Hoe installeer je Windows Hello for Business om Windows wachtwoordloos te gebruiken?

Windows zonder wachtwoord gebruiken in je bedrijf, beschermt je bedrijfstoestellen beter. De installatie is mogelijk op Windows 10-toestellen vanaf versie 1703 en Windows 11-toestellen. Zijn je bedrijfstoestellen nog redelijk nieuw, dan kun je aan de slag.

Bij Windows 10 werd wachtwoordloos inloggen een mogelijkheid door Windows Hello. De mogelijkheden werden later nog uitgebreid met opties voor multifactorauthenticatie (MFA). 

lees ook

Wat is MFA en hoe veilig is het echt?

Vanaf het moment dat Windows Hello for Business actief is, kunnen werknemers zonder wachtwoord inloggen met het Microsoft-account, het Active Directory-account, het Azure AD-account en verschillende diensten die de FIDO-standaard ondersteunen.

Om zonder wachtwoord te kunnen inloggen, zal de werknemer eenmalig met tweestapsverificatie moeten inloggen. Daarna logt de werknemer in met gezichtsherkenning, vingerafdruk of PIN. Dat is beter voor de beveiliging omdat deze inlogmethodes niet te kraken zijn door hackers.

Hoe je Windows Hello for Business in je eigen bedrijf installeert, leggen we in deze how-to volledig uit. Welk stappenplan je moet volgen hangt wel af van de infrastructuur die in je bedrijf aanwezig is. Werk je met on-premises Active Directory dan heb je keuze uit de modellen ‘Key Trust’ en ‘Certificate Trust’. Werk je met Azure AD dan val je in een hybride-omgeving en krijg je de bijkomende optie ‘cloud Kerberos trust’. Werk je volledig in de cloud dan is enkel de laatste optie een mogelijkheid.

  • Stap 1: Windows Hello for Business installeren

    Hybride cloud Kerberos trust

    Installeer Windows Hello for Business in twee stappen. Als eerste ga je aan de slag met de installatie van Azure AD Kerberos. Als die installatie voltooid is, kan je onmiddellijk beleidsregels gaan instellen via Windows Hello for Business.

    In de cloud en via Azure AD verzorgt de Azure AD Kerberos PowerShell-module FIDO2-functies. Open hiervoor een PowerShell-prompt in de Run. Installeer dan de module [Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12 gevolgd door Install-Module -Name AzureADHybridAuthenticationManagement -AllowClobber

    Key Trust en Certificate Trust

    On-prem bepaalt het groepsbeleid of een bepaald toestel zich kan aansluiten bij Windows Hello for Business. Om dit correct in te stellen open je de Group Policy Management Console (gpmc.msc). Zoek naar de knop Group Policy Object in het navigatievenster en rechterklik hierop. Selecteer New en typ Enable Windows Hello for Business in.

    Ga opnieuw naar het navigatiecenter en rechterklik daar op Enable Windows Hello for Business Group Policy. Kies je daar voor Bewerken, dan kan je op zoek gaan naar User Configuration, waarna je Policies volledig openklapt. Klap dan Administrative Templates verder uit en zoek onder Windows Component naar Windows Hello for Business. Klik dubbel op de knop Use Windows Hello for Business. Nadat je tot slot nog akkoord gaat, staat alles ingesteld.

  • Stap 2: het wachtwoord definitief verwijderen

    Geef werknemers voldoende tijd om over te stappen naar een wachtwoordloze optie om in te loggen. Eens iedereen gewend is aan de nieuwe manier van inloggen, kan je de optie om in te loggen met een wachtwoord volledig van bedrijfstoestellen verwijderen. Als administrator ga je naar Computer Configuration > Policies > Windows Settings > Local Policy > Security Options. Toestellen die draaien op Windows 10, versie 1703 of later en Windows 11 activeren de regel Interactive logon: Require Windows Hello for Business or smart card.

Vanaf de Windows 11 2022 Update beloont Microsoft gebruikers die wachtwoordloos gaan. Deze gebruikers kunnen namelijk gebruik maken van een aanwezigheidssensor die je inlogt als je in de buurt komt van je toestel en je uitlogt als je vertrekt.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.