Pin kann nicht konfiguriert werden, wenn Convenience-PIN und Hello for Business-Richtlinien aktiviert sind

Dieser Artikel enthält eine Lösung, mit der Sie sicherstellen können, dass Sie eine PIN konfigurieren können, wenn die Richtlinien "Convenience PIN" und "Hello for Business" in Windows 10 aktiviert sind.

Gilt für: Windows 10 - alle Editionen
Ursprüngliche KB-Nummer: 3201940

Problembeschreibung

Benutzer, die Windows 10 Version 1607 oder höher von Windows 10 ausführen und einer Active Directory-Domäne beigetreten sind, können keine Komfort-PIN erstellen. Während Benutzer, die Windows 10 Version 1511 oder früher ausführen, dies problemlos tun können.

WennBenutzer zu denAnmeldeoptionen für "Kontoeinstellungen>>" navigieren, ist die Option zum Festlegen einer PIN nicht verfügbar (wird abgeblendet angezeigt) und kann daher nicht konfiguriert werden.

Ein Benutzer hat bereits eine Komfort-PIN in einer früheren Version von Windows 10 konfiguriert und dann auf Windows 10 Version 1607 oder höher aktualisiert. Die PIN funktioniert, bis der Benutzer zu denAnmeldeoptionen für>"Kontoeinstellungen>>" navigiert, die ich meine PIN vergessen habe. In diesem Fall ist die Option zum Erstellen einer PIN nicht verfügbar (wird abgeblendet angezeigt). Dieses Problem wirkt sich nicht auf Windows 10 Version 1511 und früher aus.

Ursache

Windows 10 Version 1607 und höher enthalten neue Funktionen, die Windows Hello for Business von einer benutzerfreundlichen Anmelde-PIN unterscheiden.

Windows Hello for Business verfügt über starke Benutzerauthentifizierungseigenschaften, die häufig und fälschlicherweise als funktionsfähig angenommen werden, wenn die Windows Hello for Business Infrastruktur nicht vorhanden ist und ein Benutzer eine Komfort-PIN verwendet. Diese Änderung verhindert die Erstellung einer PIN in Windows 10 und neuerer Version ohne Windows Hello for Business.

Darüber hinaus kann ein Benutzer keine Komfort-PIN in Windows 10 Version 1607 und höher erstellen, wenn beide folgenden Richtlinien aktiviert sind, es sei denn, das Gerät ist in irgendeiner Weise mit Azure Active Directory verbunden:

  • Verwenden der Komfort-PIN
  • Verwenden von Windows Hello for Business

Beispielsweise ist das Gerät entweder Azure AD beigetreten oder hat die folgende Richtlinie aktiviert:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Geräteregistrierung\Domänencomputer als Geräte registrieren

Um die Erstellung von Benutzerfreundlichkeits-PINs auf Geräten zu ermöglichen, die nicht mit Azure AD verknüpft sind, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:

  • Die Richtlinie "Windows Hello for Business verwenden" ist nicht aktiviert.
  • Die Pin-Anmelderichtlinie für die Benutzerfreundlichkeit aktivieren ist aktiviert.

Lösung

Um eine Benutzerfreundlichkeits-PIN in Windows 10 Version 1607 oder höher zu verwenden, muss die folgende Gruppenrichtlinie Einstellung konfiguriert werden:

  • Richtlinie: Aktivieren der Benutzerfreundlichkeits-PIN-Anmeldung
  • Kategorie: Pfadcomputerkonfiguration\Administrative Vorlagen\System\Anmeldung

Hinweis

  • Das Gruppenrichtlinienobjekt gibt nur Windows Server 2012, Windows 8, Windows RT, Windows Server 2012 R2, Windows 8.1 und Windows RT 8,1 an. Dies ist falsch und wird zu einem späteren Zeitpunkt aktualisiert. Diese Richtlinie gilt für Windows 10 und ermöglicht dem Benutzer das Festlegen einer Komfort-PIN.
  • Das Aktivieren einer PIN auf diese Weise bietet nicht das gleiche Sicherheitsniveau wie die Verwendung einer PIN mit der konfigurierten Windows Hello for Business Infrastruktur.

PIN-Komplexität: Verwalten Sie die PIN-Komplexität standardmäßig mithilfe von Richtlinien, die am folgenden Speicherort gefunden werden:

Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Hello for Business \PIN-Komplexität

Konfigurieren Sie keine anderen Einstellungen als die PIN-Komplexität, wenn Sie eine Komfort-PIN verwenden möchten. Wenn Sie Windows Hello for Business und die Benutzerfreundlichkeits-PIN-Anmeldung aktivieren, können Sie keine PIN festlegen.

Weitere Informationen

Wenn Windows Hello for Business nicht vorhanden ist und ein Benutzer eine Komfort-PIN konfiguriert hat, verwendet der Benutzer einen Kennwortstopfer, der keine der Sicherheitseigenschaften von Windows Hello for Business aufweist. Kennwortstopfen sind benutzerfreundliche Anmelde-PINs. Sie werden durch die Einstellung "Pin-Anmeldung Gruppenrichtlinie aktivieren" gesteuert.

Microsoft hat dieses Standardverhalten seit Windows 10 Version 1607 vorgenommen. Die Durch dieses Standardverhalten gebotene Sicherheit kann nach eigenem Ermessen verringert werden, indem eine Komfort-PIN aktiviert wird.

Weitere Informationen finden Sie unter Windows Hello for Business.