Impossible d'activer Windows Hello - Certains paramètres sont gérés par votre organisation

19

J'ai fait une nouvelle installation de Windows 10 Anniversary Edition. Maintenant, je ne peux pas activer Windows Hello avec mon domaine rejoint Surface Pro 4, connecté en tant qu'utilisateur AD. Cependant, lorsque je me connecte avec mon compte Msft, je peux activer Windows Hello.

J'ai essayé "Certains paramètres sont gérés par votre organisation" alors que je n'étais pas sur le domaine? (augmentation de la télémétrie via l'application des paramètres) et aussi ceci: réinitialisation de la télémétrie via gp .

Cela montre que ce problème est différent des autres ici. Ceci est également en fait lié au domaine, pas comme la plupart des autres questions ici.

Voici à quoi ressemblent les paramètres; entrez la description de l'image ici

Avec l'ancienne version de Windows 10, le même appareil pouvait activer Windows Hello lorsque le domaine était joint à l'utilisateur du domaine. C'est pourquoi j'exclus GPO comme source du problème. Le GPO autorise même explicitement la biométrie pour les utilisateurs du domaine. Que puis-je faire?

Windows 10 Professionnel, Cortana est activé. Aucune édition Insiders. J'ai un accès administratif au domaine.

zuckerthoben
la source
Avez-vous déjà trouvé une solution? J'ai le même problème :(
MojoDK
Oui je l'ai fait! J'écrirai la réponse maintenant @ MojoDK :)
zuckerthoben

Réponses:

27

J'ai trouvé la solution. La raison en est que Windows Hello est géré différemment sur les ordinateurs joints au domaine, à commencer par la mise à jour anniversaire. Pour le faire fonctionner, vous devez suivre ces étapes:

1) Configurer un magasin central de stratégie de groupe (vous devriez déjà l'avoir)

2) Obtenez les modèles de stratégie de groupe pour la mise à jour anniversaire de Windows 10 . Vous pouvez le faire en copiant vos fichiers depuis PolicyDefinitions (dans windir sur une machine de mise à jour anniversaire Win10) dans PolicyDefinitions du magasin central. Vous pouvez d'abord copier ces fichiers sur un partage de fichiers, en raison des autorisations que votre utilisateur normal ne devrait pas avoir sur le magasin central.

3) Configurez un nouvel objet de stratégie de groupe ou ajoutez à un existant les paramètres suivants pour activer Windows Hello:

  • Configuration ordinateur / Stratégies / Modèles d'administration

... / Composants Windows / Windows Hello Entreprise / Utiliser la biométrie => Activé

... / Composants Windows / Windows Hello Entreprise / Utiliser un périphérique de sécurité matériel => Activé (si vous souhaitez utiliser le module de plateforme sécurisée au lieu de l'activation basée sur clé ou certificat pour Windows Hello). Notez qu'en général, tous les ordinateurs professionnels doivent avoir un module de plateforme sécurisée

... / Système / Ouverture de session / Activer la connexion par code PIN pratique => Activé (Il s'agit de la clé. Cela active la connexion par code PIN qui, à son tour, active Bonjour, ainsi que les autres paramètres.)

... / Composants Windows / Biométrie / Autoriser les utilisateurs du domaine à se connecter à l'aide de la biométrie => Activé (je pense que cela est activé par défaut, mais être explicite rend la gestion des GP beaucoup plus facile.)

Vous trouverez plus de possibilités de configuration facultatives dans Système / Ouverture de session et composants Windows / Biométrie et composants Windows / Windows Hello Entreprise.

Vous trouverez plus d'informations ici: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

et ici

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Extrait le plus important:

À partir de la version 1607, Windows Hello comme code PIN de commodité est désactivé par défaut sur tous les ordinateurs joints au domaine. Pour activer un code PIN pratique pour Windows 10, version 1607, activez le paramètre de stratégie de groupe Activer la connexion par code PIN pratique. Utilisez les paramètres de stratégie de Windows Hello Entreprise pour gérer les codes PIN pour Windows Hello Entreprise.

Si vous souhaitez utiliser Windows Hello à clé ou à certificat, vous pouvez suivre les guides des liens. Ne vous embrouillez pas. Vous pouvez toujours utiliser le module de plateforme sécurisée standard pour Windows Hello normal.

zuckerthoben
la source
1
Il est important de noter que selon le lien que vous citez, «Activer la connexion par code PIN de commodité» n'est PAS requis pour utiliser Windows Hello. Le code PIN de commodité est l'ancien code PIN qui n'est pas aussi sécurisé que le code PIN Windows Hello. ("Si vous cherchez à déployer Windows Hello Entreprise ... alors cela pourrait être l'occasion idéale de passer à ces informations d'identification plus sécurisées et non ... à la connexion par code PIN de commodité.") La configuration de Windows Hello Entreprise nécessite plus de juste GPO - voir docs.microsoft.com/en-us/azure/active-directory/…
Speedbird186
Bonne capture, mais SCCM ne peut pas être la seule solution pour activer Windows Hello sur les appareils joints au domaine. Il doit y avoir un autre moyen sûr.
zuckerthoben
Je voulais juste souligner que j'ai pu simplement modifier la stratégie locale (Exécuter> GPedit.msc) sur un ordinateur portable joint à un domaine pour que cela fonctionne. Bonne info, merci.
SamAndrew81
Malheureusement, tout cela ne m'a pas aidé: / Je peux me connecter avec un compte local mais Windows Hello est toujours grisé pour mon compte AD.
Dominik
Je ne comprends pas la première étape "1) Configurer un magasin central de stratégie de groupe (vous devriez déjà l'avoir)". J'ai des droits d'administrateur local sur mon ordinateur professionnel joint au domaine, mais aucun droit d'administrateur réseau. Pourriez-vous s'il vous plaît (ou quelqu'un d'autre) donner des sous-étapes pas à pas pour ce premier point, et aussi pour le deuxième point? Les autres points sont clairs, mais sans les deux premiers, je ne peux pas vraiment essayer cette solution.
Ochado
5

