无法启用 Windows Hello - 某些设置由你的组织管理

tag-icon tag-icon windows-10 windows-hello
无法启用 Windows Hello - 某些设置由你的组织管理

我全新安装了 Windows 10 周年纪念版。现在我无法使用加入域的 Surface Pro 4 启用 Windows Hello,并以 AD 用户身份登录。但是,当我使用我的 MSFT 帐户登录时,我可以打开 Windows Hello。

我试过“某些设置由您的组织管理”但不在域上?(通过设置应用增加遥测)还有这个:通过 gp 重置遥测

这表明这个问题与这里的其他问题不同。这实际上也是域连接的,与这里的大多数其他问题不同。

设置如下所示; 在此处输入图片描述

使用旧版本的 Windows 10,同一台设备可以在与域用户加入域时启用 Windows Hello。这就是我排除 GPO 是问题根源的原因。GPO 甚至明确允许域用户使用生物识别技术。我该怎么办?

Windows 10 专业版,Cortana 已启用。无 Insiders 版本。我拥有域的管理权限。

答案1

我找到了解决方案。原因是从周年更新开始,Windows Hello 在加入域的计算机上的管理方式有所不同。要使其正常工作,您必须遵循以下步骤:

1)设置组策略中央存储(你应该已经拥有了)

2)获取Windows 10 周年更新组策略模板。您可以通过将文件从 PolicyDefinitions(在 Win10 周年更新计算机的 windir 中)复制到中央存储的 PolicyDefinitions 来实现此目的。您可能首先将这些文件复制到文件共享,因为您的普通用户不应该拥有中央存储的权限。

3) 设置新的 GPO 或添加到现有以下设置以启用 Windows Hello:

  • 计算机配置/策略/管理模板

.../Windows 组件/Windows Hello 企业版/使用生物识别技术=> 已启用

.../Windows 组件/Windows Hello 企业版/使用硬件安全设备=> 已启用(如果您想使用 TPM 而不是基于密钥或证书的 Windows Hello 激活)。请注意,一般来说,所有商用计算机都应该有 TPM

.../系统/登录/开启便捷 PIN 登录=> 已启用(这是关键。这将启用 PIN 登录,进而启用 Hello,以及其他设置。)

.../Windows 组件/生物识别/允许域用户使用生物识别技术登录=> 已启用(我认为默认情况下这是启用的,但明确启用会使 GP 管理变得容易得多。)

您将在系统/登录和 Windows 组件/生物识别和 Windows 组件/Windows Hello for Business 中找到更多可选的配置可能性。

您可以在这里找到更多背景信息: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

和这里

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

最重要的摘录:

从版本 1607 开始,Windows Hello 作为便捷 PIN 在所有加入域的计算机上默认被禁用。要为 Windows 10 版本 1607 启用便捷 PIN,请启用组策略设置启用便捷 PIN 登录。使用 Windows Hello for Business 策略设置来管理 Windows Hello for Business 的 PIN。

如果您想使用基于密钥或证书的 Windows Hello,您可以按照链接中的指南进行操作。不过不要感到困惑。您仍然可以将常规 TPM 用于普通的 Windows Hello。

答案2

我已经与此斗争了很长时间。我尝试了所有这些组策略设置:启用便捷 PIN 登录、启用 Windows Hello for Business、启用生物识别等等。我终于找到了解决方案。

我公司的 PC 是 Windows 10 build 1809。大部分是联想 X1 Yogas 和 P330s,还有一些 Surface Pros。它们已加入 2012 R2 域,并订阅了 Office 365 以使用电子邮件和 Office Pro Plus。我们在 Office 365 中拥有 E3 许可证。当用户使用自己的 O365 许可证注册 Office 应用时,它会将 Windows 连接到他们的工作帐户。断开连接后,我就可以设置 PIN 和指纹。操作方法如下:

  1. 转到 Windows 设置 -> 帐户 -> 访问工作或学校。关键设置是带有彩色 Windows 徽标的“工作或学校帐户”。断开连接。不要触碰“连接到任何域”设置。

  2. 然后点击“登录选项”。指纹和 PIN 不再显示为灰色。如果仍然显示为灰色,请确保已启用“便捷 PIN 登录”。

  3. 添加 PIN,然后添加指纹。

  4. 返回“设置”->“帐户”中的“访问工作或学校”。

  5. 单击“连接”并输入用户的电子邮件地址和密码。

目前唯一有效的组策略是“策略”、“管理模板”、“系统”、“登录”下的“启用便捷 PIN 登录”设置。请注意,这不是 Windows Hello for Business。这仍然只是密码填充。总有一天,便捷 PIN 登录将被弃用,我们将不得不以安全的方式进行。

答案3

设置以下注册表项对我有用:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

参考:https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

答案4

除非您拥有有效的证书(这是在服务器 2016 上),否则您不能配置一件事。

确保“计算机配置/策略/管理员温度/Windows comp/Windows Hello for Business/使用 Windows Hello for Business”设置为未配置。

这是我设置的一项(来自另一篇博客),它阻止了 Windows Hello 工作,Windows Hello 甚至无法启动。但只要没有配置它就应该没问题。

相关内容