No se puede habilitar Windows Hello: su organización administra algunas configuraciones

Hice una instalación limpia de Windows 10 Anniversary Edition. Ahora no puedo habilitar Windows Hello con mi dominio unido a Surface Pro 4, conectado como usuario de AD. Sin embargo, cuando inicio sesión con mi cuenta de Msft, puedo activar Windows Hello.

Intenté "¿Algunas configuraciones son administradas por su organización" mientras no estaba en el dominio? (aumento de la telemetría a través de la aplicación de configuración) y también esto: restablecer la telemetría a través de gp .

Esto muestra que este problema es diferente a los otros aquí. De hecho, esto también está unido al dominio, no como la mayoría de las otras preguntas aquí.

Así es como se ve la configuración;

Con la versión anterior de Windows 10, el mismo dispositivo podría habilitar Windows Hello mientras el dominio se unía al usuario del dominio. Es por eso que descarto GPO como la fuente del problema. GPO incluso permite explícitamente la biometría para usuarios de dominio. ¿Que puedo hacer?

Windows 10 Professional, Cortana está habilitado. Edición sin información privilegiada. Tengo acceso administrativo al dominio.

Encontré la solución. La razón es que Windows Hello se administra de manera diferente en las computadoras unidas al dominio, comenzando con la actualización de aniversario. Para que funcione, debe seguir estos pasos:

1) Configurar un Almacén central de directivas de grupo (ya debería tener eso)

2) Obtener Windows 10 Aniversario plantillas de directiva de actualizaciones grupales . Puede hacerlo copiando sus archivos de PolicyDefinitions (en windir en una máquina Win10 Anniversary Update) en PolicyDefinitions de la tienda central. Puede copiar esos archivos primero en un recurso compartido de archivos, debido a los permisos que su usuario habitual no debería tener en la tienda central.

3) Configure un nuevo GPO o agregue a una configuración existente para habilitar Windows Hello:

• Configuración del equipo / Políticas / Plantillas administrativas

... / Componentes de Windows / Windows Hello para empresas / Use biometrics => Enabled

... / Componentes de Windows / Windows Hello para empresas / Use un dispositivo de seguridad de hardware => Habilitado (si desea usar TPM en lugar de la activación basada en clave o certificado para Windows Hello). Tenga en cuenta que, en general, todas las computadoras comerciales deben tener TPM

... / Sistema / Inicio de sesión / Activar conveniencia PIN sign-in => Enabled (Esta es la clave. Esto habilita el inicio de sesión PIN que a su vez habilitará Hello, junto con las otras configuraciones).

... / Componentes de Windows / Biometría / Permitir que los usuarios del dominio inicien sesión utilizando biometría => Habilitado (creo que esto está habilitado de forma predeterminada, pero ser explícito hace que la administración de GP sea mucho más fácil).

Encontrará más posibilidades de configuración opcionales en Sistema / Inicio de sesión y Componentes de Windows / Biometría y Componentes de Windows / Windows Hello para empresas.

Encontrará más información aquí: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

y aquí

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Extracto más importante:

A partir de la versión 1607, Windows Hello como PIN de conveniencia está deshabilitado de manera predeterminada en todas las computadoras unidas al dominio. Para habilitar un PIN de conveniencia para Windows 10, versión 1607, habilite la configuración de la directiva de grupo Active el inicio de sesión con PIN de conveniencia. Use la configuración de directiva de Windows Hello para empresas para administrar los PIN para Windows Hello para empresas.

Si desea utilizar Windows Hello basado en claves o certificados, puede seguir las guías en los enlaces. Sin embargo, no te confundas. Todavía puede usar TPM regular para Windows Hello normal.

Configurar la siguiente clave de registro funciona para mí:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Referencia: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- on-domain-account? forum = win10itprosetup

Todo lo que tuve que hacer es:

1. Windows KEY+ Rpara abrir Ejecutar
2. Entrar:

   gpedit.msc

3. [Política de computadora local]> [Configuración de computadora]> [Plantillas administrativas]> [Sistema]> [Inicio de sesión]> [ Activar el inicio de sesión con PIN de conveniencia ]: HABILITADO

Esto habilitó Windows Hello en Surface Pro 4 con Windows 10 Pro.

He estado luchando contra esto por mucho tiempo. He probado todas estas configuraciones de directiva de grupo: activar el inicio de sesión con PIN de conveniencia, habilitar Windows Hello para empresas, habilitar la biometría, etc., etc., etc. Finalmente encontré la solución.

Las PC de mi empresa son Windows 10 build 1809. Mayormente Lenovo X1 Yogas y P330 y algunos Surface Pros. Están unidos a un dominio 2012 R2 y están suscritos a Office 365 para correo electrónico y Office Pro Plus. Tenemos una licencia E3 en Office 365. Cuando un usuario registra las aplicaciones de Office con su propia licencia O365, conecta Windows a su cuenta de trabajo. La desconexión que me permitió configurar el PIN y la huella digital. Aquí se explica cómo hacerlo:

1. Vaya a Configuración de Windows -> Cuentas -> Acceso a trabajo o escuela. La configuración clave es la "Cuenta de trabajo o escuela" con el colorido logotipo de Windows. Desconecta eso. No toque la configuración "Conectado a cualquier dominio".

2. Luego haga clic en "Opciones de inicio de sesión". La huella digital y el PIN ya no están atenuados. Si todavía está atenuado, asegúrese de que esté habilitado el "inicio de sesión PIN cómodo".

3. Agregue el PIN, luego la huella digital.

4. Vuelva a "Acceso a trabajo o escuela" en Configuración -> Cuentas.

5. Haga clic en Conectar e ingrese la dirección de correo electrónico y la contraseña del usuario.

La única política de grupo actualmente vigente es la configuración "Activar el inicio de sesión con PIN de conveniencia" en Políticas, Plantillas administrativas, Sistema, Inicio de sesión. Tenga en cuenta que esto NO es Windows Hello para empresas. Esto sigue siendo solo relleno de contraseña. Algún día, el inicio de sesión con PIN de conveniencia será depravado y tendremos que hacerlo de manera segura.

Hay una cosa que no debe configurar a menos que tenga los certificados válidos (esto es en el servidor 2016).

Asegúrese de que "Configuración / políticas del equipo / Temporal de administración / Windows comp / Windows Hello para empresas / Usar Windows Hello para empresas" esté configurado como NO CONFIGURADO.

Esto era lo único que había configurado (de otro blog) y había impedido que Windows Hello funcionara, Windows Hello ni siquiera se iniciaba. Pero mientras no esté configurado, debería estar bien.

Configurando el siguiente registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

luego habilite UAC y reinicie la PC.

Estoy en un dominio unido a Dell 7280. Agregar la clave de registro a continuación junto con el reinicio me ha permitido agregar un pin de 6 dígitos.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001