ไม่สามารถเปิดใช้งาน Windows Hello - การตั้งค่าบางอย่างได้รับการจัดการโดยองค์กรของคุณ

19

ฉันติดตั้ง Windows 10 Anniversary Edition เรียบร้อยแล้ว ตอนนี้ฉันไม่สามารถเปิดใช้งาน Windows Hello ด้วยโดเมนของฉันเข้าร่วม Surface Pro 4 ได้โดยลงชื่อเข้าใช้ในฐานะผู้ใช้โฆษณา เมื่อฉันเข้าสู่ระบบด้วยบัญชี Msft ของฉันฉันสามารถเปิด Windows Hello ได้

ฉันลอง"องค์กรของคุณจัดการการตั้งค่าบางอย่าง" ในขณะที่ไม่ได้อยู่ในโดเมน? (เพิ่มขึ้น telemetry ผ่านทาง app การตั้งค่า) และยังนี้: การรีเซ็ต telemetry ผ่าน GP

นี่แสดงให้เห็นว่าปัญหานี้แตกต่างจากปัญหาอื่น ๆ ที่นี่ ในความเป็นจริงนี้เป็นโดเมนที่เข้าร่วมไม่ชอบคำถามอื่น ๆ ที่นี่

นี่คือลักษณะการตั้งค่า ป้อนคำอธิบายรูปภาพที่นี่

ด้วย Windows 10 เวอร์ชันเก่าอุปกรณ์เดียวกันสามารถเปิดใช้งาน Windows Hello ในขณะที่โดเมนเข้าร่วมกับผู้ใช้โดเมน นั่นเป็นเหตุผลที่ฉันออกกฎ GPO เป็นสาเหตุของปัญหา วัตถุนโยบายกลุ่มแม้อนุญาตให้ Biometrics สำหรับผู้ใช้โดเมนอย่างชัดเจน ฉันจะทำอย่างไร

เปิดใช้งาน Windows 10 Professional, Cortana แล้ว ไม่มี Insiders Edition ฉันมีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบสำหรับโดเมน

windows-10  windows-hello 
zuckerthoben
แหล่งที่มา
คุณเคยพบทางออกหรือไม่? ฉันมีปัญหาเดียวกัน :(
MojoDK
ใช่ฉันทำ! ฉันจะเขียนคำตอบตอนนี้ @MojoDK :)
zuckerthoben

คำตอบ:

27

ฉันพบวิธีแก้ปัญหา เหตุผลคือ Windows Hello ได้รับการจัดการแตกต่างกันในคอมพิวเตอร์ที่เข้าร่วมในโดเมนโดยเริ่มจากการอัปเดตครบรอบ เพื่อให้มันทำงานคุณต้องทำตามขั้นตอนเหล่านี้:

1) ตั้งค่าร้านค้าส่วนกลางนโยบายกลุ่ม (คุณควรมีอยู่แล้ว)

2) รับแม่แบบของนโยบายของ Windows 10 ครบรอบการปรับปรุงกลุ่ม คุณสามารถทำได้โดยการคัดลอกไฟล์ของคุณจาก PolicyDefinitions (ใน windir บนเครื่อง Win10 Anniversary Update) ลงใน PolicyDefinitions ของเซ็นทรัลสโตร์ คุณอาจคัดลอกไฟล์เหล่านั้นไปยังการแชร์ไฟล์ก่อนเนื่องจากสิทธิ์ผู้ใช้ปกติของคุณไม่ควรมีในร้านกลาง

3) ตั้งค่า GPO ใหม่หรือเพิ่มการตั้งค่าต่อไปนี้เพื่อเปิดใช้งาน Windows Hello:

  • การกำหนดค่าคอมพิวเตอร์ / นโยบาย / แม่แบบการดูแลระบบ

... / Windows Components / Windows Hello For Business / ใช้งานไบโอเมตริกส์ => เปิดใช้งาน

... / Windows Components / Windows Hello for Business / ใช้อุปกรณ์รักษาความปลอดภัยฮาร์ดแวร์ => เปิดใช้งาน (ถ้าคุณต้องการใช้ TPM แทนการเปิดใช้งานโดยใช้คีย์หรือใบรับรองสำหรับ Windows Hello) โปรดทราบว่าโดยทั่วไปคอมพิวเตอร์ธุรกิจทั้งหมดควรมี TPM

