Windows Hello kann nicht aktiviert werden - Einige Einstellungen werden von Ihrer Organisation verwaltet

Ich habe eine Neuinstallation von Windows 10 Anniversary Edition durchgeführt. Jetzt kann ich Windows Hello nicht mehr mit meiner als AD-Benutzer angemeldeten Domäne aktivieren, die Surface Pro 4 beigetreten ist. Wenn ich mich mit meinem Msft-Konto anmelde, kann ich Windows Hello jedoch aktivieren.

Ich habe versucht, "Einige Einstellungen werden von Ihrer Organisation verwaltet", obwohl sie sich nicht in der Domäne befinden. (Erhöhung der Telemetrie über Einstellungen App) und auch dies: Zurücksetzen der Telemetrie über GP .

Dies zeigt, dass sich dieses Problem von den anderen hier unterscheidet. Dies ist auch in der Tat Domäne verbunden, nicht wie die meisten anderen Fragen hier.

So sehen die Einstellungen aus;

Mit der alten Version von Windows 10 konnte das gleiche Gerät Windows Hello aktivieren, während die Domäne mit dem Domänenbenutzer verbunden war. Deshalb schließe ich GPO als Ursache des Problems aus. Das Gruppenrichtlinienobjekt ermöglicht Biometrics sogar explizit für Domänenbenutzer. Was kann ich tun?

Windows 10 Professional, Cortana ist aktiviert. Keine Insider Edition. Ich habe Administratorzugriff auf die Domain.

Ich habe die Lösung gefunden. Der Grund dafür ist, dass Windows Hello auf Computern mit Domänenbeitritt ab dem Jubiläumsupdate anders verwaltet wird. Um es zum Laufen zu bringen, müssen Sie die folgenden Schritte ausführen:

1) Richten Sie einen zentralen Speicher für Gruppenrichtlinien ein (das sollten Sie bereits haben)

2) Holen Sie sich Gruppenrichtlinienvorlagen zum 10-jährigen Jubiläum von Windows . Sie können dies tun, indem Sie Ihre Dateien von PolicyDefinitions (in windir auf einem Win10 Anniversary Update-Computer) in PolicyDefinitions des zentralen Speichers kopieren. Sie können diese Dateien zuerst in eine Dateifreigabe kopieren, da Ihr normaler Benutzer keine Berechtigungen für den zentralen Speicher haben sollte.

3) Richten Sie ein neues Gruppenrichtlinienobjekt ein, oder fügen Sie die folgenden Einstellungen zu einem vorhandenen hinzu, um Windows Hello zu aktivieren:

• Computerkonfiguration / Richtlinien / Administrative Vorlagen

... / Windows-Komponenten / Windows Hello For Business / Biometrie verwenden => Aktiviert

... / Windows-Komponenten / Windows Hello for Business / Verwenden Sie ein Hardwaresicherheitsgerät => Aktiviert (wenn Sie TPM anstelle der schlüssel- oder zertifikatbasierten Aktivierung für Windows Hello verwenden möchten). Beachten Sie, dass im Allgemeinen alle Geschäftscomputer über TPM verfügen sollten

... / System / Logon / Komfort-PIN-Anmeldung einschalten => Aktiviert (Dies ist der Schlüssel. Dies aktiviert die PIN-Anmeldung, die wiederum Hello zusammen mit den anderen Einstellungen aktiviert.)

... / Windows-Komponenten / Biometrie / Ermöglichen, dass sich Domänenbenutzer mit Biometrie anmelden => Aktiviert (Ich denke, dies ist standardmäßig aktiviert, aber die explizite Verwendung erleichtert die GP-Verwaltung erheblich.)

Weitere optionale Konfigurationsmöglichkeiten finden Sie unter System / Anmeldung und Windows-Komponenten / Biometrie und Windows-Komponenten / Windows Hello for Business.

Weitere Hintergrundinformationen finden Sie hier: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

und hier

https://technet.microsoft.com/de-de/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Wichtigster Auszug:

Ab Version 1607 ist Windows Hello als Convenience-PIN auf allen Computern mit Domänenbeitritt standardmäßig deaktiviert. Aktivieren Sie zum Aktivieren einer Komfort-PIN für Windows 10, Version 1607, die Gruppenrichtlinieneinstellung Komfort-PIN-Anmeldung aktivieren. Verwenden Sie die Richtlinieneinstellungen von Windows Hello for Business, um PINs für Windows Hello for Business zu verwalten.

