Windows-Hallo kann nicht aktiviert werden - Einige Einstellungen werden von Ihrer Organisation verwaltet

85533
zuckerthoben

Ich habe eine Neuinstallation von Windows 10 Anniversary Edition durchgeführt. Jetzt kann ich Windows Hello nicht aktivieren, wenn meine Domäne als angemeldeter AD-Benutzer an Surface Pro 4 angemeldet ist. Wenn ich mich mit meinem Msft-Konto anmelde, kann ich Windows Hello jedoch aktivieren.

Ich habe versucht "Einige Einstellungen werden von Ihrer Organisation verwaltet", obwohl sie sich nicht in der Domäne befinden. (Erhöhung der Telemetrie über die Einstellungen-App) und auch diese: Zurücksetzen der Telemetrie über gp .

Dies zeigt, dass sich dieses Problem hier von den anderen unterscheidet. Dies ist in der Tat auch Domäne beigetreten, nicht wie die meisten anderen Fragen hier.

So sehen die Einstellungen aus; Windows-Hallo kann nicht aktiviert werden - Einige Einstellungen werden von Ihrer Organisation verwaltet

Mit der alten Version von Windows 10 kann dasselbe Gerät Windows Hello aktivieren, während die Domäne dem Domänenbenutzer beigetreten ist. Deshalb schließe ich GPO als Problemquelle aus. GPO erlaubt sogar explizit die Verwendung von Biometrics für Domänenbenutzer. Was kann ich machen?

Windows 10 Professional, Cortana ist aktiviert. Keine Insiders Edition. Ich habe Administratorzugriff auf die Domain.

14
Haben Sie jemals eine Lösung gefunden? Ich habe das gleiche problem :( MojoDK vor 7 Jahren 0
Ja, habe ich! Ich werde jetzt die Antwort schreiben @MojoDK :) zuckerthoben vor 7 Jahren 0

6 Antworten auf die Frage

17
zuckerthoben

Ich habe die Lösung gefunden. Der Grund ist, dass Windows Hello auf Domänencomputern ab dem Jubiläumsupdate anders verwaltet wird. Damit es funktioniert, müssen Sie folgende Schritte ausführen:

1) Richten Sie einen zentralen Gruppenrichtlinienspeicher ein (dies sollte bereits vorhanden sein)

2) Erhalten Sie Gruppenrichtlinienvorlagen für Windows 10-Jubiläumsaktualisierungen . Sie können dies tun, indem Sie Ihre Dateien aus PolicyDefinitions (in windir auf einem Win10 Anniversary Update-Computer) in die PolicyDefinitions des zentralen Speichers kopieren. Sie können diese Dateien zuerst in eine Dateifreigabe kopieren, da Ihr normaler Benutzer keine Berechtigungen im zentralen Speicher haben sollte.

3) Richten Sie ein neues Gruppenrichtlinienobjekt ein oder fügen Sie einem vorhandenen die folgenden Einstellungen hinzu, um Windows Hello zu aktivieren:

  • Computerkonfiguration / Richtlinien / Administrative Vorlagen

... / Windows-Komponenten / Windows Hello For Business / Biometrie verwenden => Aktiviert

... / Windows-Komponenten / Windows Hello for Business / Hardware-Sicherheitsgerät verwenden => Aktiviert (wenn Sie TPM anstelle der schlüssel- oder zertifikatsbasierten Aktivierung für Windows Hello verwenden möchten). Beachten Sie, dass im Allgemeinen alle Geschäftscomputer über TPM verfügen sollten

... / System / Logon / Komfort-PIN-Anmeldung einschalten => Aktiviert (Dies ist der Schlüssel. Dies ermöglicht die PIN-Anmeldung, die wiederum Hallo aktiviert, zusammen mit den anderen Einstellungen.)

... / Windows-Komponenten / Biometrics / Domänenbenutzer die Anmeldung mit Biometrics zulassen => Aktiviert (Ich denke, dies ist standardmäßig aktiviert, aber da es explizit ist, wird die GP-Verwaltung wesentlich einfacher.)

Weitere optionale Konfigurationsmöglichkeiten finden Sie unter System / Anmeldung und Windows-Komponenten / Biometrics und Windows-Komponenten / Windows Hello for Business.

Weitere Informationen finden Sie hier: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

und hier

https://technet.microsoft.com/de-de/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organisation

Wichtigster Auszug:

Ab Version 1607 ist Windows Hello als Komfort-PIN auf allen Computern mit Domänenanschluss standardmäßig deaktiviert. Um eine Komfort-PIN für Windows 10, Version 1607, zu aktivieren, aktivieren Sie die Gruppenrichtlinieneinstellung Aktivieren Sie die Komfort-PIN-Anmeldung. Verwenden Sie die Richtlinieneinstellungen von Windows Hello for Business, um PINs für Windows Hello for Business zu verwalten.

Wenn Sie Windows Hello auf Schlüssel- oder Zertifikatsbasis verwenden möchten, können Sie den Anleitungen in den Links folgen. Nicht verwirrt werden. Sie können weiterhin reguläres TPM für normales Windows Hello verwenden.

