Не могу включить Windows Hello - некоторые настройки управляются вашей организацией

Я нашел решение. Причина заключается в том, что Windows Hello управляется по-разному на компьютерах, подключенных к домену, начиная с юбилейного обновления. Чтобы заставить его работать, нужно выполнить следующие шаги:

1) Установка Центрального хранилища групповой политики (у вас уже должно быть это)

2) Получите Шаблоны групповой политики Windows 10-летнего юбилея. Вы можете сделать это, скопировав свои файлы из PolicyDefinitions (в windir на машине обновления Win10 Anniversary Update) в PolicyDefinitions центрального хранилища. Вы можете скопировать эти файлы сначала в файловый ресурс, из-за разрешений, которые ваш обычный пользователь не должен иметь на центральном хранилище.

3) Установите новый GPO или добавьте следующие настройки для включения Windows Hello:

• Computer Configuration/Policies/Administrative Templates …/Windows Components/Windows Hello For Business/ Использование биометрии => Включено

. ../Windows Components/Windows Hello for Business/ Использование аппаратного устройства безопасности => Включено (если вы хотите использовать TPM вместо активации на основе ключа или сертификата для Windows Hello). Обратите внимание, что, как правило, все компьютеры предприятия должны иметь TPM

…/System/Logon/ Включить удобный PIN-код входа => Включено (это ключ. Он включает вход по PIN-коду, который, в свою очередь, включит Hello вместе с другими настройками).

…/Windows Components/Biometrics/ Достаточно простого входа пользователей домена с помощью биометрии => включено (думаю, это включено по умолчанию, но явное включение значительно упрощает управление GP).

Дополнительные возможности настройки можно найти в System/Logon и Windows Components/Biometrics и Windows Components/Windows Hello for Business.

Дополнительный фон вы найдете здесь https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

и здесь https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Самый важный отрывок:

_ Начиная с версии 1607, Windows Hello в качестве удобного PIN отключен по умолчанию на всех компьютерах, подключенных к домену. Чтобы включить удобный PIN-код для Windows 10, версия 1607, включите параметр групповой политики Включите удобный PIN-код входа. Используйте настройки политики Windows Hello for Business для управления PIN-кодами для Windows Hello for Business._

Если вы хотите использовать Windows Hello на основе ключей или сертификатов, вы можете следовать инструкциям, приведенным в ссылках. Однако не путайтесь. Вы все еще можете использовать обычный TPM для обычного Windows Hello.

Установка следующего ключа реестра работает на меня:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Ссылка: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

Все, что мне нужно было сделать:

1. Windows KEY + R, чтобы открыть Run
2. Введите:
   gpedit.msc
3. [Локальная компьютерная политика] > [Конфигурация компьютера] > [Административные шаблоны] > [Система] > [Вход] > [Включить удобный PIN-код входа] : ЕNABLED

Это включило Windows Hello на Surface Pro 4 в Windows 10 Pro.

Я боролся с этим долгое время. Я перепробовал все эти настройки групповой политики: включите удобный PIN логин, включите windows hello для бизнеса, включите биометрию и т.д. и т.п. и т.д. и т.п. Наконец-то я нашел решение.

ПК в моей компании - это Windows 10 build 1809. В основном Lenovo X1 Yogas и P330s и некоторые Surface Pros. Они присоединены к домену 2012 R2 и подписаны на Office 365 для электронной почты и Office Pro Plus. У нас есть лицензия E3 в Office 365. Когда пользователь регистрирует приложения Office, используя собственную лицензию O365, он подключает Windows к своей рабочей учетной записи. Отключение, которое позволило настроить PIN-код и отпечатки пальцев. Вот как это сделать:

1. Перейдите в “Настройки Windows” -> Учетные записи -> Доступ к работе или школе. Ключевой настройкой является “Work or School Account” с цветным логотипом Windows. Отключите это. Не нажимайте на настройку “Подключено к любому домену”.

2. Затем нажмите “Параметры входа”. Отпечаток пальца и PIN-код больше не выделяются серым цветом. Если он все еще не окрашен в серый цвет, убедитесь, что включена опция “Удобный вход PIN”.

3. Добавьте PIN-код, затем “Отпечаток пальца”.

4. Вернитесь к “Доступ к работе или школе” в разделе “Настройки” -> “Учетные записи”.

5. Нажмите кнопку Подключиться и введите адрес электронной почты и пароль пользователя.

Единственная действующая на данный момент групповая политика - это параметр “Включить удобный PIN-код входа” в разделе Политики, Административные шаблоны, Система, Вход. Обратите внимание, что это НЕ Windows Hello for Business. Это все еще просто вброс пароля. Когда-нибудь удобный вход с PIN-кодом будет отменен, и нам придется делать это безопасным способом.

Установка следующих параметров реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

, а затем включение UAC и перезагрузка ПК.

Есть одна вещь, которую вы не должны настраивать, если у вас нет действительных сертификатов (это на сервере 2016).

Убедитесь, что “Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business” имеет значение НЕ КОНФИГУРИРОВАННО.

Это единственное, что я установил (из другого блога), и это помешало программе windows hello работать, а программа windows hello даже не запускалась. Но до тех пор, пока он не настроен, он должен быть в порядке.

Пробовав так много вещей (включая все остальные ответы здесь на сегодняшний день), я, наконец, исправил проблему для себя с помощью обходного пути. Обратите внимание, что это обходной путь, а не настоящее решение:

Для подведения итогов, проблема заключается в том, что что что-то в учетной записи домена моей организации отключило опцию ввода отпечатков пальцев. В моем случае даже моя ИТ группа в филиале моего локального офиса не смогла понять, что ее блокирует.

В итоге я создал новую учетную запись локального пользователя на рабочем компьютере с полными правами локального администратора. Для этой новой учетной записи я использовал свою личную учетную запись Microsoft для подключения (хотя, вероятно, я мог бы использовать локальную учетную запись). Когда я вошёл в новую учётную запись, проблем с отпечатками пальцев не возникало, и я мог легко настроить отпечатки пальцев.

Потенциальные недостатки:

• Поскольку это новая пользовательская учетная запись, может потребоваться переустановка и настройка многих компьютерных программ и параметров. В основном это похоже на настройку совершенно нового компьютера с Windows. В моем случае, я сделал это, когда получил новый рабочий компьютер, так что мне все равно пришлось делать переконфигурацию.
• В некоторых организационных установках учетные записи, не являющиеся доменными, могут не иметь надлежащего доступа к некоторым организационным ресурсам. В моем случае это не было проблемой. Если это проблема с вами, возможно, вы могли бы соединиться с организационной VPN для доступа к этим специальным ресурсам, возможно, даже на постоянной основе на этом обходном пути аккаунта.

Эти обходные пути, возможно, не стоят того, чтобы просто получить отпечатки пальцев, но они отлично работают в моем организационном контексте.

Я вхожу в домен, присоединившийся к Dell 7280. Добавление ключа реестра ниже вместе с перезагрузкой позволило мне добавить 6-значный пин-код.

[HKEY_LOCAL\MACHINE\SOFTWARE\Policies\Microsoft\Microsoft\Windows\System] “AllowDomainPINLogon”=dword:00000001