1. Generelle Hello Einstellungen global AUS :
Die globale Richtlinie für alle Azure AD joined Geräte wird deaktiviert, um im Bereitstellungsdialog von Autopilot bei der Geräteeinrichtung die PIN Erstellung / PIN Zwang zu unterdrücken.
2. PIN auf Geräte Konfig Profil mit Zuweisung auf Gruppe, die Geräte als Mitglieder hat (Werte hier nur beispielhaft konfiguriert):
Aktiviert PIN für Gerät mit Möglichkeit, den PIN zurückzusetzen (PIN wird im Userkontext auf Gerät vergeben).
Profiltyp bzw. Vorlage ist IDENTITY PROTECTION
Einmal aktiviert, genügt es nicht mehr, nur die Policy zu deaktivieren, falls ein Nutzer bereits einen PIN hat.
Betrifft aber nur Geräte mit Richtlinie, an Geräten ohne Richtlinie wird aufgrund der globalen Hello-Konfig kein PIN abgefragt (selbe Anmeldung an zwei Geräten funktioniert einmal mit und einmal ohne PIN)
3. PIN auf Geräte einer gesonderten Gruppe deaktivieren
Sollte global HELLO aktiviert sein, kann man auf demselben Weg (Geräte - Konfigurationsprofil) , die HELLO Konfig für Geräte abschalten.
Macht aber je nach globaler HELLO Konfiguration bzw. Anforderungen an User PIN nur in bestimmten Konfigurationen Sinn.
4. User mit PIN Zwang ausstatten
Im Beispiel als Mitglied von Gruppe "ULT Autopilot Azure AD USER Hello PIN EIN" über die Endpunktsicherheit -> Kontoschutz Richtlinie "ULT Hello PIN EIN DATOMTEST"
BEACHTEN: sollte der User die Richtlinie unbeabsichtigt über die Gruppe bekommen, muß er in die Gruppe "ULT Autopilot Azure AD USER Hello PIN AUS" genommen werden.
Der PIN Zwang ist dann aber ggf. schon aktiv. Hier kann man dann nur die PIN Erstellung überspringen (Microsoft Kontoanmeldefenster online - muß per X geschlossen werden, um "vorerst überspringen" zu können)
Nach erfolgter Anmeldung ohne PIN Erstellung muß zwingend die Richtlinie über Konto-Info-Sync oder Unternehmensportal-Sync abgeholt werden, sonst kommt der Dialog immer wieder.
5. User PIN Zwang abschalten
User in Gruppe "ULT Autopilot Azure AD USER Hello PIN AUS"
Bereits erstellten PIN am Gerät wieder entfernen, falls die Anmeldeoption stört.
Bei bereits vergebenen PIN am Gerät, bleibt die Anmeldeoption PIN erhalten und es gibt auch keine wirkliche Logik, wann bei Login PIN und wann Kennwort als default Variante steht.
In etlichen Tests war kein Muster zu erkennen (letzte Anmeldevariante Kennwort und dann Neustart, kann u.U. auch wieder mit PIN statt Kennwort Login Bildschirm enden)
6. Entfernen des PINs (falls Gerät mal PIN haben sollte und User einen erstellt hat)
Gerätereset per Autopilot (drastischste Maßnahme) - funktioniert, hat aber nicht automatisch eine erneute Autopilot Ersteinrichtung zur Folge. Das Gerät bleibt danach im Login Bildschirm stehen, ohne den User vorzugeben (obwohl das Gerät dem User zugeordnet ist). Nach User Login startet die automatische Bereitstellung.
Zügiger, aber ebenfalls maximal invasiv ist die Entfernung der lokalen Schlüssel. Die Änderung betrifft alle Nutzer des Geräts. Die lokalen Schlüssel sind hier gespeichert:
C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC
CMD mit erhöhten Rechten, dann Besitz übernehmen
takeown /f %windir%\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC /r /d y
icacls %windir%\ServiceProfiles\LocalService\AppData\Local\Microsoft\NGC /grant administrators:F /t
Dann Ordnerinhalt Löschen und Neustart. Bei vorher angepaßten "keine HELLO PINs" Richtlinien für Gerät und User sollte danach nur noch die Anmeldemethode Kennwort zu Verfügung stehen.
(Quelle : Reset or Remove the Windows Hello PIN - IT-Admins)