Windows 10 Anmeldung mit Fingerabdruck in Active-Directory Domäne via GPO erlauben

Problem

Windows 10 erlaubt im Prinzip die „komfortable Anmeldung“ mittels PIN und Fingerabdruck über den Live-Account („Microsoft-Account“). Standardmäßig ist das in der Domäne aber deaktiviert und nur die Anmeldung an lokalen Benutzerkonten erlaubt.

Das ist daran zu erkennen, das praktisch alle Optionen unter Einstellungen > Konten > Anmeldeoptionen ausgegraut sind.

Sollte das ebenfalls in der lokalen Anmeldung der Fall sein, ist zumeist der Treiber des Biometrie-Gerätes schuld: Aufgrund der hohen Sicherheitsanforderungen (und dem geldlichen Notleiden des Konzerns) müssen Treiber für die Biometrischen Geräte zur Anmeldung ausnahmslos zertifiziert sein. Eine Menge älterer Treiber (Synaptics, WD, Asus …) sind das nicht und müssen vorher aktualisiert werden.

Sollte das endlich alles klappen, kann man die Biometrische Anmeldung in der Domäne aktivieren.

Lösung

windows10-biometrie-erlauben

Fingerabdruck-Anmeldung und Biometrische Anmeldung via GPO (Gruppenrichtlinie) erlauben:

  1. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Verwendung von Biometrie zulassen
    1. aktivieren
  2. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Benutzeranmeldung mithilfe von Biometrie zulassen
    1. aktivieren
  3. Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Biometrie > Domänenbenutzeranmeldung mithilfe von Biometrie zulassen
    1. aktivieren

Fingerabdruck-Anmeldung via Live-ID (Die PIN ist eine Voraussetzung) mithilfe der GPO (Gruppenrichtlinie) erlauben:

  1. Computerkonfiguration > Richtlinien > Administrative Vorlagen > System > Anmelden > PIN-Anmeldung aktivieren

Wichtig: Bei der Anmeldung via PIN wird das Kennwort des Benutzers im Tresor („Anmeldeinformationsspeicher“) lesbar gespeichert. Mit „lesbar“ ist an dieser Stelle Mimikatz oder ähnliches gemeint.

21 Replies to “Windows 10 Anmeldung mit Fingerabdruck in Active-Directory Domäne via GPO erlauben”

    • Dann ist eventuell deine Hardware (oder deren Firmware/Treiber) nicht (noch nicht) Hello-Kompatibel. Wir hatten den Fall ein paar mal, das Bios, TPM, Firmware und vor allem der Gerätetreiber veraltet war und nicht mit den „modernen“ Hello-Version zusammenarbeiten wollte. Nach den entsprechenden Updates klappte das dann problemlos. Betroffen sind meist ältere Geräte (ThinkPads, Inspirons, Latitudes …).

      • Hallo, habe seit einiger Zeit das gleiche Problem. Die Einstellmöglichkeiten im Windows sind ausgegraut. Habe die Gruppenrichtlinien freigegeben und alle möglichen Updates installiert. Bei Einrichtung meines X1 Yoga (fast nagelneu) ging der Fingerprint, bis unsere IT das Gerät in die Domäne genommen hat. Seitdem geht es nicht mehr, obwohl in der Domäne keine Einschränkungen existieren. Ich weiß nicht mehr weiter. Gibt es noch eine Möglichkeit?

        • In einer Domäne existieren per Definition und Standartmäßig gleich drei Einschränkungen. Alle drei müssen erst per GPO abgeändert werden, bevor die Anmeldung via Fingerabdruck wieder funktioniert. Die erste verbietet Biometrie generell (siehe oben). Die zweite verbietet die Verbidung mit Microsoft-Konten (Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen => „Konten: Microsoft-Konten blockieren“). Die dritte verbietet die Verwendung einer PIN für Domänenkonten (Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Anmelden => „Komfortable PIN Anmeldung aktivieren“).

          Ich habe den Artikel oben entsprechend angepasst, danke dir für den Hinweis 🙂

      • was bedeutet in diesem Kontext „ältere Geräte“? Das Thinkpad13 Gen1 oder X1-Xtreme verweigern ebenfalls die Domänenanmeldung per Fingerprint. Das TP13 konnte dies aber ursprünglich, da ich nur In-place-Upgrade einspielte – auch mit 19H03. Erst nach einer Neuinstallation funktioniert dies nicht mehr.
        Ich nehme an, dass der Sicherheitsanspruch an die Geräte angehoben wurde.

    • Hallo bitte lösche folgenden Registry Key in der Hello GPO

      Aktion Löschen

      Eigenschaften
      Struktur HKEY_LOCAL_MACHINE
      Schlüsselpfad SOFTWARE\Policies\Microsoft
      Wertname PassportForWork

  1. Hallo,
    die Gruppenrichtlinien für den PIN und den Fingerabdrucksensor liefen einwandfrei. Leider ist mir dann letzte Woche aufgefallen das die Zuständigen Richtlinien sich selber wieder auf nicht Konfiguriert gestellt haben. Was könnte der zusammenhang damit sein?

    und jetzt habe ich die Richtlinien wieder aktiviert leider sind die Punkte, aber immer noch ausgegraut wenn man auf die Anmeldeoptionen geht. Habe ich etwas vergessen wieder zu Konfigurieren oder wo könnte das Problem sein?

