Ich habe die Lösung gefunden. Der Grund ist, dass Windows Hello auf Domänencomputern ab dem Jubiläumsupdate anders verwaltet wird. Damit es funktioniert, müssen Sie folgende Schritte ausführen:
1) Richten Sie einen zentralen Gruppenrichtlinienspeicher ein (dies sollte bereits vorhanden sein)
2) Erhalten Sie Gruppenrichtlinienvorlagen für Windows 10-Jubiläumsaktualisierungen . Sie können dies tun, indem Sie Ihre Dateien aus PolicyDefinitions (in windir auf einem Win10 Anniversary Update-Computer) in die PolicyDefinitions des zentralen Speichers kopieren. Sie können diese Dateien zuerst in eine Dateifreigabe kopieren, da Ihr normaler Benutzer keine Berechtigungen im zentralen Speicher haben sollte.
3) Richten Sie ein neues Gruppenrichtlinienobjekt ein oder fügen Sie einem vorhandenen die folgenden Einstellungen hinzu, um Windows Hello zu aktivieren:
- Computerkonfiguration / Richtlinien / Administrative Vorlagen
... / Windows-Komponenten / Windows Hello For Business / Biometrie verwenden => Aktiviert
... / Windows-Komponenten / Windows Hello for Business / Hardware-Sicherheitsgerät verwenden => Aktiviert (wenn Sie TPM anstelle der schlüssel- oder zertifikatsbasierten Aktivierung für Windows Hello verwenden möchten). Beachten Sie, dass im Allgemeinen alle Geschäftscomputer über TPM verfügen sollten
... / System / Logon / Komfort-PIN-Anmeldung einschalten => Aktiviert (Dies ist der Schlüssel. Dies ermöglicht die PIN-Anmeldung, die wiederum Hallo aktiviert, zusammen mit den anderen Einstellungen.)
... / Windows-Komponenten / Biometrics / Domänenbenutzer die Anmeldung mit Biometrics zulassen => Aktiviert (Ich denke, dies ist standardmäßig aktiviert, aber da es explizit ist, wird die GP-Verwaltung wesentlich einfacher.)
Weitere optionale Konfigurationsmöglichkeiten finden Sie unter System / Anmeldung und Windows-Komponenten / Biometrics und Windows-Komponenten / Windows Hello for Business.
Weitere Informationen finden Sie hier: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /
und hier
Wichtigster Auszug:
Ab Version 1607 ist Windows Hello als Komfort-PIN auf allen Computern mit Domänenanschluss standardmäßig deaktiviert. Um eine Komfort-PIN für Windows 10, Version 1607, zu aktivieren, aktivieren Sie die Gruppenrichtlinieneinstellung Aktivieren Sie die Komfort-PIN-Anmeldung. Verwenden Sie die Richtlinieneinstellungen von Windows Hello for Business, um PINs für Windows Hello for Business zu verwalten.
Wenn Sie Windows Hello auf Schlüssel- oder Zertifikatsbasis verwenden möchten, können Sie den Anleitungen in den Links folgen. Nicht verwirrt werden. Sie können weiterhin reguläres TPM für normales Windows Hello verwenden.