Windows Hello kann nicht aktiviert werden - Einige Einstellungen werden von Ihrer Organisation verwaltet

Ich habe die Lösung gefunden. Der Grund ist, dass Windows Hello auf domänenverbundenen Computern anders verwaltet wird, beginnend mit dem Anniversary Update. Um es zum Laufen zu bringen, müssen Sie diese Schritte befolgen:

1) Richten Sie einen Gruppenrichtlinien-Zentralspeicher ein (den sollten Sie bereits haben)

2) Holen Sie sich Windows 10 Anniversary Update Gruppenrichtlinienvorlagen. Sie können dies tun, indem Sie Ihre Dateien aus den PolicyDefinitions (in windir auf einem Win10 Anniversary Update-Rechner) in die PolicyDefinitions des zentralen Speichers kopieren. Möglicherweise kopieren Sie diese Dateien zunächst auf eine Dateifreigabe, da Ihr regulärer Benutzer keine Rechte auf dem zentralen Speicher haben sollte.

3) Richten Sie ein neues GPO ein oder fügen Sie einem bestehenden die folgenden Einstellungen hinzu, um Windows Hello zu aktivieren:

• Computerkonfiguration/Richtlinien/Administrative Vorlagen

…/Windows-Komponenten/Windows Hello For Business/ Biometrie verwenden => Aktiviert

. ../Windows Components/Windows Hello for Business/ Hardware-Sicherheitsgerät verwenden => Aktiviert (wenn Sie TPM anstelle von schlüssel- oder zertifikatsbasierter Aktivierung für Windows Hello verwenden möchten). Beachten Sie, dass im Allgemeinen alle Geschäftscomputer über ein TPM verfügen sollten

…/System/Anmeldung/ Komfortable PIN-Anmeldung einschalten => Aktiviert (Dies ist der Schlüssel. Damit wird die PIN-Anmeldung aktiviert, die wiederum Hello zusammen mit den anderen Einstellungen aktiviert).

…/Windows-Komponenten/Biometrie/ Erlaube Domänenbenutzern, sich mit Biometrie anzumelden => Aktiviert (Ich glaube, dies ist standardmäßig aktiviert, aber explizit zu sein, macht die GP-Verwaltung viel einfacher).

Weitere optionale Konfigurationsmöglichkeiten finden Sie unter System/Anmeldung und Windows-Komponenten/Biometrie und Windows-Komponenten/Windows Hello for Business.

Mehr Hintergrund finden Sie hier https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

und hier https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Wichtigster Auszug:

Beginnend mit der Version 1607 ist Windows Hello als Komfort-PIN auf allen domänenverbundenen Computern standardmäßig deaktiviert. Um eine Komfort-PIN für Windows 10, Version 1607, zu aktivieren, aktivieren Sie die Gruppenrichtlinieneinstellung Komfort-PIN-Anmeldung einschalten. Verwenden Sie die Richtlinieneinstellungen für Windows Hello for Business, um die PINs für Windows Hello for Business zu verwalten.

Wenn Sie das schlüssel- oder zertifikatsbasierte Windows Hello verwenden möchten, können Sie den Anleitungen in den Links folgen. Lassen Sie sich aber nicht verwirren. Sie können weiterhin das reguläre TPM für normales Windows Hello verwenden.

Das Setzen des folgenden Registrierungsschlüssels funktioniert bei mir:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Referenz: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

Alles, was ich tun musste, war:

1. Windows-TASTE + R zum Öffnen von Run
2. Eingeben:
   gpedit.msc
3. [Lokale Computerrichtlinie] > [Computerkonfiguration] > [Administrative Vorlagen] > [System] > [Anmeldung] > [Komfort-PIN-Anmeldung einschalten] : ENABLED

Damit wurde Windows Hello auf dem Surface Pro 4 mit Windows 10 Pro aktiviert.

Ich kämpfe schon seit langer Zeit mit diesem Problem. Ich habe all diese Gruppenrichtlinieneinstellungen ausprobiert: Komfort-PIN-Anmeldung einschalten, Windows Hello for Business aktivieren, Biometrie aktivieren usw. usw. usw. Jetzt habe ich endlich die Lösung gefunden.

Die PCs in meiner Firma sind Windows 10 build 1809. Meistens Lenovo X1 Yogas und P330s und einige Surface Pros. Sie sind mit einer 2012 R2-Domäne verbunden und sie haben Office 365 für E-Mail und Office Pro Plus abonniert. Wir haben eine E3-Lizenz in Office 365. Wenn ein Benutzer die Office-Apps mit seiner eigenen O365-Lizenz registriert, verbindet er Windows mit seinem Arbeitskonto. Wenn ich diese Verbindung trenne, kann ich PIN und Fingerprint einrichten. Hier ist die Vorgehensweise:

1. Gehen Sie zu Windows-Einstellungen -> Konten -> Zugriff Arbeit oder Schule. Die wichtigste Einstellung ist das “Arbeits- oder Schulkonto” mit dem bunten Windows-Logo daneben. Trennen Sie diese Verbindung. Berühren Sie nicht die Einstellung “Verbunden mit welcher Domäne auch immer”.

