2016-08-15 08:15:59 +0000 2016-08-15 08:15:59 +0000
21
21

Impossible d'activer Windows Hello - Certains paramètres sont gérés par votre organisation

J'ai fait une installation propre de Windows 10 Anniversaire Edition. Maintenant, je ne peux pas activer Windows Hello avec mon domaine qui a rejoint Surface Pro 4, connecté en tant qu'utilisateur AD. Mais lorsque je me connecte avec mon compte Msft, je peux activer Windows Hello.

J'ai essayé “Certains paramètres sont gérés par votre organisation” alors que je n'étais pas sur le domaine ? (augmentation de la télémétrie via l'application de paramètres) et aussi ceci : réinitialisation de la télémétrie via gp .

Cela montre que ce problème est différent des autres ici. Il s'agit en fait d'un domaine joint, et non pas comme la plupart des autres questions ici.

Voici à quoi ressemblent les paramètres;

Avec l'ancienne version de Windows 10, le même appareil pouvait activer Windows Hello alors que le domaine était joint à l'utilisateur du domaine. C'est pourquoi j'écarte la GPO comme source du problème. La GPO permet même explicitement la biométrie pour les utilisateurs de domaine. Qu'est-ce que je peux faire ?

Windows 10 Professional, Cortana est activé. Pas d'édition Insiders. J'ai un accès administratif au domaine.
Source

Réponses (8)

29
29
29
2016-10-05 06:44:04 +0000

J'ai trouvé la solution. La raison en est que Windows Hello est géré différemment sur les ordinateurs reliés à un domaine, à partir de la mise à jour anniversaire. Pour le faire fonctionner, vous devez suivre les étapes suivantes :

1) Configurer un Group Policy Central Store (vous devriez déjà l'avoir)

2) Obtenir des Modèles de politique de groupe pour la mise à jour anniversaire de Windows 10. Vous pouvez le faire en copiant vos fichiers de PolicyDefinitions (dans windir sur une machine Win10 Anniversary Update) dans le PolicyDefinitions du magasin central. Vous pouvez d'abord copier ces fichiers dans un partage de fichiers, en raison des autorisations que votre utilisateur habituel ne devrait pas avoir sur le stockage central.

3) Configurer une nouvelle GPO ou ajouter à une GPO existante les paramètres suivants pour activer Windows Hello :

  • Configuration de l'ordinateur / Politiques / Modèles administratifs

…/Composants Windows / Windows Hello For Business/ Utiliser la biométrie => Activé

. …/Windows Components/Windows Hello for Business/ Utiliser un dispositif de sécurité matériel => Activé (si vous voulez utiliser TPM au lieu de l'activation par clé ou certificat pour Windows Hello). Notez qu'en général, tous les ordinateurs professionnels devraient avoir TPM

…/System/Logon/ ** Activer l'ouverture de session par code PIN de commodité** => Activé (C'est la clé. Cela active la connexion PIN qui, à son tour, activera Hello, ainsi que les autres paramètres).

…/Windows Components/Biometrics/ Autoriser les utilisateurs du domaine à se connecter en utilisant la biométrie => Activé (Je pense que c'est activé par défaut, mais être explicite rend la gestion des GP beaucoup plus facile).

Vous trouverez d'autres possibilités de configuration optionnelles dans System/Logon et Windows Components/Biometrics et Windows Components/Windows Hello for Business.

Vous trouverez plus de détails ici https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

et ici https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Extrait le plus important :

À partir de la version 1607, Windows Hello est désactivé par défaut sur tous les ordinateurs reliés à un domaine. Pour activer un code PIN de commodité pour Windows 10, version 1607, activez le paramètre de politique de groupe Activer la connexion par code PIN de commodité. Utilisez les paramètres de politique de Windows Hello for Business pour gérer les codes PIN pour Windows Hello for Business.

Si vous souhaitez utiliser Windows Hello basé sur une clé ou un certificat, vous pouvez suivre les guides dans les liens. Mais ne vous embrouillez pas. Vous pouvez toujours utiliser le TPM normal pour Windows Hello normal.
Source
5
5
5
2017-01-19 00:04:39 +0000

La définition de la clé de registre suivante me convient : 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Référence : https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

Source
5
5
5
2017-02-21 09:04:20 +0000

Tout ce que j'avais à faire, c'était de le faire :

  1. TOUCHE Windows + R pour ouvrir Exécution
  2. Entrer :
    gpedit.msc
  3. [Politique informatique locale] > [Configuration de l'ordinateur] > [Modèles d'administration] > [Système] > [Connexion] > [Déclenchement de l'identification par code PIN de commodité] : ENABLED

Cela a permis d'activer Windows Hello on Surface Pro 4 avec Windows 10 Pro.
Source
4
4
4
2019-05-23 16:54:09 +0000

Je me bats contre cela depuis très longtemps. J'ai essayé tous ces paramètres de politique de groupe : activer le code PIN de connexion pratique, activer Windows hello pour les entreprises, activer la biométrie, etc. etc. etc. J'ai finalement trouvé la solution.

