Tidak dapat mengaktifkan Windows Hello - Beberapa pengaturan dikelola oleh organisasi Anda

19

Saya melakukan instalasi bersih Windows 10 Anniversary Edition. Sekarang saya tidak dapat mengaktifkan Windows Hello dengan domain saya bergabung dengan Surface Pro 4, masuk sebagai pengguna AD. Ketika saya masuk dengan akun Msft saya, saya dapat mengaktifkan Windows Hello.

Saya mencoba "Beberapa pengaturan dikelola oleh organisasi Anda" sementara tidak di domain? (meningkatkan telemetri melalui aplikasi pengaturan) dan juga ini: mengatur ulang telemetri melalui gp .

Ini menunjukkan bahwa masalah ini berbeda dari yang lain di sini. Ini sebenarnya adalah domain yang bergabung, tidak seperti kebanyakan pertanyaan lain di sini.

Seperti inilah pengaturannya; masukkan deskripsi gambar di sini

Dengan Windows 10 versi lama, perangkat yang sama dapat mengaktifkan Windows Hello sementara domain bergabung dengan pengguna domain. Itu sebabnya saya mengesampingkan GPO sebagai sumber masalah. GPO bahkan secara eksplisit memungkinkan Biometrics untuk pengguna domain. Apa yang dapat saya?

Windows 10 Professional, Cortana diaktifkan. Tidak Ada Edisi Orang Dalam. Saya memiliki akses administratif ke domain.

windows-10  windows-hello 
zuckerthoben
sumber
Apakah Anda pernah menemukan solusi? Saya memiliki masalah yang sama :(
MojoDK
ya saya lakukan! Saya akan menulis jawabannya sekarang @ MojoDK :)
zuckerthoben

Jawaban:

27

Saya menemukan solusinya. Alasannya adalah bahwa Windows Hello dikelola secara berbeda pada komputer yang bergabung dengan domain, dimulai dengan pembaruan hari jadi. Untuk membuatnya bekerja, Anda harus mengikuti langkah-langkah ini:

1) Mengatur Group Central Store Central (Anda harus sudah memilikinya)

2) Dapatkan Templat Kebijakan Grup Pembaruan Anniversary Windows 10 . Anda dapat melakukannya dengan menyalin file Anda dari PolicyDefinitions (di windir pada mesin Update Anniversary Win10) ke dalam PolicyDefinitions dari toko pusat. Anda dapat menyalin file-file itu terlebih dahulu ke berbagi file, karena izin yang seharusnya tidak dimiliki oleh pengguna biasa Anda di toko pusat.

3) Setup GPO baru atau tambahkan ke pengaturan berikut yang ada untuk mengaktifkan Windows Hello:

  • Konfigurasi Komputer / Kebijakan / Template Administratif

... / Komponen Windows / Windows Hello Untuk Bisnis / Gunakan biometrik => Diaktifkan

... / Komponen Windows / Windows Hello for Business / Gunakan perangkat keamanan perangkat keras => Diaktifkan (jika Anda ingin menggunakan TPM sebagai ganti kunci atau aktivasi berbasis sertifikat untuk Windows Hello). Perhatikan bahwa secara umum semua komputer bisnis harus memiliki TPM

... / Sistem / Logon / Aktifkan kenyamanan Masuk PIN => Diaktifkan (Ini adalah kuncinya. Ini memungkinkan masuk PIN yang pada gilirannya akan memungkinkan Halo, bersama dengan pengaturan lainnya.)

... / Komponen Windows / Biometrik / Izinkan pengguna domain untuk masuk menggunakan biometrik => Diaktifkan (Saya pikir ini diaktifkan secara default, tetapi secara eksplisit membuat manajemen GP jauh lebih mudah.)

Anda akan menemukan lebih banyak kemungkinan konfigurasi opsional di System / Logon dan Windows Components / Biometrics dan Windows Components / Windows Hello for Business.