... / ระบบ / การเข้าสู่ระบบ / เปิดใช้งานการลงชื่อเข้าใช้ด้วย PIN แบบสะดวกสบาย => เปิดใช้งาน (นี่คือกุญแจซึ่งจะเปิดใช้งานการลงชื่อเข้าใช้ด้วย PIN ซึ่งจะเป็นการเปิดใช้งาน Hello พร้อมกับการตั้งค่าอื่น ๆ )

... / Windows Components / Biometrics / อนุญาตให้ผู้ใช้โดเมนเข้าสู่ระบบโดยใช้ biometrics => เปิดใช้งาน (ฉันคิดว่านี่เป็นค่าเริ่มต้น แต่การเปิดใช้งานอย่างชัดเจนทำให้การจัดการ GP ง่ายขึ้นมาก)

คุณจะพบความเป็นไปได้ในการกำหนดค่าเพิ่มเติมในระบบ / การเข้าสู่ระบบและ Windows Components / Biometrics และ Windows Components / Windows Hello for Business

คุณจะพบพื้นหลังเพิ่มเติมได้ที่นี่: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

และที่นี่

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

ตัดตอนที่สำคัญที่สุด:

เริ่มต้นในรุ่น 1607 Windows Hello เป็น PIN ความสะดวกสบายถูกปิดใช้งานตามค่าเริ่มต้นในคอมพิวเตอร์ทุกเครื่องที่เข้าร่วมโดเมน หากต้องการเปิดใช้งาน PIN สะดวกสบายสำหรับ Windows 10 รุ่น 1607 ให้เปิดใช้งานการตั้งค่านโยบายกลุ่มเปิดใช้งานการลงชื่อเข้าใช้ PIN เพื่อความสะดวก ใช้การตั้งค่านโยบายของ Windows Hello for Business เพื่อจัดการ PIN สำหรับ Windows Hello for Business

หากคุณต้องการใช้คีย์หรือใบรับรองที่ใช้ Windows สวัสดีคุณสามารถทำตามคำแนะนำในลิงค์ อย่าสับสนเลย คุณยังสามารถใช้ TPM ปกติสำหรับ Windows Hello ปกติ

zuckerthoben
แหล่งที่มา
1
เป็นสิ่งสำคัญที่จะต้องทราบว่าตามลิงค์ที่คุณอ้างถึงคุณไม่จำเป็นต้องใช้ "เปิดใช้การลงชื่อเข้าใช้ PIN เพื่อความสะดวก" ในการใช้ Windows Hello PIN ความสะดวกสบายคือ PIN แบบเก่าซึ่งไม่ปลอดภัยเท่ากับ Windows Hello PIN ("หากคุณต้องการปรับใช้ Windows Hello for Business ... นี่อาจเป็นโอกาสที่สมบูรณ์แบบในการย้ายไปยังข้อมูลประจำตัวที่ปลอดภัยและไม่ใช่ ... ลงชื่อเข้าใช้ PIN เพื่อความสะดวก") การกำหนดค่าจริง ๆ Windows Hello for Business เกี่ยวข้องมากกว่า แค่ GPO - ดูdocs.microsoft.com/en-us/azure/active-directory/ …
Speedbird186
เยี่ยมมาก แต่ SCCM ไม่สามารถเป็นทางออกเดียวในการเปิดใช้งาน Windows Hello บนอุปกรณ์ที่เข้าร่วมโดเมน จะต้องมีวิธีอื่นที่ปลอดภัย
zuckerthoben
แค่อยากจะชี้ให้เห็นว่าฉันสามารถแก้ไขนโยบายท้องถิ่น (เรียกใช้> GPedit.msc) บนโดเมนที่เข้าร่วมแล็ปท็อปเพื่อให้ทำงานได้ ข้อมูลดีขอบคุณ
SamAndrew81
น่าเศร้าทั้งหมดนี้ไม่ได้ช่วยฉัน: / ฉันสามารถเข้าสู่ระบบด้วยบัญชีท้องถิ่น แต่ Windows Hello ยังคงเป็นสีเทาสำหรับบัญชีโฆษณาของฉัน
Dominik
ฉันไม่เข้าใจขั้นตอนแรก "1) ตั้งค่าการจัดเก็บนโยบายกลุ่มกลาง (คุณควรมีอยู่แล้ว)" ฉันมีสิทธิ์ผู้ดูแลระบบภายในคอมพิวเตอร์ธุรกิจที่เข้าร่วมโดเมนของฉัน แต่ไม่มีสิทธิ์ผู้ดูแลระบบเครือข่าย คุณช่วยกรุณา (หรือคนอื่น ๆ ) ให้ขั้นตอนย่อยทีละขั้นตอนสำหรับจุดแรกนี้และสำหรับจุดที่สองได้หรือไม่? ประเด็นอื่น ๆ นั้นชัดเจน แต่หากไม่มีสองข้อแรกฉันไม่สามารถลองวิธีนี้ได้
Ochado
5