Les PC de mon entreprise sont des Windows 10 build 1809. La plupart des Lenovo X1 Yogas et P330s et quelques Surface Pros. Ils sont reliés à un domaine R2 2012 et ils sont abonnés à Office 365 pour le courrier électronique et à Office Pro Plus. Nous avons une licence E3 dans Office 365. Lorsqu'un utilisateur enregistre les applications Office en utilisant sa propre licence O365, il connecte Windows à son compte de travail. La déconnexion m'a permis de configurer le code PIN et les empreintes digitales. Voici comment faire :

  1. Allez dans les paramètres de Windows -> Comptes -> Accès Travail ou Ecole. Le paramètre clé est le “Compte Travail ou Ecole” avec le logo Windows coloré à côté. Déconnectez ce compte. Ne touchez pas au paramètre “Connecté à n'importe quel domaine”.

  2. Cliquez ensuite sur “Options de connexion”. Les empreintes digitales et le code PIN ne sont plus grisés. Si c'est toujours grisé, assurez-vous que l'option “Connexion par code PIN de commodité” est activée.

  3. Ajoutez le code PIN, puis l'empreinte digitale.

  4. Retournez à “Accès travail ou école” dans les paramètres -> Comptes.

  5. Cliquez sur “Connexion” et saisissez l'adresse électronique et le mot de passe de l'utilisateur.

La seule politique de groupe actuellement en vigueur est le paramètre “Activer la connexion par code PIN de commodité” sous Politiques, Modèles administratifs, Système, Connexion. Notez qu'il ne s'agit PAS de Windows Hello for Business. Il s'agit toujours d'un simple bourrage de mot de passe. Un jour, l'ouverture de session par code PIN de commodité sera dépravée et nous devrons le faire de manière sécurisée.
Source
0
0
0
2018-01-18 07:14:08 +0000

Définissez le registre suivant 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

puis activez l'UAC et redémarrez le PC.
Source
0
0
0
2017-10-15 20:47:53 +0000

Il y a une chose que vous ne devez pas configurer si vous n'avez pas les certificats valides (c'est sur le serveur 2016).

Assurez-vous que “Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business” est réglé sur NON CONFIGURÉ.

C'est la seule chose que j'avais réglée (depuis un autre blog) et qui avait empêché Windows hello de fonctionner, Windows hello ne démarrait même pas. Mais tant qu'il n'est pas configuré, ça devrait aller.
Source
-1
-1
-1
2020-01-21 12:33:14 +0000

Après avoir essayé tant de choses (y compris toutes les autres réponses ici jusqu'à présent), j'ai finalement résolu le problème pour moi-même avec une solution de contournement. Notez qu'il s'agit d'une solution de contournement, pas d'une véritable solution :

Pour résumer, le problème est que quelque chose dans le compte de domaine de mon organisation a désactivé l'option de saisie des empreintes digitales. Dans mon cas, même le groupe informatique de mon bureau local n'a pas pu trouver ce qui la bloquait.

J'ai donc fini par créer un nouveau compte d'utilisateur local sur mon ordinateur de travail avec tous les droits administratifs locaux. Pour ce nouveau compte, j'ai utilisé mon compte personnel Microsoft pour me connecter (même si j'aurais probablement pu utiliser un compte local). Lorsque je me suis connecté au nouveau compte, il n'y avait pas de problème avec les empreintes digitales et je pouvais facilement les configurer.

Inconvénients potentiels de ce contournement :

  • Comme il s'agit d'un nouveau compte utilisateur, il pourrait être nécessaire de réinstaller et de reconfigurer de nombreux programmes et paramètres informatiques. C'est un peu comme si on installait un tout nouvel ordinateur Windows. Dans mon cas, je l'ai fait quand j'ai eu un nouvel ordinateur de travail, donc j'ai dû faire la reconfiguration de toute façon.
  • Dans certaines configurations organisationnelles, les comptes non liés à un domaine peuvent ne pas avoir un accès correct à certaines ressources organisationnelles. Dans mon cas, cela n'a pas posé de problème. Si c'est un problème pour vous, vous pourriez peut-être vous connecter au VPN de l'organisation pour accéder à ces ressources spéciales, peut-être même de façon permanente sur ce compte de contournement.

Ces solutions de contournement ne valent peut-être pas la peine pour vous, juste pour obtenir une identification par empreintes digitales, mais elles fonctionnent parfaitement dans mon contexte organisationnel.
Source
-2
-2
-2
2018-05-23 00:38:25 +0000

Je suis sur un domaine rejoint par Dell 7280. L'ajout de la clé de registre ci-dessous ainsi que le redémarrage m'a permis d'ajouter un code pin à 6 chiffres.

[HKEY_LOCAL_MACHINE\SOFTWARE\Politiques\Microsoft\Windows\System] “AllowDomainPINLogon”=dword:00000001
Source