Tidak dapat mengaktifkan Windows Hello - Beberapa pengaturan dikelola oleh organisasi Anda

Saya melakukan instalasi bersih Windows 10 Anniversary Edition. Sekarang saya tidak dapat mengaktifkan Windows Hello dengan domain saya bergabung dengan Surface Pro 4, masuk sebagai pengguna AD. Ketika saya masuk dengan akun Msft saya, saya dapat mengaktifkan Windows Hello.

Saya mencoba "Beberapa pengaturan dikelola oleh organisasi Anda" sementara tidak di domain? (meningkatkan telemetri melalui aplikasi pengaturan) dan juga ini: mengatur ulang telemetri melalui gp .

Ini menunjukkan bahwa masalah ini berbeda dari yang lain di sini. Ini sebenarnya adalah domain yang bergabung, tidak seperti kebanyakan pertanyaan lain di sini.

Seperti inilah pengaturannya;

Dengan Windows 10 versi lama, perangkat yang sama dapat mengaktifkan Windows Hello sementara domain bergabung dengan pengguna domain. Itu sebabnya saya mengesampingkan GPO sebagai sumber masalah. GPO bahkan secara eksplisit memungkinkan Biometrics untuk pengguna domain. Apa yang dapat saya?

Windows 10 Professional, Cortana diaktifkan. Tidak Ada Edisi Orang Dalam. Saya memiliki akses administratif ke domain.

Saya menemukan solusinya. Alasannya adalah bahwa Windows Hello dikelola secara berbeda pada komputer yang bergabung dengan domain, dimulai dengan pembaruan hari jadi. Untuk membuatnya bekerja, Anda harus mengikuti langkah-langkah ini:

1) Mengatur Group Central Store Central (Anda harus sudah memilikinya)

2) Dapatkan Templat Kebijakan Grup Pembaruan Anniversary Windows 10 . Anda dapat melakukannya dengan menyalin file Anda dari PolicyDefinitions (di windir pada mesin Update Anniversary Win10) ke dalam PolicyDefinitions dari toko pusat. Anda dapat menyalin file-file itu terlebih dahulu ke berbagi file, karena izin yang seharusnya tidak dimiliki oleh pengguna biasa Anda di toko pusat.

3) Setup GPO baru atau tambahkan ke pengaturan berikut yang ada untuk mengaktifkan Windows Hello:

• Konfigurasi Komputer / Kebijakan / Template Administratif

... / Komponen Windows / Windows Hello Untuk Bisnis / Gunakan biometrik => Diaktifkan

... / Komponen Windows / Windows Hello for Business / Gunakan perangkat keamanan perangkat keras => Diaktifkan (jika Anda ingin menggunakan TPM sebagai ganti kunci atau aktivasi berbasis sertifikat untuk Windows Hello). Perhatikan bahwa secara umum semua komputer bisnis harus memiliki TPM

... / Sistem / Logon / Aktifkan kenyamanan Masuk PIN => Diaktifkan (Ini adalah kuncinya. Ini memungkinkan masuk PIN yang pada gilirannya akan memungkinkan Halo, bersama dengan pengaturan lainnya.)

... / Komponen Windows / Biometrik / Izinkan pengguna domain untuk masuk menggunakan biometrik => Diaktifkan (Saya pikir ini diaktifkan secara default, tetapi secara eksplisit membuat manajemen GP jauh lebih mudah.)

Anda akan menemukan lebih banyak kemungkinan konfigurasi opsional di System / Logon dan Windows Components / Biometrics dan Windows Components / Windows Hello for Business.

Anda akan menemukan latar belakang lebih lanjut di sini: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -versi-1607 /

dan di sini

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Kutipan paling penting:

Dimulai pada versi 1607, Windows Hello sebagai PIN kenyamanan dinonaktifkan secara default di semua komputer yang bergabung dengan domain. Untuk mengaktifkan PIN kenyamanan untuk Windows 10, versi 1607, aktifkan pengaturan Kebijakan Grup Aktifkan kenyamanan masuk PIN. Gunakan pengaturan kebijakan Windows Hello for Business untuk mengelola PIN untuk Windows Hello for Business.

