Impossibile abilitare Windows Hello: alcune impostazioni sono gestite dalla tua organizzazione

Ho fatto un'installazione pulita di Windows 10 Anniversary Edition. Ora non riesco ad abilitare Windows Hello con il mio dominio unito a Surface Pro 4, connesso come utente AD. Tuttavia, quando accedo con il mio account Msft, posso attivare Windows Hello.

Ho provato "Alcune impostazioni sono gestite dalla tua organizzazione" mentre non sei nel dominio? (aumento della telemetria tramite l'app delle impostazioni) e anche questo: ripristino della telemetria tramite gp .

Ciò dimostra che questo problema è diverso dagli altri qui. Anche questo è in effetti aggiunto al dominio, non come la maggior parte delle altre domande qui.

Ecco come appaiono le impostazioni;

Con la vecchia versione di Windows 10 lo stesso dispositivo poteva abilitare Windows Hello mentre il dominio veniva unito all'utente del dominio. Ecco perché escludo l'oggetto Criteri di gruppo come fonte del problema. L'oggetto Criteri di gruppo consente anche esplicitamente la biometria per gli utenti del dominio. Cosa posso fare?

Windows 10 Professional, Cortana è abilitato. Edizione No Insiders. Ho accesso amministrativo al dominio.

Ho trovato la soluzione Il motivo è che Windows Hello è gestito in modo diverso sui computer aggiunti al dominio, a partire dall'aggiornamento dell'anniversario. Per farlo funzionare devi seguire questi passaggi:

1) Installa un archivio centrale dei criteri di gruppo (dovresti già averlo)

2) Ottieni modelli di criteri di gruppo per l'aggiornamento dell'anniversario di Windows 10 . Puoi farlo copiando i tuoi file da PolicyDefinitions (in windir su una macchina Win10 Anniversary Update) in PolicyDefinitions dell'archivio centrale. Potresti prima copiare quei file in una condivisione file, a causa delle autorizzazioni che il tuo utente normale non dovrebbe avere nell'archivio centrale.

3) Configura un nuovo oggetto Criteri di gruppo o aggiungi a uno esistente le seguenti impostazioni per abilitare Windows Hello:

• Configurazione computer / Politiche / Modelli amministrativi

... / Componenti di Windows / Windows Hello For Business / Usa biometrics => Abilitato

... / Componenti di Windows / Windows Hello for Business / Utilizzare un dispositivo di sicurezza hardware => Abilitato (se si desidera utilizzare TPM anziché l'attivazione basata su chiave o certificato per Windows Hello). Si noti che in generale tutti i computer aziendali dovrebbero avere TPM

... / Sistema / Accesso / Attiva convenienza Accesso PIN => Abilitato (Questa è la chiave. Questo abilita l'accesso PIN che a sua volta abiliterà Hello, insieme alle altre impostazioni.)

... / Componenti di Windows / Biometria / Consenti agli utenti del dominio di accedere utilizzando biometria => Abilitato (penso che sia abilitato per impostazione predefinita, ma essere esplicito rende la gestione GP molto più semplice.)

Troverai altre possibilità di configurazione opzionali in Sistema / Accesso e Componenti di Windows / Biometria e Componenti di Windows / Windows Hello for Business.

Maggiori informazioni qui: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

e qui

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Estratto più importante:

A partire dalla versione 1607, Windows Hello come PIN pratico è disabilitato per impostazione predefinita su tutti i computer aggiunti al dominio. Per abilitare un PIN comodo per Windows 10, versione 1607, abilitare l'impostazione Criteri di gruppo Attiva accesso PIN comodo. Utilizzare le impostazioni dei criteri di Windows Hello for Business per gestire i PIN per Windows Hello for Business.

Se si desidera utilizzare Windows Hello basato su chiavi o certificati, è possibile seguire le guide nei collegamenti. Non confonderti però. Puoi comunque utilizzare TPM normale per Windows Hello normale.

L'impostazione della seguente chiave di registro funziona per me:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Riferimento: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- on-domain-account? forum = win10itprosetup

Tutto quello che dovevo fare è:

1. Windows KEY+ Rper aprire Esegui
2. Accedere:

   gpedit.msc

3. [Criteri computer locali]> [Configurazione computer]> [Modelli amministrativi]> [Sistema]> [Accesso]> [ Attiva accesso PIN comodo ]: ABILITATO

Ciò ha abilitato Windows Hello su Surface Pro 4 con Windows 10 Pro.

Ho combattuto per molto tempo. Ho provato tutte queste impostazioni dei criteri di gruppo: attiva il comodo accesso con PIN, abilita Windows Hello per le aziende, abilita la biometria, ecc. Ecc. Ecc. Ho finalmente trovato la soluzione.

I PC della mia azienda sono Windows 10 build 1809. Principalmente Lenovo X1 Yogas e P330s e alcuni Surface Pro. Sono aggiunti al dominio a un dominio 2012 R2 e sono abbonati a Office 365 per e-mail e Office Pro Plus. Abbiamo una licenza E3 in Office 365. Quando un utente registra le app di Office utilizzando la propria licenza O365, connette Windows al proprio account di lavoro. Disconnessione che mi ha permesso di impostare il PIN e l'impronta digitale. Ecco come farlo:

1. Vai su Impostazioni di Windows -> Account -> Accedi a Lavoro o Scuola. L'impostazione chiave è "Conto lavoro o scuola" con il logo colorato di Windows. Scollegalo. Non toccare l'impostazione "Connesso a qualsiasi dominio".

2. Quindi fare clic su "Opzioni di accesso". L'impronta digitale e il PIN non sono più disattivati. Se è ancora disattivato, assicurati che l'opzione "Accesso con PIN pratico" sia abilitata.

3. Aggiungi il PIN, quindi l'impronta digitale.

4. Torna a "Accedi al lavoro o alla scuola" in Impostazioni -> Account.

5. Fai clic su Connetti e inserisci l'indirizzo e-mail e la password dell'utente.

L'unica politica di gruppo attualmente in vigore è l'impostazione "Attiva accesso con PIN di convenienza" in Criteri, Modelli amministrativi, Sistema, Accesso. Si noti che questo NON è Windows Hello for Business. Questo è ancora solo il ripieno di password. Un giorno, l'accesso al PIN di convenienza sarà obsoleto e dovremo farlo in modo sicuro.

C'è una cosa che non devi configurare a meno che tu non abbia i certificati validi (questo è sul server 2016).

Assicurati che "Conf. Computer / criteri / Temp amministratore / Windows comp / Windows Hello for Business / Usa Windows Hello for Business" sia impostato su NON CONFIGURATO.

Questa era l'unica cosa che avevo impostato (da un altro blog) e aveva impedito il funzionamento di Windows Hello, Windows Hello non sarebbe nemmeno iniziato. Ma fintanto che non è configurato dovrebbe essere ok.

Impostazione del seguente registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

quindi abilitare UAC e riavviare il PC.

Sono su un dominio che si è unito a Dell 7280. L'aggiunta della chiave di registro di seguito e il riavvio mi hanno permesso di aggiungere un pin a 6 cifre.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001