Não é possível ativar o Windows Hello - algumas configurações são gerenciadas pela sua organização

Fiz uma instalação limpa do Windows 10 Anniversary Edition. Agora não consigo ativar o Windows Hello com meu domínio ingressado no Surface Pro 4, conectado como usuário do AD. Quando efetuo login na minha conta Msft, posso ativar o Windows Hello.

Tentei "Algumas configurações são gerenciadas pela sua organização" enquanto não estiver no domínio? (aumentando a telemetria via aplicativo de configurações) e também isso: redefinindo a telemetria via gp .

Isso mostra que esse problema é diferente dos outros aqui. Na verdade, esse domínio também é associado, não como a maioria das outras perguntas aqui.

É assim que as configurações são;

Com a versão antiga do Windows 10, o mesmo dispositivo poderia habilitar o Windows Hello enquanto o domínio ingressava no usuário do domínio. É por isso que descarto o GPO como a fonte do problema. O GPO ainda permite explicitamente a biometria para usuários do domínio. O que eu posso fazer?

Windows 10 Professional, Cortana está ativado. Sem Insiders Edition. Eu tenho acesso administrativo ao domínio.

Eu encontrei a solução. O motivo é que o Windows Hello é gerenciado de maneira diferente nos computadores ingressados ​​no domínio, começando com a atualização de aniversário. Para fazê-lo funcionar, você deve seguir estas etapas:

1) Configure um repositório central de diretivas de grupo (você já deve ter isso)

2) Obtenha modelos de diretiva de grupo da atualização de aniversário do Windows 10 . Você pode fazer isso copiando seus arquivos de PolicyDefinitions (em windir em uma máquina de atualização de aniversário do Win10) para as PolicyDefinitions do repositório central. Você pode copiar esses arquivos primeiro para um compartilhamento de arquivos, devido às permissões que seu usuário comum não deve ter no repositório central.

3) Configure um novo GPO ou adicione as seguintes configurações existentes para habilitar o Windows Hello:

• Configuração do computador / Diretivas / Modelos administrativos

... / Componentes do Windows / Windows Hello For Business / Usar biometria => Ativado

... / Componentes do Windows / Windows Hello for Business / Use um dispositivo de segurança de hardware => Ativado (se você quiser usar o TPM em vez da ativação por chave ou certificado do Windows Hello). Observe que, em geral, todos os computadores comerciais devem ter TPM

... / Sistema / Logon / Ativar a conveniência de entrada do PIN => Ativado (Essa é a chave. Isso ativa a entrada do PIN, que por sua vez ativará o Hello, juntamente com as outras configurações.)

... / Componentes do Windows / Biometria / Permitir que usuários do domínio efetuem logon usando biometria => Ativado (acho que isso está ativado por padrão, mas ser explícito facilita muito o gerenciamento de GPs).

Você encontrará mais possibilidades de configuração opcionais no Sistema / Logon e Componentes do Windows / Biometria e Componentes do Windows / Windows Hello for Business.

Você encontrará mais informações aqui: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

e aqui

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Trecho mais importante:

A partir da versão 1607, o Windows Hello como um PIN de conveniência é desativado por padrão em todos os computadores ingressados ​​no domínio. Para habilitar um PIN de conveniência para Windows 10, versão 1607, habilite a configuração de Diretiva de Grupo Ative a entrada de PIN de conveniência. Use as configurações de diretiva do Windows Hello for Business para gerenciar PINs do Windows Hello for Business.

Se você quiser usar o Windows Hello baseado em chave ou certificado, siga os guias nos links. Não fique confuso. Você ainda pode usar o TPM regular para o Windows Hello normal.

Definir a seguinte chave do Registro funciona para mim:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Referência: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- on-domain-account? forum = win10itprosetup

Tudo o que eu tinha que fazer é:

1. Windows KEY+ Rpara abrir Executar
2. Entrar:

   gpedit.msc

3. [Diretiva do Computador Local]> [Configuração do Computador]> [Modelos Administrativos]> [Sistema]> [Logon]> [ Ativar o login PIN de conveniência ]: ATIVADO

Isso ativou o Windows Hello no Surface Pro 4 com o Windows 10 Pro.

Venho lutando contra isso há muito tempo. Eu tentei todas essas configurações de diretiva de grupo: ativar o login PIN de conveniência, ativar o Windows Hello para empresas, ativar biometria, etc. etc. etc. Finalmente encontrei a solução.

Os PCs da minha empresa são o Windows 10 build 1809. Principalmente Lenovo X1 Yogas e P330s e alguns profissionais de superfície. Eles ingressaram no domínio para um domínio 2012 R2 e assinaram o Office 365 para email e Office Pro Plus. Temos uma licença E3 no Office 365. Quando um usuário registra os aplicativos do Office usando sua própria licença do O365, ele conecta o Windows à sua conta comercial. Desconectar isso me permitiu configurar o PIN e a impressão digital. Veja como fazê-lo:

1. Vá para Configurações do Windows -> Contas -> Acessar Trabalho ou Escola. A configuração principal é a "Conta comercial ou escolar", com o logotipo colorido do Windows. Desconecte isso. Não toque na configuração "Conectado a qualquer domínio".

2. Em seguida, clique em "Opções de login". A impressão digital e o PIN não estão mais acinzentados. Se ainda estiver acinzentado, verifique se a opção "login por conveniência" está ativada.

3. Adicione o PIN e a impressão digital.

4. Volte para "Acessar Trabalho ou Escola" em Configurações -> Contas.

5. Clique em Conectar e digite o endereço de e-mail e a senha do usuário.

A única diretiva de grupo atualmente em vigor é a configuração "Ativar login por conveniência" em Diretivas, modelos administrativos, sistema e logon. Observe que este NÃO é o Windows Hello for Business. Isso ainda é apenas o preenchimento de senha. Algum dia, o login por PIN de conveniência será descontinuado e teremos que fazer isso da maneira segura.

Há uma coisa que você não deve configurar, a menos que tenha os certificados válidos (isso está no servidor 2016).

Verifique se "Conf / diretivas do computador / Temp. Admin / comp. Do Windows / Windows Hello for Business / Usar o Windows Hello for Business" está definido como NÃO CONFIGURADO.

Essa foi a única coisa que eu havia definido (de outro blog) e impediu o Windows Hello de funcionar, o Windows Hello nem sequer começava. Mas enquanto não estiver configurado, tudo ficará bem.

Definindo o seguinte registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

habilite o UAC e reinicie o PC.

Estou em um domínio ingressado no Dell 7280. A adição da chave do registro abaixo e a reinicialização me permitiram adicionar um pino de 6 dígitos.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001