Не вдається включити привіт Windows - деякими налаштуваннями керує ваша організація

Я зробив чисту установку Windows 10 Anniversary Edition. Тепер я не можу ввімкнути Windows Hello, якщо мій домен приєднався до Surface Pro 4, увійшов як користувач AD. Коли я входжу в обліковий запис Msft, я можу ввімкнути Windows Hello.

Я спробував "Деякі налаштування керує ваша організація", але не в домені? (збільшення телеметрії за допомогою програми налаштувань), а також це: скидання телеметрії через gp .

Це показує, що ця проблема відрізняється від інших тут. Це також насправді приєднаний домен, як не більшість інших питань тут.

Ось так виглядають налаштування;

Зі старою версією Windows 10 той самий пристрій міг би ввімкнути Windows Hello, поки домен об'єднався з користувачем домену. Тому я виключаю групову організацію як джерело проблеми. GPO навіть прямо дозволяє біометрику для користувачів домену. Що я можу зробити?

Увімкнено Windows 10 Professional, Cortana. Немає версії для інсайдерів У мене є адміністративний доступ до домену.

Я знайшов рішення. Причина в тому, що Windows Hello керується по-різному на комп'ютерах, що приєдналися до дому, починаючи з ювілейного оновлення. Щоб змусити його працювати, необхідно виконати наступні дії:

1) Налаштуйте центральний магазин групової політики (у вас уже це має бути)

2) Отримайте шаблони групової політики оновлення Windows 10 Anniversary . Це можна зробити, скопіювавши свої файли з PolicyDefinitions (у вітрирі на машині оновлення Win10 Anniversary) в PolicyDefinitions центрального магазину. Ви можете скопіювати ці файли спочатку на загальний доступ до файлів, оскільки вони не мають мати звичайного користувача в центральному магазині.

3) Налаштуйте нову групову групу або додайте до існуючих наступні налаштування, щоб увімкнути привіт Windows:

• Конфігурація комп'ютера / Політика / Адміністративні шаблони

... / Компоненти Windows / Windows Привіт для бізнесу / Використовуйте біометрику => Увімкнено

... / Компоненти Windows / Windows Hello for Business / Використовуйте апаратний пристрій безпеки => Увімкнено (якщо ви хочете використовувати TPM замість ключа або активації на основі сертифікатів для Windows Hello). Зауважте, що загалом усі бізнес-комп’ютери повинні мати TPM

... / Система / Вхід / Увімкніть зручне введення PIN-коду => Увімкнено (Це ключ. Це дозволяє ввійти в PIN-код, що в свою чергу дозволить привітати разом з іншими налаштуваннями.)

... / Компоненти Windows / Біометрія / Дозволити користувачам домену входити в систему, використовуючи biometrics => Увімкнено (я думаю, це ввімкнено за замовчуванням, але явне полегшення управління GP набагато простіше.)

Більш необов’язкові можливості конфігурації ви знайдете в System / Logon та Windows Components / Biometrics and Windows Components / Windows Hello for Business.

Ви можете знайти більше довідки тут: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -версія-1607 /

і тут

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organilization

Найважливіший уривок:

Починаючи з версії 1607, Windows Hello як PIN-код зручності вимкнено за замовчуванням на всіх комп’ютерах, що приєдналися до домену. Щоб увімкнути PIN-код зручності для Windows 10, версія 1607, увімкніть налаштування Групової політики Увімкніть вхід для зручного PIN-коду. Використовуйте налаштування політики Windows Hello for Business, щоб керувати PIN-кодами для Windows Hello for Business.

Якщо ви хочете використовувати ключ або сертифікат Windows Hello, ви можете слідувати керівництвом за посиланнями. Не заплутайтеся, хоча. Ви все ще можете використовувати звичайний TPM для звичайного Windows Hello.

Налаштування наступного ключа реєстру працює для мене:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Довідка: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- on-domain-account? forum = win10itprosetup

Все, що я повинен був зробити:

1. Windows KEY+ Rвідкрити Виконати
2. Введіть:

   gpedit.msc

3. [Локальна комп’ютерна політика]> [Конфігурація комп’ютера]> [Адміністративні шаблони]> [Система]> [Вхід]> [ Увімкнути зручне введення PIN-коду ]: Включено

Це ввімкнуло Windows Hello на Surface Pro 4 з Windows 10 Pro.

Я боровся з цим довгий час. Я спробував усі ці налаштування групової політики: увімкніть вхід для зручного PIN-коду, увімкніть привіт Windows для бізнесу, включіть біометричні дані тощо тощо. І нарешті знайшов рішення.

Комп'ютери в моїй компанії - це Windows 10, побудований 1809. В основному Lenovo X1 Yogas і P330s та деякі поверхневі плюси. Вони приєднані до домену R2 2012 року, і вони підписані на Office 365 для електронної пошти та Office Pro Plus. У нас є ліцензія E3 в Office 365. Коли користувач реєструє додатки Office, використовуючи власну ліцензію O365, він підключає Windows до свого робочого рахунку. Відключення, що дозволило мені встановити PIN-код та відбитки пальців. Ось як це зробити:

1. Перейдіть у Налаштування Windows -> Облікові записи -> Доступ до роботи чи школи. Ключова настройка - це «Робочий або шкільний рахунок» з кольоровим логотипом Windows. Відключіть це. Не торкайтеся налаштувань "Підключено до будь-якого домену".

2. Потім натисніть "Параметри входу". Відбитки пальців та PIN-код більше не затьмарені. Якщо воно все ще не зайнято сірим кольором, переконайтеся, що ввімкнено функцію "зручне введення PIN-коду".

3. Додайте PIN-код, а потім Відбиток пальця.

4. Поверніться до розділу "Доступ до роботи чи школи" в Налаштуваннях -> Облікові записи.

5. Клацніть Підключитися та введіть електронну адресу та пароль користувача.

Єдиною груповою політикою, яка діє на даний момент, є налаштування "Увімкнути введення PIN-коду про зручності" у розділі Політика, Адміністративні шаблони, Система, Вхід. Зауважте, що це НЕ Windows Hello for Business. Це все-таки просто заповнення паролем. Одного дня зручне введення PIN-коду буде знято, і нам доведеться це зробити безпечним способом.

Є одна річ, яку ви не повинні налаштовувати, якщо у вас немає дійсних сертифікатів (це на сервері 2016).

Переконайтесь, що для параметра "Конф / політика для комп'ютера / Температура адміністратора / Комп'ютер для Windows / Windows Привіт для бізнесу / Використовуйте Windows Привіт для бізнесу" встановлено значення "НЕ КОНФІГУРОВАНО".

Це було одне, що я поставив (з іншого блогу), і це завадило привітанню Windows привіт працювати, привіт привіт навіть не запустився. Але поки це не налаштовано, це повинно бути нормально.

Встановлення наступного реєстру

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

потім увімкніть UAC та перезавантажте ПК.

Я перейшов до домену Dell 7280. Додавання ключа реєстру нижче, а також перезавантаження дозволило мені додати 6-значний штифт.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001