Nie można włączyć funkcji Windows Hello - niektóre ustawienia są zarządzane przez organizację.

Znalazłem rozwiązanie. Powodem jest to, że Windows Hello jest zarządzany inaczej na komputerach dołączonych do domeny, począwszy od aktualizacji rocznicowej. Aby to zadziałało, musisz wykonać następujące kroki:

1) Skonfiguruj Group Policy Central Store (powinieneś już to mieć)

2) Pobierz Windows 10 Anniversary Update Group Policy Templates. Możesz to zrobić, kopiując pliki z PolicyDefinitions (w windir na komputerze z Win10 Anniversary Update) do PolicyDefinitions w centralnym sklepie. Możesz skopiować te pliki najpierw do udziału w pliku, ze względu na uprawnienia, których zwykły użytkownik nie powinien mieć w centralnym sklepie.

3) Skonfiguruj nowe GPO lub dodaj do istniejącego następujące ustawienia, aby włączyć Windows Hello:

• Computer Configuration/Policies/Administrative Templates

…/Windows Components/Windows Hello For Business/ Use biometrics == Enabled

. ../Windows Components/Windows Hello for Business/ Użyj sprzętowego urządzenia zabezpieczającego => Włączone (jeśli chcesz użyć TPM zamiast aktywacji opartej na kluczach lub certyfikatach dla Windows Hello). Należy pamiętać, że zasadniczo wszystkie komputery biznesowe powinny być wyposażone w układ TPM

…/System/Logon/ Włącz wygodne logowanie za pomocą kodu PIN ==> Enabled (To jest klucz. To włącza logowanie PIN, które z kolei włączy Hello, wraz z innymi ustawieniami).

…/Windows Components/Biometrics/ Allow domain users to log on using biometrics == Enabled (Myślę, że jest to domyślnie włączone, ale bycie jawnym znacznie ułatwia zarządzanie GP).

Więcej opcjonalnych możliwości konfiguracji znajdziesz w System/Logon i Windows Components/Biometrics oraz Windows Components/Windows Hello for Business.

Więcej tła znajdziesz tutaj https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

oraz tutaj https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Najważniejszy fragment:

Począwszy od wersji 1607, usługa Windows Hello jako wygodny kod PIN jest domyślnie wyłączona na wszystkich komputerach połączonych z domeną. Aby włączyć wygodny kod PIN w systemie Windows 10 w wersji 1607, należy włączyć ustawienie zasad grupy Włącz wygodne logowanie za pomocą kodu PIN. Użyj ustawień polityki Windows Hello for Business, aby zarządzać kodami PIN dla Windows Hello for Business.

Jeśli chcesz używać Windows Hello opartego na kluczach lub certyfikatach, możesz postępować zgodnie z przewodnikami w linkach. Nie pogub się jednak. Nadal możesz używać zwykłego TPM do normalnego Windows Hello.

Ustawienie następującego klucza rejestru działa dla mnie:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Odnośnik: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

Wszystko co musiałem zrobić to:

1. Windows KEY + R, aby otworzyć Run
2. Wprowadź:
   gpedit.msc
3. [Local Computer Policy] > [Computer Configuration] > [Administrative Templates] > [System] > [Logon] > [Turn on convenience PIN sign-in] : ENABLED

To włączyło Windows Hello na Surface Pro 4 z Windows 10 Pro.

Walczę z tym już od dłuższego czasu. Próbowałem wszystkich tych ustawień polityki grupy: włącz wygodne logowanie PIN, włącz windows hello for business, włącz biometrię, itp. itd. itd. W końcu znalazłem rozwiązanie.

Komputery w mojej firmie to Windows 10 build 1809. Głównie Lenovo X1 Yogas i P330s oraz kilka Surface Pros. Są one połączone z domeną 2012 R2 i mają subskrypcję Office 365 dla poczty elektronicznej i Office Pro Plus. W usłudze Office 365 mamy licencję E3. Gdy użytkownik rejestruje aplikacje Office przy użyciu własnej licencji O365, łączy system Windows z jego kontem służbowym. Odłączenie tego pozwoliło mi skonfigurować PIN i Fingerprint. Oto jak to zrobić:

1. Przejdź do Ustawienia Windows - Konta - Dostęp Praca lub Szkoła. Kluczowym ustawieniem jest “Konto Praca lub Szkoła” z kolorowym logo Windows przy nim. Odłącz je. Nie dotykaj ustawienia “Podłączony do dowolnej domeny”.

