Es gibt Konfigurationen, in welchen das Aktivieren von Windows Hello for Business bei unseren Kunden kein sinn macht und darum ausgeschaltet ist.
Grundsätzlich ist Windows Hello eine sehr gute und sichere Möglichkeit, die Geräte vor Ort zu Schützen und einen Ansatz von "Passwordless" zu verfolgen. In einer Produktion oder wenn Arbeitsplätzte sporadisch gewechselt werden müssen, kann der zweite Faktor aber lästig sein. Denn dieser wird immer beim ersten Login am PC, für Mitarbeiter verlangt. Zudem wird Windows Hello in lokalen Umgebungen ebenfalls oft unterbunden.
Um dennoch die Möglichkeit von PIN und Bio-Authentifizierung zu bieten, verteilte ich in solchen Fällen folgendes PowerShell Script an die Endgeräte.
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\System" -Name "AllowDomainPINLogon" -Value 1 -Type DWORD
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork" /v Enabled /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork" /v DisablePostLogonProvisioning /t REG_DWORD /d 1 /f Code language: PowerShell (powershell)
PowerShell Script zum Downloaden und Windows Hello aktivieren:
