Nie można włączyć Windows Hello - niektóre ustawienia są zarządzane przez Twoją organizację

19

Zrobiłem czystą instalację systemu Windows 10 Anniversary Edition. Teraz nie mogę włączyć Windows Hello, gdy moja domena dołączyła do Surface Pro 4, zalogowanego jako użytkownik AD. Kiedy loguję się na swoje konto Msft, mogę jednak włączyć funkcję Windows Hello.

Próbowałem „Niektórymi ustawieniami zarządza Twoja organizacja”, gdy nie ma domeny. (zwiększenie telemetrii za pomocą aplikacji ustawień), a także to: zresetowanie telemetrii za pomocą gp .

To pokazuje, że ten problem różni się od pozostałych tutaj. W rzeczywistości jest to również domena przyłączona, nie tak jak większość innych pytań tutaj.

Tak wyglądają ustawienia; wprowadź opis zdjęcia tutaj

W starej wersji systemu Windows 10 to samo urządzenie mogło włączyć funkcję Windows Hello, gdy domena dołączyła do użytkownika domeny. Dlatego wykluczam GPO jako źródło problemu. GPO pozwala nawet wprost na biometrię dla użytkowników domeny. Co mogę zrobić?

Windows 10 Professional, Cortana jest włączona. Brak edycji dla wtajemniczonych. Mam dostęp administracyjny do domeny.

windows-10  windows-hello 
zuckerthoben
źródło
Czy kiedykolwiek znalazłeś rozwiązanie? Mam ten sam problem :(
MojoDK,
tak! Odpowiem napiszę teraz @MojoDK :)
zuckerthoben

Odpowiedzi:

27

Znalazłem rozwiązanie. Powodem jest to, że Windows Hello jest zarządzany inaczej na komputerach przyłączonych do domeny, począwszy od rocznicowej aktualizacji. Aby go uruchomić, musisz wykonać następujące kroki:

1) Skonfiguruj sklep centralny zasad grupy (powinieneś już to mieć)

2) Get systemie Windows 10 Anniversary Aktualizacja grupy Szablony zasad . Możesz to zrobić, kopiując pliki z PolicyDefinitions (in windir na komputerze z aktualizacją rocznicy Win10) do PolicyDefinitions w sklepie centralnym. Możesz najpierw skopiować te pliki do udziału plików, ze względu na uprawnienia, których zwykły użytkownik nie powinien mieć w sklepie centralnym.

3) Skonfiguruj nowy obiekt zasad grupy lub dodaj do istniejących następujące ustawienia, aby włączyć funkcję Windows Hello:

  • Konfiguracja komputera / zasady / szablony administracyjne

... / Windows Components / Windows Hello For Business / Use biometrics => Enabled

... / Windows Components / Windows Hello for Business / Użyj sprzętowego urządzenia zabezpieczającego => Włączone (jeśli chcesz używać TPM zamiast aktywacji opartej na kluczu lub certyfikacie dla Windows Hello). Pamiętaj, że ogólnie wszystkie komputery biznesowe powinny mieć moduł TPM

... / System / Logowanie / Włącz wygodę Logowanie PIN => Włączone (To jest klucz. To umożliwia logowanie PIN, które z kolei włączy Hello, wraz z innymi ustawieniami.)

... / Składniki systemu Windows / Biometria / Zezwalaj użytkownikom domeny na logowanie przy użyciu biometrii => Włączone (myślę, że jest to domyślnie włączone, ale wyraźne ułatwia zarządzanie GP).

Więcej opcjonalnych możliwości konfiguracji znajdziesz w System / Logon and Windows Components / Biometrics and Windows Components / Windows Hello for Business.

Więcej informacji znajdziesz tutaj: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

i tu

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Najważniejszy fragment:

Począwszy od wersji 1607, Windows Hello jako dodatkowy kod PIN jest domyślnie wyłączony na wszystkich komputerach przyłączonych do domeny. Aby włączyć wygodny kod PIN dla systemu Windows 10, wersja 1607, włącz ustawienie zasad grupy Włącz wygodne logowanie PIN. Użyj ustawień zasad Windows Hello for Business, aby zarządzać kodami PIN dla Windows Hello for Business.

