Không thể bật Windows Hello - Một số cài đặt được quản lý bởi tổ chức của bạn

Tôi đã cài đặt sạch Windows 10 Anniversary Edition. Bây giờ tôi không thể kích hoạt Windows Hello với tên miền đã tham gia Surface Pro 4, đăng nhập với tư cách người dùng AD. Khi tôi đăng nhập bằng tài khoản Msft của mình, tôi có thể bật Windows Hello.

Tôi đã thử "Một số cài đặt được quản lý bởi tổ chức của bạn" trong khi không có tên miền? (tăng từ xa thông qua ứng dụng cài đặt) và cả điều này: đặt lại từ xa qua gp .

Điều này cho thấy vấn đề này khác với những vấn đề khác ở đây. Đây thực tế cũng là miền tham gia, không giống như hầu hết các câu hỏi khác ở đây.

Đây là những gì các thiết lập trông như thế nào;

Với phiên bản Windows 10 cũ, cùng một thiết bị có thể kích hoạt Windows Hello trong khi tên miền được kết nối với người dùng miền. Đó là lý do tại sao tôi loại trừ GPO là nguồn gốc của vấn đề. GPO thậm chí rõ ràng cho phép Sinh trắc học cho người dùng tên miền. Tôi có thể làm gì?

Windows 10 Professional, Cortana được bật. Không có phiên bản nội bộ. Tôi có quyền truy cập quản trị vào miền.

Tôi tìm thấy giải pháp. Lý do là Windows Hello được quản lý khác nhau trên các máy tính gia nhập miền, bắt đầu bằng bản cập nhật kỷ niệm. Để làm cho nó hoạt động, bạn phải làm theo các bước sau:

1) Thiết lập Cửa hàng trung tâm chính sách nhóm (bạn đã có sẵn điều đó)

2) Nhận Mẫu chính sách nhóm cập nhật Windows 10 Anniversary . Bạn có thể làm như vậy bằng cách sao chép các tệp của mình từ Chính sách xác định (theo hướng gió trên máy Cập nhật kỷ niệm Win10) vào Chính sách xác định của cửa hàng trung tâm. Trước tiên, bạn có thể sao chép các tệp đó vào chia sẻ tệp, vì các quyền mà người dùng thông thường của bạn không nên có trên cửa hàng trung tâm.

3) Thiết lập GPO mới hoặc thêm vào các cài đặt hiện có để bật Windows Hello:

• Cấu hình máy tính / Chính sách / Mẫu quản trị

... / Thành phần Windows / Windows Xin chào doanh nghiệp / Sử dụng sinh trắc học => Đã bật

... / Thành phần Windows / Windows Hello for Business / Sử dụng thiết bị bảo mật phần cứng => Đã bật (nếu bạn muốn sử dụng TPM thay vì kích hoạt dựa trên khóa hoặc chứng chỉ cho Windows Hello). Lưu ý rằng nói chung tất cả các máy tính doanh nghiệp nên có TPM

... / Hệ thống / Đăng nhập / Bật đăng nhập mã PIN tiện lợi => Đã bật (Đây là khóa. Điều này cho phép đăng nhập mã PIN sẽ bật Hello, cùng với các cài đặt khác.)

... / Thành phần Windows / Sinh trắc học / Cho phép người dùng tên miền đăng nhập bằng cách sử dụng sinh trắc học => Đã bật (Tôi nghĩ rằng điều này được bật theo mặc định, nhưng rõ ràng giúp quản lý GP dễ dàng hơn nhiều.)

Bạn sẽ tìm thấy nhiều khả năng cấu hình tùy chọn hơn trong Hệ thống / Đăng nhập và Thành phần Windows / Sinh trắc học và Thành phần Windows / Windows Hello for Business.

Bạn sẽ tìm thấy nhiều nền tảng hơn tại đây: https://bloss.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

và đây

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/imTHER-microsoft-passport-in-your- tổ chức

Đoạn trích quan trọng nhất:

Bắt đầu từ phiên bản 1607, Windows Hello như một mã PIN tiện lợi bị tắt theo mặc định trên tất cả các máy tính gia nhập miền. Để bật mã PIN tiện lợi cho Windows 10, phiên bản 1607, hãy bật cài đặt Chính sách nhóm Bật đăng nhập mã PIN tiện lợi. Sử dụng cài đặt chính sách Windows Hello for Business để quản lý mã PIN cho Windows Hello for Business.

