2016-08-15 08:15:59 +0000 2016-08-15 08:15:59 +0000
21
21

Не могу включить Windows Hello - некоторые настройки управляются вашей организацией

Я выполнил чистую установку юбилейной версии Windows 10. Теперь я не могу включить Windows Hello, когда мой домен присоединился к Surface Pro 4, вошел в систему как пользователь AD. Когда я вхожу в систему под учетной записью Msft, я могу включить Windows Hello.

Я попробовал “Некоторые настройки управляются вашей организацией”, находясь вне домена? (увеличение телеметрии с помощью приложения настроек), а также это: сброс телеметрии через gp .

Это показывает, что данная проблема отличается от других здесь. Это также на самом деле присоединенный домен, а не как большинство других вопросов здесь.

Так выглядят параметры;

В старой версии Windows 10 одно и то же устройство могло включать Windows Hello, в то время как домен присоединялся к домену пользователя. Вот почему я исключаю GPO в качестве источника проблемы. GPO даже явно разрешает биометрию для пользователей домена. Что же делать?

Windows 10 Professional, Cortana включена. Нет версии Insiderers Edition. У меня есть административный доступ к домену.

Ответы (8)

29
29
29
2016-10-05 06:44:04 +0000

Я нашел решение. Причина заключается в том, что Windows Hello управляется по-разному на компьютерах, подключенных к домену, начиная с юбилейного обновления. Чтобы заставить его работать, нужно выполнить следующие шаги:

1) Установка Центрального хранилища групповой политики (у вас уже должно быть это)

2) Получите Шаблоны групповой политики Windows 10-летнего юбилея. Вы можете сделать это, скопировав свои файлы из PolicyDefinitions (в windir на машине обновления Win10 Anniversary Update) в PolicyDefinitions центрального хранилища. Вы можете скопировать эти файлы сначала в файловый ресурс, из-за разрешений, которые ваш обычный пользователь не должен иметь на центральном хранилище.

3) Установите новый GPO или добавьте следующие настройки для включения Windows Hello:

  • Computer Configuration/Policies/Administrative Templates …/Windows Components/Windows Hello For Business/ Использование биометрии => Включено

. ../Windows Components/Windows Hello for Business/ Использование аппаратного устройства безопасности => Включено (если вы хотите использовать TPM вместо активации на основе ключа или сертификата для Windows Hello). Обратите внимание, что, как правило, все компьютеры предприятия должны иметь TPM

…/System/Logon/ Включить удобный PIN-код входа => Включено (это ключ. Он включает вход по PIN-коду, который, в свою очередь, включит Hello вместе с другими настройками).

…/Windows Components/Biometrics/ Достаточно простого входа пользователей домена с помощью биометрии => включено (думаю, это включено по умолчанию, но явное включение значительно упрощает управление GP).

Дополнительные возможности настройки можно найти в System/Logon и Windows Components/Biometrics и Windows Components/Windows Hello for Business.

Дополнительный фон вы найдете здесь https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

и здесь https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Самый важный отрывок:

_ Начиная с версии 1607, Windows Hello в качестве удобного PIN отключен по умолчанию на всех компьютерах, подключенных к домену. Чтобы включить удобный PIN-код для Windows 10, версия 1607, включите параметр групповой политики Включите удобный PIN-код входа. Используйте настройки политики Windows Hello for Business для управления PIN-кодами для Windows Hello for Business._

Если вы хотите использовать Windows Hello на основе ключей или сертификатов, вы можете следовать инструкциям, приведенным в ссылках. Однако не путайтесь. Вы все еще можете использовать обычный TPM для обычного Windows Hello.

5
5
5
2017-01-19 00:04:39 +0000

Установка следующего ключа реестра работает на меня:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Ссылка: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

5
5
5
2017-02-21 09:04:20 +0000

Все, что мне нужно было сделать:

  1. Windows KEY + R, чтобы открыть Run
  2. Введите:
    gpedit.msc
  3. [Локальная компьютерная политика] > [Конфигурация компьютера] > [Административные шаблоны] > [Система] > [Вход] > [Включить удобный PIN-код входа] : ЕNABLED

Это включило Windows Hello на Surface Pro 4 в Windows 10 Pro.

4
4
4
2019-05-23 16:54:09 +0000

Я боролся с этим долгое время. Я перепробовал все эти настройки групповой политики: включите удобный PIN логин, включите windows hello для бизнеса, включите биометрию и т.д. и т.п. и т.д. и т.п. Наконец-то я нашел решение.

