none
Permanter 'Windows Hello Fehler' bei der PIN-Erstellung von Intune verwalteten WIN10 PC's RRS feed

  • Frage

  • Wir haben EM+S (E3 Plan) im Einsatz. Unsere lokale Domain ist via AAD Connect mit Azure verbunden.
    Alle WIN10 PC's mit 1903 sollen im LAN sollen mit Intune verwaltet werden.
    Alle WIN10 PC's sind in Intune als >Azure AD registered< gelistet sowie als >MDM kompatibel< gelistet.
    Ich habe dann in der Intune Gerätekonfiguration ein >Identity Protection< Profil aufgesetzt, womit man "Windows Hello for Business" aktiviert und auch die Bedingungen für die PIN-Eingabe (Komplexität, Länge etc.) definiert.
    Anschließend wurde das Profil allen MDM-registrierten PC's in der Zuweisungsfunktion zugewiesen.
    Im Monitorbereich der Intune Gerätekonfiguration kann man den Status der Zuweisung prima rückkontrollieren.
    Die Zuweisung auf alle Geräte war erfolgreich.

    Jedoch bleiben bei allen WIN10 PC's in Einstellungen>Konten>Anmeldeoptionen die Einstellbereiche für alle Windows-Hello Optionen ausgegraut mit dem Zusatz: Diese Option ist derzeit nicht verfügbar. Auch der Einstellparameter "Windows-Hello PIN" bleibt permanent unzugänglich.

    Unter Einstellungen>Update und Sicherheit taucht jedoch eine gelbe Dreieck-Markierung auf um anstehende Maßnahmen beim Kontenschutz zu erledigen. Hier wird man dann aufgefordert, Windows Hello einzurichten.
    Beim Anklicken erscheint dann der Dialog zum Einrichten der PIN. Die Einrichtung der PIN scheitert jedoch mit dem Fehlercode: 

    0x801C044D Das Autorisierungstoken enthält keine Geräte-ID. Heben Sie die Azure AD-Verknüpfung für das Gerät auf, und verknüpfen Sie das Gerät erneut.

    Das Aufheben und erneute Verknüpfen des PC's mit Azure AD bewirkt nichts.
    Das Problem tritt bei allen MDM-verwalteten PC's auf.

    Auffällig ist allerdings auch, daß PC's die nicht von Intune verwaltet werden, sondern nur normal durch das Active Directory verwaltet werden, im Einstellbereich für Windows Hello genauso ausgegraut daher kommen. Nur wenn man die PC's aus der Domäne rausnimmt, dann werden die Windows Hello Bereiche zugänglich.
    Einstellungsänderungen bei den GPO's für Anmeldung und Biometrie bewirken auch nichts. 

    Wer kann mir hier bitte weiterhelfen ?

    RudiD

    Mittwoch, 29. Mai 2019 20:46