Impossible d'activer Windows Hello - Certains paramètres sont gérés par votre organisation

J'ai fait une nouvelle installation de Windows 10 Anniversary Edition. Maintenant, je ne peux pas activer Windows Hello avec mon domaine rejoint Surface Pro 4, connecté en tant qu'utilisateur AD. Cependant, lorsque je me connecte avec mon compte Msft, je peux activer Windows Hello.

J'ai essayé "Certains paramètres sont gérés par votre organisation" alors que je n'étais pas sur le domaine? (augmentation de la télémétrie via l'application des paramètres) et aussi ceci: réinitialisation de la télémétrie via gp .

Cela montre que ce problème est différent des autres ici. Ceci est également en fait lié au domaine, pas comme la plupart des autres questions ici.

Voici à quoi ressemblent les paramètres;

Avec l'ancienne version de Windows 10, le même appareil pouvait activer Windows Hello lorsque le domaine était joint à l'utilisateur du domaine. C'est pourquoi j'exclus GPO comme source du problème. Le GPO autorise même explicitement la biométrie pour les utilisateurs du domaine. Que puis-je faire?

Windows 10 Professionnel, Cortana est activé. Aucune édition Insiders. J'ai un accès administratif au domaine.

J'ai trouvé la solution. La raison en est que Windows Hello est géré différemment sur les ordinateurs joints au domaine, à commencer par la mise à jour anniversaire. Pour le faire fonctionner, vous devez suivre ces étapes:

1) Configurer un magasin central de stratégie de groupe (vous devriez déjà l'avoir)

2) Obtenez les modèles de stratégie de groupe pour la mise à jour anniversaire de Windows 10 . Vous pouvez le faire en copiant vos fichiers depuis PolicyDefinitions (dans windir sur une machine de mise à jour anniversaire Win10) dans PolicyDefinitions du magasin central. Vous pouvez d'abord copier ces fichiers sur un partage de fichiers, en raison des autorisations que votre utilisateur normal ne devrait pas avoir sur le magasin central.

3) Configurez un nouvel objet de stratégie de groupe ou ajoutez à un existant les paramètres suivants pour activer Windows Hello:

• Configuration ordinateur / Stratégies / Modèles d'administration

... / Composants Windows / Windows Hello Entreprise / Utiliser la biométrie => Activé

... / Composants Windows / Windows Hello Entreprise / Utiliser un périphérique de sécurité matériel => Activé (si vous souhaitez utiliser le module de plateforme sécurisée au lieu de l'activation basée sur clé ou certificat pour Windows Hello). Notez qu'en général, tous les ordinateurs professionnels doivent avoir un module de plateforme sécurisée

... / Système / Ouverture de session / Activer la connexion par code PIN pratique => Activé (Il s'agit de la clé. Cela active la connexion par code PIN qui, à son tour, active Bonjour, ainsi que les autres paramètres.)

... / Composants Windows / Biométrie / Autoriser les utilisateurs du domaine à se connecter à l'aide de la biométrie => Activé (je pense que cela est activé par défaut, mais être explicite rend la gestion des GP beaucoup plus facile.)

Vous trouverez plus de possibilités de configuration facultatives dans Système / Ouverture de session et composants Windows / Biométrie et composants Windows / Windows Hello Entreprise.

Vous trouverez plus d'informations ici: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

et ici

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Extrait le plus important:

À partir de la version 1607, Windows Hello comme code PIN de commodité est désactivé par défaut sur tous les ordinateurs joints au domaine. Pour activer un code PIN pratique pour Windows 10, version 1607, activez le paramètre de stratégie de groupe Activer la connexion par code PIN pratique. Utilisez les paramètres de stratégie de Windows Hello Entreprise pour gérer les codes PIN pour Windows Hello Entreprise.

Si vous souhaitez utiliser Windows Hello à clé ou à certificat, vous pouvez suivre les guides des liens. Ne vous embrouillez pas. Vous pouvez toujours utiliser le module de plateforme sécurisée standard pour Windows Hello normal.

La définition de la clé de registre suivante fonctionne pour moi:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Référence: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- sur-domaine-compte? forum = win10itprosetup

Tout ce que j'avais à faire c'est:

1. Windows KEY+ Rpour ouvrir Run
2. Entrer:

   gpedit.msc

3. [Stratégie de l'ordinateur local]> [Configuration de l'ordinateur]> [Modèles d'administration]> [Système]> [Connexion]> [ Activer la connexion par code confidentiel ]: ACTIVÉ

Cela a activé Windows Hello sur Surface Pro 4 avec Windows 10 Pro.

Je me bats depuis longtemps. J'ai essayé tous ces paramètres de stratégie de groupe: activer la connexion par code confidentiel, activer Windows bonjour pour les entreprises, activer la biométrie, etc., etc., etc. J'ai finalement trouvé la solution.

Les PC de mon entreprise sont Windows 10 build 1809. Surtout des Lenovo X1 Yogas et P330 et des Surface Pros. Ils sont joints à un domaine pour un domaine 2012 R2 et ils sont abonnés à Office 365 pour la messagerie électronique et Office Pro Plus. Nous avons une licence E3 dans Office 365. Lorsqu'un utilisateur enregistre les applications Office à l'aide de sa propre licence O365, il connecte Windows à son compte professionnel. La déconnexion m'a permis de configurer le code PIN et l'empreinte digitale. Voici comment procéder:

1. Accédez à Paramètres Windows -> Comptes -> Accéder au travail ou à l'école. Le paramètre clé est le "compte professionnel ou scolaire" avec le logo coloré de Windows. Déconnectez cela. Ne touchez pas le paramètre "Connecté à n'importe quel domaine".

2. Cliquez ensuite sur "Options de connexion". L'empreinte digitale et le code PIN ne sont plus grisés. S'il est toujours grisé, assurez-vous que la «connexion par code PIN pratique» est activée.

3. Ajoutez le code PIN, puis l'empreinte digitale.

4. Revenez à «Accéder au travail ou à l'école» dans Paramètres -> Comptes.

5. Cliquez sur Se connecter et entrez l'adresse e-mail et le mot de passe de l'utilisateur.

La seule stratégie de groupe actuellement en vigueur est le paramètre «Activer la connexion par code PIN pratique» sous Stratégies, Modèles d'administration, Système, Connexion. Notez qu'il ne s'agit PAS de Windows Hello Entreprise. Ce n'est encore que du bourrage de mots de passe. Un jour, la connexion par code PIN sera supprimée et nous devrons le faire de manière sécurisée.

Il y a une chose que vous ne devez pas configurer à moins d'avoir les certificats valides (c'est sur le serveur 2016).

Assurez-vous que «Computer conf / policies / Admin temp / Windows comp / Windows Hello for Business / Use Windows Hello for Business» est défini sur NON CONFIGURÉ.

C'était la seule chose que j'avais définie (à partir d'un autre blog) et cela avait empêché Windows Hello de fonctionner, Windows Hello ne démarrerait même pas. Mais tant qu'il n'est pas configuré, ça devrait aller.

Définition du registre suivant

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

puis activez l'UAC et redémarrez le PC.

Je suis sur un domaine rejoint Dell 7280. L'ajout de la clé de registre ci-dessous avec le redémarrage m'a permis d'ajouter une broche à 6 chiffres.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001