Windows Helloを有効にできない-一部の設定は組織によって管理されています

19

Windows 10 Anniversary Editionのクリーンインストールを行いました。現在、ドメインに参加しているSurface Pro 4でWindows Helloを有効にできません。ADユーザーとしてログインしています。ただし、Msftアカウントでログインすると、Windows Helloを有効にできます。

ドメインではないときに「一部の設定は組織によって管理されています」を試しましたか？（設定アプリを介してテレメトリーを増やす）およびこれ：gpを介してテレメトリーをリセットします。

これは、この問題が他の問題とは異なることを示しています。これは実際にはドメインに参加したものであり、ここでの他のほとんどの質問とは異なります。

これは設定がどのように見えるかです;

古いバージョンのWindows 10では、ドメインがドメインユーザーに参加している間、同じデバイスでWindows Helloを有効にできました。そのため、GPOを問題の原因として除外します。GPOでは、ドメインユーザーの生体認証も明示的に許可しています。私に何ができる？

Windows 10 Professional、Cortanaが有効になっています。インサイダー版なし。ドメインへの管理アクセス権があります。

windows-10 windows-hello

— ザッカートーベン
ソース

解決策を見つけましたか？私は同じ問題を抱えています:(

— MojoDK

はい、やった！今すぐ答えを書きます@MojoDK :)

— zuckerthoben

27

私は解決策を見つけました。その理由は、Windows Helloは、記念日の更新以降、ドメインに参加しているコンピューターで異なる方法で管理されるためです。動作させるには、次の手順に従う必要があります。

1）グループポリシーセントラルストアをセットアップします（既に持っているはずです）

2）Windows 10 Anniversary Updateグループポリシーテンプレートを取得します。これを行うには、ファイルをPolicyDefinitions（Win10 Anniversary Updateマシンのwindir内）から中央ストアのPolicyDefinitionsにコピーします。通常のユーザーには中央ストアでのアクセス許可がないため、これらのファイルを最初にファイル共有にコピーできます。

3）新しいGPOをセットアップするか、既存の次の設定に追加してWindows Helloを有効にします。

コンピューターの構成/ポリシー/管理用テンプレート

... / Windowsコンポーネント/ Windows Hello For Business / Use biometrics => Enabled

... / Windowsコンポーネント/ Windows Hello for Business / ハードウェアセキュリティデバイスの使用 =>有効（Windows Helloのキーまたは証明書ベースのアクティベーションの代わりにTPMを使用する場合）。一般に、すべてのビジネスコンピューターにはTPMが必要です。

... / System / Logon / 便利なPINサインインを有効にする =>有効（これがキーです。これにより、PINサインインが有効になり、他の設定とともにHelloが有効になります。）

... / Windows Components / Biometrics / ドメインユーザーが生体認証を使用してログオンできるようにする =>有効（これはデフォルトで有効になっていると思いますが、明示的にするとGP管理がずっと簡単になります）

システム/ログオンおよびWindowsコンポーネント/生体認証およびWindowsコンポーネント/ Windows Hello for Businessで、オプションの構成の選択肢をさらに見つけることができます。

詳細については、https： //blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10をご覧ください。 -version-1607 /

そしてここ

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

最も重要な抜粋：

バージョン1607以降、ドメインに参加しているすべてのコンピューターで、便利なPINとしてのWindows Helloは既定で無効になっています。Windows 10バージョン1607で簡易PINを有効にするには、グループポリシー設定[簡易PINサインインを有効にする]を有効にします。Windows Hello for Businessポリシー設定を使用して、Windows Hello for BusinessのPINを管理します。

キーまたは証明書ベースのWindows Helloを使用する場合は、リンクのガイドに従ってください。混乱しないでください。通常のWindows Helloには通常のTPMを引き続き使用できます。

— ザッカートーベン
ソース

1

引用するリンクによると、Windows Helloを使用するために「便利なPINサインインを有効にする」必要はないことに注意することが重要です。便利なPINは、Windows Hello PINほど安全ではない古いスタイルのPINです。（「Windows Hello for Businessの展開を検討している場合...これは、便利なPINサインインではなく、より安全な資格情報に移行する絶好の機会かもしれません。」）実際にWindows Hello for Businessを構成するには、 GPOのみ-docs.microsoft.com/en-us/azure/active-directory/を

— Speedbird186

良いキャッチですが、SCCMは、ドメインに参加しているデバイスでWindows Helloを有効にする唯一のソリューションではありません。安全な別の方法が必要です。

— -zuckerthoben

これを機能させるには、ドメインに参加しているラップトップのローカルポリシー（[実行]> [GPedit.msc]）を簡単に編集できることを指摘したかっただけです。良い情報、ありがとう。

— -SamAndrew81

残念ながら、これらのすべてが役に立たなかった：/ローカルアカウントでログインすることはできますが、WindowsアカウントはADアカウントではグレー表示されます。

