Не удается включить Windows Hello. Некоторые параметры управляются вашей организацией.


19

Я сделал чистую установку Windows 10 Anniversary Edition. Теперь я не могу включить Windows Hello с моим доменом, подключенным к Surface Pro 4, вошедшим в систему как пользователь AD. Когда я вхожу в свою учетную запись Msft, я могу включить Windows Hello.

Я пытался "Некоторые параметры управляются вашей организацией", а не на домене? (увеличение телеметрии через приложение настроек), а также это: сброс телеметрии через gp .

Это показывает, что эта проблема отличается от других здесь. На самом деле это также присоединение к домену, а не большинство других вопросов здесь.

Вот как выглядят настройки; введите описание изображения здесь

В старой версии Windows 10 на том же устройстве можно было включить Windows Hello, когда домен присоединился к пользователю домена. Вот почему я исключаю GPO как источник проблемы. GPO даже явно разрешает Биометрию для пользователей домена. Что я могу сделать?

Windows 10 Professional, Cortana включена. Нет инсайдеров издание. У меня есть административный доступ к домену.


Вы когда-нибудь находили решение? У меня та же проблема :(
MojoDK

да! Я напишу ответ сейчас @MojoDK :)
zuckerthoben

Ответы:


27

Я нашел решение. Причина в том, что Windows Hello управляется по-разному на компьютерах, присоединяющихся к домену, начиная с ежегодного обновления. Чтобы заставить его работать, вы должны выполнить следующие действия:

1) Настройте центральное хранилище групповой политики (оно должно быть уже у вас)

2) Получите шаблоны групповой политики Windows 10 Anniversary Update . Вы можете сделать это, скопировав свои файлы из PolicyDefinitions (в windir на компьютере с юбилейным обновлением Win10) в PolicyDefinitions центрального хранилища. Вы можете сначала скопировать эти файлы в общую папку, так как у вашего обычного пользователя нет прав доступа к центральному хранилищу.

3) Настройте новый объект групповой политики или добавьте к существующим следующие параметры, чтобы включить Windows Hello:

  • Конфигурация компьютера / Политики / Административные шаблоны

... / Компоненты Windows / Windows Hello For Business / Использовать биометрию => Включено

... / Компоненты Windows / Windows Hello для бизнеса / Использовать аппаратное защитное устройство => Включено (если вы хотите использовать TPM вместо ключа или активации на основе сертификатов для Windows Hello). Обратите внимание, что в целом все бизнес-компьютеры должны иметь TPM

... / Система / Вход в систему / Включить удобный вход с помощью PIN-кода => Включено (это ключ. Это позволяет выполнить вход с помощью PIN-кода, что, в свою очередь, включит Hello вместе с другими настройками.)

... / Компоненты Windows / Биометрия / Разрешить пользователям домена входить в систему с помощью биометрии => Включено (я думаю, что это включено по умолчанию, но явное использование делает управление GP намного проще.)

Дополнительные параметры конфигурации вы найдете в разделе «Система» / «Вход в систему» ​​и «Компоненты Windows» / «Биометрия и компоненты Windows» / «Windows Hello для бизнеса».

Более подробную информацию вы найдете здесь: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

и тут

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Самый важный отрывок:

Начиная с версии 1607, ПИН-код Windows Hello для удобства отключен по умолчанию на всех компьютерах, подключенных к домену. Чтобы включить удобный ПИН-код для Windows 10 версии 1607, включите параметр групповой политики. Включите вход с помощью удобного ПИН-кода. Используйте параметры политики Windows Hello для бизнеса для управления ПИН-кодами для Windows Hello для бизнеса.

Если вы хотите использовать Windows Hello на основе ключей или сертификатов, вы можете следовать инструкциям в ссылках. Не смущайтесь, хотя. Вы все еще можете использовать обычный TPM для обычного Windows Hello.


1
Важно отметить, что по указанной вами ссылке «Включить удобный вход с помощью ПИН-кода» НЕ требуется для использования Windows Hello. Удобный ПИН-код - это ПИН-код старого стиля, который не так безопасен, как ПИН-код Windows Hello. («Если вы хотите развернуть Windows Hello для бизнеса ... тогда это может быть идеальной возможностью перейти к более безопасным учетным данным, а не к… удобному входу с помощью PIN-кода».) На самом деле настройка Windows Hello для бизнеса требует более просто GPO - см. docs.microsoft.com/en-us/azure/active-directory/…
Speedbird186

Хороший улов, но SCCM не может быть единственным решением для включения Windows Hello на подключенных к домену устройствах. Должен быть другой способ, который является безопасным.
Цукертобен,

Просто хотел отметить, что я смог просто отредактировать локальную политику (Run> GPedit.msc) на ноутбуке, присоединенном к домену, чтобы это работало. Хорошая информация, спасибо.
SamAndrew81

К сожалению, все это не помогло мне: / Я могу войти в систему с локальной учетной записью, но Windows Hello по-прежнему недоступна для моей учетной записи AD.
Доминик

