2016-08-15 08:15:59 +0000 2016-08-15 08:15:59 +0000
21
21

无法启用Windows Hello - 某些设置由您的组织管理。

我做了一个干净的安装Windows 10周年纪念版。现在我无法用我的域加入的Surface Pro 4启用Windows Hello,以AD用户登录。当我用Msft账户登录时,我可以打开Windows Hello,不过。

我试过 “Some settings are managed by your organization” while not on domain? (increasing telemetry via settings app) and also this: 通过gp重置遥测

这说明这个问题和这里的其他问题不同。这实际上也是域名加入,而不是像这里的大多数其他问题。

这是设置的样子;

在旧版Windows 10中,同一设备可以在域加入时启用Windows Hello,而域用户。这就是为什么我排除了GPO作为问题的来源。GPO甚至明确允许域用户使用生物识别技术。我可以做什么?

Windows 10专业版,启用了Cortana。没有Insiders版。我有域的管理权限。

答案 (8)

29
29
29
2016-10-05 06:44:04 +0000

我找到了解决办法。原因是Windows Hello在域加入的电脑上的管理方式不同,从周年更新开始。要想让它工作,你必须按照以下步骤进行。

1) 设置一个组策略中心存储(你应该已经有了)

2) 获取Windows 10周年更新组策略模板。你可以通过将你的文件从PolicyDefinitions(在Win10 Anniversary Update机器上的windir中)复制到中央存储的PolicyDefinitions中来实现。你可能会先把这些文件复制到文件共享中,因为你的普通用户在中央存储上应该没有权限。

3) 设置一个新的GPO或将以下设置添加到现有的GPO中,以启用Windows Hello:

  • Computer Configuration/Policies/Administrative Templates

…/Windows Components/Windows Hello For Business/ Use biometrics => Enabled

。 …/Windows Components/Windows Hello for Business/ Use a hardware security device => Enabled(如果你想使用TPM代替基于密钥或证书的Windows Hello激活)。请注意,一般来说,所有的商业电脑都应该有TPM

…/System/Logon/ 开启方便的PIN码登录 =/> Enabled(这是关键。这将开启PIN码登录,进而开启Hello,以及其他设置。)

…/Windows Components/Biometrics/ Allow domain users to log on using biometrics => Enabled (我认为这是默认启用的,但明确启用会让GP管理更容易。)

你可以在系统/登录和Windows组件/生物识别和Windows组件/Windows Hello for Business中找到更多可选的配置可能性。

你可以在 https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

和这里 https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

最重要的摘录。

从1607版本开始,Windows Hello作为便利性PIN码在所有域连接的计算机上默认被禁用。要启用 Windows 10 1607 版本的便利 PIN,请启用组策略设置开启便利 PIN 登录。使用Windows Hello for Business策略设置来管理Windows Hello for Business的PIN。

如果你想使用基于密钥或证书的Windows Hello,你可以按照链接中的指南进行操作。不过不要搞混了。你仍然可以使用普通的TPM进行普通的Windows Hello。

5
5
5
2017-01-19 00:04:39 +0000

设置以下注册表键对我有效。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

参考: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

5
5
5
2017-02-21 09:04:20 +0000

我所要做的就是。

1、Windows键+R打开运行 2、输入: 输入。 gpedit.msc 3. 本地计算机策略] > [计算机配置] > [管理模板] > [系统] > [登录] > [开启便捷PIN码登录] 。ENABLED

这在Surface Pro 4与Windows 10 Pro上启用了Windows Hello。

4
4
4
2019-05-23 16:54:09 +0000

我已经和这个问题斗争了很久。我尝试了所有这些组策略设置:开启便利性PIN登录,启用windows hello for business,启用生物识别,等等等等。我终于找到了解决办法。

我公司的电脑都是Windows 10 build 1809。大部分是联想X1 Yogas和P330,还有一些Surface Pro。他们是域连接到2012 R2域,他们订阅了Office 365的电子邮件和Office Pro Plus。我们在Office 365中有一个E3许可证。当用户使用自己的O365许可证注册Office应用程序时,它将Windows连接到他们的工作帐户。断开这一点,我就可以设置PIN和指纹。下面是如何做到这一点。

1.进入Windows设置 ->账户 ->访问工作或学校。关键设置是 “工作或学校账户",旁边有彩色的windows标志。断开它。不要碰 "连接到任何域 "的设置。

  1. 然后点击 "登录选项"。指纹和PIN码不再是灰色的了。如果仍然是灰色的,那么请确认 "方便PIN码登录 "已经启用。

  2. 添加PIN码,然后添加指纹。

  3. 回到 "设置->账户 "中的 "访问工作或学校"。

  4. 点击连接,输入用户的邮箱地址和密码。

当前唯一有效的组策略是在策略、管理模板、系统、登录下的 "开启便捷密码登录 "设置。注意,这不是Windows Hello for Business。这仍然只是密码塞。总有一天,便利PIN码登录会被取消,我们将不得不用安全的方式进行登录。

0
0
0
2018-01-18 07:14:08 +0000

设置以下注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

然后启用UAC并重新启动电脑。

0
0
0
2017-10-15 20:47:53 +0000

有一件事你一定不要配置,除非你有有效的证书(这是在服务器2016上)。

确保 “Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business "被设置为NOT CONFIGURED。

这是我设置的一个东西(来自另一个博客),它使windows hello无法工作,windows hello甚至无法启动。不过只要不配置应该就可以了。

-1
-1
-1
2020-01-21 12:33:14 +0000

在尝试了很多事情之后(包括迄今为止这里的所有其他答案),我终于用一个变通方法为自己解决了这个问题。请注意,这是变通方法,不是真正的解决方案。

总结一下,问题在于我的组织的域账户中的某些东西禁用了输入指纹的选项。在我的情况下,即使是我在本地办公分支机构的IT小组也无法找出是什么原因阻止了它。

所以我最终在我的工作电脑上创建了一个新的本地用户账户,拥有完全的本地管理权限。对于这个新帐户,我使用我的个人微软帐户进行连接(尽管我可能可以使用本地帐户)。当我登录到新账户时,指纹没有问题,我可以很容易地配置指纹。

这个变通方法的潜在缺点:

  • 由于是新用户账户,可能需要重新安装和重新配置许多计算机程序和设置。这基本上就像设置一个全新的Windows电脑。在我的例子中,我在得到一台新的工作电脑时就这样做了,所以我不得不进行重新配置。
  • 在某些组织的设置中,非域账户可能无法正常访问某些组织资源。在我的情况下,这不是一个问题。如果你有这个问题,也许你可以连接组织的VPN来访问这些特殊的资源,甚至可以永久地使用这个变通账户。

这些变通方法对你来说可能不值得,只是为了获得指纹登录,但在我的组织环境中,它们的效果非常好。

-2
-2
-2
2018-05-23 00:38:25 +0000

我在一个域名上加入了戴尔7280。添加下面的注册表密钥,同时重启,使我能够添加一个6位数的引脚。

[HKEY/LOCAL/MACHINE/SOFTWARE/Policies/Microsoft/Windows/System] “AllowDomainPINLogon”=dword:000001。