Impossibile abilitare Windows Hello: alcune impostazioni sono gestite dalla tua organizzazione


18

Ho fatto un'installazione pulita di Windows 10 Anniversary Edition. Ora non riesco ad abilitare Windows Hello con il mio dominio unito a Surface Pro 4, connesso come utente AD. Tuttavia, quando accedo con il mio account Msft, posso attivare Windows Hello.

Ho provato "Alcune impostazioni sono gestite dalla tua organizzazione" mentre non sei nel dominio? (aumento della telemetria tramite l'app delle impostazioni) e anche questo: ripristino della telemetria tramite gp .

Ciò dimostra che questo problema è diverso dagli altri qui. Anche questo è in effetti aggiunto al dominio, non come la maggior parte delle altre domande qui.

Ecco come appaiono le impostazioni; inserisci qui la descrizione dell'immagine

Con la vecchia versione di Windows 10 lo stesso dispositivo poteva abilitare Windows Hello mentre il dominio veniva unito all'utente del dominio. Ecco perché escludo l'oggetto Criteri di gruppo come fonte del problema. L'oggetto Criteri di gruppo consente anche esplicitamente la biometria per gli utenti del dominio. Cosa posso fare?

Windows 10 Professional, Cortana è abilitato. Edizione No Insiders. Ho accesso amministrativo al dominio.


Hai mai trovato una soluzione? Ho lo stesso problema :(
MojoDK il

si l'ho fatto! Scriverò la risposta ora @MojoDK :)
zuckerthoben,

Risposte:


26

Ho trovato la soluzione Il motivo è che Windows Hello è gestito in modo diverso sui computer aggiunti al dominio, a partire dall'aggiornamento dell'anniversario. Per farlo funzionare devi seguire questi passaggi:

1) Installa un archivio centrale dei criteri di gruppo (dovresti già averlo)

2) Ottieni modelli di criteri di gruppo per l'aggiornamento dell'anniversario di Windows 10 . Puoi farlo copiando i tuoi file da PolicyDefinitions (in windir su una macchina Win10 Anniversary Update) in PolicyDefinitions dell'archivio centrale. Potresti prima copiare quei file in una condivisione file, a causa delle autorizzazioni che il tuo utente normale non dovrebbe avere nell'archivio centrale.

3) Configura un nuovo oggetto Criteri di gruppo o aggiungi a uno esistente le seguenti impostazioni per abilitare Windows Hello:

  • Configurazione computer / Politiche / Modelli amministrativi

... / Componenti di Windows / Windows Hello For Business / Usa biometrics => Abilitato

... / Componenti di Windows / Windows Hello for Business / Utilizzare un dispositivo di sicurezza hardware => Abilitato (se si desidera utilizzare TPM anziché l'attivazione basata su chiave o certificato per Windows Hello). Si noti che in generale tutti i computer aziendali dovrebbero avere TPM

... / Sistema / Accesso / Attiva convenienza Accesso PIN => Abilitato (Questa è la chiave. Questo abilita l'accesso PIN che a sua volta abiliterà Hello, insieme alle altre impostazioni.)

... / Componenti di Windows / Biometria / Consenti agli utenti del dominio di accedere utilizzando biometria => Abilitato (penso che sia abilitato per impostazione predefinita, ma essere esplicito rende la gestione GP molto più semplice.)

Troverai altre possibilità di configurazione opzionali in Sistema / Accesso e Componenti di Windows / Biometria e Componenti di Windows / Windows Hello for Business.

Maggiori informazioni qui: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

e qui

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Estratto più importante:

A partire dalla versione 1607, Windows Hello come PIN pratico è disabilitato per impostazione predefinita su tutti i computer aggiunti al dominio. Per abilitare un PIN comodo per Windows 10, versione 1607, abilitare l'impostazione Criteri di gruppo Attiva accesso PIN comodo. Utilizzare le impostazioni dei criteri di Windows Hello for Business per gestire i PIN per Windows Hello for Business.

Se si desidera utilizzare Windows Hello basato su chiavi o certificati, è possibile seguire le guide nei collegamenti. Non confonderti però. Puoi comunque utilizzare TPM normale per Windows Hello normale.


1
È importante notare che, in base al collegamento citato, per utilizzare Windows Hello non è richiesto "Attiva accesso PIN comodo". Il PIN di convenienza è il vecchio PIN che non è sicuro come il PIN di Windows Hello. ("se stai cercando di distribuire Windows Hello for Business ... questa potrebbe essere l'occasione perfetta per passare a quelle credenziali più sicure e non ... accedere al PIN di convenienza.") La configurazione effettiva di Windows Hello for Business comporta più di solo oggetto Criteri di gruppo - consultare docs.microsoft.com/en-us/azure/active-directory/…
Speedbird186

Buona cattura, ma SCCM non può essere l'unica soluzione per abilitare Windows Hello sui dispositivi aggiunti al dominio. Deve esserci un altro modo sicuro.
zuckerthoben,

Volevo solo sottolineare che sono stato in grado di modificare semplicemente la politica locale (Esegui> GPedit.msc) su un laptop collegato al dominio per farlo funzionare. Buone informazioni, grazie.
SamAndrew81,

Purtroppo tutto ciò non ha aiutato per me: / Posso accedere con un account locale ma Windows Hello è ancora disattivato per il mio account AD.
Dominik,

