Windows Hello kann nicht aktiviert werden - Einige Einstellungen werden von Ihrer Organisation verwaltet

19

Ich habe eine Neuinstallation von Windows 10 Anniversary Edition durchgeführt. Jetzt kann ich Windows Hello nicht mehr mit meiner als AD-Benutzer angemeldeten Domäne aktivieren, die Surface Pro 4 beigetreten ist. Wenn ich mich mit meinem Msft-Konto anmelde, kann ich Windows Hello jedoch aktivieren.

Ich habe versucht, "Einige Einstellungen werden von Ihrer Organisation verwaltet", obwohl sie sich nicht in der Domäne befinden. (Erhöhung der Telemetrie über Einstellungen App) und auch dies: Zurücksetzen der Telemetrie über GP .

Dies zeigt, dass sich dieses Problem von den anderen hier unterscheidet. Dies ist auch in der Tat Domäne verbunden, nicht wie die meisten anderen Fragen hier.

So sehen die Einstellungen aus; Bildbeschreibung hier eingeben

Mit der alten Version von Windows 10 konnte das gleiche Gerät Windows Hello aktivieren, während die Domäne mit dem Domänenbenutzer verbunden war. Deshalb schließe ich GPO als Ursache des Problems aus. Das Gruppenrichtlinienobjekt ermöglicht Biometrics sogar explizit für Domänenbenutzer. Was kann ich tun?

Windows 10 Professional, Cortana ist aktiviert. Keine Insider Edition. Ich habe Administratorzugriff auf die Domain.

zuckerthoben
quelle
Haben Sie jemals eine Lösung gefunden? Ich habe das gleiche Problem :(
MojoDK
Ja, habe ich! Ich werde die Antwort jetzt schreiben @ MojoDK :)
zuckerthoben

Antworten:

27

Ich habe die Lösung gefunden. Der Grund dafür ist, dass Windows Hello auf Computern mit Domänenbeitritt ab dem Jubiläumsupdate anders verwaltet wird. Um es zum Laufen zu bringen, müssen Sie die folgenden Schritte ausführen:

1) Richten Sie einen zentralen Speicher für Gruppenrichtlinien ein (das sollten Sie bereits haben)

2) Holen Sie sich Gruppenrichtlinienvorlagen zum 10-jährigen Jubiläum von Windows . Sie können dies tun, indem Sie Ihre Dateien von PolicyDefinitions (in windir auf einem Win10 Anniversary Update-Computer) in PolicyDefinitions des zentralen Speichers kopieren. Sie können diese Dateien zuerst in eine Dateifreigabe kopieren, da Ihr normaler Benutzer keine Berechtigungen für den zentralen Speicher haben sollte.

3) Richten Sie ein neues Gruppenrichtlinienobjekt ein, oder fügen Sie die folgenden Einstellungen zu einem vorhandenen hinzu, um Windows Hello zu aktivieren:

  • Computerkonfiguration / Richtlinien / Administrative Vorlagen

... / Windows-Komponenten / Windows Hello For Business / Biometrie verwenden => Aktiviert

... / Windows-Komponenten / Windows Hello for Business / Verwenden Sie ein Hardwaresicherheitsgerät => Aktiviert (wenn Sie TPM anstelle der schlüssel- oder zertifikatbasierten Aktivierung für Windows Hello verwenden möchten). Beachten Sie, dass im Allgemeinen alle Geschäftscomputer über TPM verfügen sollten

... / System / Logon / Komfort-PIN-Anmeldung einschalten => Aktiviert (Dies ist der Schlüssel. Dies aktiviert die PIN-Anmeldung, die wiederum Hello zusammen mit den anderen Einstellungen aktiviert.)

... / Windows-Komponenten / Biometrie / Ermöglichen, dass sich Domänenbenutzer mit Biometrie anmelden => Aktiviert (Ich denke, dies ist standardmäßig aktiviert, aber die explizite Verwendung erleichtert die GP-Verwaltung erheblich.)

Weitere optionale Konfigurationsmöglichkeiten finden Sie unter System / Anmeldung und Windows-Komponenten / Biometrie und Windows-Komponenten / Windows Hello for Business.

