5
Windows Hello for Business - Nur Fingerprint erlauben
Hi,
in der GPO finde ich die Möglich, nur Fingerprint zu erlauben, nicht. Dort existiert der Eintrag "Faktoren für die Geräteentsperrung konfigurieren". So wie ich die Beschreibung lese, sind für jede Stufe mindestens ein Faktor nötig, die jeweils als GUID einzutragen sind. Wenn ich in der erste Stufe nur die GUID für Fingerprint eingebe und die 2. Stufe, sowie die Signalregeln weglasse, wird das denn dann so funktionieren, dass z.B. auch Gesichtsentperrung nicht mehr klappt? Schieße ich mir dann evtl. ins Knie, wenn der Finger dann mal nicht funktionieren sollte, z.B. wegen Verletzung, oder hat man ds normale Windows Kennwort immer als Hinterhand?
Ciao, Katja
in der GPO finde ich die Möglich, nur Fingerprint zu erlauben, nicht. Dort existiert der Eintrag "Faktoren für die Geräteentsperrung konfigurieren". So wie ich die Beschreibung lese, sind für jede Stufe mindestens ein Faktor nötig, die jeweils als GUID einzutragen sind. Wenn ich in der erste Stufe nur die GUID für Fingerprint eingebe und die 2. Stufe, sowie die Signalregeln weglasse, wird das denn dann so funktionieren, dass z.B. auch Gesichtsentperrung nicht mehr klappt? Schieße ich mir dann evtl. ins Knie, wenn der Finger dann mal nicht funktionieren sollte, z.B. wegen Verletzung, oder hat man ds normale Windows Kennwort immer als Hinterhand?
Ciao, Katja
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668024
Url: https://administrator.de/contentid/668024
Ausgedruckt am: 25.11.2024 um 04:11 Uhr
5 Kommentare
Neuester Kommentar
Habe die GPO mal Testweise so konfiguriert, dass nur der erste Faktor ausgefüllt ist mit der GUID des Fingerprints. Beim erneutem Anmelden bzw. Neustart des Computer bekam ich die Meldung, dass eine zusätzliche Konfiguration nötig sei. Leider hatte ich dort auch die Möglichkeit, die Gesichtserkennung einzurichten.
Leider hatte ich dort auch die Möglichkeit, die Gesichtserkennung einzurichten.
Einrichtung heißt nicht automatisch das sich diese Methode dann auch zum Login nutzen lässt, die Policy legt nur fest welche Methoden man zum Login nutzen kann, nicht was man auf dem Gerät an Biometrie einrichten kann.Diese Einstellung hier ist für MFA Multi Factor Unlock, es müssen also immer zwei Faktoren angegeben werden, also auch eine Methode für den zweiten Faktor! Also bspw. Fingerprint für den ersten und PIN für den zweiten.
Der User muss dann sowohl die PIN und den Fingerprint erfolgreich präsentieren um sich anmelden zu können oder sein Passwort nur eins von Beiden genügt dann nicht mehr.
Multi-factor unlock
Gruß
1
@14260433693 ok, danke. Das ergibt ja auch Sinn. Dann kann ich also jetzt davon ausgehen, dass ich entweder immer nur 2 Faktoren verwenden kann, von denen die Gesichtserkennung nicht dabei sein muss, aber es nicht möglich ist, nur den Fingerprint zuzulassen?
Zitat von @katja56:
@14260433693 ok, danke. Das ergibt ja auch Sinn. Dann kann ich also jetzt davon ausgehen, dass ich entweder immer nur 2 Faktoren verwenden kann, von denen die Gesichtserkennung nicht dabei sein muss, aber es nicht möglich ist, nur den Fingerprint zuzulassen?
Ja, du kannst aber den Fingerprint als erste und als zweiten Faktor etwa eine Signalregel angeben dann braucht der User nur den Finger und die Bedingung aus der Signalregel ist dann automatisch erfüllt sofern zutreffend.@14260433693 ok, danke. Das ergibt ja auch Sinn. Dann kann ich also jetzt davon ausgehen, dass ich entweder immer nur 2 Faktoren verwenden kann, von denen die Gesichtserkennung nicht dabei sein muss, aber es nicht möglich ist, nur den Fingerprint zuzulassen?
Alternativ die GPO undefiniert lassen dann reicht auch nur ein Faktor.
Und falls du dann zusätzlich noch die Gesichtsentsperrung deaktivieren willst reicht dann ein Registry Eintrag der so aussieht:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{8AF662BF-65A0-4D0A-A540-A338A999D36F}]
"Disabled"=dword:00000001
@14260433693
Perfekt, danke für den Tipp
Perfekt, danke für den Tipp
