Windows Hello for Business – Known Issue bei der Konfiguration und aktueller Workaround
Viele Unternehmen setzen auf Windows Hello for Business (WHfB), um die Sicherheit und Benutzerfreundlichkeit bei der Anmeldung zu erhöhen. Doch aktuell sorgt ein Known Issue bei der Konfiguration über Microsoft Intune für Unsicherheit: Die in Microsoft Intune-Profilen eingestellten Sicherheitsoptionen, insbesondere die PIN-Komplexitätsregeln, werden nicht immer zuverlässig durchgesetzt. Das kann dazu führen, dass Benutzer PINs wählen, die nicht den gewünschten Sicherheitsanforderungen entsprechen. Wer auf eine sichere, passwortlose Authentifizierung setzt, sollte dieses Problem kennen und gezielt gegensteuern.
Ursache und Auswirkungen
Das Problem entsteht durch einen Konflikt zwischen dem Enrollment-Profil in Microsoft Intune und einer gezielten WHfB-Richtlinie (Account Protection oder Settings Catalog).
Obwohl die Registry-Keys laut Zielrichtlinie korrekt gesetzt werden, wechseln die Werte nach einer Gerätesynchronisierung sporadisch zwischen den Vorgaben des Enrollment-Profils und der Zielrichtlinie. Dadurch können Benutzer PINs erstellen, die nicht den definierten Komplexitätsanforderungen entsprechen – etwa kürzere PINs oder ohne geforderte Zeichenarten. Dieses Verhalten konnten wir in allen bisher geprüften Tenants reproduzieren – unabhängig davon, ob die Geräte hybrid-joined oder Microsoft Entra-only sind.
Microsoft hat das Problem in mehreren Support-Gesprächen als Known Issue bestätigt. Eine Lösung ist in Arbeit, jedoch ohne konkreten Zeitplan (ETA).
Wie wird WHfB in Microsoft Intune konfiguriert?
Microsoft empfiehlt als Best Practice WHfB auf zwei Ebenen zu steuern:
Erwartetes Verhalten nach dem Best Practice Ansatz:
- Das Enrollment-Profil deaktiviert WHfB grundsätzlich, ohne die Komplexitätswerte anderer Profile zu überschreiben
- Die Zielrichtlinie aktiviert WHfB für ausgewählte Benutzer und setzt die Sicherheitsoptionen konsistent um
Beobachtetes Verhalten in der Praxis:
- Registry-Keys wechseln zwischen den Werten der Enrollment-Richtlinie und der Zielrichtlinie
- Benutzer können PINs setzen, die außerhalb der definierten Grenzen liegen
- Es erscheint keine Fehlermeldung im UI; der Setup-Prozess wirkt erfolgreich
Testmatrix: Was wurde ausprobiert?
| Test | Konfiguration | Verhalten |
|---|---|---|
| Enrollment Profile (Device) + Account Protection (Device) | Enrollment Profile: Configure WHfB = Disabled
Account Protection: Configure WHfB = Enabled, PIN-Komplexität konfiguriert | – Richtlinie wird angewendet, Registry-Keys korrekt gesetzt, aber nach jeder Synchronisierung ändern sich die Werte wieder (springen zwischen Enrollment- und Account-Protection-Profil)
– PIN-Komplexität wird nicht erzwungen |
| Enrollment Profile (Device) + Settings Catalog (Device) | Gleiche Einstellungen wie in Test 1, nur über Settings Catalog statt Account Protection | Gleiches Verhalten wie Test 1: – Werte ändern sich nach Synchronisierung – PIN-Komplexität wird nicht eingehalten |
| Enrollment Profile (Device) + Settings Catalog (Device) | Enrollment Profile: Configure WHfB = Disabled, zusätzlich PIN-Komplexität manuell angepasst
Settings Catalog: Configure WHfB = Enabled | – WHfB-Registrierung scheitert komplett – Benutzer kann kein WHfB-Credential einrichten |
| Enrollment Profile (Device) + Settings Catalog (User) | Enrollment Profile: Configure WHfB = Disabled
Settings Catalog (User Scope): Configure WHfB = Enabled, PIN-Komplexität konfiguriert | – WHfB lässt sich problemlos einrichten – PIN-Komplexität wird korrekt durchgesetzt – dies ist der einzige funktionierende Workaround |
| Enrollment Profile (Device) + Settings Catalog (Device) (identische Werte) | Enrollment Profile: Configure WHfB = Disabled, aber PIN-Komplexität = identisch zur Zielrichtlinie
Settings Catalog: Configure WHfB = Enabled, gleiche Werte | – Stabiler Zustand (keine Werteänderung, da identisch). – nicht zukunftssicher, da Änderungen an einem Profil oder unterschiedliche Refresh-Zeitpunkte sofort wieder Konflikte verursachen können |
Ergebnisse der Tests im Überblick
Workaround:
Bis zur Behebung des Fehlers sollten WHfB-Richtlinien benutzerbasiert (User Settings) statt gerätebasiert (Device Settings) in Microsoft Intune konfiguriert werden. Diese Variante erzwingt die PIN-Komplexität zuverlässig.
Fazit
Windows Hello for Business ist ein zentraler Bestandteil moderner, passwortloser Authentifizierung. Das aktuelle Known Issue zeigt jedoch, wie wichtig eine sorgfältige Konfiguration in Microsoft Intune ist. Unternehmen sollten die Richtlinien regelmäßig überprüfen, um Sicherheitslücken zu vermeiden.
Kostenfreie Erstberatung sichern!
Sie benötigen Unterstützung bei der Einrichtung von Windows Hello for Business oder stehen vor der Einführung passwortloser Authentifizierungsmethoden? Sprechen Sie uns gerne an.
Weitere News zu diesem Thema
