2016-08-15 08:15:59 +0000 2016-08-15 08:15:59 +0000
21
21

No se puede habilitar Windows Hello - Algunos ajustes son administrados por su organización

Hice una instalación limpia de Windows 10 Anniversary Edition. Ahora no puedo activar Windows Hello con mi Surface Pro 4 unida al dominio, iniciando sesión como usuario AD. Sin embargo, cuando inicio la sesión con mi cuenta de Msft, puedo activar Windows Hello.

He intentado “Algunos ajustes son administrados por su organización” mientras no está en el dominio? (aumentar la telemetría a través de la aplicación de configuración) y también esto: restableciendo la telemetría a través de gp .

Esto muestra que este problema es diferente a los otros aquí. Esto también es de hecho el dominio unido, no como la mayoría de las otras preguntas aquí.

Así se ve la configuración;

Con la versión antigua de Windows 10 el mismo dispositivo podía habilitar Windows Hello mientras estaba unido al dominio con el usuario del dominio. Por eso descarto que GPO sea el origen del problema. GPO incluso permite explícitamente la Biometría para los usuarios del dominio. ¿Qué puedo hacer?

Windows 10 Professional, Cortana está habilitado. No hay edición Insiders. Tengo acceso administrativo al dominio.
Fuente

Respuestas (8)

29
29
29
2016-10-05 06:44:04 +0000

He encontrado la solución. El motivo es que Windows Hello se gestiona de forma diferente en los equipos unidos a un dominio, a partir de la actualización de aniversario. Para que funcione hay que seguir estos pasos:

1) Configurar un Almacén Central de Políticas de Grupo (ya deberías tenerlo)

2) Obtener las Plantillas de Políticas de Grupo de Windows 10 Anniversary Update. Puede hacerlo copiando sus archivos de PolicyDefinitions (en windir en una máquina Win10 Anniversary Update) en el PolicyDefinitions del almacén central. Podría copiar esos archivos primero en un archivo compartido, debido a los permisos que su usuario habitual no debería tener en el almacén central.

3) Configure un nuevo GPO o añada a uno ya existente la siguiente configuración para habilitar Windows Hello:

  • Computer Configuration/Policies/Administrative Templates

…/Windows Components/Windows Hello For Business/ Use biometrics => Enabled

. ../Componentes de Windows/Windows Hello para empresas/ Utilizar un dispositivo de seguridad de hardware => Habilitado (si desea utilizar TPM en lugar de la activación basada en claves o certificados para Windows Hello). Tenga en cuenta que, en general, todos los equipos empresariales deberían tener TPM

…/Sistema/Logon/ Activar el inicio de sesión con PIN => Habilitado (Esta es la clave. Esto habilita el inicio de sesión con PIN, que a su vez habilitará Hello, junto con las otras configuraciones).

…/Componentes de Windows/Biometría/ Permitir que los usuarios del dominio inicien sesión usando biometría => Habilitado (Creo que esto está habilitado por defecto, pero ser explícito facilita mucho la gestión de GP).

Encontrarás más posibilidades de configuración opcional en Sistema/Logon y Windows Componentes/Biometría y Windows Componentes/Windows Hello for Business.

Encontrará más antecedentes aquí https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

y aquí https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Extracto más importante:

A partir de la versión 1607, Windows Hello como PIN de conveniencia está desactivado por defecto en todos los equipos unidos a un dominio. Para habilitar un PIN de conveniencia para Windows 10, versión 1607, habilite la configuración de la directiva de grupo Activar el inicio de sesión con PIN de conveniencia. Utilice la configuración de la directiva de Windows Hello para empresas para administrar los PIN de Windows Hello para empresas.

Si desea utilizar Windows Hello basado en claves o certificados puede seguir las guías de los enlaces. Sin embargo, no te confundas. Puedes seguir utilizando el TPM normal para Windows Hello normal.
Fuente
5
5
5
2017-01-19 00:04:39 +0000

La configuración de la siguiente clave del registro me funciona: 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Referencia: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

Fuente
5
5
5
2017-02-21 09:04:20 +0000

Todo lo que tuve que hacer es

  1. Tecla Windows + R para abrir Ejecutar
  2. Introducir:
    gpedit.msc
  3. [Política de equipo local] > [Configuración del equipo] > [Plantillas administrativas] > [Sistema] > [Inicio de sesión] > [Activar el inicio de sesión con PIN de conveniencia] : Habilitado

Esto habilitó Windows Hello en la Surface Pro 4 con Windows 10 Pro.
Fuente
4
4
4
2019-05-23 16:54:09 +0000

He estado luchando contra esto durante mucho tiempo. He probado todas estas configuraciones de políticas de grupo: activar el inicio de sesión con PIN de conveniencia, habilitar windows hello for business, habilitar la biometría, etc. etc. Finalmente encontré la solución.