การตั้งค่าคีย์รีจิสทรีต่อไปนี้ใช้งานได้สำหรับฉัน

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

การอ้างอิง: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade บนโดเมนบัญชี? ฟอรั่ม = win10itprosetup

Stephen Quan
แหล่งที่มา
พีซีของฉันเข้าร่วมกับโดเมน แต่ฉันไม่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ วิธีนี้แก้ปัญหาให้ฉันได้
Nikola Malešević
สิ่งนี้ทำให้ฉัน (ในฐานะผู้ใช้ปลายทาง) เปิดใช้งาน Windows Hello ใน Surface Book ของฉันโดยไม่จำเป็นต้องเกี่ยวข้องกับไอทีขององค์กร
นักพัฒนาแบบองค์รวม
1
สิ่งนี้ใช้ไม่ได้กับฉัน
Ahmed Hamdy
ฉันใช้ Windows Server 2016 Build 1607 เป็น Member Server ในโดเมนที่มีอยู่และรีจิสตรีคีย์นี้ถูกตั้งค่าไว้แล้ว แต่ฉันไม่สามารถใช้ Windows Hello ได้
ได
5

สิ่งที่ฉันต้องทำคือ:

  1. Windows KEY+ Rเพื่อเปิด Run
  2. Enter: 
    gpedit.msc
  3. [นโยบายคอมพิวเตอร์ในท้องถิ่น]> [การกำหนดค่าคอมพิวเตอร์]> [เทมเพลตการดูแลระบบ]> [ระบบ]> [เข้าสู่ระบบ]> [ เปิดใช้การลงชื่อเข้าใช้ PIN เพื่อความสะดวก ]: เปิดใช้งาน

เปิดใช้งาน Windows Hello บน Surface Pro 4 พร้อม Windows 10 Pro

juFo
แหล่งที่มา
ใช่มันค่อนข้างจะเทียบเท่ากับคำตอบของฉัน แต่สำหรับผู้ใช้ภายในเครื่องเดียว แนวทางโดเมนดีกว่าสำหรับกรณีการใช้งานขององค์กร
zuckerthoben
2
ฉันไม่รู้ว่า "กลุ่มนโยบายเซ็นทรัลสโตร์" คืออะไรและคุณไม่ได้บอกว่าคุณใช้นโยบายนี้ที่ไหน บนเซิร์ฟเวอร์โฆษณาของกลางหรือในคอมพิวเตอร์ของท้องถิ่น ...
juFo
1
จากบริบทที่คุณสามารถสันนิษฐานได้อย่างปลอดภัยว่าฉันกำลังสร้างนโยบายกลุ่มในโฆษณา การอธิบายวิธีตั้งค่าการจัดเก็บส่วนกลางของนโยบายกลุ่มนั้นเกินขอบเขตคำตอบของฉัน คำแนะนำและคำอธิบายสามารถพบได้ทั่วเว็บ
zuckerthoben
ฉันมี 10 โปร แต่ฉันไม่เห็นตัวเลือกเหล่านี้
Crash893
มีปัญหาในคำอธิบาย สำหรับ PIN 4 หลักคุณต้องตั้งค่า ping ความยาวต่ำสุดเป็น Enabled ด้วยค่า 4
sofsntp
3

ฉันต่อสู้มานานแล้ว ฉันได้ลองใช้การตั้งค่านโยบายกลุ่มเหล่านี้ทั้งหมด: เปิดใช้งานการเข้าสู่ระบบ PIN ที่สะดวกสบายเปิดใช้งาน windows สวัสดีสำหรับธุรกิจเปิดใช้งานไบโอเมตริกส์ ฯลฯ ฯลฯ ฯลฯ ในที่สุดฉันก็พบโซลูชัน

