Windows Hello etkinleştirilemiyor - Bazı ayarlar kuruluşunuz tarafından yönetiliyor


19

Windows 10 Anniversary Edition'ın temiz yüklemesini yaptım. Artık etki alanım AD kullanıcısı olarak oturum açmış olan Surface Pro 4'e katılmış olarak Windows Hello'yu etkinleştiremiyorum. Msft hesabımla giriş yaptığımda Windows Hello'yu açabiliyorum.

Alan adında değilken "Bazı ayarlar kuruluşunuz tarafından yönetiliyor" u denedim. (ayarlar uygulaması ile telemetrinin artırılması) ve ayrıca bu: telemetriyi gp ile sıfırlama .

Bu, bu sorunun diğerlerinden farklı olduğunu göstermektedir. Bu aslında etki alanına katılmıştır, buradaki diğer sorular gibi değil.

Ayarlar böyle görünüyor; resim açıklamasını buraya girin

Windows 10'un eski sürümüyle aynı cihaz, etki alanı kullanıcısıyla etki alanı katılırken Windows Hello'yu etkinleştirebilir. Bu yüzden GPO'yu sorunun kaynağı olarak ekarte ediyorum. GPO, etki alanı kullanıcıları için açıkça Biyometrik özelliklere izin verir. Ne yapabilirim?

Windows 10 Professional, Cortana etkindir. Insider Sürümü yok. Etki alanına yönetici erişimim var.


Herhangi bir çözüm bulabildin mi? Aynı sorunum var :(
MojoDK

Evet yaptım! Cevabı şimdi yazacağım @MojoDK :)
zuckerthoben

Yanıtlar:


27

Çözümü buldum. Bunun nedeni, Windows Hello'nun yıldönümü güncellemesinden başlayarak etki alanına katılmış bilgisayarlarda farklı şekilde yönetilmesidir. Çalışması için şu adımları izlemeniz gerekir:

1) Bir Grup İlkesi Merkezi Mağazası oluşturun (zaten sahip olmalısınız)

2) Windows 10 Yıldönümü Güncelleme Grup İlkesi Şablonlarını edinin . Bunu, dosyalarınızı PolicyDefinitions'tan (bir Win10 Yıldönümü Güncelleme makinesindeki windir'de) merkez mağazanın PolicyDefinitions'a kopyalayarak yapabilirsiniz. Bu dosyaları ilk olarak bir dosya paylaşımına kopyalayabilirsiniz, çünkü normal kullanıcınızın merkez mağazada olmaması gerekir.

3) Yeni bir GPO oluşturun veya Windows Hello'yu etkinleştirmek için aşağıdaki ayarlara ekleyin:

  • Bilgisayar Yapılandırması / Politikaları / Yönetim Şablonları

... / Windows Bileşenleri / İş İçin Windows Hello / Biyometri Kullan => Etkin

... / Windows Bileşenleri / İşletmeler için Windows Hello / Donanım güvenlik aygıtı kullanın => Etkin (Windows Hello için anahtar veya sertifika tabanlı etkinleştirme yerine TPM kullanmak istiyorsanız). Genel olarak tüm iş bilgisayarlarında TPM olması gerektiğini unutmayın

... / Sistem / Oturum Açma / Kolaylığı açma PIN ile oturum açma => Etkin (Bu anahtar. Bu, diğer ayarlarla birlikte Merhaba'u etkinleştirecek PIN ile oturum açmayı etkinleştirir.)

... / Windows Bileşenleri / Biyometri / Etki alanı kullanıcılarının biyometri => Etkin kullanarak oturum açmasına izin ver (Bence bu varsayılan olarak etkindir, ancak açık olması GP yönetimini çok daha kolay hale getirir.)

Sistem / Oturum Açma ve Windows Bileşenleri / Biyometri ve Windows Bileşenleri / Windows Hello for Business'ta daha fazla isteğe bağlı yapılandırma olanağı bulacaksınız.

