web-dev-qa-db-fra.com

Impossible d'activer Windows Hello - Certains paramètres sont gérés par votre organisation.

J'ai fait une nouvelle installation de Windows 10 Anniversary Edition. Maintenant, je ne peux plus activer Windows Hello avec mon domaine rejoint Surface Pro 4, connecté en tant qu'utilisateur AD. Lorsque je me connecte avec mon compte Msft, je peux toutefois activer Windows Hello.

J'ai essayé "Certains paramètres sont gérés par votre organisation" alors que ce n'est pas sur le domaine? (augmentation de la télémétrie via l'application de configuration) et également ceci: réinitialisation de la télémétrie via gp .

Cela montre que ce problème est différent des autres. C’est aussi en fait un domaine joint, pas comme la plupart des autres questions ici.

Voici à quoi ressemblent les paramètres.  enter image description here

Avec l'ancienne version de Windows 10, le même appareil pouvait activer Windows Hello lors de la jonction d'un domaine à l'utilisateur du domaine. C'est pourquoi j'écarte GPO comme source du problème. GPO autorise même explicitement la biométrie aux utilisateurs du domaine. Que puis-je faire?

Windows 10 Professional, Cortana est activé. Aucune édition d'initiés. J'ai un accès administratif au domaine.

17
zuckerthoben

J'ai trouvé la solution. La raison en est que Windows Hello est géré différemment sur les ordinateurs joints au domaine, à compter de la mise à jour anniversaire. Pour que cela fonctionne, vous devez suivre ces étapes:

1) Configurez un Magasin central de stratégies de groupe (vous devriez déjà l'avoir)

2) Get Modèles de stratégie de groupe pour la mise à jour d'anniversaire de Windows 10 . Vous pouvez le faire en copiant vos fichiers à partir de PolicyDefinitions (dans windir sur une machine de mise à jour d'anniversaire Win10) dans les PolicyDefinitions du magasin central. Vous pouvez d'abord copier ces fichiers sur un partage de fichiers, en raison des autorisations que votre utilisateur habituel ne devrait pas avoir sur le magasin central.

3) Configurez un nouveau GPO ou ajoutez à un existant les paramètres suivants pour activer Windows Hello:

  • Configuration de l'ordinateur/Stratégies/Modèles d'administration

.../Composants Windows/Windows Hello For Business/ Utiliser les mesures biométriques => Activé

.../Composants Windows/Windows Hello for Business/ Utilisez un périphérique de sécurité matérielle => activé (si vous souhaitez utiliser le TPM au lieu d'une activation par clé ou par certificat pour Windows Hello). Notez qu'en général, tous les ordinateurs de l'entreprise doivent avoir un TPM.

.../Système/Connexion/ Activez la commodité PIN connexion => activée (il s'agit de la clé. Ceci active la connexion PIN dans laquelle tour activera Bonjour, ainsi que les autres paramètres.)

.../Composants Windows/Biométrie/ Autorise les utilisateurs du domaine à se connecter à l'aide de la biométrie => activé (je pense que cette option est activée par défaut, mais elle est explicite, ce qui facilite grandement la gestion des stratégies de groupe.)

Vous trouverez plus de possibilités de configuration facultatives dans Système/Connexion et Composants Windows/Biométrie et Composants Windows/Windows Hello for Business.

Vous trouverez plus d'informations ici: https://blogs.technet.Microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows -10-version-1607/

et ici

https://technet.Microsoft.com/en-us/itpro/windows/keep-secure/implement-Microsoft-passport-in-your-organization

Extrait le plus important:

À partir de la version 1607, Windows Hello comme commodité PIN est désactivé par défaut sur tous les ordinateurs appartenant à un domaine. Pour activer la commodité PIN sous Windows 10, version 1607, activez le paramètre de stratégie de groupe Activez la connexion par commodité PIN et utilisez les paramètres de stratégie Windows Hello for Business pour gérer les codes confidentiels de Windows Hello for Business.

Si vous souhaitez utiliser Windows Hello basé sur une clé ou un certificat, vous pouvez suivre les guides figurant dans les liens. Ne vous trompez pas cependant. Vous pouvez toujours utiliser le TPM standard pour Windows Hello normal.

23
zuckerthoben

La définition de la clé de registre suivante fonctionne pour moi:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Référence: https://social.technet.Microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity- compte de domaine de mise à niveau? forum = win10itprosetup

5
Stephen Quan

Tout ce que j'avais à faire, c'est:

  1. Windows KEY + R ouvrir Run
  2. Entrer:
    gpedit.msc
  3. [Stratégie de l'ordinateur local]> [Configuration de l'ordinateur]> [Modèles d'administration]> [Système]> [Connexion]> [activer la connexion PIN par commodité]: ACTIVÉ

Cela activait Windows Hello sur Surface Pro 4 avec Windows 10 Pro.

5
juFo

Paramétrer le registre suivant

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

puis activez UAC et redémarrez le PC.

0
user863516

Il y a une chose que vous ne devez pas configurer sauf si vous avez les certificats valides (c'est sur le serveur 2016).

Assurez-vous que l'option "Configuration ordinateur/Stratégies/Admin Temp/Comp Windows/Windows Hello for Business/Utiliser Windows Hello for Business" est définie sur NON CONFIGURÉE.

C’était la seule chose que j’avais définie (sur un autre blog) et qui avait empêché Windows hello de fonctionner, windows hello n’allait même pas démarrer. Mais tant que ce n'est pas configuré, ça devrait aller.

0
user780692