Weitere Hintergrundinformationen finden Sie hier: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

und hier

https://technet.microsoft.com/de-de/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Wichtigster Auszug:

Ab Version 1607 ist Windows Hello als Convenience-PIN auf allen Computern mit Domänenbeitritt standardmäßig deaktiviert. Aktivieren Sie zum Aktivieren einer Komfort-PIN für Windows 10, Version 1607, die Gruppenrichtlinieneinstellung Komfort-PIN-Anmeldung aktivieren. Verwenden Sie die Richtlinieneinstellungen von Windows Hello for Business, um PINs für Windows Hello for Business zu verwalten.

Wenn Sie Windows Hello auf der Basis von Schlüsseln oder Zertifikaten verwenden möchten, folgen Sie den Anleitungen in den Links. Sei aber nicht verwirrt. Sie können normales TPM weiterhin für normales Windows Hello verwenden.

zuckerthoben
quelle
1
Es ist wichtig zu beachten, dass gemäß dem von Ihnen angegebenen Link "Bequeme PIN-Anmeldung aktivieren" NICHT erforderlich ist, um Windows Hello zu verwenden. Die Convenience-PIN ist die PIN im alten Stil, die nicht so sicher ist wie die Windows-Hello-PIN. ("Wenn Sie Windows Hello for Business bereitstellen möchten, ist dies möglicherweise die perfekte Gelegenheit, um zu diesem sichereren Berechtigungsnachweis zu wechseln, und nicht ... zur bequemen PIN-Anmeldung.") Die eigentliche Konfiguration von Windows Hello for Business umfasst mehr als nur GPO - siehe docs.microsoft.com/en-us/azure/active-directory/...
Speedbird186
Guter Fang, aber SCCM kann nicht die einzige Lösung sein, die Windows Hello auf Geräten mit Domänenbeitritt aktiviert. Es muss einen anderen Weg geben, der sicher ist.
Zuckerthoben
Ich wollte nur darauf hinweisen, dass ich in der Lage war, die lokale Richtlinie (Run> GPedit.msc) auf einem Laptop mit Domänenbeitritt einfach zu bearbeiten , damit dies funktioniert. Gute Infos, danke.
SamAndrew81
Leider hat mir das alles nicht geholfen: / Ich kann mich mit einem lokalen Konto anmelden, aber Windows Hello ist für mein AD-Konto immer noch ausgegraut.
Dominik
Ich verstehe den ersten Schritt "1) Einrichten eines zentralen Speichers für Gruppenrichtlinien (sollte bereits vorhanden sein)" nicht. Ich habe lokale Administratorrechte für meinen mit einer Domain verbundenen Geschäftscomputer, aber keine Netzwerkadministratorrechte. Könnten Sie bitte (oder jemand anderen) schrittweise Unterschritte für diesen ersten Punkt und auch für den zweiten Punkt machen? Die anderen Punkte sind klar, aber ohne die ersten beiden kann ich diese Lösung nicht wirklich ausprobieren.
Ochado
5

Das Festlegen des folgenden Registrierungsschlüssels funktioniert für mich:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Referenz: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- on-domain-account? forum = win10itprosetup

Stephen Quan
quelle
Mein PC ist einer Domain zugeordnet, aber ich habe keinen Administratorzugriff darauf. Diese Lösung hat das Problem für mich gelöst.
Nikola Malešević
Dadurch konnte ich (als Endbenutzer) Windows Hello auf meinem Surface Book aktivieren, ohne die Unternehmens-IT einbeziehen zu müssen.
Holistic Developer
1
Bei mir funktioniert das nicht
Ahmed Hamdy
Ich führe Windows Server 2016 Build 1607 als Mitgliedsserver in einer vorhandenen Domäne aus und dieser Registrierungsschlüssel ist bereits festgelegt, ich kann jedoch Windows Hello nicht verwenden.
Dai
5

Alles was ich tun musste ist:

  1. Windows KEY+ R, um Ausführen zu öffnen
  2. Eingeben:
    gpedit.msc
  3. [Lokale Computerrichtlinie]> [Computerkonfiguration]> [Administrative Vorlagen]> [System]> [Anmelden]> [ Komfort-PIN-Anmeldung aktivieren ]: AKTIVIERT

Dadurch wurde Windows Hello on Surface Pro 4 mit Windows 10 Pro aktiviert.

