Określ, dlaczego system Windows Hello jest niedostępny w książce powierzchniowej

1

Moja grupa ma kilka książek o powierzchni. Kupiliśmy niektóre z nich nieco mniej niż rok temu i właśnie kupiliśmy drugą rundę w zeszłym miesiącu.

Pierwsza grupa jest skonfigurowana do korzystania z Windows Hello w / Facial Recognition. Działa pięknie.

W drugiej grupie konfiguracja Windows Hello jest wyłączona na stronie Opcje logowania.

Wszystkie komputery - pierwsza i druga grupa - są w naszej domenie.

  • Może to być polityka grupowa ... ale dlaczego miałoby to mieć wpływ tylko na drugą Grupa? Sprawdziłem wszystkie ustawienia Windows Hello for Business w gpedit, ale wszystkie są „Nie skonfigurowane”
  • Może to być problem ze sprzętem ... ale wydaje się dziwne, że wpłynie to na kilka urządzeń jednocześnie.
  • To może być jakieś inne ustawienie, którego nie znam.

Jak więc mogę to rozwiązać? Jak mogę ustalić, dlaczego przycisk Konfiguruj w obszarze Rozpoznawanie twarzy na stronie Opcje logowania jest wyłączony?

windows windows-10 microsoft-surface Tim
źródło
Pierwszym krokiem, aby ustalić przyczynę tego zachowania, jest zmiana zasad grupy Windows Hello, aby była ona włączona. Istnieją polisy, w których „nie skonfigurowany” jest „wyłączony”, a inne „włączony”. Więc wykluczmy tę możliwość. Komputery w pierwszej grupie, ich konto domeny, są połączone z kontem MS? Tak; to pytanie ma sens.
Ramhound
Microsoft zmienił strukturę systemu Windows Hello na komputer dołączony do domeny w aktualizacji rocznicowej. Oznacza to również nowe zasady, które należy skonfigurować w Domenie. Jeśli komputer z włączoną obsługą Hello przed aktualizacją, Hello będzie działał jak poprzednio. Jeśli komputer zostanie zaktualizowany przed skonfigurowaniem przez użytkownika Hello, te nowe zasady muszą zostać skonfigurowane w domenie, zanim zacznie działać ponownie. Dobrze: nowe ramy są znacznie bezpieczniejsze. Zła rzecz: takie rzeczy.
music2myear
Rzeczy, które Twój dział IT musi przeczytać: blogs.technet.microsoft.com/ash/2016/08/13/… i technet.microsoft.com/en-us/itpro/windows/keep-secure/… i technet.microsoft.com/en-us/itpro/windows/keep-secure/…
music2myear

Odpowiedzi:

3

Microsoft zmienił sposób, w jaki Windows Hello pracował na komputerach z domeną z kompilacją 1607, „Aktualizacją rocznicową”.

Wcześniej system Windows Hello na komputerze biznesowym działał prawie tak samo jak na komputerze domowym. Było to mniej więcej zapisane hasło, które zostało „wyzwolone” za pomocą wybranych akceptowalnych metod uwierzytelniania.

Teraz opiera się na certyfikatach i innych rzeczach, które są na ogół dużo bezpieczniejsze.

Jeśli nie wprowadzono żadnych zmian w zasadach grupy w domenie, komputer miał wcześniejszą kompilację (na przykład 1511) systemu Windows 10, a użytkownik skonfigurował system Windows Hello, a następnie komputer został zaktualizowany do wersji 1607, ten sam użytkownik nadal będzie potrafi używać tych samych metod uwierzytelniania Windows Hello. Każdy użytkownik próbujący skonfigurować Windows Hello po raz pierwszy po aktualizacji lub w wersji 1607 nie byłby w stanie.

Administratorzy domeny muszą skonfigurować nowe zasady grupy kontrolujące system Windows Hello for Business, zanim którakolwiek z metod uwierzytelniania będzie działać na komputerach z systemem Windows 10 build 1607.

Więcej informacji na temat określonych ustawień, które należy ustawić, można znaleźć w następujących oficjalnych dokumentach firmy Microsoft:

music2myear
źródło
Dzięki @ music2myear to prawie na pewno problem tutaj. Jedno pytanie uzupełniające w tej sprawie. Czy wystarczy (jako administrator lokalny) zmienić zasadę „Włącz logowanie PIN wygody” na Włączone w gpedit? A może trzeba to zrobić na poziomie domeny i przesunąć w dół?
Tim
Jeśli zasada domeny jest ustawiona na „Nie skonfigurowano” (typowe ustawienie domyślne), zostaną zastosowane dowolne zasady lokalne. Zasady domeny zawsze zastępują politykę lokalną, ale tylko tam, gdzie są faktycznie skonfigurowane.
music2myear
Jak zaznaczam. „nieskonfigurowany” może oznaczać „zezwalaj” lub „odmawiaj”, wszystko zależy od domyślnej wartości zasady.
Ramhound
Ustawienie go na Enabled lokalnie działało dobrze na jednej z naszych maszyn testowych. Wygląda więc na to, że jest to dobre obejście, dopóki nasze centralne działy IT nie będą mogły uzyskać ustawień pozostałych. Dzięki!
Tim
Coolbeans. @Ramhound „Not Configured” czasami ma domyślną pozycję, ale oznacza to również, że jeśli polityka w innym miejscu ma ustawienie poza Not Configured, ta zasada zostanie zastąpiona. Zasadniczo Not Configured pozwala na zachowanie domyślne w systemie operacyjnym, aw samym GP nie ma zapisu tego ustawienia. Tak więc GP domeny z nie skonfigurowanym nie będzie miał nic do zastąpienia nawet niedomyślnego GP lokalnego.
music2myear