Los PC de mi empresa tienen Windows 10 build 1809. En su mayoría Lenovo X1 Yogas y P330s y algunos Surface Pros. Están unidos a un dominio 2012 R2 y están suscritos a Office 365 para el correo electrónico y Office Pro Plus. Tenemos una licencia E3 en Office 365. Cuando un usuario registra las aplicaciones de Office utilizando su propia licencia de O365, conecta Windows a su cuenta de trabajo. Desconectar eso me permitió configurar el PIN y la huella digital. Así es como se hace:

  1. Ir a la Configuración de Windows -> Cuentas -> Acceso Trabajo o Escuela. El ajuste clave es la “Cuenta de Trabajo o Escuela” con el logotipo de Windows de colores por ella. Desconecte eso. No toque el ajuste “Conectado a cualquier dominio”.

  2. A continuación, haga clic en “Opciones de inicio de sesión”. La huella digital y el PIN ya no están en gris. Si todavía está en gris, entonces asegúrate de que el “inicio de sesión con PIN de conveniencia” está activado.

  3. Añada el PIN y luego la huella dactilar.

  4. Vuelva a “Acceder al trabajo o a la escuela” en Ajustes -> Cuentas.

  5. Haga clic en Conectar e introduzca la dirección de correo electrónico y la contraseña del usuario.

La única política de grupo actualmente en vigor es la configuración “Activar el inicio de sesión con PIN de conveniencia” en Políticas, Plantillas administrativas, Sistema, Inicio de sesión. Tenga en cuenta que esto NO es Windows Hello for Business. Esto sigue siendo un relleno de contraseñas. Algún día, el inicio de sesión con PIN de conveniencia será eliminado y tendremos que hacerlo de forma segura.
Fuente
0
0
0
2018-01-18 07:14:08 +0000

Configurar el siguiente registro 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

luego habilitar el UAC y reiniciar el PC.
Fuente
0
0
0
2017-10-15 20:47:53 +0000

Hay una cosa que no debes configurar a menos que tengas los certificados válidos (esto es en el servidor 2016).

Asegúrate de que “Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business” está configurado como NO CONFIGURADO.

Esto era lo único que tenía configurado (desde otro blog) y había impedido que windows hello funcionara, windows hello ni siquiera se iniciaba. Pero mientras no esté configurado debería estar bien.
Fuente
-1
-1
-1
2020-01-21 12:33:14 +0000

Después de intentar muchas cosas (incluyendo todas las otras respuestas aquí hasta la fecha), finalmente he solucionado el problema por mí mismo con una solución. Tenga en cuenta que esto es una solución, no una solución real:

Recapitulando, el problema es que algo en la cuenta de dominio de mi organización deshabilitó la opción de introducir huellas digitales. En mi caso, ni siquiera el grupo de TI de mi sucursal local pudo averiguar qué era lo que lo bloqueaba.

Así que acabé creando una nueva cuenta de usuario local en mi ordenador del trabajo con plenos derechos administrativos locales. Para esa nueva cuenta, utilicé mi cuenta personal de Microsoft para conectarme (aunque probablemente podría haber utilizado una cuenta local). Cuando me conecté a la nueva cuenta, no hubo ningún problema con las huellas digitales y pude configurarlas fácilmente.

Posibles inconvenientes de esta solución:

  • Al tratarse de una nueva cuenta de usuario, podría ser necesario reinstalar y reconfigurar muchos programas y configuraciones del ordenador. Es básicamente como configurar un nuevo ordenador con Windows. En mi caso, hice esto cuando obtuve una nueva computadora de trabajo, así que tuve que hacer la reconfiguración de todos modos.
  • En algunas configuraciones organizativas, las cuentas que no son de dominio pueden no tener acceso adecuado a algunos recursos de la organización. Esto no fue un problema en mi caso. Si es un problema para usted, tal vez usted podría conectarse con la VPN de la organización para acceder a estos recursos especiales, tal vez incluso de forma permanente en esta cuenta de solución.

Estas soluciones pueden no valer la pena para usted sólo para obtener el inicio de sesión de la huella digital, pero funcionan excelente en mi contexto organizacional.
Fuente
-2
-2
-2
2018-05-23 00:38:25 +0000

Estoy en un dominio unido Dell 7280. La adición de la clave del registro a continuación, junto con el reinicio me ha permitido añadir un pin de 6 dígitos.

[HKEYLOCALMACHINE\SOFTWARE\Policies\Microsoft\Windows\System] “AllowDomainPINLogon”=dword:00000001
Fuente