Не удается включить Windows Hello. Некоторые параметры управляются вашей организацией.

Я сделал чистую установку Windows 10 Anniversary Edition. Теперь я не могу включить Windows Hello с моим доменом, подключенным к Surface Pro 4, вошедшим в систему как пользователь AD. Когда я вхожу в свою учетную запись Msft, я могу включить Windows Hello.

Я пытался "Некоторые параметры управляются вашей организацией", а не на домене? (увеличение телеметрии через приложение настроек), а также это: сброс телеметрии через gp .

Это показывает, что эта проблема отличается от других здесь. На самом деле это также присоединение к домену, а не большинство других вопросов здесь.

Вот как выглядят настройки;

В старой версии Windows 10 на том же устройстве можно было включить Windows Hello, когда домен присоединился к пользователю домена. Вот почему я исключаю GPO как источник проблемы. GPO даже явно разрешает Биометрию для пользователей домена. Что я могу сделать?

Windows 10 Professional, Cortana включена. Нет инсайдеров издание. У меня есть административный доступ к домену.

Я нашел решение. Причина в том, что Windows Hello управляется по-разному на компьютерах, присоединяющихся к домену, начиная с ежегодного обновления. Чтобы заставить его работать, вы должны выполнить следующие действия:

1) Настройте центральное хранилище групповой политики (оно должно быть уже у вас)

2) Получите шаблоны групповой политики Windows 10 Anniversary Update . Вы можете сделать это, скопировав свои файлы из PolicyDefinitions (в windir на компьютере с юбилейным обновлением Win10) в PolicyDefinitions центрального хранилища. Вы можете сначала скопировать эти файлы в общую папку, так как у вашего обычного пользователя нет прав доступа к центральному хранилищу.

3) Настройте новый объект групповой политики или добавьте к существующим следующие параметры, чтобы включить Windows Hello:

• Конфигурация компьютера / Политики / Административные шаблоны

... / Компоненты Windows / Windows Hello For Business / Использовать биометрию => Включено

... / Компоненты Windows / Windows Hello для бизнеса / Использовать аппаратное защитное устройство => Включено (если вы хотите использовать TPM вместо ключа или активации на основе сертификатов для Windows Hello). Обратите внимание, что в целом все бизнес-компьютеры должны иметь TPM

... / Система / Вход в систему / Включить удобный вход с помощью PIN-кода => Включено (это ключ. Это позволяет выполнить вход с помощью PIN-кода, что, в свою очередь, включит Hello вместе с другими настройками.)

... / Компоненты Windows / Биометрия / Разрешить пользователям домена входить в систему с помощью биометрии => Включено (я думаю, что это включено по умолчанию, но явное использование делает управление GP намного проще.)

Дополнительные параметры конфигурации вы найдете в разделе «Система» / «Вход в систему» ​​и «Компоненты Windows» / «Биометрия и компоненты Windows» / «Windows Hello для бизнеса».

Более подробную информацию вы найдете здесь: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

и тут

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Самый важный отрывок:

Начиная с версии 1607, ПИН-код Windows Hello для удобства отключен по умолчанию на всех компьютерах, подключенных к домену. Чтобы включить удобный ПИН-код для Windows 10 версии 1607, включите параметр групповой политики. Включите вход с помощью удобного ПИН-кода. Используйте параметры политики Windows Hello для бизнеса для управления ПИН-кодами для Windows Hello для бизнеса.

Если вы хотите использовать Windows Hello на основе ключей или сертификатов, вы можете следовать инструкциям в ссылках. Не смущайтесь, хотя. Вы все еще можете использовать обычный TPM для обычного Windows Hello.

У меня работает установка следующего ключа реестра:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Ссылка: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- на домен-счета? форум = win10itprosetup

Все, что мне нужно было сделать, это:

1. Windows KEY+ Rоткрыть Run
2. Войти:

   gpedit.msc

3. [Политика локального компьютера]> [Конфигурация компьютера]> [Административные шаблоны]> [Система]> [Вход в систему]> [ Включить удобный вход с помощью PIN-кода ]: ВКЛЮЧЕНО

Это позволило Windows Hello на Surface Pro 4 с Windows 10 Pro.

Я боролся с этим долгое время. Я попробовал все эти параметры групповой политики: включить удобный вход с помощью PIN-кода, включить Windows Hello для бизнеса, включить биометрию и т. Д. И т. Д. И т. Д. И т. Д. Я наконец нашел решение.

ПК в моей компании - Windows 10 build 1809. В основном Lenovo X1 Yogas и P330s и некоторые Surface Pros. Они присоединены к домену 2012 R2 и подписаны на Office 365 для электронной почты и Office Pro Plus. У нас есть лицензия E3 в Office 365. Когда пользователь регистрирует приложения Office, используя собственную лицензию O365, он подключает Windows к своей рабочей учетной записи. Отключение, что позволило мне настроить PIN-код и отпечаток пальца. Вот как это сделать:

1. Перейдите в Настройки Windows -> Учетные записи -> Доступ к работе или школе. Ключевой настройкой является «Рабочий или школьный аккаунт» с красочным логотипом Windows. Отключи это. Не трогайте параметр «Подключен к какому-либо домену».

2. Затем нажмите «Параметры входа». Отпечаток пальца и PIN-код больше не отображаются серым цветом. Если он по-прежнему неактивен, убедитесь, что включен «удобный вход с помощью PIN-кода».

3. Добавьте ПИН-код, затем Отпечаток пальца.

4. Вернитесь к «Доступ к работе или школе» в меню «Настройки» -> «Учетные записи».

5. Нажмите «Подключиться» и введите адрес электронной почты и пароль пользователя.

Единственная действующая в настоящее время групповая политика - это параметр «Включить вход с помощью удобного PIN-кода» в разделе «Политики», «Административные шаблоны», «Система», «Вход в систему». Обратите внимание, что это НЕ Windows Hello для бизнеса. Это все еще просто ввод пароля. Когда-нибудь удобная регистрация ПИН-кода будет устаревшей, и мы должны будем сделать это безопасным способом.

Есть одна вещь, которую вы не должны настраивать, если у вас нет действительных сертификатов (это на сервере 2016).

Убедитесь, что для параметра «Конфигурация компьютера / политики / Temp администратора / Windows Comp / Windows Hello для бизнеса / Использовать Windows Hello для бизнеса» задано значение «НЕ НАСТРОЕНО».

Это была единственная вещь, которую я установил (из другого блога), и она препятствовала работе windows hello, windows hello даже не запускалась. Но пока он не настроен, все должно быть в порядке.

Настройка следующего реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

затем включите UAC и перезагрузите компьютер.

Я нахожусь в домене, к которому присоединился Dell 7280. Добавление ключа реестра ниже вместе с перезагрузкой позволило мне добавить 6-значный пин-код.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001