ПК в моей компании - это Windows 10 build 1809. В основном Lenovo X1 Yogas и P330s и некоторые Surface Pros. Они присоединены к домену 2012 R2 и подписаны на Office 365 для электронной почты и Office Pro Plus. У нас есть лицензия E3 в Office 365. Когда пользователь регистрирует приложения Office, используя собственную лицензию O365, он подключает Windows к своей рабочей учетной записи. Отключение, которое позволило настроить PIN-код и отпечатки пальцев. Вот как это сделать:

  1. Перейдите в “Настройки Windows” -> Учетные записи -> Доступ к работе или школе. Ключевой настройкой является “Work or School Account” с цветным логотипом Windows. Отключите это. Не нажимайте на настройку “Подключено к любому домену”.

  2. Затем нажмите “Параметры входа”. Отпечаток пальца и PIN-код больше не выделяются серым цветом. Если он все еще не окрашен в серый цвет, убедитесь, что включена опция “Удобный вход PIN”.

  3. Добавьте PIN-код, затем “Отпечаток пальца”.

  4. Вернитесь к “Доступ к работе или школе” в разделе “Настройки” -> “Учетные записи”.

  5. Нажмите кнопку Подключиться и введите адрес электронной почты и пароль пользователя.

Единственная действующая на данный момент групповая политика - это параметр “Включить удобный PIN-код входа” в разделе Политики, Административные шаблоны, Система, Вход. Обратите внимание, что это НЕ Windows Hello for Business. Это все еще просто вброс пароля. Когда-нибудь удобный вход с PIN-кодом будет отменен, и нам придется делать это безопасным способом.

0
0
0
2018-01-18 07:14:08 +0000

Установка следующих параметров реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

, а затем включение UAC и перезагрузка ПК.

0
0
0
2017-10-15 20:47:53 +0000

Есть одна вещь, которую вы не должны настраивать, если у вас нет действительных сертификатов (это на сервере 2016).

Убедитесь, что “Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business” имеет значение НЕ КОНФИГУРИРОВАННО.

Это единственное, что я установил (из другого блога), и это помешало программе windows hello работать, а программа windows hello даже не запускалась. Но до тех пор, пока он не настроен, он должен быть в порядке.

-1
-1
-1
2020-01-21 12:33:14 +0000

Пробовав так много вещей (включая все остальные ответы здесь на сегодняшний день), я, наконец, исправил проблему для себя с помощью обходного пути. Обратите внимание, что это обходной путь, а не настоящее решение:

Для подведения итогов, проблема заключается в том, что что что-то в учетной записи домена моей организации отключило опцию ввода отпечатков пальцев. В моем случае даже моя ИТ группа в филиале моего локального офиса не смогла понять, что ее блокирует.

В итоге я создал новую учетную запись локального пользователя на рабочем компьютере с полными правами локального администратора. Для этой новой учетной записи я использовал свою личную учетную запись Microsoft для подключения (хотя, вероятно, я мог бы использовать локальную учетную запись). Когда я вошёл в новую учётную запись, проблем с отпечатками пальцев не возникало, и я мог легко настроить отпечатки пальцев.

Потенциальные недостатки:

  • Поскольку это новая пользовательская учетная запись, может потребоваться переустановка и настройка многих компьютерных программ и параметров. В основном это похоже на настройку совершенно нового компьютера с Windows. В моем случае, я сделал это, когда получил новый рабочий компьютер, так что мне все равно пришлось делать переконфигурацию.
  • В некоторых организационных установках учетные записи, не являющиеся доменными, могут не иметь надлежащего доступа к некоторым организационным ресурсам. В моем случае это не было проблемой. Если это проблема с вами, возможно, вы могли бы соединиться с организационной VPN для доступа к этим специальным ресурсам, возможно, даже на постоянной основе на этом обходном пути аккаунта.

Эти обходные пути, возможно, не стоят того, чтобы просто получить отпечатки пальцев, но они отлично работают в моем организационном контексте.

-2
-2
-2
2018-05-23 00:38:25 +0000

Я вхожу в домен, присоединившийся к Dell 7280. Добавление ключа реестра ниже вместе с перезагрузкой позволило мне добавить 6-значный пин-код.

[HKEY_LOCAL\MACHINE\SOFTWARE\Policies\Microsoft\Microsoft\Windows\System] “AllowDomainPINLogon”=dword:00000001

Preguntas relacionadas

15
8
14
9
15