Anda akan menemukan latar belakang lebih lanjut di sini: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -versi-1607 /

dan di sini

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Kutipan paling penting:

Dimulai pada versi 1607, Windows Hello sebagai PIN kenyamanan dinonaktifkan secara default di semua komputer yang bergabung dengan domain. Untuk mengaktifkan PIN kenyamanan untuk Windows 10, versi 1607, aktifkan pengaturan Kebijakan Grup Aktifkan kenyamanan masuk PIN. Gunakan pengaturan kebijakan Windows Hello for Business untuk mengelola PIN untuk Windows Hello for Business.

Jika Anda ingin menggunakan Windows Hello berbasis sertifikat atau kunci, Anda dapat mengikuti panduan di tautan. Tapi jangan bingung. Anda masih dapat menggunakan TPM biasa untuk Windows Hello biasa.

zuckerthoben
sumber
1
Penting untuk dicatat bahwa menurut tautan yang Anda kutip, "Aktifkan kenyamanan masuk PIN" TIDAK diperlukan untuk menggunakan Windows Hello. PIN kenyamanan adalah PIN gaya lama yang tidak seaman PIN Windows Hello. ("jika Anda mencari untuk menggunakan Windows Hello for Business ... maka ini mungkin kesempatan yang sempurna untuk pindah ke kredensial yang lebih aman dan bukan ... kenyamanan PIN masuk.") Sebenarnya mengkonfigurasi Windows Hello for Business melibatkan lebih dari just GPO - lihat docs.microsoft.com/en-us/azure/active-directory/…
Speedbird186
Tangkapan yang bagus, tetapi SCCM tidak bisa menjadi satu-satunya solusi untuk mengaktifkan Windows Hello pada perangkat yang bergabung dengan domain. Pasti ada cara lain yang aman.
zuckerthoben
Hanya ingin menunjukkan bahwa saya dapat mengedit kebijakan lokal (Jalankan> GPedit.msc) pada domain yang bergabung dengan laptop untuk membuatnya berfungsi. Info bagus, terima kasih.
SamAndrew81
Sayangnya semua ini tidak membantu saya: / Saya bisa masuk dengan akun lokal tetapi Windows Hello masih diklik untuk Akun AD saya.
Dominik
Saya tidak mengerti langkah pertama "1) Menyiapkan Group Central Central Store (Anda seharusnya sudah memilikinya)". Saya memiliki hak admin lokal untuk komputer bisnis yang bergabung dengan domain saya, tetapi tidak ada hak admin jaringan. Bisakah Anda (atau orang lain) memberikan sub-langkah langkah demi langkah untuk poin pertama ini, dan juga untuk poin kedua? Poin-poin lainnya jelas, tetapi tanpa dua yang pertama, saya tidak dapat benar-benar mencoba solusi ini.
Ochado
5

Mengatur kunci registri berikut berfungsi untuk saya:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Referensi: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- pada-domain-akun? forum = win10itprosetup

Stephen Quan
sumber
PC saya bergabung dengan domain, tetapi saya tidak memiliki akses admin untuk itu. Solusi ini memecahkan masalah bagi saya.
Nikola Malešević
Ini memungkinkan saya (sebagai pengguna akhir) untuk mengaktifkan Windows Hello di Surface Book saya tanpa perlu melibatkan TI perusahaan.
Pengembang Holistik
1
Ini tidak berfungsi untuk saya
Ahmed Hamdy
Saya menjalankan Windows Server 2016 Build 1607 sebagai Server Anggota di domain yang ada dan kunci registri ini sudah ditetapkan tetapi saya tidak bisa menggunakan Windows Hello.
Dai
5

Yang harus saya lakukan adalah:

  1. Windows KEY+ Runtuk membuka Run
  2. Memasukkan: 
    gpedit.msc
  3. [Kebijakan Komputer Lokal]> [Konfigurasi Komputer]> [Template Administratif]> [Sistem]> [Logon]> [ Nyalakan kenyamanan PIN sign-in ]: ENABLED

Ini mengaktifkan Windows Hello on Surface Pro 4 dengan Windows 10 Pro.