Jika Anda ingin menggunakan Windows Hello berbasis sertifikat atau kunci, Anda dapat mengikuti panduan di tautan. Tapi jangan bingung. Anda masih dapat menggunakan TPM biasa untuk Windows Hello biasa.

Mengatur kunci registri berikut berfungsi untuk saya:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Referensi: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- pada-domain-akun? forum = win10itprosetup

Yang harus saya lakukan adalah:

1. Windows KEY+ Runtuk membuka Run
2. Memasukkan:

   gpedit.msc

3. [Kebijakan Komputer Lokal]> [Konfigurasi Komputer]> [Template Administratif]> [Sistem]> [Logon]> [ Nyalakan kenyamanan PIN sign-in ]: ENABLED

Ini mengaktifkan Windows Hello on Surface Pro 4 dengan Windows 10 Pro.

Saya telah berjuang ini untuk waktu yang lama. Saya sudah mencoba semua pengaturan kebijakan grup ini: nyalakan kenyamanan PIN login, aktifkan windows halo untuk bisnis, aktifkan biometrik, dll. Dll. Saya akhirnya menemukan solusinya.

PC di perusahaan saya adalah Windows 10 build 1809. Sebagian besar Lenovo X1 Yogas dan P330s dan beberapa Surface Pro. Mereka bergabung dengan domain ke domain 2012 R2 dan mereka berlangganan Office 365 untuk email dan Office Pro Plus. Kami memiliki lisensi E3 di Office 365. Ketika pengguna mendaftarkan aplikasi Office menggunakan lisensi O365 mereka sendiri, itu menghubungkan Windows ke akun kerja mereka. Memutuskan sambungan yang memungkinkan saya mengatur PIN dan Sidik Jari. Berikut cara melakukannya:

1. Buka Pengaturan Windows -> Akun -> Akses Pekerjaan atau Sekolah. Pengaturan kuncinya adalah "Akun Work or School" dengan logo windows berwarna-warni. Putuskan sambungan itu. Jangan sentuh pengaturan "Terhubung ke domain apa pun".

2. Kemudian klik "Opsi Masuk". Sidik jari dan PIN tidak lagi diklik. Jika masih berwarna abu-abu, maka pastikan "kenyamanan masuk PIN" diaktifkan.

3. Tambahkan PIN, lalu Sidik Jari.

4. Kembali ke "Akses Pekerjaan atau Sekolah" di Pengaturan -> Akun.

5. Klik Hubungkan dan Masukkan alamat email dan kata sandi pengguna.

Satu-satunya kebijakan grup yang saat ini berlaku adalah pengaturan "Aktifkan PIN Kenyamanan" di bawah Kebijakan, Template Administratif, Sistem, Logon. Perhatikan bahwa ini BUKAN Windows Hello for Business. Ini masih hanya isian kata sandi. Suatu hari, kenyamanan masuk PIN akan dicabut dan kita harus melakukannya dengan cara yang aman.

Ada satu hal yang tidak boleh Anda konfigurasi kecuali Anda memiliki sertifikat yang valid (ini ada di server 2016).

Pastikan "Konfigurasi komputer / kebijakan / temp Admin / Windows comp / Windows Hello for Business / Gunakan Windows Hello for Business" diatur ke TIDAK DIKONFIGURASI.

Ini adalah satu hal yang saya atur (dari blog lain) dan itu mencegah windows halo bekerja, windows halo bahkan tidak akan memulai. Tetapi selama itu tidak dikonfigurasi harus ok.

Pengaturan registri berikut

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

kemudian aktifkan UAC dan mulai ulang PC.

Saya berada di domain yang bergabung dengan Dell 7280. Menambahkan kunci registri di bawah ini bersama dengan reboot telah memungkinkan saya untuk menambahkan pin 6 digit.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001