Ho trovato la soluzione Il motivo è che Windows Hello è gestito in modo diverso sui computer aggiunti al dominio, a partire dall'aggiornamento dell'anniversario. Per farlo funzionare devi seguire questi passaggi:
1) Installa un archivio centrale dei criteri di gruppo (dovresti già averlo)
2) Ottieni modelli di criteri di gruppo per l'aggiornamento dell'anniversario di Windows 10 . Puoi farlo copiando i tuoi file da PolicyDefinitions (in windir su una macchina Win10 Anniversary Update) in PolicyDefinitions dell'archivio centrale. Potresti prima copiare quei file in una condivisione file, a causa delle autorizzazioni che il tuo utente normale non dovrebbe avere nell'archivio centrale.
3) Configura un nuovo oggetto Criteri di gruppo o aggiungi a uno esistente le seguenti impostazioni per abilitare Windows Hello:
- Configurazione computer / Politiche / Modelli amministrativi
... / Componenti di Windows / Windows Hello For Business / Usa biometrics => Abilitato
... / Componenti di Windows / Windows Hello for Business / Utilizzare un dispositivo di sicurezza hardware => Abilitato (se si desidera utilizzare TPM anziché l'attivazione basata su chiave o certificato per Windows Hello). Si noti che in generale tutti i computer aziendali dovrebbero avere TPM
... / Sistema / Accesso / Attiva convenienza Accesso PIN => Abilitato (Questa è la chiave. Questo abilita l'accesso PIN che a sua volta abiliterà Hello, insieme alle altre impostazioni.)
... / Componenti di Windows / Biometria / Consenti agli utenti del dominio di accedere utilizzando biometria => Abilitato (penso che sia abilitato per impostazione predefinita, ma essere esplicito rende la gestione GP molto più semplice.)
Troverai altre possibilità di configurazione opzionali in Sistema / Accesso e Componenti di Windows / Biometria e Componenti di Windows / Windows Hello for Business.
Maggiori informazioni qui:
https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /
e qui
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization
Estratto più importante:
A partire dalla versione 1607, Windows Hello come PIN pratico è disabilitato per impostazione predefinita su tutti i computer aggiunti al dominio. Per abilitare un PIN comodo per Windows 10, versione 1607, abilitare l'impostazione Criteri di gruppo Attiva accesso PIN comodo. Utilizzare le impostazioni dei criteri di Windows Hello for Business per gestire i PIN per Windows Hello for Business.
Se si desidera utilizzare Windows Hello basato su chiavi o certificati, è possibile seguire le guide nei collegamenti. Non confonderti però. Puoi comunque utilizzare TPM normale per Windows Hello normale.