No se puede habilitar Windows Hello: su organización administra algunas configuraciones

19

Hice una instalación limpia de Windows 10 Anniversary Edition. Ahora no puedo habilitar Windows Hello con mi dominio unido a Surface Pro 4, conectado como usuario de AD. Sin embargo, cuando inicio sesión con mi cuenta de Msft, puedo activar Windows Hello.

Intenté "¿Algunas configuraciones son administradas por su organización" mientras no estaba en el dominio? (aumento de la telemetría a través de la aplicación de configuración) y también esto: restablecer la telemetría a través de gp .

Esto muestra que este problema es diferente a los otros aquí. De hecho, esto también está unido al dominio, no como la mayoría de las otras preguntas aquí.

Así es como se ve la configuración; ingrese la descripción de la imagen aquí

Con la versión anterior de Windows 10, el mismo dispositivo podría habilitar Windows Hello mientras el dominio se unía al usuario del dominio. Es por eso que descarto GPO como la fuente del problema. GPO incluso permite explícitamente la biometría para usuarios de dominio. ¿Que puedo hacer?

Windows 10 Professional, Cortana está habilitado. Edición sin información privilegiada. Tengo acceso administrativo al dominio.

zuckerthoben
fuente
¿Encontraste alguna solución? Tengo el mismo problema :(
MojoDK
¡Sí, lo hice! Escribiré la respuesta ahora @MojoDK :)
zuckerthoben

Respuestas:

27

Encontré la solución. La razón es que Windows Hello se administra de manera diferente en las computadoras unidas al dominio, comenzando con la actualización de aniversario. Para que funcione, debe seguir estos pasos:

1) Configurar un Almacén central de directivas de grupo (ya debería tener eso)

2) Obtener Windows 10 Aniversario plantillas de directiva de actualizaciones grupales . Puede hacerlo copiando sus archivos de PolicyDefinitions (en windir en una máquina Win10 Anniversary Update) en PolicyDefinitions de la tienda central. Puede copiar esos archivos primero en un recurso compartido de archivos, debido a los permisos que su usuario habitual no debería tener en la tienda central.

3) Configure un nuevo GPO o agregue a una configuración existente para habilitar Windows Hello:

  • Configuración del equipo / Políticas / Plantillas administrativas

... / Componentes de Windows / Windows Hello para empresas / Use biometrics => Enabled

... / Componentes de Windows / Windows Hello para empresas / Use un dispositivo de seguridad de hardware => Habilitado (si desea usar TPM en lugar de la activación basada en clave o certificado para Windows Hello). Tenga en cuenta que, en general, todas las computadoras comerciales deben tener TPM

... / Sistema / Inicio de sesión / Activar conveniencia PIN sign-in => Enabled (Esta es la clave. Esto habilita el inicio de sesión PIN que a su vez habilitará Hello, junto con las otras configuraciones).

... / Componentes de Windows / Biometría / Permitir que los usuarios del dominio inicien sesión utilizando biometría => Habilitado (creo que esto está habilitado de forma predeterminada, pero ser explícito hace que la administración de GP sea mucho más fácil).

Encontrará más posibilidades de configuración opcionales en Sistema / Inicio de sesión y Componentes de Windows / Biometría y Componentes de Windows / Windows Hello para empresas.

Encontrará más información aquí: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

y aquí

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Extracto más importante:

A partir de la versión 1607, Windows Hello como PIN de conveniencia está deshabilitado de manera predeterminada en todas las computadoras unidas al dominio. Para habilitar un PIN de conveniencia para Windows 10, versión 1607, habilite la configuración de la directiva de grupo Active el inicio de sesión con PIN de conveniencia. Use la configuración de directiva de Windows Hello para empresas para administrar los PIN para Windows Hello para empresas.

Si desea utilizar Windows Hello basado en claves o certificados, puede seguir las guías en los enlaces. Sin embargo, no te confundas. Todavía puede usar TPM regular para Windows Hello normal.

zuckerthoben
fuente
1
Es importante tener en cuenta que, de acuerdo con el enlace que cita, NO se requiere "Activar el inicio de sesión con PIN de conveniencia" para usar Windows Hello. El PIN de conveniencia es el PIN de estilo antiguo que no es tan seguro como el PIN de Windows Hello. ("si está buscando implementar Windows Hello para empresas ... esta podría ser la oportunidad perfecta para pasar a esa credencial más segura y no ... conveniencia de inicio de sesión con PIN"). La configuración de Windows Hello para empresas implica más de solo GPO - ver docs.microsoft.com/en-us/azure/active-directory/…
Speedbird186
Buena captura, pero SCCM no puede ser la única solución para habilitar Windows Hello en dispositivos unidos a un dominio. Tiene que haber otra forma que sea segura.
zuckerthoben
Solo quería señalar que pude simplemente editar la política local (Ejecutar> GPedit.msc) en una computadora portátil unida al dominio para que esto funcione. Buena información, gracias.
SamAndrew81
Lamentablemente, todo esto no me ayudó: / Puedo iniciar sesión con una cuenta local, pero Windows Hello todavía está en gris para mi cuenta AD.
Dominik
No entiendo el primer paso "1) Configurar un almacén central de directivas de grupo (ya debería tener eso)". Tengo derechos de administrador local para mi computadora comercial unida al dominio, pero no tengo derechos de administrador de red. ¿Podría por favor (u otra persona) dar subpasos paso a paso para este primer punto y también para el segundo punto? Los otros puntos son claros, pero sin los dos primeros, realmente no puedo probar esta solución.
Ochado
5

