Не удается включить Windows Hello. Некоторые настройки управляются вашей организацией.

Я сделал чистую установку Windows 10 Anniversary Edition. Теперь я не могу включить Windows Hello с моим доменом, подключенным к Surface Pro 4, зарегистрированным как пользователь AD. Однако, когда я вхожу в систему с моей учетной записью Msft, я могу включить Windows Hello.

Я попробовал «Некоторые настройки управляются вашей организацией», а не в домене? (Увеличение телеметрии через приложение настроек), а также это: сброс телеметрии через gp .

Это показывает, что эта проблема отличается от других. На самом деле это тоже домен, а не как другие вопросы.

Вот как выглядят настройки; Введите описание изображения здесь

В старой версии Windows 10 одно и то же устройство может включить Windows Hello, а домен соединяется с пользователем домена. Вот почему я исключаю GPO в качестве источника проблемы. Объект GPO даже явно разрешает использование биометрических данных для пользователей домена. Что я могу сделать?

Windows 10 Professional, Cortana включен. No Insiders Edition. У меня есть административный доступ к домену.

Я нашел решение. Причина в том, что Windows Hello управляется по-разному на подключенных к домене компьютерах, начиная с юбилейного обновления. Чтобы заставить его работать, вы должны выполнить следующие шаги:

1) Настройте центральный магазин групповой политики (у вас уже должно быть это)

2) Получите шаблоны групповой политики обновления Windows 10 Anniversary . Вы можете сделать это, скопировав файлы из PolicyDefinitions (в ветровом режиме на машине с обновлением Win10), в PolicyDefinitions центрального магазина. Вы можете скопировать эти файлы сначала в общий ресурс файла, из-за разрешений, которые ваш обычный пользователь не должен иметь в центральном хранилище.

3) Установите новый объект групповой политики или добавьте к существующим следующие настройки, чтобы включить Windows Hello:

  • Конфигурация компьютера / Политики / Административные шаблоны

… / Компоненты Windows / Windows Привет для бизнеса / Использование биометрии => Включено

… / Компоненты Windows / Windows Привет для бизнеса / Используйте аппаратное устройство безопасности => Включено (если вы хотите использовать TPM вместо активации ключа или активации на основе сертификата для Windows Hello). Обратите внимание, что в целом все бизнес-компьютеры должны иметь TPM

… / System / Logon / Включить удобство PIN-код => Включено (Это ключ. Это позволяет вводить PIN-код, который, в свою очередь, включит Hello вместе с другими настройками.)

… / Компоненты Windows / Биометрия / Разрешить пользователям домена входить в систему с помощью biometrics => Enabled (я думаю, что это включено по умолчанию, но явное упрощение управления GP).

Вы найдете дополнительные возможности настройки в System / Logon и компонентах Windows / Biometrics и компонентах Windows / Windows Hello for Business.

Дополнительную информацию вы найдете здесь: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

и здесь

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Самый важный отрывок:

Начиная с версии 1607, Windows Hello как удобный PIN-код по умолчанию отключен на всех компьютерах, подключенных к домену. Чтобы включить удобный PIN-код для Windows 10, версия 1607, включите параметр групповой политики. Включите удобство ввода PIN-кода. Используйте параметры политики Hello Hello для бизнеса для управления PIN-кодами для Windows Hello for Business.

Если вы хотите использовать ключ или сертификат на основе Windows Hello, вы можете следовать указаниям в ссылках. Не путайте, хотя. Вы можете использовать обычный TPM для обычного Windows Hello.

Для меня работает следующий раздел реестра:

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System] "AllowDomainPINLogon"=dword:00000001 

Ссылка: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- на домен-счета? форум = win10itprosetup

Все, что мне нужно было сделать, это:

  1. Windows KEY + R, чтобы открыть Запуск
  2. Войти:
      gpedit.msc 
  3. [Локальная политика компьютера]> [Конфигурация компьютера]> [Административные шаблоны]> [Система]> [Вход в систему]> [ Включить удобство ввода PIN-кода ]: ВКЛЮЧЕНА

Это позволило Windows Hello на Surface Pro 4 с Windows 10 Pro.

Давайте будем гением компьютера.