Не удается включить Windows Hello. Некоторые параметры управляются вашей организацией.

85092
zuckerthoben

Я сделал чистую установку Windows 10 Anniversary Edition. Теперь я не могу включить Windows Hello с моим доменом, подключенным к Surface Pro 4, вошедшим в систему как пользователь AD. Когда я вхожу в свою учетную запись Msft, я могу включить Windows Hello.

Я пытался "Некоторые настройки управляются вашей организацией", а не на домене? (увеличение телеметрии через приложение настроек), а также это: сброс телеметрии через gp .

Это показывает, что эта проблема отличается от других здесь. Это также на самом деле присоединение к домену, а не как большинство других вопросов здесь.

Вот как выглядят настройки; enter image description here

В старой версии Windows 10 на том же устройстве можно было включить Windows Hello, когда домен присоединился к пользователю домена. Вот почему я исключаю GPO как источник проблемы. GPO даже явно разрешает использование биометрии для пользователей домена. Что я могу сделать?

Windows 10 Professional, Cortana включена. Нет инсайдеров издание. У меня есть административный доступ к домену.

14
Вы когда-нибудь находили решение? У меня такая же проблема :( MojoDK 7 лет назад 0
Да, я сделал! Сейчас напишу ответ @MojoDK :) zuckerthoben 7 лет назад 0

6 ответов на вопрос

17
zuckerthoben

Я нашел решение. Причина в том, что Windows Hello управляется по-разному на компьютерах, к которым присоединен домен, начиная с ежегодного обновления. Чтобы заставить его работать, вы должны выполнить следующие действия:

1) Настройте центральное хранилище групповой политики (оно уже должно быть)

2) Получите шаблоны групповой политики Windows 10 Anniversary Update . Вы можете сделать это, скопировав свои файлы из PolicyDefinitions (в windir на компьютере с юбилейным обновлением Win10) в PolicyDefinitions центрального хранилища. Вы можете сначала скопировать эти файлы в общую папку, так как у вашего обычного пользователя нет прав доступа к центральному хранилищу.

3) Настройте новый объект групповой политики или добавьте к существующим следующие параметры, чтобы включить Windows Hello:

  • Конфигурация компьютера / Политики / Административные шаблоны

... / Компоненты Windows / Windows Hello For Business / Использовать биометрию => Включено

... / Компоненты Windows / Windows Hello для бизнеса / Использовать аппаратное защитное устройство => Включено (если вы хотите использовать TPM вместо ключа или активации на основе сертификатов для Windows Hello). Обратите внимание, что в целом все бизнес-компьютеры должны иметь TPM

... / Система / Вход в систему / Включить удобный вход с помощью PIN-кода => Включено (это ключ. Это позволяет выполнить вход с помощью PIN-кода, что, в свою очередь, включит Hello вместе с другими настройками.)

... / Компоненты Windows / Биометрия / Разрешить пользователям домена входить в систему с использованием биометрии => Включено (я думаю, что это включено по умолчанию, но явное использование делает управление GP намного проще.)

Дополнительные параметры конфигурации вы найдете в разделе «Система» / «Вход в систему» ​​и «Компоненты Windows» / «Биометрия и Компоненты Windows» / «Windows Hello для бизнеса».

Более подробную информацию вы найдете здесь: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

и здесь

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Самый важный отрывок:

Начиная с версии 1607, ПИН-код Windows Hello для удобства отключен по умолчанию на всех компьютерах, подключенных к домену. Чтобы включить удобный ПИН-код для Windows 10 версии 1607, включите параметр групповой политики. Включите вход с помощью удобного ПИН-кода. Используйте параметры политики Windows Hello для бизнеса для управления ПИН-кодами для Windows Hello для бизнеса.

Если вы хотите использовать Windows Hello на основе ключей или сертификатов, вы можете следовать инструкциям в ссылках. Не смущайтесь, хотя. Вы все еще можете использовать обычный TPM для обычного Windows Hello.