Jeśli chcesz korzystać z funkcji Windows Hello opartej na kluczach lub certyfikatach, możesz postępować zgodnie z instrukcjami w linkach. Nie daj się jednak pomylić. Nadal możesz używać zwykłego TPM do normalnego Windows Hello.

zuckerthoben
źródło
1
Należy pamiętać, że zgodnie z cytowanym linkiem „Włącz wygodne logowanie PIN” NIE jest wymagane do korzystania z Windows Hello. Kod PIN wygody to stary kod PIN, który nie jest tak bezpieczny, jak kod PIN Windows Hello. („jeśli chcesz wdrożyć Windows Hello for Business ... to może to być idealna okazja, aby przejść do tego bardziej bezpiecznego poświadczenia, a nie ... wygodnego logowania PIN.”) W rzeczywistości konfiguracja Windows Hello for Business wymaga więcej niż tylko GPO - patrz docs.microsoft.com/en-us/azure/active-directory/...
Speedbird186
Dobry haczyk, ale SCCM nie może być jedynym rozwiązaniem włączającym funkcję Windows Hello na urządzeniach przyłączonych do domeny. Musi istnieć inny bezpieczny sposób.
zuckerthoben
Chciałem tylko zaznaczyć, że byłem w stanie po prostu edytować zasady lokalne (Uruchom> GPedit.msc) na laptopie przyłączonym do domeny, aby to działało. Dobra informacja, dzięki.
SamAndrew81
Niestety, to wszystko nie pomogło mi: / Mogę zalogować się na konto lokalne, ale Windows Hello jest nadal wyszarzony dla mojego konta AD.
Dominik,
Nie rozumiem pierwszego kroku „1) Skonfiguruj Centralny Sklep Zasad Grupy (powinieneś już to mieć)”. Mam uprawnienia administratora lokalnego do mojego komputera biznesowego przyłączonego do domeny, ale nie mam uprawnień administratora sieci. Czy mógłbyś (lub ktoś inny) podać krok po kroku dla tego pierwszego punktu, a także dla drugiego punktu? Pozostałe punkty są jasne, ale bez pierwszych dwóch nie mogę naprawdę wypróbować tego rozwiązania.
Ochado
5

Ustawienie następującego klucza rejestru działa dla mnie:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Odniesienie: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- on-domain-account? forum = win10itprosetup

Stephen Quan
źródło
Mój komputer jest przyłączony do domeny, ale nie mam do niej dostępu administratora. To rozwiązanie rozwiązało problem dla mnie.
Nikola Malešević
Dzięki temu (jako użytkownik końcowy) mogłem włączyć funkcję Windows Hello w moim urządzeniu Surface Book bez konieczności angażowania korporacyjnego działu IT.
Holistic Developer
1
To nie działa ze mną
Ahmed Hamdy
Korzystam z systemu Windows Server 2016 Build 1607 jako serwer członkowski w istniejącej domenie i ten klucz rejestru jest już ustawiony, ale nie mogę korzystać z Windows Hello.
Dai,
5

Wszystko, co musiałem zrobić, to:

  1. Windows KEY+, Raby otworzyć Uruchom
  2. Wchodzić: 
    gpedit.msc
  3. [Lokalne zasady komputera]> [Konfiguracja komputera]> [Szablony administracyjne]> [System]> [Logowanie]> [ Włącz wygodne logowanie za pomocą kodu PIN ]: WŁĄCZONE

Umożliwiło to Windows Hello na Surface Pro 4 z Windows 10 Pro.