พีซีใน บริษัท ของฉันคือ Windows 10 สร้าง 1809 ส่วนใหญ่แล้ว Lenovo X1 Yogas และ P330s และผู้เชี่ยวชาญด้าน Surface บางคน พวกเขาเข้าร่วมโดเมนกับโดเมน 2012 R2 และพวกเขาสมัครเป็นสมาชิก Office 365 สำหรับอีเมลและ Office Pro Plus เรามีสิทธิ์ใช้งาน E3 ใน Office 365 เมื่อผู้ใช้ลงทะเบียนแอป Office โดยใช้สิทธิ์การใช้งาน O365 ของตัวเองมันจะเชื่อมต่อ Windows กับบัญชีงานของพวกเขา การตัดการเชื่อมต่อที่ทำให้ฉันสามารถตั้งค่า PIN และลายนิ้วมือได้ นี่คือวิธีการ:

  1. ไปที่การตั้งค่า Windows -> บัญชี -> เข้าถึงที่ทำงานหรือโรงเรียน การตั้งค่าที่สำคัญคือ "บัญชีงานหรือโรงเรียน" ที่มีโลโก้หน้าต่างสีสันสดใส ตัดการเชื่อมต่อที่ อย่าแตะการตั้งค่า "เชื่อมต่อกับโดเมนใดก็ตาม"

  2. จากนั้นคลิกที่ "ตัวเลือกการลงชื่อเข้าใช้" ลายนิ้วมือและ PIN จะไม่เป็นสีเทาอีกต่อไป หากยังเป็นสีเทาให้ตรวจสอบให้แน่ใจว่าได้เปิดใช้งาน "การลงชื่อเข้าใช้ PIN เพื่อความสะดวก" แล้ว

  3. เพิ่ม PIN จากนั้นใช้ลายนิ้วมือ

  4. กลับไปที่ "เข้าถึงที่ทำงานหรือโรงเรียน" ในการตั้งค่า -> บัญชี

  5. คลิกเชื่อมต่อและป้อนที่อยู่อีเมลและรหัสผ่านของผู้ใช้

นโยบายกลุ่มเดียวที่มีผลในปัจจุบันคือการตั้งค่า "เปิดใช้งานการลงชื่อเข้าใช้ PIN เพื่อความสะดวก" ภายใต้นโยบายเทมเพลตการดูแลระบบการเข้าสู่ระบบ โปรดทราบว่านี่ไม่ใช่ Windows Hello for Business นี่ยังเป็นเพียงการบรรจุรหัสผ่าน บางวันการลงชื่อเข้าใช้ PIN เพื่อความสะดวกจะถูกยกเลิกและเราจะต้องดำเนินการอย่างปลอดภัย

CParker
แหล่งที่มา
0

มีสิ่งหนึ่งที่คุณต้องไม่กำหนดค่าเว้นแต่คุณจะมีใบรับรองที่ถูกต้อง (นี่คือเซิร์ฟเวอร์ 2016)

ตรวจสอบให้แน่ใจว่า "กำหนดค่าคอมพิวเตอร์นโยบาย / ผู้ดูแลระบบ / Windows comp / Windows Hello for Business / ใช้ Windows Hello for Business" ได้รับการตั้งค่าเป็นไม่กำหนดค่า

นี่เป็นสิ่งหนึ่งที่ฉันตั้งไว้ (จากบล็อกอื่น) และมันทำให้ windows hello ไม่สามารถทำงานได้ windows hello จะไม่เริ่มทำงานเลย แต่ตราบใดที่ยังไม่ได้กำหนดค่ามันก็โอเค

user780692
แหล่งที่มา
อ่าน"ทำไมฉันต้องมี 50 ชื่อเสียงในการแสดงความคิดเห็น"เพื่อให้แน่ใจว่าคุณเข้าใจว่าคุณสามารถเริ่มแสดงความคิดเห็นได้อย่างไร
Pimp Juice IT
0

การตั้งค่ารีจิสทรีต่อไปนี้

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

จากนั้นเปิดใช้งาน UAC แล้วรีสตาร์ทพีซี

user863516
แหล่งที่มา
-2

ฉันอยู่ในโดเมนที่เข้าร่วมกับ Dell 7280 การเพิ่มรีจิสตรีคีย์ด้านล่างพร้อมกับการรีบูตเครื่องทำให้ฉันสามารถเพิ่มพิน 6 หลักได้

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001

joe
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.