La définition de la clé de registre suivante fonctionne pour moi:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Référence: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- sur-domaine-compte? forum = win10itprosetup

Stephen Quan
la source
Mon PC est joint à un domaine, mais je n'y ai pas accès administrateur. Cette solution a résolu le problème pour moi.
Nikola Malešević
Cela m'a permis (en tant qu'utilisateur final) d'activer Windows Hello sur mon Surface Book sans avoir à impliquer l'informatique d'entreprise.
Développeur holistique
1
Cela ne fonctionne pas avec moi
Ahmed Hamdy
J'exécute Windows Server 2016 Build 1607 en tant que serveur membre dans un domaine existant et cette clé de Registre est déjà définie, mais je ne peux pas utiliser Windows Hello.
Dai
5

Tout ce que j'avais à faire c'est:

  1. Windows KEY+ Rpour ouvrir Run
  2. Entrer:
    gpedit.msc
  3. [Stratégie de l'ordinateur local]> [Configuration de l'ordinateur]> [Modèles d'administration]> [Système]> [Connexion]> [ Activer la connexion par code confidentiel ]: ACTIVÉ

Cela a activé Windows Hello sur Surface Pro 4 avec Windows 10 Pro.

juFo
la source
Oui, c'est à peu près l'équivalent de ma réponse, mais pour un seul utilisateur local. Une approche par domaine est préférable pour les cas d'utilisation en entreprise.
zuckerthoben
2
Je ne sais pas ce que "Group Policy Central Store" et vous ne dites pas où vous appliquez la politique. Sur un serveur AD central ou sur le PC local ...
juFo
1
Du contexte, vous pouvez sans risque supposer que je crée une stratégie de groupe sur AD. Expliquer comment configurer un magasin central de stratégie de groupe dépasse de loin la portée de ma réponse. Des guides et des explications sont disponibles sur le Web.
zuckerthoben
J'ai 10 pro mais je ne vois pas ces options
Crash893
il y a un problème dans la description. Pour un code PIN à 4 chiffres, vous devez définir la longueur minimale de ping sur Activé avec la valeur 4
sofsntp
3

Je me bats depuis longtemps. J'ai essayé tous ces paramètres de stratégie de groupe: activer la connexion par code confidentiel, activer Windows bonjour pour les entreprises, activer la biométrie, etc., etc., etc. J'ai finalement trouvé la solution.

Les PC de mon entreprise sont Windows 10 build 1809. Surtout des Lenovo X1 Yogas et P330 et des Surface Pros. Ils sont joints à un domaine pour un domaine 2012 R2 et ils sont abonnés à Office 365 pour la messagerie électronique et Office Pro Plus. Nous avons une licence E3 dans Office 365. Lorsqu'un utilisateur enregistre les applications Office à l'aide de sa propre licence O365, il connecte Windows à son compte professionnel. La déconnexion m'a permis de configurer le code PIN et l'empreinte digitale. Voici comment procéder:

  1. Accédez à Paramètres Windows -> Comptes -> Accéder au travail ou à l'école. Le paramètre clé est le "compte professionnel ou scolaire" avec le logo coloré de Windows. Déconnectez cela. Ne touchez pas le paramètre "Connecté à n'importe quel domaine".

  2. Cliquez ensuite sur "Options de connexion". L'empreinte digitale et le code PIN ne sont plus grisés. S'il est toujours grisé, assurez-vous que la «connexion par code PIN pratique» est activée.

  3. Ajoutez le code PIN, puis l'empreinte digitale.

  4. Revenez à «Accéder au travail ou à l'école» dans Paramètres -> Comptes.

  5. Cliquez sur Se connecter et entrez l'adresse e-mail et le mot de passe de l'utilisateur.

La seule stratégie de groupe actuellement en vigueur est le paramètre «Activer la connexion par code PIN pratique» sous Stratégies, Modèles d'administration, Système, Connexion. Notez qu'il ne s'agit PAS de Windows Hello Entreprise. Ce n'est encore que du bourrage de mots de passe. Un jour, la connexion par code PIN sera supprimée et nous devrons le faire de manière sécurisée.

CParker
la source
0

Il y a une chose que vous ne devez pas configurer à moins d'avoir les certificats valides (c'est sur le serveur 2016).

Assurez-vous que «Computer conf / policies / Admin temp / Windows comp / Windows Hello for Business / Use Windows Hello for Business» est défini sur NON CONFIGURÉ.

C'était la seule chose que j'avais définie (à partir d'un autre blog) et cela avait empêché Windows Hello de fonctionner, Windows Hello ne démarrerait même pas. Mais tant qu'il n'est pas configuré, ça devrait aller.

user780692
la source
Lisez "Pourquoi ai-je besoin de 50 points de réputation pour commenter" pour vous assurer de comprendre comment vous pouvez commencer à commenter.
Pimp Juice IT du
0

Définition du registre suivant

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

puis activez l'UAC et redémarrez le PC.

user863516
la source
-2

Je suis sur un domaine rejoint Dell 7280. L'ajout de la clé de registre ci-dessous avec le redémarrage m'a permis d'ajouter une broche à 6 chiffres.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001

Joe
la source