Windows 10 Anmeldung mit Fingerabdruck in Active-Directory Domäne via GPO erlauben

Problem

Windows 10 erlaubt im Prinzip die „komfortable Anmeldung“ mittels PIN und Fingerabdruck über den Live-Account („Microsoft-Account“). Standardmäßig ist das in der Domäne aber deaktiviert und nur die Anmeldung an lokalen Benutzerkonten erlaubt.

Das ist daran zu erkennen, das praktisch alle Optionen unter Einstellungen > Konten > Anmeldeoptionen ausgegraut sind.

Sollte das ebenfalls in der lokalen Anmeldung der Fall sein, ist zumeist der Treiber des Biometrie-Gerätes schuld: Aufgrund der hohen Sicherheitsanforderungen (und dem geldlichen Notleiden des Konzerns) müssen Treiber für die Biometrischen Geräte zur Anmeldung ausnahmslos zertifiziert sein. Eine Menge älterer Treiber (Synaptics, WD, Asus …) sind das nicht und müssen vorher aktualisiert werden.

Sollte das endlich alles klappen, kann man die Biometrische Anmeldung in der Domäne aktivieren.

Lösung

windows10-biometrie-erlauben

Fingerabdruck-Anmeldung und Biometrische Anmeldung via GPO (Gruppenrichtlinie) erlauben:

  1. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Verwendung von Biometrie zulassen
    1. aktivieren
  2. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Benutzeranmeldung mithilfe von Biometrie zulassen
    1. aktivieren
  3. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Domänenbenutzeranmeldung mithilfe von Biometrie zulassen
    1. aktivieren

Fingerabdruck-Anmeldung via Live-ID (Die PIN ist eine Voraussetzung) mithilfe der GPO (Gruppenrichtlinie) erlauben:

  1. Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Anmelden > PIN-Anmeldung aktivieren

Wichtig: Bei der Anmeldung via PIN wird das Kennwort des Benutzers im Tresor („Anmeldeinformationsspeicher“) lesbar gespeichert. Mit „lesbar“ ist an dieser Stelle Mimikatz oder ähnliches gemeint.

8 Replies to “Windows 10 Anmeldung mit Fingerabdruck in Active-Directory Domäne via GPO erlauben”

    • Dann ist eventuell deine Hardware (oder deren Firmware/Treiber) nicht (noch nicht) Hello-Kompatibel. Wir hatten den Fall ein paar mal, das Bios, TPM, Firmware und vor allem der Gerätetreiber veraltet war und nicht mit den „modernen“ Hello-Version zusammenarbeiten wollte. Nach den entsprechenden Updates klappte das dann problemlos. Betroffen sind meist ältere Geräte (ThinkPads, Inspirons, Latitudes …).

      • Hallo, habe seit einiger Zeit das gleiche Problem. Die Einstellmöglichkeiten im Windows sind ausgegraut. Habe die Gruppenrichtlinien freigegeben und alle möglichen Updates installiert. Bei Einrichtung meines X1 Yoga (fast nagelneu) ging der Fingerprint, bis unsere IT das Gerät in die Domäne genommen hat. Seitdem geht es nicht mehr, obwohl in der Domäne keine Einschränkungen existieren. Ich weiß nicht mehr weiter. Gibt es noch eine Möglichkeit?

        • In einer Domäne existieren per Definition und Standartmäßig gleich drei Einschränkungen. Alle drei müssen erst per GPO abgeändert werden, bevor die Anmeldung via Fingerabdruck wieder funktioniert. Die erste verbietet Biometrie generell (siehe oben). Die zweite verbietet die Verbidung mit Microsoft-Konten (Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen => „Konten: Microsoft-Konten blockieren“). Die dritte verbietet die Verwendung einer PIN für Domänenkonten (Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Anmelden => „Komfortable PIN Anmeldung aktivieren“).

          Ich habe den Artikel oben entsprechend angepasst, danke dir für den Hinweis 🙂

  1. Hallo,
    die Gruppenrichtlinien für den PIN und den Fingerabdrucksensor liefen einwandfrei. Leider ist mir dann letzte Woche aufgefallen das die Zuständigen Richtlinien sich selber wieder auf nicht Konfiguriert gestellt haben. Was könnte der zusammenhang damit sein?

    und jetzt habe ich die Richtlinien wieder aktiviert leider sind die Punkte, aber immer noch ausgegraut wenn man auf die Anmeldeoptionen geht. Habe ich etwas vergessen wieder zu Konfigurieren oder wo könnte das Problem sein?

    • > … Richtlinien sich selber wieder auf nicht Konfiguriert gestellt haben.
      Schau doch mal GENAU nach dem Bearbeitungsdatum und deinen Berechtigungen. Da GPOs Dateien im Dateisystem sind und, außer vom Editor, weder eingelesen, noch geparst oder verändert werden können, gibt es hier kein „Von selber“ 🙂

      > leider sind die Punkte, aber immer noch ausgegraut
      Schau mal nach deinen Treibern. Es gibt einen Haufen Biometriekram der nach 1803 nicht mehr korrekt funktioniert. Die PIN muss übrigens auch ohne Biometrie funktionieren, wenn die nicht anwählbar ist, hast du noch ein ganz anderes Problem mit der Maschine (Eventlogs lesen).

      • Erstmal Vielen Dank für deine Antwort

        > Kannst du mir sagen wo ich das Bearbeitungsdatum nachgucken kann? und an meinen Berechtigungnen kann es nicht mangeln.

        > An meinen Treibern kann es nicht liegen da beide Funktionen(PIN und Biometrie) funktioniert haben. Dann hat sich, aber ein anderer aus der Firma gemeldet der die Funktion auch gerne nutzen würde bei ihm war es ausgegraut dann habe ich bei mir den Fingerabdruck und den PIN entfernt um zu gucken ob ich einen neuen PIN und einen neuen Fingerabdruck hinzufügen kann. Leider konnte ich dies nicht. Ich habe aber auch noch einen Kollegen der es noch eingerichtet hat. Also sich mit PIN und Fingerabdruck anmelden kann. Ich glaube es es liegt nur an der PIN, weil für die Biometrische Anmeldung ist ein PIN erforderlich und wenn ich nachgucke welche Richtlinien auf meinem Rechner gesetzt wurden finde ich die für die PIN anmedung nicht. In den Eventlogs habe ich nur einige Warnungen wo folgendes drin steht:
        „Windows Hello for Business provisioning will not be launched.
        Device is AAD joined ( AADJ or DJ++ ): No
        User has logged on with AAD credentials: No
        Windows Hello for Business policy is enabled: No
        Local computer meets Windows hello for business hardware requirements: Yes
        User is not connected to the machine via Remote Desktop: Yes
        User certificate for on premise auth policy is enabled: No
        Machine is governed by none policy.“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .