Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
Maraun

Surface Book, Win10 und Windows Hello per GPO

Empfohlene Beiträge

Hallo zusammen,

 

wir haben momentan eine Teststellung eines Surface Books (mit Win10 Prof), das wir mit GPOs und Windows Hello testen wollen.

Domänenlevel ist 2003, Domaincontroller sind 2008 und 2012. Muss noch den Forest und Domainlevel anheben.

Die Windows 10 GPOs habe ich soweit auf einem DC installiert und sehe diese auch im Group Policy Management.

Ich habe eine neue GPO und OU erstellt, alle bisherigen GPOs (die auf Win7/Win8 gelten) darauf unterbrochen,
das Computerkonto des Surfaces da hinein geschoben, einen WMI Filter für Win10 erstellt und folgendes in der GPO konfiguriert:
 

- Computer Configuration/Policies/Administrative Templates/Windows Components/Biometrics
Allow domain users to log on using biometrics enabled
Allow the use of biometrics enabled
Allow users to log on using biometrics enabled

 

-  Computer Configuration/Policies/Administrative Templates/Windows Components/Microsoft Passport for Work
Use biometrics enabled
use microsoft passport for work enabled

- Computer Configuration/Policies/Administrative Templates/Windows Components/Microsoft Passport for Work/Pin Complexity
Expiration 0
Maximum Pin length 6
Minimum Pin length 6
Require digits enabled
 

Das Problem ist, dass die Einstellungsmöglichkeiten in Windows Hello alle ausgegraut bleiben und eine Anmeldung via Windows Hello nicht möglich ist,
bzw. die Funktion gar nicht vorhanden ist.
Die GPO wird richtig zugewiesen laut GPO Result Wizard und lokalem Gerät..

Sehe ich das richtig, dass im Domänenbereich nur Windows Hello for Business genutzt werden kann und dafür DC Server 2016 und Azure notwendig ist?
Windows Hello ist für die lokale Nutzung und damit nicht per GPO steuerbar?

Danke und viele Grüße

bearbeitet von Maraun

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

soweit ich weiß, sollte auch das "normale" Hello mit AD-Konten funktionieren. Der Vorteil von Hello for Business ist vort allem die zertifikatsbasierte Anmeldung, die das normale Hello nicht macht.

 

Ansonsten aber leider keine praktische Erfahrung - als ich das vor einigen Monaten mit meinem Notebook probiert habe, war der Fingerabdrucksensor irgendwie nicht genau genug, weswegen ich es gleich wieder abgeschaltet habe.

 

Gruß, Nils

bearbeitet von NilsK

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich tippe gerade spontan darauf, dass die GPO erst bei Win 10 Enterprise ziehen. Soweit ich das im Kopf habe ist Win 10 Prof. ziemlich von MS beschnitten worden. Cortana kann man bei Win10 Prof auch nicht per GPO deaktivieren. In der Enterprise bzw. Education funktioniert es.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich tippe gerade spontan darauf, dass die GPO erst bei Win 10 Enterprise ziehen. Soweit ich das im Kopf habe ist Win 10 Prof. ziemlich von MS beschnitten worden. Cortana kann man bei Win10 Prof auch nicht per GPO deaktivieren. In der Enterprise bzw. Education funktioniert es.

Hier ist eine Liste von den GPO-Einstellungen, die in 1607 nur auf Enterprise und EDU ziehen: https://technet.microsoft.com/en-us/itpro/windows/manage/group-policies-for-enterprise-and-education-editions

  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

In unserer Umgebung sollte ja demnach eben "nur" Microsoft Passport for Work funktionieren.

Das habe ich jetzt per GPO zusätzlich umgesetzt:

-Computer Configuration/Policies/Administrative Templates/System/Logon
Turn on convenience PIN sign-in

GPO wird auch laut gpresult gezogen.
 

Die Windows Hello Funktionen sind aber jetzt nach mehreren Neustarts immer noch grau hinterlegt/deaktiviert.
 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

 

Problem ist gelöst.
Habe jetzt folgendes konfiguriert:

Computer Configuration/Policies/Administrative Templates/Control Panel/Personalization
Do not display the lock screen  - Enabled

Computer Configuration/Policies/Administrative Templates/System/Logon
Turn on convenience PIN sign-in  - Enabled

Computer Configuration/Policies/Administrative Templates/Windows Components/Biometrics
Allow domain users to log on using biometrics  - Enabled

Allow the use of biometrics  - Enabled
Allow the users to log on using biometrics  - Enabled

Damit kann auch aus dem Sperrbildschirm heraus der Client per Windows Hello entsperrt werden.

Danke nochmals für alle Antworten.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×