环境 Windows 10 专业版设备、混合 Azure AD 连接(物理)服务器 2019 DCs AD Connect 1.5.45 密钥信任设置用于部署 WHfB 的端点管理器 CRL 分发点发布到内部和外部 Web 服务器已验证的 CA 和 CA+.crl 文件可从 LAN 和非 LAN 连接的 Windows 10 端点访问
细节 当 WHfB 向导首次运行且用户脱离 LAN 时,PIN 设置即可顺利完成。
然而,一旦用户退出或锁定屏幕,PIN 码就不起作用
显示“无法验证您的凭据”。这也考虑到了 30 分钟同步回 AD Connect。
然而,一旦用户恢复使用密码登录,然后激活 VPN 并在仍连接的情况下锁定工作站,PIN 码将可用于解锁。
当 VPN 未连接时,PIN 的后续使用也将有效,包括 PIN 更改和重置。
基于 LAN 的设备完全没有问题,WHfB 也能按预期工作。
有人能建议一下在 LAN 之外注册时的正确工作流程吗?
答案1
您所看到的是预期的和设计的结果:
在上述部署模型(使用密钥的混合 Azure AD 加入身份验证)中,新配置的用户将无法使用 Windows Hello 企业版登录,直到 (a) Azure AD Connect 成功将公钥同步到本地 Active Directory 并且(b)设备首次与域控制器建立视线。