Non capisco il primo passo "1) Installa un archivio centrale di criteri di gruppo (dovresti già averlo)". Ho i diritti di amministratore locale per il mio computer aziendale collegato al dominio, ma non ho diritti di amministratore di rete. Potresti per favore (o qualcun altro) fornire passaggi secondari passo-passo per questo primo punto e anche per il secondo punto? Gli altri punti sono chiari, ma senza i primi due non posso davvero provare questa soluzione.
Ochado

5

L'impostazione della seguente chiave di registro funziona per me:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Riferimento: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- on-domain-account? forum = win10itprosetup


Il mio PC è unito a un dominio, ma non ho accesso come amministratore ad esso. Questa soluzione ha risolto il problema per me.
Nikola Malešević,

Ciò mi ha permesso (come utente finale) di abilitare Windows Hello sul mio Surface Book senza la necessità di coinvolgere l'IT aziendale.
Sviluppatore olistico,

1
Questo non funziona con me
Ahmed Hamdy,

Sto eseguendo Windows Server 2016 Build 1607 come server membro in un dominio esistente e questa chiave di registro è già impostata ma non riesco a utilizzare Windows Hello.
Dai

5

Tutto quello che dovevo fare è:

  1. Windows KEY+ Rper aprire Esegui
  2. Accedere:
    gpedit.msc
  3. [Criteri computer locali]> [Configurazione computer]> [Modelli amministrativi]> [Sistema]> [Accesso]> [ Attiva accesso PIN comodo ]: ABILITATO

Ciò ha abilitato Windows Hello su Surface Pro 4 con Windows 10 Pro.


Sì, è praticamente equivalente alla mia risposta, ma per un singolo utente locale. Un approccio di dominio è migliore per i casi di utilizzo aziendale.
zuckerthoben,

2
Non so quale "Archivio centrale criteri di gruppo" e non dici dove si applica la politica. Su un server AD centrale o sul PC locale ...
juFo

1
Dal contesto puoi tranquillamente supporre che sto creando una politica di gruppo su AD. Spiegare come impostare un archivio centrale di Criteri di gruppo va ben oltre lo scopo della mia risposta. Guide e spiegazioni sono disponibili in tutto il Web.
Zuckerthoben,

Ho 10 professionisti ma non vedo queste opzioni
Crash893

c'è un problema nella descrizione. Per un PIN di 4 cifre è necessario impostare la lunghezza minima del ping su Abilitato con valore 4
sofsntp

2

Ho combattuto per molto tempo. Ho provato tutte queste impostazioni dei criteri di gruppo: attiva il comodo accesso con PIN, abilita Windows Hello per le aziende, abilita la biometria, ecc. Ecc. Ecc. Ho finalmente trovato la soluzione.

I PC della mia azienda sono Windows 10 build 1809. Principalmente Lenovo X1 Yogas e P330s e alcuni Surface Pro. Sono aggiunti al dominio a un dominio 2012 R2 e sono abbonati a Office 365 per e-mail e Office Pro Plus. Abbiamo una licenza E3 in Office 365. Quando un utente registra le app di Office utilizzando la propria licenza O365, connette Windows al proprio account di lavoro. Disconnessione che mi ha permesso di impostare il PIN e l'impronta digitale. Ecco come farlo:

  1. Vai su Impostazioni di Windows -> Account -> Accedi a Lavoro o Scuola. L'impostazione chiave è "Conto lavoro o scuola" con il logo colorato di Windows. Scollegalo. Non toccare l'impostazione "Connesso a qualsiasi dominio".

  2. Quindi fare clic su "Opzioni di accesso". L'impronta digitale e il PIN non sono più disattivati. Se è ancora disattivato, assicurati che l'opzione "Accesso con PIN pratico" sia abilitata.

  3. Aggiungi il PIN, quindi l'impronta digitale.

  4. Torna a "Accedi al lavoro o alla scuola" in Impostazioni -> Account.

  5. Fai clic su Connetti e inserisci l'indirizzo e-mail e la password dell'utente.

L'unica politica di gruppo attualmente in vigore è l'impostazione "Attiva accesso con PIN di convenienza" in Criteri, Modelli amministrativi, Sistema, Accesso. Si noti che questo NON è Windows Hello for Business. Questo è ancora solo il ripieno di password. Un giorno, l'accesso al PIN di convenienza sarà obsoleto e dovremo farlo in modo sicuro.


0

C'è una cosa che non devi configurare a meno che tu non abbia i certificati validi (questo è sul server 2016).

Assicurati che "Conf. Computer / criteri / Temp amministratore / Windows comp / Windows Hello for Business / Usa Windows Hello for Business" sia impostato su NON CONFIGURATO.

Questa era l'unica cosa che avevo impostato (da un altro blog) e aveva impedito il funzionamento di Windows Hello, Windows Hello non sarebbe nemmeno iniziato. Ma fintanto che non è configurato dovrebbe essere ok.


Leggi "Perché ho bisogno di 50 reputazione per commentare" per assicurarti di capire come puoi iniziare a commentare.
Pimp Juice IT

0

Impostazione del seguente registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

quindi abilitare UAC e riavviare il PC.


-2

Sono su un dominio che si è unito a Dell 7280. L'aggiunta della chiave di registro di seguito e il riavvio mi hanno permesso di aggiungere un pin a 6 cifre.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.