我全新安装了 Windows 10 周年纪念版。现在我无法使用加入域的 Surface Pro 4 启用 Windows Hello,并以 AD 用户身份登录。但是,当我使用我的 MSFT 帐户登录时,我可以打开 Windows Hello。
我试过“某些设置由您的组织管理”但不在域上?(通过设置应用增加遥测)还有这个:通过 gp 重置遥测。
这表明这个问题与这里的其他问题不同。这实际上也是域连接的,与这里的大多数其他问题不同。
使用旧版本的 Windows 10,同一台设备可以在与域用户加入域时启用 Windows Hello。这就是我排除 GPO 是问题根源的原因。GPO 甚至明确允许域用户使用生物识别技术。我该怎么办?
Windows 10 专业版,Cortana 已启用。无 Insiders 版本。我拥有域的管理权限。
答案1
我找到了解决方案。原因是从周年更新开始,Windows Hello 在加入域的计算机上的管理方式有所不同。要使其正常工作,您必须遵循以下步骤:
1)设置组策略中央存储(你应该已经拥有了)
2)获取Windows 10 周年更新组策略模板。您可以通过将文件从 PolicyDefinitions(在 Win10 周年更新计算机的 windir 中)复制到中央存储的 PolicyDefinitions 来实现此目的。您可能首先将这些文件复制到文件共享,因为您的普通用户不应该拥有中央存储的权限。
3) 设置新的 GPO 或添加到现有以下设置以启用 Windows Hello:
- 计算机配置/策略/管理模板
.../Windows 组件/Windows Hello 企业版/使用生物识别技术=> 已启用
.../Windows 组件/Windows Hello 企业版/使用硬件安全设备=> 已启用(如果您想使用 TPM 而不是基于密钥或证书的 Windows Hello 激活)。请注意,一般来说,所有商用计算机都应该有 TPM
.../系统/登录/开启便捷 PIN 登录=> 已启用(这是关键。这将启用 PIN 登录,进而启用 Hello,以及其他设置。)
.../Windows 组件/生物识别/允许域用户使用生物识别技术登录=> 已启用(我认为默认情况下这是启用的,但明确启用会使 GP 管理变得容易得多。)
您将在系统/登录和 Windows 组件/生物识别和 Windows 组件/Windows Hello for Business 中找到更多可选的配置可能性。
您可以在这里找到更多背景信息: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/
和这里
最重要的摘录:
从版本 1607 开始,Windows Hello 作为便捷 PIN 在所有加入域的计算机上默认被禁用。要为 Windows 10 版本 1607 启用便捷 PIN,请启用组策略设置启用便捷 PIN 登录。使用 Windows Hello for Business 策略设置来管理 Windows Hello for Business 的 PIN。
如果您想使用基于密钥或证书的 Windows Hello,您可以按照链接中的指南进行操作。不过不要感到困惑。您仍然可以将常规 TPM 用于普通的 Windows Hello。
答案2
我已经与此斗争了很长时间。我尝试了所有这些组策略设置:启用便捷 PIN 登录、启用 Windows Hello for Business、启用生物识别等等。我终于找到了解决方案。
我公司的 PC 是 Windows 10 build 1809。大部分是联想 X1 Yogas 和 P330s,还有一些 Surface Pros。它们已加入 2012 R2 域,并订阅了 Office 365 以使用电子邮件和 Office Pro Plus。我们在 Office 365 中拥有 E3 许可证。当用户使用自己的 O365 许可证注册 Office 应用时,它会将 Windows 连接到他们的工作帐户。断开连接后,我就可以设置 PIN 和指纹。操作方法如下:
转到 Windows 设置 -> 帐户 -> 访问工作或学校。关键设置是带有彩色 Windows 徽标的“工作或学校帐户”。断开连接。不要触碰“连接到任何域”设置。
然后点击“登录选项”。指纹和 PIN 不再显示为灰色。如果仍然显示为灰色,请确保已启用“便捷 PIN 登录”。
添加 PIN,然后添加指纹。
返回“设置”->“帐户”中的“访问工作或学校”。
单击“连接”并输入用户的电子邮件地址和密码。
目前唯一有效的组策略是“策略”、“管理模板”、“系统”、“登录”下的“启用便捷 PIN 登录”设置。请注意,这不是 Windows Hello for Business。这仍然只是密码填充。总有一天,便捷 PIN 登录将被弃用,我们将不得不以安全的方式进行。
答案3
设置以下注册表项对我有用:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001
答案4
除非您拥有有效的证书(这是在服务器 2016 上),否则您不能配置一件事。
确保“计算机配置/策略/管理员温度/Windows comp/Windows Hello for Business/使用 Windows Hello for Business”设置为未配置。
这是我设置的一项(来自另一篇博客),它阻止了 Windows Hello 工作,Windows Hello 甚至无法启动。但只要没有配置它就应该没问题。