Beachten Sie, dass gemäß dem von Ihnen zitierten Link "Aktivieren der Komfort-PIN-Anmeldung" NICHT erforderlich ist, um Windows Hello zu verwenden. Die Komfort-PIN ist die alte PIN, die nicht so sicher ist wie die Windows-Hello-PIN. ("Wenn Sie Windows Hello for Business bereitstellen möchten ... ist dies möglicherweise die perfekte Gelegenheit, um zu den sichereren Anmeldeinformationen zu gelangen und nicht ... zur bequemen PIN-Anmeldung.") Die eigentliche Konfiguration von Windows Hello for Business umfasst mehr als nur GPO - siehe https://docs.microsoft.com/de-de/azure/active-directory/active-directory-azureadjoin-passport-deployment Speedbird186 vor 7 Jahren 1
Ein guter Haken, aber SCCM kann nicht die einzige Lösung sein, um Windows Hello auf Geräten zu aktivieren, die mit einer Domäne verbunden sind. Es muss einen anderen Weg geben, der sicher ist. zuckerthoben vor 7 Jahren 0
Ich wollte nur darauf hinweisen, dass ich die _local_-Richtlinie (Ausführen> GPedit.msc) auf einem Domain-verbundenen Laptop einfach bearbeiten konnte, um diese Funktion zu aktivieren. Gute Infos, danke. SamAndrew81 vor 6 Jahren 0
Leider hat mir das alles nicht geholfen: / Ich kann mich mit einem lokalen Konto anmelden, aber Windows Hello ist immer noch für meinen AD-Account ausgegraut. Dominik vor 5 Jahren 0
4
Stephen Quan

Das Festlegen des folgenden Registrierungsschlüssels funktioniert für mich:

Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System] "AllowDomainPINLogon"=dword:00000001

Referenz: https://social.technet.microsoft.com/Forums/de-de/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-mit-fresh-install-of-anniversity-upgrade- on-domain-account? forum = win10itprosetup

Mein PC ist einer Domäne beigetreten, aber ich habe keinen Administratorzugriff darauf. Diese Lösung hat das Problem für mich gelöst. Nikola Malešević vor 7 Jahren 0
Dies erlaubte mir (als Endbenutzer), Windows Hello in meinem Surface Book zu aktivieren, ohne die Unternehmens-IT zu involvieren. Holistic Developer vor 7 Jahren 0
Das funktioniert bei mir nicht Ahmed Hamdy vor 6 Jahren 1
Ich führe Windows Server 2016 Build 1607 als Mitgliedsserver in einer vorhandenen Domäne aus und dieser Registrierungsschlüssel ist bereits festgelegt, aber ich kann Windows Hello nicht verwenden. Dai vor 6 Jahren 0
4
juFo

Alles was ich tun musste, ist:

  1. Windows KEY+ Rum Run zu öffnen
  2. Eingeben: 
    gpedit.msc
  3. [Richtlinien für lokale Computer]> [Computerkonfiguration]> [Administrative Vorlagen]> [System]> [Anmeldung]> [ Komfort-PIN-Anmeldung aktivieren ]: ENABLED

Dadurch wurde Windows Hello auf Surface Pro 4 mit Windows 10 Pro aktiviert.

Ja, das entspricht ziemlich genau meiner Antwort, aber für einen einzelnen lokalen Benutzer. Ein Domänenansatz ist für Unternehmensanwendungsfälle besser geeignet. zuckerthoben vor 7 Jahren 0
Ich weiß nicht, was "Group Policy Central Store" ist, und Sie sagen nicht, wo Sie die Richtlinie anwenden. Auf einem zentralen AD-Server oder auf dem lokalen PC ... juFo vor 7 Jahren 2
Aus dem Kontext können Sie sicher davon ausgehen, dass ich eine Gruppenrichtlinie für AD erstelle. Erklären, wie ein zentraler Informationsspeicher für Gruppenrichtlinien eingerichtet wird, liegt weit außerhalb meiner Antwort. Anleitungen und Erklärungen finden Sie im gesamten Web. zuckerthoben vor 7 Jahren 1
Ich habe 10 Profis, sehe diese Optionen aber nicht Crash893 vor 6 Jahren 0
0
user780692

There is one thing you must not configure unless you have the valid certificates (this is on server 2016).

Make sure "Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business" is set to NOT CONFIGURED.

This was the one thing I had set (from another blog) and it had prevented windows hello from working, windows hello wouldn't even start. But as long as it's not configured it should be ok.

Lesen Sie weiter ["Warum brauche ich 50 Reputation, um einen Kommentar abzugeben"] (https://meta.stackexchange.com/questions/214173/why-do-i-need-50-reputation-to-comment-what-can-i -do-stattdessen), um sicherzustellen, dass Sie verstehen, wie Sie mit dem Kommentieren beginnen können. Pimp Juice IT vor 6 Jahren 0
0
user863516

Festlegen der folgenden Registrierung

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System] "AllowDomainPINLogon"=dword:00000001

Aktivieren Sie dann die Benutzerkontensteuerung und starten Sie den PC neu.

-2
joe

Ich bin auf einer Domäne, die sich Dell 7280 angeschlossen hat. Das Hinzufügen des Registrierungsschlüssels unten zusammen mit dem Neustart hat es mir ermöglicht, eine 6-stellige PIN hinzuzufügen.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword: 00000001

Verwandte Probleme