juFo
sumber
Ya, itu hampir setara dengan jawaban saya, tetapi untuk satu pengguna lokal. Pendekatan domain lebih baik untuk kasus penggunaan perusahaan.
zuckerthoben
2
Saya tidak tahu apa itu "Toko Pusat Kebijakan Grup" dan Anda tidak mengatakan di mana Anda menerapkan kebijakan tersebut. Pada server AD pusat atau pada pc lokal ...
juFo
1
Dari konteksnya Anda dapat dengan aman berasumsi bahwa saya sedang membuat kebijakan grup tentang AD. Menjelaskan cara menyiapkan toko pusat Kebijakan Grup jauh di luar cakupan jawaban saya. Panduan dan penjelasan dapat ditemukan di seluruh web.
zuckerthoben
Saya punya 10 pro tetapi saya tidak melihat opsi ini
Crash893
ada masalah dalam deskripsi. Untuk PIN 4 digit, Anda perlu mengatur Panjang ping minimum ke Diaktifkan dengan nilai 4
sofsntp
3

Saya telah berjuang ini untuk waktu yang lama. Saya sudah mencoba semua pengaturan kebijakan grup ini: nyalakan kenyamanan PIN login, aktifkan windows halo untuk bisnis, aktifkan biometrik, dll. Dll. Saya akhirnya menemukan solusinya.

PC di perusahaan saya adalah Windows 10 build 1809. Sebagian besar Lenovo X1 Yogas dan P330s dan beberapa Surface Pro. Mereka bergabung dengan domain ke domain 2012 R2 dan mereka berlangganan Office 365 untuk email dan Office Pro Plus. Kami memiliki lisensi E3 di Office 365. Ketika pengguna mendaftarkan aplikasi Office menggunakan lisensi O365 mereka sendiri, itu menghubungkan Windows ke akun kerja mereka. Memutuskan sambungan yang memungkinkan saya mengatur PIN dan Sidik Jari. Berikut cara melakukannya:

  1. Buka Pengaturan Windows -> Akun -> Akses Pekerjaan atau Sekolah. Pengaturan kuncinya adalah "Akun Work or School" dengan logo windows berwarna-warni. Putuskan sambungan itu. Jangan sentuh pengaturan "Terhubung ke domain apa pun".

  2. Kemudian klik "Opsi Masuk". Sidik jari dan PIN tidak lagi diklik. Jika masih berwarna abu-abu, maka pastikan "kenyamanan masuk PIN" diaktifkan.

  3. Tambahkan PIN, lalu Sidik Jari.

  4. Kembali ke "Akses Pekerjaan atau Sekolah" di Pengaturan -> Akun.

  5. Klik Hubungkan dan Masukkan alamat email dan kata sandi pengguna.

Satu-satunya kebijakan grup yang saat ini berlaku adalah pengaturan "Aktifkan PIN Kenyamanan" di bawah Kebijakan, Template Administratif, Sistem, Logon. Perhatikan bahwa ini BUKAN Windows Hello for Business. Ini masih hanya isian kata sandi. Suatu hari, kenyamanan masuk PIN akan dicabut dan kita harus melakukannya dengan cara yang aman.

CParker
sumber
0

Ada satu hal yang tidak boleh Anda konfigurasi kecuali Anda memiliki sertifikat yang valid (ini ada di server 2016).

Pastikan "Konfigurasi komputer / kebijakan / temp Admin / Windows comp / Windows Hello for Business / Gunakan Windows Hello for Business" diatur ke TIDAK DIKONFIGURASI.

Ini adalah satu hal yang saya atur (dari blog lain) dan itu mencegah windows halo bekerja, windows halo bahkan tidak akan memulai. Tetapi selama itu tidak dikonfigurasi harus ok.

pengguna780692
sumber
Baca "Mengapa saya perlu 50 reputasi untuk berkomentar" untuk memastikan Anda memahami bagaimana Anda dapat mulai berkomentar.
Pimp Juice,
0

Pengaturan registri berikut

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

kemudian aktifkan UAC dan mulai ulang PC.

pengguna863516
sumber
-2

Saya berada di domain yang bergabung dengan Dell 7280. Menambahkan kunci registri di bawah ini bersama dengan reboot telah memungkinkan saya untuk menambahkan pin 6 digit.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001

joe
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.