无法启用Windows Hello-某些设置由您的组织管理

我做了Windows 10周年纪念版的全新安装。现在，我无法以加入AD的域身份加入Surface Pro 4来启用Windows Hello。但是，当我使用Msft帐户登录时，可以打开Windows Hello。

我不在域上时尝试“某些设置由您的组织管理”？（通过“设置”应用程序增加遥测），此外：通过gp重置遥测。

这表明此问题不同于此处的其他问题。实际上，这也是域加入，而不像这里的其他大多数问题。

设置如下所示：

在旧版本的Windows 10中，当域与域用户加入时，同一台设备可以启用Windows Hello。这就是为什么我排除GPO作为问题的根源。GPO甚至明确允许域用户使用生物识别技术。我能做什么？

Windows 10专业版，Cortana已启用。没有内幕版。我具有对该域的管理访问权限。

我找到了解决方案。原因是从周年纪念更新开始，在加入域的计算机上对Windows Hello的管理方式有所不同。要使其正常工作，您必须遵循以下步骤：

1）设置组策略中央存储（您应该已经拥有了）

2）获取Windows 10周年更新组策略模板。您可以通过将文件从PolicyDefinitions（在Win10周年更新计算机上的windir中）复制到中央存储的PolicyDefinitions中来实现。您可能会首先将这些文件复制到文件共享中，因为普通用户不应该在中央存储上具有这些权限。

3）设置新的GPO或将以下设置添加到现有的设置中以启用Windows Hello：

• 计算机配置/策略/管理模板

... / Windows组件/ Windows Hello企业版/ 使用生物识别 =>启用

... / Windows组件/ Windows Hello企业版/ 使用硬件安全设备 =>启用（如果要使用TPM代替Windows Hello的基于密钥或证书的激活）。请注意，一般而言，所有商用计算机都应具有TPM

... / System / Logon / 打开便利性PIN登录 =>启用（这是关键。这将启用PIN登录，这将依次启用Hello和其他设置。）

... / Windows组件/生物特征/ 允许域用户使用生物特征登录 =>启用（我认为默认情况下已启用此功能，但显式设置使GP管理更加容易。）

您将在“系统/登录”和“ Windows组件/生物识别”以及“ Windows组件/ Windows Hello for Business”中找到更多可选配置。

您将在这里找到更多背景：https： //blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607 /

和这里

https://technet.microsoft.com/zh-cn/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

最重要的摘录：

从版本1607开始，默认情况下，所有加入域的计算机都禁用Windows Hello作为便捷PIN。要为Windows 10版本1607启用便捷PIN，请启用组策略设置打开便捷PIN登录。使用Windows Hello for Business策略设置来管理Windows Hello for Business的PIN。

如果要使用基于密钥或证书的Windows Hello，可以按照链接中的指南进行操作。不过不要感到困惑。对于正常的Windows Hello，您仍然可以使用常规TPM。

设置以下注册表项对我有用：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

参考：https : //social.technet.microsoft.com/Forums/zh-CN/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-域内帐户？论坛= win10itprosetup

我要做的就是：

1. Windows KEY+ R打开运行
2. 输入：

   gpedit.msc

3. [本地计算机策略]> [计算机配置]> [管理模板]> [系统]> [登录]> [ 打开便捷PIN登录 ]：已启用

这会在带有Windows 10 Pro的Surface Pro 4上启用Windows Hello。

我一直在为此奋斗了很长时间。我已经尝试了所有这些组策略设置：启用便捷PIN登录，为业务启用Windows Hello，启用生物识别技术等。等等。终于找到了解决方案。

我公司的PC是Windows 10 build1809。主要是Lenovo X1 Yoga和P330和某些Surface Pro。它们已加入2012 R2域的域，并且已订阅Office 365的电子邮件和Office Pro Plus。我们在Office 365中拥有E3许可证。当用户使用自己的O365许可证注册Office应用时，它将Windows连接到他们的工作帐户。断开连接后，我可以设置PIN和指纹。方法如下：

1. 转到Windows设置->帐户->访问公司或学校。关键设置是带有彩色Windows徽标的“工作或学校帐户”。断开连接。不要触摸“已连接到任何域”设置。

2. 然后单击“登录选项”。指纹和PIN码不再显示为灰色。如果仍然显示为灰色，请确保已启用“便捷PIN登录”。

3. 添加PIN码，然后添加指纹。

4. 返回“设置”->“帐户”中的“访问公司或学校”。

5. 单击连接，然后输入用户的电子邮件地址和密码。

当前唯一有效的组策略是“策略”，“管理模板”，“系统”，“登录”下的“打开便捷PIN登录”设置。请注意，这不是Windows Hello for Business。这仍然只是密码填充。有一天，便捷PIN登录将被取消，我们必须以安全的方式进行。

除非您具有有效的证书（这在服务器2016上），否则您不能配置一件事。

确保将“计算机conf / policies / Admin temp / Windows comp / Windows Hello商业版/使用Windows Hello商业版”设置为“未配置”。

这是我（从另一个博客中）设置的一件事，它阻止了Windows hello工作，甚至无法启动Windows hello。但是，只要未配置，就可以。

设置以下注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

然后启用UAC并重新启动PC。

我在加入Dell 7280的域中。在下面添加注册表项以及重新引导后，我可以添加6位数字的PIN码。

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System]“ AllowDomainPINLogon” = dword：00000001