2. Klicken Sie dann auf “Anmeldeoptionen”. Fingerabdruck und PIN sind nicht mehr ausgegraut. Wenn sie immer noch ausgegraut sind, stellen Sie sicher, dass “Komfort-PIN-Anmeldung” aktiviert ist.

3. Fügen Sie die PIN und dann den Fingerabdruck hinzu.

4. Gehen Sie zurück zu “Zugang Arbeit oder Schule” in Einstellungen -> Konten.

5. Klicken Sie auf “Verbinden” und geben Sie die E-Mail-Adresse und das Passwort des Benutzers ein.

Die einzige Gruppenrichtlinie, die derzeit in Kraft ist, ist die Einstellung “Turn on Convenience PIN sign-in” unter Policies, Administrative Templates, System, Logon. Beachten Sie, dass dies NICHT Windows Hello for Business ist. Dies ist immer noch nur Passwortausfüllen. Eines Tages wird die bequeme PIN-Anmeldung abgeschafft werden und wir müssen es auf die sichere Art und Weise machen.

Setzen Sie in der Registrierung

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

, aktivieren Sie dann die UAC und starten Sie den PC neu.

Es gibt eine Sache, die Sie nicht konfigurieren dürfen, es sei denn, Sie haben die gültigen Zertifikate (dies ist auf Server 2016).

Stellen Sie sicher, dass “Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business” auf NOT CONFIGURED gesetzt ist.

Dies war die eine Sache, die ich eingestellt hatte (aus einem anderen Blog) und die verhindert hat, dass Windows Hello funktioniert, Windows Hello würde nicht einmal starten. Solange es aber nicht konfiguriert ist, sollte es in Ordnung sein.

Nachdem ich so viele Dinge ausprobiert habe (einschließlich aller anderen Antworten hier bis heute), habe ich das Problem schließlich mit einem Workaround für mich selbst gelöst. Beachten Sie, dass es sich um einen Workaround handelt, nicht um eine echte Lösung:

Um es noch einmal zusammenzufassen, das Problem ist, dass etwas im Domänenkonto meiner Organisation die Option zur Eingabe von Fingerabdrücken deaktiviert hat. In meinem Fall konnte nicht einmal meine IT-Gruppe in meiner lokalen Niederlassung herausfinden, was die Option blockierte.

Also habe ich schließlich ein neues lokales Benutzerkonto auf meinem Arbeitscomputer mit vollen lokalen Administratorrechten erstellt. Für dieses neue Konto habe ich mein persönliches Microsoft-Konto zum Verbinden verwendet (obwohl ich wahrscheinlich auch ein lokales Konto hätte verwenden können). Als ich mich mit dem neuen Konto anmeldete, gab es keine Probleme mit Fingerabdrücken und ich konnte die Fingerabdrücke problemlos konfigurieren.

Mögliche Nachteile dieses Workarounds:

• Da es sich um ein neues Benutzerkonto handelt, müssen möglicherweise viele Computerprogramme und Einstellungen neu installiert und konfiguriert werden. Es ist im Grunde so, als würde man einen brandneuen Windows-Computer einrichten. In meinem Fall habe ich dies getan, als ich einen neuen Arbeitscomputer bekam, so dass ich die Neukonfiguration ohnehin vornehmen musste.
• In einigen Organisationskonfigurationen haben Nicht-Domänenkonten möglicherweise keinen richtigen Zugriff auf einige Organisationsressourcen. Dies war in meinem Fall kein Problem. Wenn es bei Ihnen ein Problem ist, könnten Sie sich vielleicht mit dem organisatorischen VPN verbinden, um auf diese speziellen Ressourcen zuzugreifen, vielleicht sogar dauerhaft mit diesem Workaround-Konto.

Diese Workarounds lohnen sich für Sie vielleicht nicht, nur um die Fingerabdruck-Anmeldung zu bekommen, aber in meinem organisatorischen Kontext funktionieren sie hervorragend.

Ich verwende einen Dell 7280, der mit einer Domäne verbunden ist. Durch Hinzufügen des folgenden Registrierungsschlüssels und einen Neustart konnte ich einen 6-stelligen Pin hinzufügen.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System] “AllowDomainPINLogon”=dword:00000001