Важно отметить, что по приведенной вами ссылке «Включить удобный вход с помощью PIN-кода» НЕ требуется для использования Windows Hello. Удобный ПИН-код - это ПИН старого стиля, который не так безопасен, как ПИН-код Windows Hello. («Если вы хотите развернуть Windows Hello для бизнеса ... тогда это может быть идеальной возможностью перейти на более безопасные учетные данные, а не ... удобный ввод PIN-кода».) На самом деле настройка Windows Hello для бизнеса требует более просто объект групповой политики - см. https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azureadjoin-passport-deployment Speedbird186 7 лет назад 1
Хороший улов, но SCCM не может быть единственным решением для включения Windows Hello на подключенных к домену устройствах. Должен быть другой способ, который является безопасным. zuckerthoben 7 лет назад 0
Просто хотел отметить, что я смог просто отредактировать политику _local_ (Run> GPedit.msc) на присоединенном к домену ноутбуке, чтобы это работало. Хорошая информация, спасибо. SamAndrew81 6 лет назад 0
К сожалению, все это не помогло мне: / Я могу войти в систему с локальной учетной записью, но Windows Hello по-прежнему недоступна для моей учетной записи AD. Dominik 5 лет назад 0
4
Stephen Quan

У меня работает установка следующего ключа реестра:

Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System] "AllowDomainPINLogon"=dword:00000001

Ссылка: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- на домен-счета? форум = win10itprosetup

Мой компьютер присоединен к домену, но у меня нет доступа администратора. Это решение решило проблему для меня. Nikola Malešević 7 лет назад 0
Это позволило мне (как конечному пользователю) включить Windows Hello в моей книге Surface без необходимости привлечения корпоративных ИТ-специалистов. Holistic Developer 7 лет назад 0
Это не работает со мной Ahmed Hamdy 6 лет назад 1
Я использую Windows Server 2016 Build 1607 в качестве рядового сервера в существующем домене, и этот раздел реестра уже установлен, но я не могу использовать Windows Hello. Dai 6 лет назад 0
4
juFo

Все, что мне нужно было сделать, это:

  1. Windows KEY+ Rоткрыть Run
  2. Войти: 
    gpedit.msc
  3. [Политика локального компьютера]> [Конфигурация компьютера]> [Административные шаблоны]> [Система]> [Вход в систему]> [ Включить удобный вход с помощью PIN-кода ]: ВКЛЮЧЕНО

Это включило Windows Hello на Surface Pro 4 с Windows 10 Pro.

Да, это в значительной степени эквивалентно моему ответу, но для одного локального пользователя. Доменный подход лучше для корпоративных сценариев использования. zuckerthoben 7 лет назад 0
Я не знаю, что такое «Центральный магазин групповой политики», и вы не говорите, где вы применяете политику. На центральном сервере AD или на локальном компьютере ... juFo 7 лет назад 2
Из контекста можно смело предположить, что я создаю групповую политику на AD. Объяснение того, как настроить центральное хранилище групповой политики, выходит далеко за рамки моего ответа. Руководства и объяснения можно найти по всему Интернету. zuckerthoben 7 лет назад 1
У меня есть 10 профи, но я не вижу этих вариантов Crash893 6 лет назад 0
0
user780692

Есть одна вещь, которую вы не должны настраивать, если у вас нет действительных сертификатов (это на сервере 2016).

Убедитесь, что для параметра «Конфигурация компьютера / политики / Temp администратора / Windows comp / Windows Hello для бизнеса / Использовать Windows Hello для бизнеса» задано значение NOT CONFIGURED.

Это была единственная вещь, которую я установил (из другого блога), и она препятствовала работе windows hello, windows hello даже не запускалась. Но пока он не настроен, все должно быть в порядке.

Прочитайте [«Зачем мне нужно 50 репутации, чтобы комментировать»] (https://meta.stackexchange.com/questions/214173/why-do-i-need-50-reputation-to-comment-what-can-i -до-вместо), чтобы убедиться, что вы понимаете, как вы можете начать комментировать. Pimp Juice IT 6 лет назад 0
0
user863516

Настройка следующего реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System] "AllowDomainPINLogon"=dword:00000001

затем включите UAC и перезагрузите компьютер.

-2
joe

Я нахожусь в домене, к которому присоединился Dell 7280. Добавление ключа реестра ниже вместе с перезагрузкой позволило мне добавить 6-значный пин-код.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001

Похожие вопросы