2. Następnie kliknij na “Sign-in Options”. Fingerprint i PIN nie są już wyszarzone. Jeśli nadal są wyszarzone, upewnij się, że “wygodne logowanie PIN” jest włączone.

3. Dodaj PIN, a następnie odcisk palca.

4. Wróć do “Dostęp do pracy lub szkoły” w Ustawieniach - Konta.

5. Kliknij przycisk Połącz i wprowadź adres e-mail użytkownika i hasło.

Jedyną zasadą grupy, która obecnie obowiązuje, jest ustawienie “Włącz wygodne logowanie PIN” w sekcji Zasady, Szablony administracyjne, System, Logowanie. Zauważ, że to NIE jest Windows Hello for Business. To nadal jest tylko upychanie haseł. Pewnego dnia wygodne logowanie za pomocą kodu PIN zostanie wycofane i będziemy musieli robić to w bezpieczny sposób.

Ustawiając następujący rejestr

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

następnie włącz UAC i zrestartuj komputer.

Jest jedna rzecz, której nie wolno konfigurować, jeśli nie masz ważnych certyfikatów (to jest na serwerze 2016).

Upewnij się, że “Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business” jest ustawione na NOT CONFIGURED.

To była jedyna rzecz, którą miałem ustawioną (z innego bloga) i uniemożliwiała ona działanie windows hello, windows hello nawet się nie uruchamiał. Ale tak długo, jak nie jest to skonfigurowane, powinno być w porządku.

Po wypróbowaniu tak wielu rzeczy (w tym wszystkich innych odpowiedzi tutaj do tej pory), w końcu naprawiłem problem dla siebie za pomocą obejścia. Zauważ, że jest to obejście, a nie prawdziwe rozwiązanie:

Reasumując, problem polega na tym, że coś na koncie domeny mojej organizacji wyłączyło opcję wprowadzania odcisków palców. W moim przypadku nawet moja grupa IT w moim lokalnym oddziale nie była w stanie dowiedzieć się, co to blokuje.

Więc skończyło się na utworzeniu nowego lokalnego konta użytkownika na moim komputerze roboczym z pełnymi lokalnymi prawami administracyjnymi. Dla tego nowego konta, użyłem mojego osobistego konta Microsoft do połączenia (chociaż prawdopodobnie mogłem użyć lokalnego konta). Kiedy zalogowałem się na nowe konto, nie było problemu z odciskami palców i mogłem łatwo skonfigurować odciski palców.

Potencjalne minusy tego obejścia:

• Ponieważ jest to nowe konto użytkownika, może to wymagać ponownej instalacji i rekonfiguracji wielu programów komputerowych i ustawień. Jest to w zasadzie jak zakładanie nowego komputera z systemem Windows. W moim przypadku zrobiłem to, gdy dostałem nowy komputer do pracy, więc i tak musiałem dokonać rekonfiguracji.
• W niektórych konfiguracjach organizacyjnych, konta nie-domeny mogą nie mieć właściwego dostępu do niektórych zasobów organizacyjnych. W moim przypadku nie było to problemem. Jeśli jest to problem u Ciebie, być może mógłbyś połączyć się z organizacyjną siecią VPN, aby uzyskać dostęp do tych specjalnych zasobów, być może nawet na stałe na tym koncie obejścia.

Te obejścia mogą nie być warte dla Ciebie tylko po to, aby uzyskać logowanie odciskiem palca, ale działają doskonale w moim kontekście organizacyjnym.

Pracuję na Dell 7280 podłączonym do domeny. Dodanie poniższego klucza rejestru wraz z restartem umożliwiło mi dodanie 6-cyfrowego pinu.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System] “AllowDomainPINLogon”=dword:00000001