    • > … Richtlinien sich selber wieder auf nicht Konfiguriert gestellt haben.
      Schau doch mal GENAU nach dem Bearbeitungsdatum und deinen Berechtigungen. Da GPOs Dateien im Dateisystem sind und, außer vom Editor, weder eingelesen, noch geparst oder verändert werden können, gibt es hier kein „Von selber“ 🙂

      > leider sind die Punkte, aber immer noch ausgegraut
      Schau mal nach deinen Treibern. Es gibt einen Haufen Biometriekram der nach 1803 nicht mehr korrekt funktioniert. Die PIN muss übrigens auch ohne Biometrie funktionieren, wenn die nicht anwählbar ist, hast du noch ein ganz anderes Problem mit der Maschine (Eventlogs lesen).

      • Erstmal Vielen Dank für deine Antwort

        > Kannst du mir sagen wo ich das Bearbeitungsdatum nachgucken kann? und an meinen Berechtigungnen kann es nicht mangeln.

        > An meinen Treibern kann es nicht liegen da beide Funktionen(PIN und Biometrie) funktioniert haben. Dann hat sich, aber ein anderer aus der Firma gemeldet der die Funktion auch gerne nutzen würde bei ihm war es ausgegraut dann habe ich bei mir den Fingerabdruck und den PIN entfernt um zu gucken ob ich einen neuen PIN und einen neuen Fingerabdruck hinzufügen kann. Leider konnte ich dies nicht. Ich habe aber auch noch einen Kollegen der es noch eingerichtet hat. Also sich mit PIN und Fingerabdruck anmelden kann. Ich glaube es es liegt nur an der PIN, weil für die Biometrische Anmeldung ist ein PIN erforderlich und wenn ich nachgucke welche Richtlinien auf meinem Rechner gesetzt wurden finde ich die für die PIN anmedung nicht. In den Eventlogs habe ich nur einige Warnungen wo folgendes drin steht:
        „Windows Hello for Business provisioning will not be launched.
        Device is AAD joined ( AADJ or DJ++ ): No
        User has logged on with AAD credentials: No
        Windows Hello for Business policy is enabled: No
        Local computer meets Windows hello for business hardware requirements: Yes
        User is not connected to the machine via Remote Desktop: Yes
        User certificate for on premise auth policy is enabled: No
        Machine is governed by none policy.“

          • Hallo, ich hoffe, dieser alte Thread wid noch von jmd. gelesen….

            Ich habe hier ein neues Lenovo T480S-Notebook, welches ebenfalls Fingerprint-Probleme macht.
            Dank der guten Hilfe oben habe ich die Punkte in der Policy auch fast alle gefunden, doch bei 2. und 3. scheitere ich:
            Die Hinweise
            „Die zweite verbietet die Verbidung mit Microsoft-Konten (Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen => „Konten: Microsoft-Konten blockieren“). Die dritte verbietet die Verwendung einer PIN für Domänenkonten (Computerkonfiguration => Richtlinien => Administrative Vorlagen => System => Anmelden => „Komfortable PIN Anmeldung aktivieren“).“
            gibt es in meiner GPO nicht.

            Biometrie habe ich gefunden, aber den Punkt „Konten: Microsoft…“ sowie „PIN…“ habe ich den EInträgern nicht drin!

            Es handelt sich hier um einen 2008R2.

            Mache ich etwas falsch? Fehlt irgendein Feature?

            Danke für eine Hilfe!

          • Windows Server 2008R2 unterstützt noch keine biometrische Anmeldung (ohne „Umwege“) und enthält daher auch die notwendigen GPOs nicht.

  2. Weed, Danke für die Info…. !

    Wobei der erste Eintrag laut der Liste mio den 3 Biometrie-Feautures in der GPO drin zu finden ist.

    Na gut, Kiste kommt dieses Jahr sowieso neu.

  3. Hallo,
    habe den Beitrag mit großem Interesse gelesen (3 Thinkpads T580) sind betroffen. Bei lokaler Anmeldung läßt sich der Fingerprint auswählen und konfigurieren.
    Bei Anmeldung in der Domäne ist die Schaltfläche ausgegraut.
    Habe gerade bei Lenovo Support angerufen.
    Auskunft: Der Fingerprint ist in der Domäne by design nicht unterstützt!!

  4. Danke für den Beitrag, alles so eingestellt wie beschrieben.
    Funktioniert ohne Probleme unter MS Server 2012R2 und Win 10 Pro x64 1909.

  5. Hi,
    Vielen Dank!
    Super Tipp bzw. Lösung.

    ABER:
    Lösung ist wie oben steht PLUS Ergänzung von Post vom 15. Februar 2018.
    Es steht zwar daß das oben ergänzt wurde –> Aber oben fehlt der Dritte wichtige Eintrag (wie eben in dem Post aber Gott sein Dank steht), daß man bei Sicherheitseinstellungen noch was machen muß (ansonsten Verboten die Verbidung mit Microsoft-Konten (Computerkonfiguration => Richtlinien => Windows-Einstellungen)

    Also praktisch oben steht nur die Erste mit Unterpunkten und zweite, aber die dritte steht eben in dem Post / ist in dem Post vom 15. Februar 2018 zu finden.

    Wäre gut, wenn oben alles komplett.
    Ansonsten speicher ich das bei mir ab als PDF mit eben Hinweis oben daß auch das vom 15. noch gemacht werden muß 🙂

    Fakt ist:
    Funktioniert dann wunderbar (bei uns in Firma Domäne mit Windows Server 2016).

    Danke,
    Grüße Martin

  6. Pingback: Anmelden Per Fingerabdruck

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.