— ドミニク

最初のステップ「1）グループポリシーセントラルストアをセットアップする（既に持っているはずです）」がわかりません。ドメインに参加しているビジネスコンピューターに対するローカル管理者権限はありますが、ネットワーク管理者権限はありません。この最初のポイント、および2番目のポイントについて、段階的なサブステップをお願いできますか（または他の誰か）。他のポイントは明らかですが、最初の2つがなければ、このソリューションを実際に試すことはできません。

— お茶堂

5

次のレジストリキーを設定するとうまくいきます。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

参照：https : //social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- on-domain-account？forum = win10itprosetup

— スティーブン・クアン
ソース

私のPCはドメインに参加していますが、管理者アクセス権がありません。このソリューションは私のために問題を解決しました。

— ニコラマレシェヴィッチ

これにより、（エンドユーザーとして）企業のIT部門に関与することなく、Surface BookでWindows Helloを有効にできました。

— ホリスティック開発者

1

これは私と一緒に動作しません

— アーメド・ハンディ

既存のドメインのメンバーサーバーとしてWindows Server 2016ビルド1607を実行しています。このレジストリキーは既に設定されていますが、Windows Helloを使用できません。

— 大

5

私がしなければならなかったのは：

Windows KEY+ R実行を開く
入る：
```
gpedit.msc
```
[ローカルコンピューターポリシー]> [コンピューターの構成]> [管理用テンプレート]> [システム]> [ログオン]> [ 便利なPINサインインを有効にする ]：有効

これにより、Windows 10 Proを搭載したSurface Pro 4でWindows Helloが有効になりました。

— juFo
ソース

はい、それは私の答えとほぼ同等ですが、単一のローカルユーザー向けです。ドメインアプローチは、企業のユースケースに適しています。

— zuckerthoben

2

「グループポリシーセントラルストア」が何であるかわかりません。ポリシーをどこに適用するかはわかりません。...中央ADサーバーまたはローカルPC上

— juFo

1

このコンテキストから、ADでグループポリシーを作成していると安全に想定できます。グループポリシー中央ストアのセットアップ方法の説明は、私の答えの範囲をはるかに超えています。ガイドと説明はWebの至る所にあります。

— zuckerthoben

私は10人のプロを持っていますが、これらのオプションが表示されません

— -Crash893

説明に問題があります。4桁のPINの場合、最小ping長を値4で有効に設定する必要があります

— -sofsntp

3

私はこれと長い間戦っています。これらすべてのグループポリシー設定を試してみました：便利なPINログインをオンにする、ビジネス用にWindows Helloを有効にする、生体認証などを有効にするなど。最終的に解決策を見つけました。

私の会社のPCはWindows 10ビルド1809です。ほとんどの場合、Lenovo X1 YogasとP330、およびいくつかのSurface Proがあります。それらは2012 R2ドメインにドメイン参加しており、Office 365 for emailおよびOffice Pro Plusにサブスクライブしています。Office 365にはE3ライセンスがあります。ユーザーが独自のO365ライセンスを使用してOfficeアプリを登録すると、Windowsが仕事用アカウントに接続されます。これを切断すると、PINと指紋をセットアップできました。方法は次のとおりです。

[Windowsの設定]-> [アカウント]-> [職場または学校にアクセス]に移動します。重要な設定は、カラフルなWindowsロゴが付いた「職場または学校のアカウント」です。それを切断します。[どのドメインにも接続]設定には触れないでください。
次に、「サインインオプション」をクリックします。指紋とPINはグレー表示されなくなりました。まだグレー表示されている場合は、「コンビニエンスPINサインイン」が有効になっていることを確認してください。
PINを追加してから、指紋を追加します。
[設定]-> [アカウント]の[職場または学校へのアクセス]に戻ります。
[接続]をクリックして、ユーザーのメールアドレスとパスワードを入力します。

現在有効なグループポリシーは、[ポリシー]、[管理用テンプレート]、[システム]、[ログオン]の[便利なPINサインインを有効にする]設定のみです。これはWindows Hello for Businessではないことに注意してください。これはまだパスワードの詰め込みです。いつか、便利なPINサインインは廃止され、安全な方法でそれを行う必要があります。

— CParker
ソース

0

有効な証明書がない場合は構成しないでください（これはサーバー2016にあります）。

「コンピューターの構成/ポリシー/管理者の温度/ Windows comp / Windows Hello for Business / Use Windows Hello for Business」が「未構成」に設定されていることを確認します。

これは（別のブログから）私が設定したものの1つで、windows helloが機能しなかったため、windows helloが起動しませんでした。ただし、構成されていない限りは問題ありません。

— user780692
ソース

「コメントするには50の評判が必要な理由」を読んで、コメントを開始する方法を理解してください。

— ピンプジュースIT

0

次のレジストリを設定する

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

次に、UACを有効にしてPCを再起動します。

— user863516
ソース

-2

Dell 7280に参加しているドメインにいます。再起動とともに以下のレジストリキーを追加すると、6桁のピンを追加できます。

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon" = dword：00000001

— ジョー
ソース