Probleme mit Windows Hello for Business über Intune

[Departet]

Moin moin!

Ich kämpfe leider seit längerer Zeit mit WHfB. Das Enrollment Profile steht auf deaktiviert und die anderen Settings werden über eine Custom Intune Config verteilt.
Wenn ich die Richtlinien manuell synce (z.B. Company Portal), wird WHfB aktiviert. Nach einem Neustart wird der UsePassportForWork Registry Wert aber auf 0 gesetzt und WHfB ist damit deaktiviert.
Andere Richtlinien für Windows Hello werden nicht angewandt und andere GPOs (z.B. DC da hybrid joined) gibt es auch nicht. Durch procmon kann ich sehen, dass der Registry Wert in den ersten 1-2 Minuten nach einem Neustart durch den omadmclient geändert wird. (Möglicherweise auch im Betrieb, aber der Intune Sync ist ohne "Config Refresh" Setting nur alle 8h)
Kann ich irgendwie rausfinden, ob vielleicht alte, gelöschte Configs verteilt werden? Ich habe heute Mittag einen PC komplett zurückgesetzt und das Problem ist direkt wieder da. Es kann/sollte also nicht an bestehenden Geräten liegen.

Ich bin frustriert und werde jetzt erst einmal was essen,
Vielen Dank für alle möglichen Helfen

 

[Martin.80]

Moin,

du kannst einmal mittels „gpresult“ schauen, ob dem Client noch irgendwelche GPOs mit entsprechenden Einstellungen zugewiesen werden, oder die lokal am Client zugewiesen wurden.
Hast du den PC mit einem originalen Image wiederhergestellt, oder mit einem von euch angepassten?

Ist WHfB eventuell in Intune per deaktiviert? Schaue mal unter:
„Geräte -> Geräte-Onboarding -> Registrierung“ dann unter „Windows -> Windows Hello for Business“
Im Standard sollte dort „nicht konfiguriert“ stehen.

Ggf. ist auch noch etwas in der Registrierung versteckt unter: „HKEY_LOCAL_MACHINE\Software\Policies“

 

[Departet]

Hey @Martin.80
per GPResult werden mir nur die GPOs von den DCs angezeigt. Hier wird nichts angewendet was in irgendeiner Form mit WHfB zu tun hat.
Im Intune ist es wie auf dem 3. Screenshot zu sehen deaktiviert, sonst würde WHfB beim Einrichten anspringen. Wir wollen WHfB nur optional zur Verfügung stellen. Wie im Text auf dem Screenshot zu sehen, ist die Einstellung die niedrigste Priorität und sollte durch das Konfigurationspropfil überschrieben werden.
In der Registry ist nur an dem "richtigen" WHfB Ort was zu finden -> HKLM\Software\Microsoft\Policies\PassportForWork\<tenant>\... Dies ist auch der Ort, an dem, bei jedem Neustart, der Wert überschrieben wird.

 

[Martin.80]

Ohh man, ich habe mir ist da vorhin dein 3. Screenshot irgendwie durch gegangen.
Aber genau der ist dein Problem. Da dieser auf „Disable“ steht wird WHfB „erzwungen“ deaktiviert.
Deshalb wird es nach einem Neustart wieder deaktiviert, bzw. nach der nächsten Synchronisation des Clients.

Wir haben die Option im 3. Screenshot auf „nicht konfiguriert“ stehen und unsere Clients sind alle Hybrid Joined. Es gibt aber auch keine Intune Richtlinie in der WHfB konfiguriert ist. Das Windows Hello Setup wird aber nicht automatisch konfiguriert.

Ich kann morgen einmal schauen, ob ich es manuell aktivieren kann.
Man kann zusätzlich auch über „conditional access“ die Authentifizierungsmethoden anpassen.
Microsoft hat dort vor Monaten die Standard Richtlinie für Nutzer aktiviert. Welche Windows Hello im Standard aktiviert. Diese haben wir ausgeschaltet und eigene MFA Richtlinien erstellt.
Vermutlich springt deshalb bei euch die Einrichtung für WHfB an.