Wenn Sie Windows Hello auf der Basis von Schlüsseln oder Zertifikaten verwenden möchten, folgen Sie den Anleitungen in den Links. Sei aber nicht verwirrt. Sie können normales TPM weiterhin für normales Windows Hello verwenden.

Das Festlegen des folgenden Registrierungsschlüssels funktioniert für mich:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Referenz: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- on-domain-account? forum = win10itprosetup

Alles was ich tun musste ist:

1. Windows KEY+ R, um Ausführen zu öffnen
2. Eingeben:

   gpedit.msc

3. [Lokale Computerrichtlinie]> [Computerkonfiguration]> [Administrative Vorlagen]> [System]> [Anmelden]> [ Komfort-PIN-Anmeldung aktivieren ]: AKTIVIERT

Dadurch wurde Windows Hello on Surface Pro 4 mit Windows 10 Pro aktiviert.

Ich habe das für eine lange Zeit gekämpft. Ich habe alle diese Gruppenrichtlinieneinstellungen ausprobiert: Bequeme PIN-Anmeldung aktivieren, Windows Hello für Unternehmen aktivieren, Biometrie aktivieren usw. usw. Ich habe endlich die Lösung gefunden.

Die PCs in meiner Firma sind Windows 10 Build 1809. Meistens Lenovo X1 Yogas und P330s und einige Surface Pros. Sie sind Domänenmitglied einer 2012 R2-Domäne und haben Office 365 für E-Mail und Office Pro Plus abonniert. In Office 365 ist eine E3-Lizenz vorhanden. Wenn ein Benutzer die Office-Apps mit seiner eigenen O365-Lizenz registriert, wird Windows mit seinem Arbeitskonto verbunden. Durch das Trennen der Verbindung konnte ich PIN und Fingerabdruck einrichten. So geht's:

1. Gehen Sie zu Windows-Einstellungen -> Konten -> Zugriff auf Arbeit oder Schule. Die Schlüsseleinstellung ist das "Arbeits- oder Schulkonto" mit dem farbenfrohen Windows-Logo. Trennen Sie das. Berühren Sie nicht die Einstellung "Verbunden mit welcher Domain auch immer".

2. Klicken Sie anschließend auf "Anmeldeoptionen". Fingerabdruck und PIN werden nicht mehr ausgegraut. Wenn es immer noch ausgegraut ist, vergewissern Sie sich, dass die bequeme PIN-Anmeldung aktiviert ist.

3. Fügen Sie die PIN und dann den Fingerabdruck hinzu.

4. Gehen Sie zurück zu "Zugang zur Arbeit oder Schule" in den Einstellungen -> Konten.

5. Klicken Sie auf Verbinden und geben Sie die E-Mail-Adresse und das Kennwort des Benutzers ein.

Die einzige derzeit gültige Gruppenrichtlinie ist die Einstellung "Komfort-PIN-Anmeldung aktivieren" unter Richtlinien, Administrative Vorlagen, System, Anmeldung. Beachten Sie, dass dies NICHT Windows Hello for Business ist. Dies ist immer noch nur Passwort-Stuffing. Eines Tages wird die bequeme PIN-Anmeldung veraltet sein und wir müssen dies auf sichere Weise tun.

Es gibt eine Sache, die Sie nicht konfigurieren dürfen, es sei denn, Sie haben die gültigen Zertifikate (dies ist auf Server 2016).

Stellen Sie sicher, dass "Computerkonfiguration / Richtlinien / Administrator-Temp. / Windows-Komp. / Windows Hello for Business / Windows Hello for Business verwenden" auf NICHT KONFIGURIERT gesetzt ist.

Dies war das eine, was ich eingestellt hatte (aus einem anderen Blog) und es hatte Windows Hallo daran gehindert zu funktionieren, Windows Hallo würde nicht einmal starten. Aber solange es nicht konfiguriert ist, sollte es in Ordnung sein.

Festlegen der folgenden Registrierung

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Aktivieren Sie dann die Benutzerkontensteuerung und starten Sie den PC neu.

Ich bin in einer Domäne, die Dell 7280 beigetreten ist. Durch das Hinzufügen des folgenden Registrierungsschlüssels und des Neustarts konnte ich eine 6-stellige PIN hinzufügen.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001