Jump to content

Surface Book, Win10 und Windows Hello per GPO


Maraun
Direkt zur Lösung Gelöst von Maraun,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

wir haben momentan eine Teststellung eines Surface Books (mit Win10 Prof), das wir mit GPOs und Windows Hello testen wollen.

Domänenlevel ist 2003, Domaincontroller sind 2008 und 2012. Muss noch den Forest und Domainlevel anheben.

Die Windows 10 GPOs habe ich soweit auf einem DC installiert und sehe diese auch im Group Policy Management.

Ich habe eine neue GPO und OU erstellt, alle bisherigen GPOs (die auf Win7/Win8 gelten) darauf unterbrochen,
das Computerkonto des Surfaces da hinein geschoben, einen WMI Filter für Win10 erstellt und folgendes in der GPO konfiguriert:
 

- Computer Configuration/Policies/Administrative Templates/Windows Components/Biometrics
Allow domain users to log on using biometrics enabled
Allow the use of biometrics enabled
Allow users to log on using biometrics enabled

 

-  Computer Configuration/Policies/Administrative Templates/Windows Components/Microsoft Passport for Work
Use biometrics enabled
use microsoft passport for work enabled

- Computer Configuration/Policies/Administrative Templates/Windows Components/Microsoft Passport for Work/Pin Complexity
Expiration 0
Maximum Pin length 6
Minimum Pin length 6
Require digits enabled
 

Das Problem ist, dass die Einstellungsmöglichkeiten in Windows Hello alle ausgegraut bleiben und eine Anmeldung via Windows Hello nicht möglich ist,
bzw. die Funktion gar nicht vorhanden ist.
Die GPO wird richtig zugewiesen laut GPO Result Wizard und lokalem Gerät..

Sehe ich das richtig, dass im Domänenbereich nur Windows Hello for Business genutzt werden kann und dafür DC Server 2016 und Azure notwendig ist?
Windows Hello ist für die lokale Nutzung und damit nicht per GPO steuerbar?

Danke und viele Grüße

bearbeitet von Maraun
Link zu diesem Kommentar

Moin,

 

soweit ich weiß, sollte auch das "normale" Hello mit AD-Konten funktionieren. Der Vorteil von Hello for Business ist vort allem die zertifikatsbasierte Anmeldung, die das normale Hello nicht macht.

 

Ansonsten aber leider keine praktische Erfahrung - als ich das vor einigen Monaten mit meinem Notebook probiert habe, war der Fingerabdrucksensor irgendwie nicht genau genug, weswegen ich es gleich wieder abgeschaltet habe.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Ich tippe gerade spontan darauf, dass die GPO erst bei Win 10 Enterprise ziehen. Soweit ich das im Kopf habe ist Win 10 Prof. ziemlich von MS beschnitten worden. Cortana kann man bei Win10 Prof auch nicht per GPO deaktivieren. In der Enterprise bzw. Education funktioniert es.

Hier ist eine Liste von den GPO-Einstellungen, die in 1607 nur auf Enterprise und EDU ziehen: https://technet.microsoft.com/en-us/itpro/windows/manage/group-policies-for-enterprise-and-education-editions

Link zu diesem Kommentar

In unserer Umgebung sollte ja demnach eben "nur" Microsoft Passport for Work funktionieren.

Das habe ich jetzt per GPO zusätzlich umgesetzt:

-Computer Configuration/Policies/Administrative Templates/System/Logon
Turn on convenience PIN sign-in

GPO wird auch laut gpresult gezogen.
 

Die Windows Hello Funktionen sind aber jetzt nach mehreren Neustarts immer noch grau hinterlegt/deaktiviert.
 

Link zu diesem Kommentar
  • Beste Lösung

Hallo,

 

Problem ist gelöst.
Habe jetzt folgendes konfiguriert:

Computer Configuration/Policies/Administrative Templates/Control Panel/Personalization
Do not display the lock screen  - Enabled

Computer Configuration/Policies/Administrative Templates/System/Logon
Turn on convenience PIN sign-in  - Enabled

Computer Configuration/Policies/Administrative Templates/Windows Components/Biometrics
Allow domain users to log on using biometrics  - Enabled

Allow the use of biometrics  - Enabled
Allow the users to log on using biometrics  - Enabled

Damit kann auch aus dem Sperrbildschirm heraus der Client per Windows Hello entsperrt werden.

Danke nochmals für alle Antworten.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...