Wenn man ein Surface (oder einen anderen Laptop) zuklappt, geht das Gerät in den Standby, spart also Energie. Neu ist es so, dass beim Öffnen bei unseren Geräten danach nicht immer eine Anmeldung verlangt wird.

Die Einstellung „Wann soll Windows nach Abwesenheit eine erneute Anmeldung anfordern?“ findet sich unter Einstellungen -> Konten -> Anmeldeoptionen und ist standardmässig auf 15 Minuten eingestellt.

Eine weitere Recherche hat dann ergeben, dass sich diese Einstellung nur vornehmen lässt, wenn die Computer nicht zu einem lokalen Active Directory gehören. Geräte die „Azure AD joined“ sind gelten scheinbar gemäss Microsoft als „workgroup device“ und nicht als „domain-joined device“. Zumindest wird die Standardeinstellung entsprechend vergeben.

Man kann aber über Intune eine Richtlinie setzen, damit auch die „Azure AD joined“ Computer die sicherere Standardeinstellung erhalten, die Microsoft für Firmengeräte (domain joined) vorsieht. Die Richtlinie heisst: „Allow users to select when a password is required when resuming from connected standby“ und muss auf „Disabled“ gesetzt werden.

Wenn „Windows Hello for Business“ eingerichtet ist, wird die Einstellung auch automatisch gesetzt. Es heisst dann „Windows Hello verhindert die Anzeige einiger Optionen“.

Im Moment haben wir aber noch viele Computer auf denen WHfB nicht eingerichtet ist, weil wir noch Zugang zu den internen Servern benötigen (vgl. diesen Beitrag). In einem halben Jahr können wir voraussichtlich dann allen Surfaces WHfB zuweisen. Dann existiert das Problem nur noch für die wenigen Feststationen ohne Gesichtserkennung, die einen „connected standby“ unterstützen. Da bin ich nicht mal sicher, ob wir solche haben…