. Wenn alle Einstellungen gesetzt sind, erfolgt die Zuweisung der Richtlinie an die gewünschten Geräte oder Gruppen.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/4b/ee/4bee19d172fd9c8c8993590986ba9c06/0129260266v2.jpeg "Enrique Lores, Präsident und CEO von HP, ist zurückgetreten und wechselt zum Zahlungsdienstleister Paypal. (Bild: HP)")
:quality(80)/p7i.vogel.de/wcms/81/37/8137ad44f55d3228683ef68cc3d96963/0129235950v1.jpeg "Peter Zils, Gründer und langjähriger Vorstandsvorsitzender von Ecotel, übernimmt nach dem Rücktritt von Markus Hendrich die Leitung des TK-Lösungsanbieters interimsmäßig. (Bild: Ecotel Commmunication AG)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/cb/24/cb242bd94c1c922b7acd32be2c91c9d9/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der Künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/e5/ade5de9fdf2919d873cd1384e173feec/0129269175v2.jpeg "Die T Cloud Public soll dem europäischen Bedürfnis nach Cloud-Souveränität gerecht werden und sich auf Augenhöhe mit den Hyperscalern begeben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/22/66221b7a2c23107b972d002a3c8f6253/0129110244v1.jpeg "Wahrnehmung zählt: Erwartungen an KI prägen Vertrauen in Demokratie stärker als ihr realer Einsatz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6b/fa/6bfa3799ec2833886c5932834bb01668/0128802998v1.jpeg "Die Leistungsfähigkeit moderner Infrastrukturen ist heute selten das Problem. Trotzdem geraten viele IT-Organisationen unter Druck. (Bild: Gettyimages 1222958278 / Dell Technologies)")
:quality(80)/p7i.vogel.de/wcms/5b/77/5b77fccd92dcdc0beb9297aab7ebef7a/0129255749v2.jpeg "Das Assessment-Paper der Timetoact Group vergleicht die großen Cloud-Anbieter – europäische Lösungen müssen sich nicht verstecken. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/aa/55aa1085fca6b8cbeb7326cead80be35/0129191109v2.jpeg "Pure Storage und Rubrik integrieren die automatische Erkennung von Anomalien in den Cyber Resilience Stack. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/c1/07c10f0ef99b1aaa8ec4e689bab584d6/0129245033v2.jpeg "Der Microsoft Copilot Readiness Service, der auf der Technologie von AvePoint basiert, reagiert auf die zunehmenden Anforderungen an Sicherheit, Compliance und ROI-Optimierung. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e1/da/e1dae6f55425d75714079fffad8e4ad1/0129247479v2.jpeg "Exclusive Networks nimmt Zero Networks ins DACH-Portfolio auf. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/77/0f771deb5ec0e397df095a914782ba79/0128876251v1.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos: „Unser Partnerportal ist neben der persönlichen Betreuung die wichtigste Schnittstelle zwischen Sophos und unseren Partnern.“ (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/16/27/1627c7f25a427ab5c4135f0cc60022ba/0128572571v1.jpeg "NIS 2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/ce/67ceb969cfc87/s-c-logo.png "s-c-logo (Soft & Cloud GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/73/89/7389faee6618af211e5c1ed5ada14707/0121624783v1.jpeg "Überprüfen, ob im PC ein-TPM-Chip eingebaut ist, um Windows Hello for Business zu verwenden.(Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/c8/61/c861d205d653be1ae8575c23fa5302bd/0121624784v1.jpeg "Einrichten von Windows Hello for Business in Windows 10/11.(Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/08/12/08129a0dfddd86e162a6b6de6520e7ce/0121624774v1.jpeg "Windows Hello for Business in Microsoft Intune einrichten.(Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/df/b4/dfb41e016aa4cacc065cafef0e4b9faa/0121624775v1.jpeg "Konfigurieren von Windows Hello for Business in Microsoft Intune.(Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/76/b1/76b18bc11b9ddfa0480e1eccd7afd744/0127810730v1.jpeg "Wer Windows 11 ohne Microsoft-Konto nutzt, verzichtet auf Cloud-Zwang, gewinnt Datenschutz und reduziert Angriffsflächen. Vorteile, Nachteile und Umstellung im Überblick. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/50/2b/502b933dae7cd6f51e76f43eff12fb73/0124116909v1.jpeg "Mit Windows Server 2025 führt Microsoft die Pay-as-you-Go-Lizenzierung ein – ideal für temporäre Serverauslastungen. Die Abrechnung erfolgt nutzungsbasiert über Azure Arc, ähnlich wie bei Cloud-VMs. (Bild: Microsoft)")