Zum Inhalt wechseln


Foto

Surface Book, Win10 und Windows Hello per GPO


  • Bitte melde dich an um zu Antworten
6 Antworten in diesem Thema

#1 Maraun

Maraun

    Board Veteran

  • 579 Beiträge

 

Geschrieben 16. Dezember 2016 - 10:58

Hallo zusammen,

 

wir haben momentan eine Teststellung eines Surface Books (mit Win10 Prof), das wir mit GPOs und Windows Hello testen wollen.

Domänenlevel ist 2003, Domaincontroller sind 2008 und 2012. Muss noch den Forest und Domainlevel anheben.

Die Windows 10 GPOs habe ich soweit auf einem DC installiert und sehe diese auch im Group Policy Management.

Ich habe eine neue GPO und OU erstellt, alle bisherigen GPOs (die auf Win7/Win8 gelten) darauf unterbrochen,
das Computerkonto des Surfaces da hinein geschoben, einen WMI Filter für Win10 erstellt und folgendes in der GPO konfiguriert:
 

- Computer Configuration/Policies/Administrative Templates/Windows Components/Biometrics
Allow domain users to log on using biometrics enabled
Allow the use of biometrics enabled
Allow users to log on using biometrics enabled

 

-  Computer Configuration/Policies/Administrative Templates/Windows Components/Microsoft Passport for Work
Use biometrics enabled
use microsoft passport for work enabled

- Computer Configuration/Policies/Administrative Templates/Windows Components/Microsoft Passport for Work/Pin Complexity
Expiration 0
Maximum Pin length 6
Minimum Pin length 6
Require digits enabled
 

Das Problem ist, dass die Einstellungsmöglichkeiten in Windows Hello alle ausgegraut bleiben und eine Anmeldung via Windows Hello nicht möglich ist,
bzw. die Funktion gar nicht vorhanden ist.
Die GPO wird richtig zugewiesen laut GPO Result Wizard und lokalem Gerät..

Sehe ich das richtig, dass im Domänenbereich nur Windows Hello for Business genutzt werden kann und dafür DC Server 2016 und Azure notwendig ist?
Windows Hello ist für die lokale Nutzung und damit nicht per GPO steuerbar?

Danke und viele Grüße


Bearbeitet von Maraun, 16. Dezember 2016 - 11:00.

Done: 70-414, 70-413, 70-417, 70-640, 70-642, 70-643, 70-647, 70-680, 70-685, 70-270, 70-271, 70-272, 70-290, 70-291

#2 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 16. Dezember 2016 - 11:14

Moin,

 

soweit ich weiß, sollte auch das "normale" Hello mit AD-Konten funktionieren. Der Vorteil von Hello for Business ist vort allem die zertifikatsbasierte Anmeldung, die das normale Hello nicht macht.

 

Ansonsten aber leider keine praktische Erfahrung - als ich das vor einigen Monaten mit meinem Notebook probiert habe, war der Fingerabdrucksensor irgendwie nicht genau genug, weswegen ich es gleich wieder abgeschaltet habe.

 

Gruß, Nils


Bearbeitet von NilsK, 16. Dezember 2016 - 11:14.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 Weltalltrauma

Weltalltrauma

    Junior Member

  • 94 Beiträge

 

Geschrieben 16. Dezember 2016 - 11:15

Ich tippe gerade spontan darauf, dass die GPO erst bei Win 10 Enterprise ziehen. Soweit ich das im Kopf habe ist Win 10 Prof. ziemlich von MS beschnitten worden. Cortana kann man bei Win10 Prof auch nicht per GPO deaktivieren. In der Enterprise bzw. Education funktioniert es.



#4 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 16. Dezember 2016 - 11:16

Moin,

 

gerade gefunden:

https://blogs.techne...0-version-1607/

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 Sunny61

Sunny61

    Expert Member

  • 22.094 Beiträge

 

Geschrieben 16. Dezember 2016 - 11:35

Ich tippe gerade spontan darauf, dass die GPO erst bei Win 10 Enterprise ziehen. Soweit ich das im Kopf habe ist Win 10 Prof. ziemlich von MS beschnitten worden. Cortana kann man bei Win10 Prof auch nicht per GPO deaktivieren. In der Enterprise bzw. Education funktioniert es.


Hier ist eine Liste von den GPO-Einstellungen, die in 1607 nur auf Enterprise und EDU ziehen: https://technet.micr...cation-editions
  • Weltalltrauma gefällt das
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#6 Maraun

Maraun

    Board Veteran

  • 579 Beiträge

 

Geschrieben 16. Dezember 2016 - 11:44

In unserer Umgebung sollte ja demnach eben "nur" Microsoft Passport for Work funktionieren.

Das habe ich jetzt per GPO zusätzlich umgesetzt:

-Computer Configuration/Policies/Administrative Templates/System/Logon
Turn on convenience PIN sign-in

GPO wird auch laut gpresult gezogen.
 

Die Windows Hello Funktionen sind aber jetzt nach mehreren Neustarts immer noch grau hinterlegt/deaktiviert.
 


Done: 70-414, 70-413, 70-417, 70-640, 70-642, 70-643, 70-647, 70-680, 70-685, 70-270, 70-271, 70-272, 70-290, 70-291

#7 Maraun

Maraun

    Board Veteran

  • 579 Beiträge

 

Geschrieben 19. Dezember 2016 - 08:23   Lösung

Hallo,

 

Problem ist gelöst.
Habe jetzt folgendes konfiguriert:

Computer Configuration/Policies/Administrative Templates/Control Panel/Personalization
Do not display the lock screen  - Enabled

Computer Configuration/Policies/Administrative Templates/System/Logon
Turn on convenience PIN sign-in  - Enabled

Computer Configuration/Policies/Administrative Templates/Windows Components/Biometrics
Allow domain users to log on using biometrics  - Enabled

Allow the use of biometrics  - Enabled
Allow the users to log on using biometrics  - Enabled

Damit kann auch aus dem Sperrbildschirm heraus der Client per Windows Hello entsperrt werden.

Danke nochmals für alle Antworten.


Done: 70-414, 70-413, 70-417, 70-640, 70-642, 70-643, 70-647, 70-680, 70-685, 70-270, 70-271, 70-272, 70-290, 70-291