无法启用Windows Hello - 某些设置由您的组织管理。

我找到了解决办法。原因是Windows Hello在域加入的电脑上的管理方式不同，从周年更新开始。要想让它工作，你必须按照以下步骤进行。

1) 设置一个组策略中心存储（你应该已经有了）

2) 获取Windows 10周年更新组策略模板。你可以通过将你的文件从PolicyDefinitions（在Win10 Anniversary Update机器上的windir中）复制到中央存储的PolicyDefinitions中来实现。你可能会先把这些文件复制到文件共享中，因为你的普通用户在中央存储上应该没有权限。

3) 设置一个新的GPO或将以下设置添加到现有的GPO中，以启用Windows Hello：

• Computer Configuration/Policies/Administrative Templates

…/Windows Components/Windows Hello For Business/ Use biometrics => Enabled

。 …/Windows Components/Windows Hello for Business/ Use a hardware security device => Enabled（如果你想使用TPM代替基于密钥或证书的Windows Hello激活）。请注意，一般来说，所有的商业电脑都应该有TPM

…/System/Logon/ 开启方便的PIN码登录 =/> Enabled（这是关键。这将开启PIN码登录，进而开启Hello，以及其他设置。)

…/Windows Components/Biometrics/ Allow domain users to log on using biometrics => Enabled (我认为这是默认启用的，但明确启用会让GP管理更容易。)

你可以在系统/登录和Windows组件/生物识别和Windows组件/Windows Hello for Business中找到更多可选的配置可能性。

你可以在 https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

和这里 https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

最重要的摘录。

从1607版本开始，Windows Hello作为便利性PIN码在所有域连接的计算机上默认被禁用。要启用 Windows 10 1607 版本的便利 PIN，请启用组策略设置开启便利 PIN 登录。使用Windows Hello for Business策略设置来管理Windows Hello for Business的PIN。

如果你想使用基于密钥或证书的Windows Hello，你可以按照链接中的指南进行操作。不过不要搞混了。你仍然可以使用普通的TPM进行普通的Windows Hello。

设置以下注册表键对我有效。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

参考： https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

我所要做的就是。

1、Windows键+R打开运行 2、输入： 输入。 gpedit.msc 3. 本地计算机策略] > [计算机配置] > [管理模板] > [系统] > [登录] > [开启便捷PIN码登录] 。ENABLED

这在Surface Pro 4与Windows 10 Pro上启用了Windows Hello。

我已经和这个问题斗争了很久。我尝试了所有这些组策略设置：开启便利性PIN登录，启用windows hello for business，启用生物识别，等等等等。我终于找到了解决办法。

我公司的电脑都是Windows 10 build 1809。大部分是联想X1 Yogas和P330，还有一些Surface Pro。他们是域连接到2012 R2域，他们订阅了Office 365的电子邮件和Office Pro Plus。我们在Office 365中有一个E3许可证。当用户使用自己的O365许可证注册Office应用程序时，它将Windows连接到他们的工作帐户。断开这一点，我就可以设置PIN和指纹。下面是如何做到这一点。

1.进入Windows设置 ->账户 ->访问工作或学校。关键设置是 “工作或学校账户"，旁边有彩色的windows标志。断开它。不要碰 "连接到任何域 "的设置。

1. 然后点击 "登录选项"。指纹和PIN码不再是灰色的了。如果仍然是灰色的，那么请确认 "方便PIN码登录 "已经启用。

2. 添加PIN码，然后添加指纹。

3. 回到 "设置->账户 "中的 "访问工作或学校"。

4. 点击连接，输入用户的邮箱地址和密码。

当前唯一有效的组策略是在策略、管理模板、系统、登录下的 "开启便捷密码登录 "设置。注意，这不是Windows Hello for Business。这仍然只是密码塞。总有一天，便利PIN码登录会被取消，我们将不得不用安全的方式进行登录。

设置以下注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

然后启用UAC并重新启动电脑。

有一件事你一定不要配置，除非你有有效的证书（这是在服务器2016上）。

确保 “Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business "被设置为NOT CONFIGURED。

这是我设置的一个东西（来自另一个博客），它使windows hello无法工作，windows hello甚至无法启动。不过只要不配置应该就可以了。

在尝试了很多事情之后（包括迄今为止这里的所有其他答案），我终于用一个变通方法为自己解决了这个问题。请注意，这是变通方法，不是真正的解决方案。

总结一下，问题在于我的组织的域账户中的某些东西禁用了输入指纹的选项。在我的情况下，即使是我在本地办公分支机构的IT小组也无法找出是什么原因阻止了它。

所以我最终在我的工作电脑上创建了一个新的本地用户账户，拥有完全的本地管理权限。对于这个新帐户，我使用我的个人微软帐户进行连接（尽管我可能可以使用本地帐户）。当我登录到新账户时，指纹没有问题，我可以很容易地配置指纹。

这个变通方法的潜在缺点：

• 由于是新用户账户，可能需要重新安装和重新配置许多计算机程序和设置。这基本上就像设置一个全新的Windows电脑。在我的例子中，我在得到一台新的工作电脑时就这样做了，所以我不得不进行重新配置。
• 在某些组织的设置中，非域账户可能无法正常访问某些组织资源。在我的情况下，这不是一个问题。如果你有这个问题，也许你可以连接组织的VPN来访问这些特殊的资源，甚至可以永久地使用这个变通账户。

这些变通方法对你来说可能不值得，只是为了获得指纹登录，但在我的组织环境中，它们的效果非常好。

我在一个域名上加入了戴尔7280。添加下面的注册表密钥，同时重启，使我能够添加一个6位数的引脚。

[HKEY/LOCAL/MACHINE/SOFTWARE/Policies/Microsoft/Windows/System] “AllowDomainPINLogon”=dword:000001。