Я нашел решение. Причина в том, что Windows Hello управляется по-разному на компьютерах, присоединяющихся к домену, начиная с ежегодного обновления. Чтобы заставить его работать, вы должны выполнить следующие действия:
1) Настройте центральное хранилище групповой политики (оно должно быть уже у вас)
2) Получите шаблоны групповой политики Windows 10 Anniversary Update . Вы можете сделать это, скопировав свои файлы из PolicyDefinitions (в windir на компьютере с юбилейным обновлением Win10) в PolicyDefinitions центрального хранилища. Вы можете сначала скопировать эти файлы в общую папку, так как у вашего обычного пользователя нет прав доступа к центральному хранилищу.
3) Настройте новый объект групповой политики или добавьте к существующим следующие параметры, чтобы включить Windows Hello:
- Конфигурация компьютера / Политики / Административные шаблоны
... / Компоненты Windows / Windows Hello For Business / Использовать биометрию => Включено
... / Компоненты Windows / Windows Hello для бизнеса / Использовать аппаратное защитное устройство => Включено (если вы хотите использовать TPM вместо ключа или активации на основе сертификатов для Windows Hello). Обратите внимание, что в целом все бизнес-компьютеры должны иметь TPM
... / Система / Вход в систему / Включить удобный вход с помощью PIN-кода => Включено (это ключ. Это позволяет выполнить вход с помощью PIN-кода, что, в свою очередь, включит Hello вместе с другими настройками.)
... / Компоненты Windows / Биометрия / Разрешить пользователям домена входить в систему с помощью биометрии => Включено (я думаю, что это включено по умолчанию, но явное использование делает управление GP намного проще.)
Дополнительные параметры конфигурации вы найдете в разделе «Система» / «Вход в систему» и «Компоненты Windows» / «Биометрия и компоненты Windows» / «Windows Hello для бизнеса».
Более подробную информацию вы найдете здесь:
https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /
и тут
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization
Самый важный отрывок:
Начиная с версии 1607, ПИН-код Windows Hello для удобства отключен по умолчанию на всех компьютерах, подключенных к домену. Чтобы включить удобный ПИН-код для Windows 10 версии 1607, включите параметр групповой политики. Включите вход с помощью удобного ПИН-кода. Используйте параметры политики Windows Hello для бизнеса для управления ПИН-кодами для Windows Hello для бизнеса.
Если вы хотите использовать Windows Hello на основе ключей или сертификатов, вы можете следовать инструкциям в ссылках. Не смущайтесь, хотя. Вы все еще можете использовать обычный TPM для обычного Windows Hello.