Burada daha fazla arka plan bulacaksınız: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

ve burada

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

En önemli alıntı:

1607 sürümünden başlayarak, kolaylık PIN kodu olarak Windows Hello, etki alanına katılmış tüm bilgisayarlarda varsayılan olarak devre dışıdır. Windows 10, sürüm 1607 için bir kolaylık PIN'i etkinleştirmek için, Grup İlkesi ayarını etkinleştirerek Kolaylık PIN'i oturum açmayı etkinleştirin. Windows Hello Business için PIN'leri yönetmek üzere Windows Hello for Business ilke ayarlarını kullanın.

Anahtar veya sertifika tabanlı Windows Hello kullanmak istiyorsanız, bağlantılardaki kılavuzları takip edebilirsiniz. Yine de kafan karışmasın. Normal Windows Hello için normal TPM'yi kullanmaya devam edebilirsiniz.


1
Alıntı yaptığınız bağlantıya göre, Windows Hello'yu kullanmak için "Kolaylık PIN oturumunu aç" seçeneğinin gerekli olmadığını unutmayın. Kullanışlı PIN, Windows Hello PIN kadar güvenli olmayan eski stil PIN'dir. ("İş için Windows Hello dağıtmak istiyorsanız ... o zaman bu daha güvenli kimlik bilgilerine geçmek için mükemmel bir fırsat olabilir ... kolaylık PIN oturumu açma.") Aslında Windows Hello İşletme Sürümü'nü yapılandırmak aslında sadece GPO - bkz. docs.microsoft.com/en-us/azure/active-directory/…
Speedbird186

İyi yakalama, ancak SCCM, etki alanına katılmış cihazlarda Windows Hello'yu etkinleştirmek için tek çözüm olamaz. Güvenli başka bir yol olmalı.
zuckerthoben

Sadece bu işi almak için bir etki alanına katılmış dizüstü bilgisayarda yerel politikayı (Çalıştır> GPedit.msc) düzenleyebildiğimi belirtmek istedim . İyi bilgi, teşekkürler.
SamAndrew81

Ne yazık ki tüm bunlar benim için yardımcı olmadı: / Yerel bir hesapla giriş yapabilirim, ancak Windows Hello hala AD Hesabım için gri renkte.
Dominik

İlk adımı anlamıyorum "1) Grup İlkesi Merkezi Mağazası Kur (zaten sahip olmalısınız)". Etki alanına katılmış iş bilgisayarımda yerel yönetici haklarına sahibim, ancak ağ yönetici hakları yok. Lütfen (veya bir başkası) bu ilk nokta ve ayrıca ikinci nokta için adım adım alt adımlar verebilir misiniz? Diğer noktalar açık, ancak ilk ikisi olmadan, bu çözümü gerçekten deneyemiyorum.
Ochado

5

Aşağıdaki kayıt defteri anahtarını ayarlamak benim için işe yarar:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Referans: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- on-alan-hesabında? forumu = win10itprosetup


Bilgisayarım bir etki alanına katılmış, ancak etki alanına yönetici erişimim yok. Bu çözüm benim için sorunu çözdü.
Nikola Malešević

Bu, (son kullanıcı olarak), kurumsal BT'ye ihtiyaç duymadan Surface Book'umda Windows Hello'u etkinleştirmemi sağladı.
Holistic Developer

1
Bu benimle çalışmıyor
Ahmed Hamdy

Windows Server 2016 Build 1607'yi varolan bir etki alanında Üye Sunucu olarak çalıştırıyorum ve bu kayıt defteri anahtarı zaten ayarlanmış, ancak Windows Hello kullanamıyorum.
Dai

5

Tek yapmam gereken:

  1. Windows KEY+ RÇalıştır'ı açmak için
  2. Giriş:
    gpedit.msc
  3. [Yerel Bilgisayar İlkesi]> [Bilgisayar Yapılandırması]> [Yönetim Şablonları]> [Sistem]> [Oturum Açma]> [ Rahatlık PIN oturum açma özelliğini açın ]: ETKİN

Bu, Windows 10 Pro ile Surface Pro 4'te Windows Hello'u etkinleştirdi.