 

[Departet]

Habt ihr eure Geräte mit dem Autopilot enrollt? Dafür ist wohl genau diese Option. Bei uns würde bei jedem PC bei der Ersteinrichtung WHfB anspringen.

https://learn.microsoft.com/en-us/w...ows-hello-for-business-using-microsoft-intune

• Using a policy applied at the tenant level. The tenant policy:
  • Is only applied at enrollment time, and any changes to its configuration doesn't apply to devices already enrolled in Intune
  • It applies to all devices getting enrolled in Intune. For this reason, the policy is usually disabled and Windows Hello for Business is enabled using a policy targeted to a security group

Genau so habe ich es aktuell ja konfiguriert...

 

[Martin.80]

Wir rollen unsere Geräte mit einen angepassten Image über den WDS aus. Die dann wiederum erst im OnPrem AD aufgenommen werden und nachdem EntraID Connect synchronisiert hat, sind sie Hybrid-Joined.
Sobald ein lizensiertes Nutzerkonto sich anmeldet, wird der Client in Intune registriert und erhält seine zusätzlichen Konfigs und Apps.

Ich habe heute auch noch einmal geschaut und wir haben Windows Hello Komponenten per GPOs deaktiviert. Somit können die Benutzer bei uns keine WHfB einrichten, bzw. bekommen es erzwungen.

Ich habe zu dem Thema auch noch einmal Recherchiert und habe so ein Stück weit das Gefühl, das Microsoft sich hierbei zum Teil selbst ein wenig im Weg steht, oder Infos in den Dokus nicht vollständig sind.

Hattest du einmal folgenden Anleitung mal angeschaut? Guck hier
Einen MS365 Plan mit Intune (wie MS365 Business Premium, oder E3), der den Nutzern zugeordnet ist habt ihr?

 

[Departet]

Lizenzen sind kein Problem (jeder User hat eine O365BP Lizenz) und andere Intune Policies werden auch angewandt. Die WHfB Policies werden ja auch angewandt, nur der eine Key wird aus irgendeinem Grund nach jedem Neustart zurückgesetzt. Mit Krücken läuft es gerade, aber die Lösung mag ich nicht.

 

[Martin.80]

Teste doch einmal einen Client ohne die Intune Richtlinien und nur mit den einmal WHfB Reg-Keys.
Anschließend würde ich die Intune-Richtlinien nach und nach einzeln zuweisen. Wenn eine Richtlinie der schuldige ist, sollte man es so relativ einfach mit etwas Zeitaufwand rausfinden.

 

[Departet]

Ist vermutlich des beste Ansatz. Wenn etwas mehr Zeit ist werde ich dies testen.
Aktuell ist es folgendermaßen gelöst:
Ein Konfigurationsprofil für die CSP für alle Geräte
Ein Konfigurationsprofil (Identity Protection) um WHfB auf allen Geräten zu deaktivieren
Ein Konfigurationsprofil (Identity Protection) um WHfB für eine Gruppe von Geräten zu aktivieren
Der UsePassportForWork Key wird im Device Policy Tree nach wie vor auf 0 gesetzt. Die Identity Protection Policy setzt den Wert aber pro User. Dadurch klappt es.

 

[Martin.80]

Ein Konfigurationsprofil (Identity Protection) um WHfB auf allen Geräten zu deaktivieren
Ein Konfigurationsprofil (Identity Protection) um WHfB für eine Gruppe von Geräten zu aktivieren

Ich habe nur so eine Vermutung. Kann es sein, dass die beiden Richtlinien sich beeinflussen.
Man kann ja keine wirkliche Reihenfolge bei der Abarbeitung einstellen, wie es bei GPOs der Fall ist, oder ich habe es bisher nicht gefunden.
Du kannst aber die Geräte (Gruppe), bei denen du es aktivieren willst, als ausgeschlossene Gruppe bei der Richtlinie einfügen in der du es für alle deaktivierst.

 

[Departet]

Das ist die Lösung die ich gestern erst konfiguriert habe und mit der es funktioniert. Beim Deaktivieren ist die Gerätegruppe zum Aktivieren auch excluded.
Vorher waren nur die CSP/OMA URI (device targeted) und das Enrollment Profile (disabled) konfiguriert.