Windows 10 komfortable Anmeldung mit Pin oder Biometrie per GPO aktivieren

Verfasst am 24.12.2018 in Windows 10, Windows Server

Wer kennt das nicht? Zuhause funktionieren die Windows 10 Anmeldefeatures wie die Anmeldung mit Pin, Biometrie oder der Gesichtserkennung problemlos. Ist man aber mit seinem Endgerät in einer Firmendomänenumgebung, so will das nicht funktionieren.

Grund:

Während Benutzer_innen in einer privaten Umgebung die Funktionen einfach aktivieren und mithilfe des Microsoft-Kontos diese verknüpfen können, muss in einer Windows Domänen-Umgebung dies explizit durch die Gruppenrichtlinien freigeschaltet werden.

Wichtig:

Es gibt ggf. Probleme mit der lokalen Computerrichtlinien, wenn diese bestimmte Werte aktiviert haben, die über die Domänen-Richtlinien ebenfalls angesprochen werden. Hierzu weiter unten im Artikel.

Bevor hier losgelegt wird:

Ich empfehle das Anlegen einer Test-OU, um erstmal eine separate Richtlinie zu erstellen und diese dahin zu delegieren. Damit ist man von der restlichen Umgebung befreit.

Zudem wird der User bei der Aktivierung der jeweiligen Methoden ein Verifizierung bzw. Wiederherstellungsmethode angeben müssen z.B. SMS, Anruf, Microsoft Authenticator.

Auch empfehle ich bei den Clients bestimmte Elemente einzuhalten:

  • Die aktuellste Windows 10 Version einsetzen bzw. auf den aktuellsten Stand sein,
  • Aktuelle Treiber für die TPMs verwenden,
  • Die Treiber für die Biometrische Eingaben auf den aktuellsten Stand zu haben.

Aktivieren der Anmeldung mit Pin

Die Aktivierung erfolgt in der Computerkonfiguration:

Richtlinien | Administrative Vorlagen | System | Anmelden => Komfortable PIN-Anmeldung aktivieren: Aktiviert.

Richtlinien | Administrative Vorlagen | System | PIN-Komplexität => Minimale PIN-Länge: Aktiviert (8)

Ich empfehle hier die PIN-Länge zu setzen.

Aktivieren der Anmeldung mithilfe von Biometrie

Die Aktivierung erfolgt auch hier in der Computerkonfiguration:

Richtlinien | Windows-Komponenten | Biometrie  => Benutzeranmeldung mithilfe von Biometrie zulassen: Aktiviert

Richtlinien | Windows-Komponenten | Biometrie  => Domänenbenutzeranmeldung mithilfe Biometrie zulassen: Aktiviert

Richtlinien | Windows-Komponenten | Biometrie  => Verwendung der Biometrie zulassen: Aktiviert

Sobald die oben genannten Punkte aktiviert sind, müssten die jeweiligen Anmeldemethoden funktionieren. Da Computerrichtlinien i.d.R. nach einem oder mehreren Neustarts sich aktualisieren und angewendet werden, muss auch dies berücksichtigt werden.

Auftretende Probleme

In meinem Fall hatte ich mit einem User zu kämpfen, der zwar die Richtlinie gezogen hatte, jedoch die Fehlermeldung erhielt, dass irgendetwas nicht geklappt hätte.

Nach langer Prüfung des Rechners habe ich diesen mit meinen verglichen und mir die lokalen Computerrichtlinien angeschaut. Hier habe ich dann Unterschiede gefunden. Dieser Rechner nutzte in der Vergangenheit in einer älteren Windows 10 Version ebenfalls die Anmeldung mithilfe der Biometrie – deswegen waren lokal einige Werte gesetzt.

So sah die lokale Computerkonfiguration aus:

Richtlinien | Administrative Vorlagen | System | Anmelden => Einige Punkte waren auf „Aktiviert“

Richtlinien | Administrative Vorlagen | Windows-Komponente | Windows Hello for Business => Auch hier waren einige Punkte auf „Aktiviert“

Richtlinien | Administrative Vorlagen | Windows-Komponente | Biometrie => Hier waren einige Punkte auf „Aktiviert“

Richtlinien | Administrative Vorlagen | Windows-Komponente | Biometrie | Gesichtserkennung => Auch hier waren einige Punkte „Aktiviert“

Sowie unter der Benutzerkonfiguration fanden sind folgende Punkte:

Richtlinien | Administrative Vorlagen | System | Anmelden => Einige Punkte waren auf „Aktiviert“

Richtlinien | Administrative Vorlagen | Windows-Komponente | Windows Hello for Business => Einige Punkte waren auf „Aktiviert“

Weiterhin habe ich in der Recherche folgenden Artikel (ext. Link!) von Microsoft gefunden.

Lösung:

So habe ich alle Werte auf „Nicht kofiguriert“ gesetzt und den Rechner neugestartet und mit dem User entsprechend angemeldet – PIN Aktivierung funktioniert.

Anhand meiner Recherche habe ich soweit herausfinden können, dass Windows Hello for Business und die Punkte Anmelden mit Pin und Biometrie zwei verschiedene Features sind und keinesfalls zusammenarbeiten.

Bei Windows Hello for Business wird eine andere Umstellung angegangen. Hierzu findet sich der folgende Artikel (ext. Links!).
Ich empfehle auch folgenden Artikel auf ugg.li (ext. Link!).