juFo
quelle
Ja, das entspricht so ziemlich meiner Antwort, aber für einen einzelnen lokalen Benutzer. Ein Domänenansatz ist für Unternehmensanwendungsfälle besser.
zuckerthoben
2
Ich weiß nicht, was "Group Policy Central Store" ist, und Sie sagen nicht, wo Sie die Richtlinie anwenden. Auf einem zentralen AD-Server oder auf dem lokalen PC ...
juFo
1
Aus dem Kontext können Sie sicher annehmen, dass ich eine Gruppenrichtlinie für AD erstelle. Die Einrichtung eines zentralen Gruppenrichtlinienspeichers zu erläutern, geht weit über den Rahmen meiner Antwort hinaus. Anleitungen und Erklärungen finden Sie im gesamten Web.
zuckerthoben
Ich habe 10 Pro, aber ich sehe diese Optionen nicht
Crash893
Die Beschreibung enthält ein Problem. Für eine 4-stellige PIN müssen Sie die minimale Ping-Länge auf Aktiviert mit dem Wert 4
sofsntp
3

Ich habe das für eine lange Zeit gekämpft. Ich habe alle diese Gruppenrichtlinieneinstellungen ausprobiert: Bequeme PIN-Anmeldung aktivieren, Windows Hello für Unternehmen aktivieren, Biometrie aktivieren usw. usw. Ich habe endlich die Lösung gefunden.

Die PCs in meiner Firma sind Windows 10 Build 1809. Meistens Lenovo X1 Yogas und P330s und einige Surface Pros. Sie sind Domänenmitglied einer 2012 R2-Domäne und haben Office 365 für E-Mail und Office Pro Plus abonniert. In Office 365 ist eine E3-Lizenz vorhanden. Wenn ein Benutzer die Office-Apps mit seiner eigenen O365-Lizenz registriert, wird Windows mit seinem Arbeitskonto verbunden. Durch das Trennen der Verbindung konnte ich PIN und Fingerabdruck einrichten. So geht's:

  1. Gehen Sie zu Windows-Einstellungen -> Konten -> Zugriff auf Arbeit oder Schule. Die Schlüsseleinstellung ist das "Arbeits- oder Schulkonto" mit dem farbenfrohen Windows-Logo. Trennen Sie das. Berühren Sie nicht die Einstellung "Verbunden mit welcher Domain auch immer".

  2. Klicken Sie anschließend auf "Anmeldeoptionen". Fingerabdruck und PIN werden nicht mehr ausgegraut. Wenn es immer noch ausgegraut ist, vergewissern Sie sich, dass die bequeme PIN-Anmeldung aktiviert ist.

  3. Fügen Sie die PIN und dann den Fingerabdruck hinzu.

  4. Gehen Sie zurück zu "Zugang zur Arbeit oder Schule" in den Einstellungen -> Konten.

  5. Klicken Sie auf Verbinden und geben Sie die E-Mail-Adresse und das Kennwort des Benutzers ein.

Die einzige derzeit gültige Gruppenrichtlinie ist die Einstellung "Komfort-PIN-Anmeldung aktivieren" unter Richtlinien, Administrative Vorlagen, System, Anmeldung. Beachten Sie, dass dies NICHT Windows Hello for Business ist. Dies ist immer noch nur Passwort-Stuffing. Eines Tages wird die bequeme PIN-Anmeldung veraltet sein und wir müssen dies auf sichere Weise tun.

CParker
quelle
0

Es gibt eine Sache, die Sie nicht konfigurieren dürfen, es sei denn, Sie haben die gültigen Zertifikate (dies ist auf Server 2016).

Stellen Sie sicher, dass "Computerkonfiguration / Richtlinien / Administrator-Temp. / Windows-Komp. / Windows Hello for Business / Windows Hello for Business verwenden" auf NICHT KONFIGURIERT gesetzt ist.

Dies war das eine, was ich eingestellt hatte (aus einem anderen Blog) und es hatte Windows Hallo daran gehindert zu funktionieren, Windows Hallo würde nicht einmal starten. Aber solange es nicht konfiguriert ist, sollte es in Ordnung sein.

user780692
quelle
Lesen Sie den Abschnitt "Warum brauche ich 50 Ruf, um Kommentare abzugeben?" , Um zu verstehen, wie Sie mit dem Kommentieren beginnen können.
Pimp Juice IT
0

Festlegen der folgenden Registrierung

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Aktivieren Sie dann die Benutzerkontensteuerung und starten Sie den PC neu.

user863516
quelle
-2

Ich bin in einer Domäne, die Dell 7280 beigetreten ist. Durch das Hinzufügen des folgenden Registrierungsschlüssels und des Neustarts konnte ich eine 6-stellige PIN hinzufügen.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001

Joe
quelle