Я не понимаю первый шаг «1) Настройка центрального хранилища групповой политики (оно должно быть уже у вас)». У меня есть права локального администратора для моего подключенного к домену бизнес-компьютера, но нет прав сетевого администратора. Не могли бы вы (или кто-то еще) дать пошаговые подэтапы для этого первого пункта, а также для второго пункта? Остальные пункты ясны, но без первых двух я не смогу действительно попробовать это решение.
Очадо

5

У меня работает установка следующего ключа реестра:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Ссылка: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- на домен-счета? форум = win10itprosetup


Мой компьютер присоединен к домену, но у меня нет доступа администратора. Это решение решило проблему для меня.
Никола Малешевич

Это позволило мне (как конечному пользователю) включить Windows Hello в моей книге Surface без необходимости привлечения корпоративных ИТ-специалистов.
Целостный разработчик

1
Это не работает со мной
Ахмед Хамди

Я использую Windows Server 2016 Build 1607 в качестве рядового сервера в существующем домене, и этот раздел реестра уже установлен, но я не могу использовать Windows Hello.
Дай

5

Все, что мне нужно было сделать, это:

  1. Windows KEY+ Rоткрыть Run
  2. Войти:
    gpedit.msc
  3. [Политика локального компьютера]> [Конфигурация компьютера]> [Административные шаблоны]> [Система]> [Вход в систему]> [ Включить удобный вход с помощью PIN-кода ]: ВКЛЮЧЕНО

Это позволило Windows Hello на Surface Pro 4 с Windows 10 Pro.


Да, это в значительной степени эквивалентно моему ответу, но для одного локального пользователя. Доменный подход лучше для корпоративных сценариев использования.
zuckerthoben

2
Я не знаю, что такое «Центральный магазин групповой политики», и вы не говорите, где вы применяете политику. На центральном сервере AD или на локальном компьютере ...
17

1
Из контекста можно смело предположить, что я создаю групповую политику на AD. Объяснение того, как настроить центральное хранилище групповой политики, выходит далеко за рамки моего ответа. Руководства и объяснения можно найти по всему Интернету.
zuckerthoben

У меня есть 10 профессионалов, но я не вижу этих опций
Crash893

в описании есть проблема. Для 4-значного ПИН-кода необходимо установить для параметра Минимальная длина пинга значение Включено со значением 4
sofsntp

3

Я боролся с этим долгое время. Я попробовал все эти параметры групповой политики: включить удобный вход с помощью PIN-кода, включить Windows Hello для бизнеса, включить биометрию и т. Д. И т. Д. И т. Д. И т. Д. Я наконец нашел решение.

ПК в моей компании - Windows 10 build 1809. В основном Lenovo X1 Yogas и P330s и некоторые Surface Pros. Они присоединены к домену 2012 R2 и подписаны на Office 365 для электронной почты и Office Pro Plus. У нас есть лицензия E3 в Office 365. Когда пользователь регистрирует приложения Office, используя собственную лицензию O365, он подключает Windows к своей рабочей учетной записи. Отключение, что позволило мне настроить PIN-код и отпечаток пальца. Вот как это сделать:

  1. Перейдите в Настройки Windows -> Учетные записи -> Доступ к работе или школе. Ключевой настройкой является «Рабочий или школьный аккаунт» с красочным логотипом Windows. Отключи это. Не трогайте параметр «Подключен к какому-либо домену».

  2. Затем нажмите «Параметры входа». Отпечаток пальца и PIN-код больше не отображаются серым цветом. Если он по-прежнему неактивен, убедитесь, что включен «удобный вход с помощью PIN-кода».

  3. Добавьте ПИН-код, затем Отпечаток пальца.

  4. Вернитесь к «Доступ к работе или школе» в меню «Настройки» -> «Учетные записи».

  5. Нажмите «Подключиться» и введите адрес электронной почты и пароль пользователя.

Единственная действующая в настоящее время групповая политика - это параметр «Включить вход с помощью удобного PIN-кода» в разделе «Политики», «Административные шаблоны», «Система», «Вход в систему». Обратите внимание, что это НЕ Windows Hello для бизнеса. Это все еще просто ввод пароля. Когда-нибудь удобная регистрация ПИН-кода будет устаревшей, и мы должны будем сделать это безопасным способом.


0

Есть одна вещь, которую вы не должны настраивать, если у вас нет действительных сертификатов (это на сервере 2016).

Убедитесь, что для параметра «Конфигурация компьютера / политики / Temp администратора / Windows Comp / Windows Hello для бизнеса / Использовать Windows Hello для бизнеса» задано значение «НЕ НАСТРОЕНО».

Это была единственная вещь, которую я установил (из другого блога), и она препятствовала работе windows hello, windows hello даже не запускалась. Но пока он не настроен, все должно быть в порядке.


Прочтите «Почему мне нужно 50 репутации, чтобы комментировать», чтобы понять, как вы можете начать комментировать.
Сок Pimp IT

0

Настройка следующего реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

затем включите UAC и перезагрузите компьютер.


-2

Я нахожусь в домене, к которому присоединился Dell 7280. Добавление ключа реестра ниже вместе с перезагрузкой позволило мне добавить 6-значный пин-код.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.