Windows Hello for Business
Microsofts unternehmenstaugliche, passwortlose Authentifizierung, die ein asymmetrisches Schlüsselpaar im TPM des Geräts erzeugt und damit Anmeldungen ohne geteiltes Geheimnis ermöglicht.
Windows Hello for Business ist die Enterprise-Variante von Windows Hello und ersetzt Passwörter durch eine gerätegebundene, asymmetrische Authentifizierung. Im Gegensatz zur Consumer-Version von Windows Hello, die lediglich eine bequemere Anmeldung am lokalen Gerät bietet, integriert sich die Business-Variante vollständig in Microsoft Entra ID und Active Directory und erzwingt eine kryptografisch abgesicherte Authentifizierung gegenüber Unternehmensressourcen.
Funktionsprinzip
Bei der Einrichtung erzeugt das Gerät ein asymmetrisches Schlüsselpaar. Der private Schlüssel wird im TPM des Geräts gespeichert und verlässt dieses nie. Der öffentliche Schlüssel wird bei Entra ID oder Active Directory hinterlegt. Bei jeder Anmeldung signiert das TPM eine vom Identity Provider generierte Challenge mit dem privaten Schlüssel — der Server verifiziert die Signatur mit dem hinterlegten öffentlichen Schlüssel. Es existiert kein Passwort, kein Hash und kein geteiltes Geheimnis, das abgefangen, per Phishing gestohlen oder aus einer Datenbank extrahiert werden könnte.
Die Freigabe des privaten Schlüssels erfolgt durch eine lokale Geste: eine PIN oder ein biometrisches Merkmal (Fingerabdruck, Gesichtserkennung). Entscheidend ist, dass diese Geste ausschließlich den Zugriff auf den lokalen Schlüsselspeicher im TPM autorisiert — sie wird nie über das Netzwerk übertragen.
Warum eine PIN sicherer ist als ein Passwort
Auf den ersten Blick wirkt eine vierstellige PIN weniger sicher als ein komplexes Passwort. Der Unterschied liegt im Bedrohungsmodell: Ein Passwort ist ein geteiltes Geheimnis, das über das Netzwerk an einen Server übertragen wird und dort (als Hash) gespeichert liegt. Es kann durch Credential Stuffing, Phishing oder Datenbankdiebstahl kompromittiert werden — und zwar von jedem Ort der Welt aus. Die Windows-Hello-PIN hingegen ist an das spezifische Gerät und dessen TPM gebunden. Selbst wenn ein Angreifer die PIN kennt, benötigt er zusätzlich physischen Zugriff auf das registrierte Gerät. Das TPM schützt zudem gegen Brute-Force-Angriffe durch hardwaregestützte Sperrmechanismen nach wenigen Fehlversuchen.
Multi-Faktor-Authentifizierung by Design
Windows Hello for Business erfüllt die Anforderungen an Multi-Faktor-Authentifizierung bereits durch seinen Aufbau: Der erste Faktor ist etwas, das der Nutzer besitzt — das registrierte Gerät mit dem TPM-gebundenen Schlüssel. Der zweite Faktor ist etwas, das der Nutzer weiß (PIN) oder ist (Biometrie). Beide Faktoren werden lokal am Gerät verifiziert, bevor die kryptografische Challenge-Response gegenüber dem Identity Provider erfolgt. In Kombination mit Conditional-Access-Richtlinien lässt sich zusätzlich steuern, unter welchen Bedingungen der Zugriff gewährt wird.
Bereitstellungsmodelle
Windows Hello for Business unterstützt drei Bereitstellungsmodelle, die sich nach der vorhandenen Infrastruktur richten. Im Cloud-Only-Modell erfolgt die gesamte Authentifizierung über Entra ID — es wird keine lokale Active-Directory-Infrastruktur benötigt. Das hybride Modell verbindet Entra ID mit einem bestehenden On-Premises Active Directory und ermöglicht passwortlose Anmeldung sowohl an Cloud-Ressourcen als auch an lokalen Diensten. Das reine On-Premises-Modell setzt ausschließlich auf Active Directory Certificate Services oder einen lokalen Key Trust.
Für hybride Umgebungen ist Cloud Kerberos Trust das empfohlene Bereitstellungsmodell, da es die geringste Komplexität aufweist. Es erfordert weder die Bereitstellung einer Public-Key-Infrastruktur noch die Synchronisation von Zertifikaten. Stattdessen stellt Entra ID ein partielles Kerberos-TGT aus, das der Client gegen ein vollständiges TGT bei einem lokalen Domain Controller (Windows Server 2016 oder neuer) eintauscht. Die einzige Voraussetzung ist ein konfigurierter Entra Kerberos Server-Objekt im Active Directory.
Abgrenzung zur Consumer-Variante
Die Consumer-Variante von Windows Hello bietet eine komfortable lokale Anmeldung per PIN, Fingerabdruck oder Gesichtserkennung, nutzt dabei aber ein Microsoft-Konto und erzeugt kein asymmetrisches Schlüsselpaar mit TPM-Bindung im Unternehmenssinne. Windows Hello for Business hingegen erfordert eine verwaltete Identität in Entra ID oder Active Directory, erzwingt TPM-gestützte Schlüsselerzeugung und wird über Gruppenrichtlinien oder Intune zentral ausgerollt und konfiguriert.
Relevanz für KMUs
Viele mittelständische Unternehmen haben MFA eingeführt, setzen aber auf Methoden wie TOTP-Codes oder Push-Benachrichtigungen, die durch Echtzeit-Phishing-Proxys umgangen werden können. Windows Hello for Business bietet eine passwortlose und phishing-resistente Alternative, die auf jedem Windows-Gerät mit TPM 2.0 verfügbar ist — ohne zusätzliche Hardware-Token. Für Unternehmen, die bereits Microsoft 365 Business Premium oder E3/E5 nutzen, ist die Technologie lizenzrechtlich enthalten. Der pragmatische Einstieg beginnt mit einer Cloud-Kerberos-Trust-Konfiguration für hybride Umgebungen und dem Rollout über Intune oder Gruppenrichtlinien, zunächst für privilegierte Konten wie IT-Administratoren und Geschäftsführung. In Kombination mit Conditional-Access-Richtlinien, die phishing-resistente Authentifizierung für kritische Anwendungen erzwingen, entsteht ein deutlich höheres Schutzniveau als mit herkömmlicher MFA.