katja56
10.09.2024, aktualisiert um 13:51:15 Uhr
view1318
view5
0
Goto Top

Windows Hello for Business - Nur Fingerprint erlauben

FrageWindows Server
Hi,

in der GPO finde ich die Möglich, nur Fingerprint zu erlauben, nicht. Dort existiert der Eintrag "Faktoren für die Geräteentsperrung konfigurieren". So wie ich die Beschreibung lese, sind für jede Stufe mindestens ein Faktor nötig, die jeweils als GUID einzutragen sind. Wenn ich in der erste Stufe nur die GUID für Fingerprint eingebe und die 2. Stufe, sowie die Signalregeln weglasse, wird das denn dann so funktionieren, dass z.B. auch Gesichtsentperrung nicht mehr klappt? Schieße ich mir dann evtl. ins Knie, wenn der Finger dann mal nicht funktionieren sollte, z.B. wegen Verletzung, oder hat man ds normale Windows Kennwort immer als Hinterhand?

Ciao, Katja

01
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 668024

Url: https://administrator.de/contentid/668024

Ausgedruckt am: 26.09.2024 um 23:09 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
katja56
katja56 10.09.2024 um 15:10:55 Uhr
Goto Top
Habe die GPO mal Testweise so konfiguriert, dass nur der erste Faktor ausgefüllt ist mit der GUID des Fingerprints. Beim erneutem Anmelden bzw. Neustart des Computer bekam ich die Meldung, dass eine zusätzliche Konfiguration nötig sei. Leider hatte ich dort auch die Möglichkeit, die Gesichtserkennung einzurichten.

02
14260433693
14260433693 10.09.2024 aktualisiert um 19:10:39 Uhr
Goto Top
Leider hatte ich dort auch die Möglichkeit, die Gesichtserkennung einzurichten.
Einrichtung heißt nicht automatisch das sich diese Methode dann auch zum Login nutzen lässt, die Policy legt nur fest welche Methoden man zum Login nutzen kann, nicht was man auf dem Gerät an Biometrie einrichten kann.

Diese Einstellung hier ist für MFA Multi Factor Unlock, es müssen also immer zwei Faktoren angegeben werden, also auch eine Methode für den zweiten Faktor! Also bspw. Fingerprint für den ersten und PIN für den zweiten.
Der User muss dann sowohl die PIN und den Fingerprint erfolgreich präsentieren um sich anmelden zu können oder sein Passwort nur eins von Beiden genügt dann nicht mehr.

Multi-factor unlock

Gruß
heart1
katja56
katja56 11.09.2024 um 09:47:27 Uhr
Goto Top
@14260433693 ok, danke. Das ergibt ja auch Sinn. Dann kann ich also jetzt davon ausgehen, dass ich entweder immer nur 2 Faktoren verwenden kann, von denen die Gesichtserkennung nicht dabei sein muss, aber es nicht möglich ist, nur den Fingerprint zuzulassen?
14260433693
14260433693 11.09.2024 aktualisiert um 10:24:53 Uhr
Goto Top
Zitat von @katja56:

@14260433693 ok, danke. Das ergibt ja auch Sinn. Dann kann ich also jetzt davon ausgehen, dass ich entweder immer nur 2 Faktoren verwenden kann, von denen die Gesichtserkennung nicht dabei sein muss, aber es nicht möglich ist, nur den Fingerprint zuzulassen?
Ja, du kannst aber den Fingerprint als erste und als zweiten Faktor etwa eine Signalregel angeben dann braucht der User nur den Finger und die Bedingung aus der Signalregel ist dann automatisch erfüllt sofern zutreffend.
Alternativ die GPO undefiniert lassen dann reicht auch nur ein Faktor.

Und falls du dann zusätzlich noch die Gesichtsentsperrung deaktivieren willst reicht dann ein Registry Eintrag der so aussieht:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers\{8AF662BF-65A0-4D0A-A540-A338A999D36F}]
"Disabled"=dword:00000001
heart1
katja56
katja56 12.09.2024 um 15:18:45 Uhr
Goto Top
@14260433693

Perfekt, danke für den Tipp
FrageWindows Server
Mehr von katja56katja56Mfa mit Bedingungen bei Windows Hello for Business?katja56 - 5 Kommentarekatja56GPO:Sicherheitsfilterung auf Computerkatja56 - 4 Kommentarekatja56Windows Hello for Business - Wo liegen die Biometriedaten?katja56 - 1 Kommentarkatja56Entra Hybrid Join mit Intunekatja56 - 2 Kommentare
Heiß diskutiert
MrHeisenbergBitLocker und HDDCloneMrHeisenberg - 50 KommentarePlexi-SquadWindows Server Essentials 2022 Netzwerk ProblemePlexi-Squad - 24 KommentareTerraITFSLogix - Profile Container werden teilweise nicht geladenTerraIT - 22 KommentarepcpanikWSUS stirbt aus - Azure Update Manager soll es richten, CAWUM Erfahrungen?pcpanik - 21 KommentarekreuzbergerPC Privatkauf mit Win11 - digitaler Lizenzschlüsselkreuzberger - 19 KommentareDumpfbackeKaufempfelung USVDumpfbacke - 18 KommentareTest12121Batch - Dateien aus Ordnerstruktur verschiebenTest12121 - 18 Kommentareprplemk2Interne Domain anlegen Windows DNSprplemk2 - 16 KommentareDarkZoneSDDruckerzuweisung über GebäudepläneDarkZoneSD - 16 Kommentarecasi4711GPO Script mit Robocopy schlägt fehlcasi4711 - 15 KommentareTomTom89Linux Mail Server - SSL Zertifikat - wird falsch abgefragtTomTom89 - 13 KommentareAbstrackterSystemimperatorKaufempfehlung: neuer Laptop für die ZukunftAbstrackterSystemimperator - 13 Kommentare