Zrobiłem czystą instalację systemu Windows 10 Anniversary Edition. Teraz nie mogę włączyć Windows Hello, gdy moja domena dołączyła do Surface Pro 4, zalogowanego jako użytkownik AD. Kiedy loguję się na swoje konto Msft, mogę jednak włączyć funkcję Windows Hello.
Próbowałem „Niektórymi ustawieniami zarządza Twoja organizacja”, gdy nie ma domeny. (zwiększenie telemetrii za pomocą aplikacji ustawień), a także to: zresetowanie telemetrii za pomocą gp .
To pokazuje, że ten problem różni się od pozostałych tutaj. W rzeczywistości jest to również domena przyłączona, nie tak jak większość innych pytań tutaj.
Tak wyglądają ustawienia;
W starej wersji systemu Windows 10 to samo urządzenie mogło włączyć funkcję Windows Hello, gdy domena dołączyła do użytkownika domeny. Dlatego wykluczam GPO jako źródło problemu. GPO pozwala nawet wprost na biometrię dla użytkowników domeny. Co mogę zrobić?
Windows 10 Professional, Cortana jest włączona. Brak edycji dla wtajemniczonych. Mam dostęp administracyjny do domeny.
źródło
Odpowiedzi:
Znalazłem rozwiązanie. Powodem jest to, że Windows Hello jest zarządzany inaczej na komputerach przyłączonych do domeny, począwszy od rocznicowej aktualizacji. Aby go uruchomić, musisz wykonać następujące kroki:
1) Skonfiguruj sklep centralny zasad grupy (powinieneś już to mieć)
2) Get systemie Windows 10 Anniversary Aktualizacja grupy Szablony zasad . Możesz to zrobić, kopiując pliki z PolicyDefinitions (in windir na komputerze z aktualizacją rocznicy Win10) do PolicyDefinitions w sklepie centralnym. Możesz najpierw skopiować te pliki do udziału plików, ze względu na uprawnienia, których zwykły użytkownik nie powinien mieć w sklepie centralnym.
3) Skonfiguruj nowy obiekt zasad grupy lub dodaj do istniejących następujące ustawienia, aby włączyć funkcję Windows Hello:
... / Windows Components / Windows Hello For Business / Use biometrics => Enabled
... / Windows Components / Windows Hello for Business / Użyj sprzętowego urządzenia zabezpieczającego => Włączone (jeśli chcesz używać TPM zamiast aktywacji opartej na kluczu lub certyfikacie dla Windows Hello). Pamiętaj, że ogólnie wszystkie komputery biznesowe powinny mieć moduł TPM
... / System / Logowanie / Włącz wygodę Logowanie PIN => Włączone (To jest klucz. To umożliwia logowanie PIN, które z kolei włączy Hello, wraz z innymi ustawieniami.)
... / Składniki systemu Windows / Biometria / Zezwalaj użytkownikom domeny na logowanie przy użyciu biometrii => Włączone (myślę, że jest to domyślnie włączone, ale wyraźne ułatwia zarządzanie GP).
Więcej opcjonalnych możliwości konfiguracji znajdziesz w System / Logon and Windows Components / Biometrics and Windows Components / Windows Hello for Business.
Więcej informacji znajdziesz tutaj: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /
i tu
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization
Najważniejszy fragment:
Jeśli chcesz korzystać z funkcji Windows Hello opartej na kluczach lub certyfikatach, możesz postępować zgodnie z instrukcjami w linkach. Nie daj się jednak pomylić. Nadal możesz używać zwykłego TPM do normalnego Windows Hello.
źródło
Ustawienie następującego klucza rejestru działa dla mnie:
Odniesienie: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- on-domain-account? forum = win10itprosetup
źródło
Wszystko, co musiałem zrobić, to:
Umożliwiło to Windows Hello na Surface Pro 4 z Windows 10 Pro.
źródło
Walczyłem z tym przez długi czas. Wypróbowałem wszystkie te ustawienia zasad grupy: włącz wygodne logowanie PIN, włącz Windows hello dla firm, włącz dane biometryczne itp. Itd. W końcu znalazłem rozwiązanie.
Komputery w mojej firmie to Windows 10 build 1809. Głównie Lenovo X1 Yogas i P330 oraz niektóre Surface Pro. Są przyłączeni do domeny z domeną R2 R2 i są subskrybowani Office 365 dla poczty e-mail i Office Pro Plus. Posiadamy licencję E3 w Office 365. Gdy użytkownik rejestruje aplikacje Office za pomocą własnej licencji O365, łączy Windows z kontem służbowym. Odłączenie pozwoliło mi ustawić PIN i odcisk palca. Oto jak to zrobić:
Przejdź do Ustawień systemu Windows -> Konta -> Dostęp do pracy lub szkoły. Kluczowym ustawieniem jest „Konto służbowe lub szkolne” z kolorowym logo systemu Windows. Odłącz to. Nie dotykaj ustawienia „Połączono z dowolną domeną”.
Następnie kliknij „Opcje logowania”. Odcisk palca i kod PIN nie są już wyszarzone. Jeśli nadal jest wyszarzony, upewnij się, że „wygodne logowanie za pomocą PIN” jest włączone.
Dodaj kod PIN, a następnie odcisk palca.
Wróć do „Dostęp do pracy lub szkoły” w Ustawieniach -> Konta.
Kliknij Połącz i wprowadź adres e-mail i hasło użytkownika.
Jedyne obecnie obowiązujące zasady grupy to ustawienie „Włącz wygodne logowanie za pomocą kodu PIN” w obszarze Zasady, Szablony administracyjne, System, Logowanie. Pamiętaj, że NIE jest to Windows Hello for Business. To wciąż tylko upychanie hasła. Pewnego dnia dogodne logowanie PIN zostanie depracowane i będziemy musieli to zrobić w bezpieczny sposób.
źródło
Jest jedna rzecz, której nie wolno konfigurować, chyba że masz ważne certyfikaty (dotyczy to serwera 2016).
Upewnij się, że „Konf. Komputera / zasady / Temp. Administratora / Komp. Windows / Windows Hello dla Firm / Użyj Windows Hello dla Firm” jest ustawiony na NIE KONFIGUROWANY.
To była jedyna rzecz, którą ustawiłem (z innego bloga) i to uniemożliwiło działanie Windows hello, Windows Hello nawet się nie uruchomi. Ale dopóki nie jest skonfigurowany, powinien być w porządku.
źródło
Ustawianie następującego rejestru
następnie włącz UAC i uruchom ponownie komputer.
źródło
Jestem w domenie, do której dołączyłem do Dell 7280. Dodanie poniższego klucza rejestru i ponowne uruchomienie pozwoliło mi dodać 6-cyfrowy kod PIN.
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] „AllowDomainPINLogon” = dword: 00000001
źródło