juFo
źródło
Tak, to prawie odpowiednik mojej odpowiedzi, ale dla jednego lokalnego użytkownika. Podejście domenowe jest lepsze w przypadkach użycia w przedsiębiorstwie.
zuckerthoben
2
Nie wiem, co to jest „Centralny sklep zasad grupy” i nie mówisz, gdzie stosujesz zasady. Na centralnym serwerze AD lub na lokalnym komputerze ...
juFo
1
Z kontekstu można bezpiecznie założyć, że tworzę zasady grupy w AD. Wyjaśnienie, jak skonfigurować sklep centralny zasad grupy, wykracza daleko poza zakres mojej odpowiedzi. Przewodniki i objaśnienia można znaleźć w całej sieci.
zuckerthoben
Mam 10 pro, ale nie widzę tych opcji
Crash893
w opisie jest problem. W przypadku 4-cyfrowego kodu PIN należy ustawić Minimalną długość ping na Enabled z wartością 4
sofsntp
3

Walczyłem z tym przez długi czas. Wypróbowałem wszystkie te ustawienia zasad grupy: włącz wygodne logowanie PIN, włącz Windows hello dla firm, włącz dane biometryczne itp. Itd. W końcu znalazłem rozwiązanie.

Komputery w mojej firmie to Windows 10 build 1809. Głównie Lenovo X1 Yogas i P330 oraz niektóre Surface Pro. Są przyłączeni do domeny z domeną R2 R2 i są subskrybowani Office 365 dla poczty e-mail i Office Pro Plus. Posiadamy licencję E3 w Office 365. Gdy użytkownik rejestruje aplikacje Office za pomocą własnej licencji O365, łączy Windows z kontem służbowym. Odłączenie pozwoliło mi ustawić PIN i odcisk palca. Oto jak to zrobić:

  1. Przejdź do Ustawień systemu Windows -> Konta -> Dostęp do pracy lub szkoły. Kluczowym ustawieniem jest „Konto służbowe lub szkolne” z kolorowym logo systemu Windows. Odłącz to. Nie dotykaj ustawienia „Połączono z dowolną domeną”.

  2. Następnie kliknij „Opcje logowania”. Odcisk palca i kod PIN nie są już wyszarzone. Jeśli nadal jest wyszarzony, upewnij się, że „wygodne logowanie za pomocą PIN” jest włączone.

  3. Dodaj kod PIN, a następnie odcisk palca.

  4. Wróć do „Dostęp do pracy lub szkoły” w Ustawieniach -> Konta.

  5. Kliknij Połącz i wprowadź adres e-mail i hasło użytkownika.

Jedyne obecnie obowiązujące zasady grupy to ustawienie „Włącz wygodne logowanie za pomocą kodu PIN” w obszarze Zasady, Szablony administracyjne, System, Logowanie. Pamiętaj, że NIE jest to Windows Hello for Business. To wciąż tylko upychanie hasła. Pewnego dnia dogodne logowanie PIN zostanie depracowane i będziemy musieli to zrobić w bezpieczny sposób.

CParker
źródło
0

Jest jedna rzecz, której nie wolno konfigurować, chyba że masz ważne certyfikaty (dotyczy to serwera 2016).

Upewnij się, że „Konf. Komputera / zasady / Temp. Administratora / Komp. Windows / Windows Hello dla Firm / Użyj Windows Hello dla Firm” jest ustawiony na NIE KONFIGUROWANY.

To była jedyna rzecz, którą ustawiłem (z innego bloga) i to uniemożliwiło działanie Windows hello, Windows Hello nawet się nie uruchomi. Ale dopóki nie jest skonfigurowany, powinien być w porządku.

użytkownik780692
źródło
Przeczytaj „Dlaczego potrzebuję 50 reputacji, aby móc komentować”, aby upewnić się, że możesz zacząć komentować.
Pimp Juice IT
0

Ustawianie następującego rejestru

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

następnie włącz UAC i uruchom ponownie komputer.

użytkownik863516
źródło
-2

Jestem w domenie, do której dołączyłem do Dell 7280. Dodanie poniższego klucza rejestru i ponowne uruchomienie pozwoliło mi dodać 6-cyfrowy kod PIN.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] „AllowDomainPINLogon” = dword: 00000001

Joe
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.