Configurar la siguiente clave de registro funciona para mí:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Referencia: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- on-domain-account? forum = win10itprosetup

Stephen Quan
fuente
Mi PC está unida a un dominio, pero no tengo acceso de administrador. Esta solución resolvió el problema para mí.
Nikola Malešević
Esto me permitió (como usuario final) habilitar Windows Hello en mi Surface Book sin necesidad de involucrar a la TI corporativa.
Desarrollador holístico el
1
Esto no funciona conmigo
Ahmed Hamdy
Estoy ejecutando Windows Server 2016 Build 1607 como un servidor miembro en un dominio existente y esta clave de registro ya está configurada, pero no puedo usar Windows Hello.
Dai
5

Todo lo que tuve que hacer es:

  1. Windows KEY+ Rpara abrir Ejecutar
  2. Entrar:
    gpedit.msc
  3. [Política de computadora local]> [Configuración de computadora]> [Plantillas administrativas]> [Sistema]> [Inicio de sesión]> [ Activar el inicio de sesión con PIN de conveniencia ]: HABILITADO

Esto habilitó Windows Hello en Surface Pro 4 con Windows 10 Pro.

juFo
fuente
Sí, eso es más o menos equivalente a mi respuesta, pero para un solo usuario local. Un enfoque de dominio es mejor para casos de uso empresarial.
zuckerthoben
2
No sé qué es la "Tienda central de directivas de grupo" y usted no dice dónde aplica la directiva. En un servidor central de AD o en la PC local ...
juFo
1
Desde el contexto, puede asumir con seguridad que estoy creando una política de grupo en AD. Explicar cómo configurar una tienda central de directiva de grupo está mucho más allá del alcance de mi respuesta. Se pueden encontrar guías y explicaciones en toda la web.
zuckerthoben
Tengo 10 profesionales pero no veo estas opciones
Crash893
Hay un problema en la descripción. Para un PIN de 4 dígitos, debe establecer la Longitud mínima de ping en Activado con el valor 4
sofsntp
3

He estado luchando contra esto por mucho tiempo. He probado todas estas configuraciones de directiva de grupo: activar el inicio de sesión con PIN de conveniencia, habilitar Windows Hello para empresas, habilitar la biometría, etc., etc., etc. Finalmente encontré la solución.

Las PC de mi empresa son Windows 10 build 1809. Mayormente Lenovo X1 Yogas y P330 y algunos Surface Pros. Están unidos a un dominio 2012 R2 y están suscritos a Office 365 para correo electrónico y Office Pro Plus. Tenemos una licencia E3 en Office 365. Cuando un usuario registra las aplicaciones de Office con su propia licencia O365, conecta Windows a su cuenta de trabajo. La desconexión que me permitió configurar el PIN y la huella digital. Aquí se explica cómo hacerlo:

  1. Vaya a Configuración de Windows -> Cuentas -> Acceso a trabajo o escuela. La configuración clave es la "Cuenta de trabajo o escuela" con el colorido logotipo de Windows. Desconecta eso. No toque la configuración "Conectado a cualquier dominio".

  2. Luego haga clic en "Opciones de inicio de sesión". La huella digital y el PIN ya no están atenuados. Si todavía está atenuado, asegúrese de que esté habilitado el "inicio de sesión PIN cómodo".

  3. Agregue el PIN, luego la huella digital.

  4. Vuelva a "Acceso a trabajo o escuela" en Configuración -> Cuentas.

  5. Haga clic en Conectar e ingrese la dirección de correo electrónico y la contraseña del usuario.

La única política de grupo actualmente vigente es la configuración "Activar el inicio de sesión con PIN de conveniencia" en Políticas, Plantillas administrativas, Sistema, Inicio de sesión. Tenga en cuenta que esto NO es Windows Hello para empresas. Esto sigue siendo solo relleno de contraseña. Algún día, el inicio de sesión con PIN de conveniencia será depravado y tendremos que hacerlo de manera segura.

CParker
fuente
0

Hay una cosa que no debe configurar a menos que tenga los certificados válidos (esto es en el servidor 2016).

Asegúrese de que "Configuración / políticas del equipo / Temporal de administración / Windows comp / Windows Hello para empresas / Usar Windows Hello para empresas" esté configurado como NO CONFIGURADO.

Esto era lo único que había configurado (de otro blog) y había impedido que Windows Hello funcionara, Windows Hello ni siquiera se iniciaba. Pero mientras no esté configurado, debería estar bien.

usuario780692
fuente
Lea "¿Por qué necesito 50 reputación para comentar?" Para asegurarse de que comprende cómo puede comenzar a comentar.
Pimp Juice IT
0

Configurando el siguiente registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

luego habilite UAC y reinicie la PC.

usuario863516
fuente
-2

Estoy en un dominio unido a Dell 7280. Agregar la clave de registro a continuación junto con el reinicio me ha permitido agregar un pin de 6 dígitos.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001

joe
fuente