Nếu bạn muốn sử dụng khóa hoặc chứng chỉ dựa trên Windows Xin chào, bạn có thể làm theo các hướng dẫn trong các liên kết. Đừng nhầm lẫn mặc dù. Bạn vẫn có thể sử dụng TPM thông thường cho Windows Hello bình thường.

Đặt khóa đăng ký sau hoạt động với tôi:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Tham khảo: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-up- trên tài khoản tên miền? forum = win10itprosetup

Tất cả tôi phải làm là:

1. Windows KEY+ Rđể mở Run
2. Đi vào:

   gpedit.msc

3. [Chính sách máy tính cục bộ]> [Cấu hình máy tính]> [Mẫu quản trị]> [Hệ thống]> [Đăng nhập]> [ Bật đăng nhập mã PIN tiện lợi ]: ENABLED

Điều này kích hoạt Windows Hello trên Surface Pro 4 với Windows 10 Pro.

Tôi đã chiến đấu với điều này trong một thời gian dài. Tôi đã thử tất cả các cài đặt chính sách nhóm này: bật đăng nhập mã PIN tiện lợi, bật windows hello cho doanh nghiệp, bật sinh trắc học, v.v., v.v ... Cuối cùng tôi cũng tìm được giải pháp.

Các PC trong công ty của tôi là Windows 10 build 1809. Chủ yếu là Lenovo X1 Yogas và P330s và một số Ưu điểm Surface. Chúng được gia nhập miền vào miền 2012 R2 và chúng được đăng ký Office 365 cho email và Office Pro Plus. Chúng tôi có giấy phép E3 trong Office 365. Khi người dùng đăng ký ứng dụng Office bằng giấy phép O365 của riêng họ, nó sẽ kết nối Windows với tài khoản công việc của họ. Ngắt kết nối cho phép tôi thiết lập mã PIN và Dấu vân tay. Đây là cách thực hiện:

1. Chuyển đến Cài đặt Windows -> Tài khoản -> Truy cập Công việc hoặc Trường học. Cài đặt chính là "Tài khoản Cơ quan hoặc Trường học" với logo cửa sổ đầy màu sắc. Ngắt kết nối đó. Không chạm vào cài đặt "Đã kết nối với bất kỳ miền nào".

2. Sau đó bấm vào "Tùy chọn đăng nhập". Dấu vân tay và mã PIN không còn bị mờ đi. Nếu nó vẫn bị mờ đi, thì hãy đảm bảo "đăng nhập mã PIN tiện lợi" được bật.

3. Thêm mã PIN, sau đó là Dấu vân tay.

4. Quay lại "Truy cập công việc hoặc trường học" trong Cài đặt -> Tài khoản.

5. Nhấp vào Kết nối và Nhập địa chỉ email và mật khẩu của người dùng.

Chính sách nhóm duy nhất hiện đang có hiệu lực là cài đặt "Bật đăng nhập mã PIN tiện lợi" trong Chính sách, Mẫu quản trị, Hệ thống, Đăng nhập. Lưu ý rằng đây không phải là Windows Hello for Business. Đây vẫn chỉ là nhồi mật khẩu. Một ngày nào đó, đăng nhập mã PIN tiện lợi sẽ bị xóa và chúng tôi sẽ phải thực hiện theo cách an toàn.

Có một điều bạn không được cấu hình trừ khi bạn có chứng chỉ hợp lệ (đây là trên máy chủ 2016).

Đảm bảo "conf conf / chính sách / Quản trị tạm thời / Windows comp / Windows Hello cho doanh nghiệp / Sử dụng Windows Hello for Business" được đặt thành KHÔNG ĐƯỢC XÁC NHẬN.

Đây là điều tôi đã thiết lập (từ một blog khác) và nó đã ngăn các cửa sổ xin chào hoạt động, các cửa sổ xin chào thậm chí sẽ không bắt đầu. Nhưng miễn là nó không được cấu hình thì sẽ ổn thôi.

Đặt sổ đăng ký sau

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

sau đó kích hoạt UAC và khởi động lại PC.

Tôi đang sử dụng tên miền đã tham gia Dell 7280. Thêm khóa đăng ký bên dưới cùng với việc khởi động lại đã cho phép tôi thêm mã pin gồm 6 chữ số.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Chính sách \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001