无法启用 Windows Hello - 某些设置由您的组织管理
zuc*_*ben 22 windows-10 windows-hello
我全新安装了 Windows 10 周年纪念版。现在,我无法在域加入 Surface Pro 4、以 AD 用户身份登录的情况下启用 Windows Hello。但是,当我使用我的 Msft 帐户登录时,我可以打开 Windows Hello。
我在不在域中时尝试过“某些设置由您的组织管理”?(通过设置应用程序增加遥测)还有这个:通过 gp 重置遥测。
这表明这个问题与这里的其他问题不同。这实际上也是域加入,不像这里的大多数其他问题。
这就是设置的样子;
对于旧版本的 Windows 10,同一设备可以在域用户加入域时启用 Windows Hello。这就是为什么我排除 GPO 作为问题的根源。GPO 甚至明确允许域用户使用生物识别技术。我能做什么?
Windows 10 专业版,Cortana 已启用。无内幕版。我对域有管理访问权限。
zuc*_*ben 30
我找到了解决方案。原因是从周年更新开始,Windows Hello 在加入域的计算机上的管理方式不同。要使其正常工作,您必须按照以下步骤操作:
1)设置一个组策略中央存储(你应该已经有了)
2) 获取Windows 10 周年更新组策略模板。您可以通过将您的文件从 PolicyDefinitions(在 Win10 周年更新机器上的 Windir)复制到中央存储的 PolicyDefinitions 来实现。您可以先将这些文件复制到文件共享,因为您的普通用户不应该拥有中央存储的权限。
3) 设置新的 GPO 或添加到现有的以下设置以启用 Windows Hello:
- 计算机配置/策略/管理模板
.../Windows 组件/Windows Hello 企业版/使用生物识别=> 已启用
.../Windows 组件/Windows Hello 企业版/使用硬件安全设备=> 已启用(如果您想使用 TPM 而不是基于密钥或证书的 Windows Hello 激活)。注意一般所有商用电脑都应该有TPM
.../System/Logon/打开便捷 PIN 登录=> 已启用(这是关键。这将启用 PIN 登录,进而启用 Hello 以及其他设置。)
.../Windows Components/Biometrics/ Allow domain users to log on using biometrics => Enabled(我认为这是默认启用的,但显式使GP管理更容易。)
您将在系统/登录和 Windows 组件/生物识别和 Windows 组件/Windows Hello 企业版中找到更多可选配置可能性。
您可以在此处找到更多背景信息:https : //blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607/
和这里
最重要的摘录:
从版本 1607 开始,默认情况下在所有加入域的计算机上禁用 Windows Hello 作为便利 PIN。若要为 Windows 10 版本 1607 启用便捷 PIN,请启用组策略设置打开便捷 PIN 登录。使用 Windows Hello 企业版策略设置来管理 Windows Hello 企业版的 PIN。
如果您想使用基于密钥或证书的 Windows Hello,您可以按照链接中的指南进行操作。不过不要混淆。您仍然可以将常规 TPM 用于正常的 Windows Hello。
- 请务必注意,根据您引用的链接,使用 Windows Hello 不需要“打开便利 PIN 登录”。便利 PIN 是旧式 PIN,不如 Windows Hello PIN 安全。 (“如果您希望部署 Windows Hello 企业版...那么这可能是迁移到更安全的凭据而不是...方便 PIN 登录的绝佳机会。”)实际配置 Windows Hello 企业版涉及的不仅仅是只是 GPO - 请参阅 https://docs.microsoft.com/en-us/azure/active-directory/active-directory-azurereadjoin-passport-deployment (3认同)
小智 7
我已经为此奋斗了很长时间。我已经尝试了所有这些组策略设置:打开便捷 PIN 登录、启用 windows hello for business、启用生物识别等等等。我终于找到了解决方案。
我公司的电脑是 Windows 10 build 1809。主要是联想 X1 Yogas 和 P330s 以及一些 Surface Pro。他们已加入域并加入了 2012 R2 域,并且订阅了 Office 365 的电子邮件和 Office Pro Plus。我们在 Office 365 中有一个 E3 许可证。当用户使用他们自己的 O365 许可证注册 Office 应用程序时,它会将 Windows 连接到他们的工作帐户。断开连接允许我设置 PIN 和指纹。这是如何做到的:
转到 Windows 设置 -> 帐户 -> 访问工作或学校。关键设置是带有彩色窗口徽标的“工作或学校帐户”。断开那个。不要触摸“连接到任何域”设置。
然后点击“登录选项”。指纹和 PIN 不再显示为灰色。如果它仍然是灰色的,请确保启用了“便捷 PIN 登录”。
添加 PIN,然后添加指纹。
在“设置”->“帐户”中返回“访问工作或学校”。
单击连接并输入用户的电子邮件地址和密码。
当前唯一有效的组策略是“策略”、“管理模板”、“系统”、“登录”下的“启用便捷 PIN 登录”设置。请注意,这不是 Windows Hello 企业版。这仍然只是密码填充。总有一天,方便的 PIN 登录将被弃用,我们将不得不以安全的方式进行登录。
设置以下注册表项对我有用:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001
参考:https : //social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- on-domain-account?forum=win10itprosetup
- 这对我不起作用 (2认同)
我所要做的就是:
- Windows KEY+R打开运行
- 进入:
gpedit.msc
- [本地计算机策略]>[计算机配置]>[管理模板]>[系统]>[登录]>[打开便利PIN登录]:已启用
这在带有 Windows 10 Pro 的 Surface Pro 4 上启用了 Windows Hello。
- 我不知道什么是“组策略中央存储”,而且您没有说明在何处应用该策略。在中央 AD 服务器或本地 PC 上... (2认同)
| 归档时间: |
|
| 查看次数: |
214675 次 |
| 最近记录: |