Evet, bu benim cevabımla eşdeğer, ancak tek bir yerel kullanıcı için. Alan adı yaklaşımı, kurumsal kullanım durumları için daha iyidir.
zuckerthoben

2
"Grup İlkesi Merkezi Mağazası" nı bilmiyorum ve politikayı nereye uyguladığınızı söylemiyorsunuz. Merkezi bir AD sunucusunda veya yerel bilgisayarda ...
juFo

1
Bağlamdan güvenle AD üzerinde bir grup politikası oluşturduğumu varsayabilirsiniz. Grup İlkesi merkezi mağazasının nasıl kurulacağını açıklamak cevabımın kapsamı dışındadır. Kılavuzlar ve açıklamalar tüm web'de bulunabilir.
zuckerthoben

10 profesyonelim var ama bu seçenekleri görmüyorum
Crash893

açıklamada bir sorun var. 4 haneli bir PIN için Minimum ping uzunluğunu 4 değeriyle Etkin olarak ayarlamanız gerekir
sofsntp

3

Çok uzun zamandır bununla savaşıyorum. Tüm bu grup politikası ayarlarını denedim: rahatlık PIN girişini açın, iş için pencereleri merhaba etkinleştirin, biyometri vb. Etkinleştirin vb. Sonunda çözümü buldum.

Şirketimdeki bilgisayarlar Windows 10 build 1809'dur. Çoğunlukla Lenovo X1 Yogas ve P330'lar ve bazı Yüzey Profesyonelleri. 2012 R2 etki alanına etki alanına katılmışlardır ve e-posta için Office 365'e ve Office Pro Plus'a abone olurlar. Office 365'te bir E3 lisansımız var. Bir kullanıcı Office uygulamalarını kendi O365 lisansını kullanarak kaydettirdiğinde, Windows'u iş hesaplarına bağlar. Bağlantıyı kesmek PIN ve Parmak İzi ayarlamama izin verdi. Bunu nasıl yapacağınız aşağıda açıklanmıştır:

  1. Windows Ayarları -> Hesaplar -> İşe veya Okula Erişim'e gidin. Temel ayar, renkli pencere logosunun bulunduğu "İş veya Okul Hesabı" dır. Bağlantıyı kes. "Hangi etki alanına bağlı olursa" ayarına dokunmayın.

  2. Ardından "Oturum Açma Seçenekleri" ni tıklayın. Parmak izi ve PIN kodu artık gri görüntülenmiyor. Hala gri renkteyse, "kolaylık PIN oturumu açma" seçeneğinin etkinleştirildiğinden emin olun.

  3. Önce PIN'i, ardından Parmak İzini ekleyin.

  4. Ayarlar -> Hesaplar'da "İşe veya Okula Erişin" bölümüne geri dönün.

  5. Bağlan'ı tıklayın ve kullanıcının e-posta adresini ve şifresini girin.

Şu anda yürürlükte olan tek grup ilkesi, İlkeler, Yönetim Şablonları, Sistem, Oturum Açma altındaki "Kolaylık PIN'i oturum açmayı aç" ayarıdır. Bunun Windows Hello for Business DEĞİLDİR. Bu hala sadece şifre doldurma. Bir gün, kolaylık sağlayan PIN ile oturum açma işlemi kaldırılacaktır ve bunu güvenli bir şekilde yapmamız gerekecektir.


0

Geçerli sertifikalara sahip olmadığınız sürece yapılandırmamanız gereken bir şey vardır (bu 2016 sunucusundadır).

"Bilgisayar konf / ilkeleri / Yönetici temp / Windows comp / Windows İş Dünyası için Hello / İş için Windows Hello Kullan" ın YAPILANDIRILMADI olduğundan emin olun.

Bu, başka bir blogdan ayarladığım tek şeydi ve windows merhaba çalışmasını engelledi, windows merhaba bile başlamazdı. Ancak yapılandırılmadığı sürece tamam olmalıdır.


Yorum yapmaya nasıl başlayabileceğinizi anlamanız için "Yorum yapmak için neden 50 itibara ihtiyacım var" bölümünü okuyun.
Pezevenk Suyu

0

Aşağıdaki kayıt defterini ayarlama

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

daha sonra UAC'yi etkinleştirin ve bilgisayarı yeniden başlatın.


-2

Dell 7280'e katılan bir etki alanındayım. Yeniden başlatma ile birlikte aşağıdaki kayıt defteri anahtarını eklemek 6 haneli bir PIN eklememe izin verdi.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.