Windows Helloを有効にできない - 一部の設定は組織で管理されています。

解決策を見つけました。理由は、アニバーサリーアップデートを皮切りに、ドメインに参加したコンピュータでは、Windows Helloの管理が異なるからです。それを動作させるには、以下の手順を実行する必要があります。

1) Group Policy Central Storeを設定します(すでに持っているはずです)

2) Windows 10 Anniversary Updateのグループポリシーテンプレートを取得します。これは、PolicyDefinitions（Win10 Anniversary Updateマシンのwindirにある）からセントラルストアのPolicyDefinitionsにファイルをコピーすることで行うことができます。通常のユーザーはセントラルストアでは権限を持っていないはずなので、最初にこれらのファイルをファイル共有にコピーすることもできます。

3) Windows Hello を有効にするために、新しい GPO をセットアップするか、または既存の GPO に以下の設定を追加します:

…/Windows Components/Windows Hello For Business/ Use biometrics = Enabled

…/Windows Components/Windows Hello For Business/ Use biometrics = Enabled

… ./Windows Components/Windows Hello for Business/ Use a hardware security device = Enabled (Windows Hello のキーまたは証明書ベースのアクティベーションの代わりに TPM を使用する場合)。一般的に、すべてのビジネスコンピュータはTPM

…/System/Logon/ Turn on convenience PIN sign-in => Enabled (これがキーです。これはPINサインインを有効にして、他の設定と一緒にHelloを有効にします。)

…/Windows Components/Biometrics/ Allow domain users to log on using biometrics => Enabled (デフォルトで有効になっていると思いますが、明示的にすることでGPの管理が楽になります)

システム/ログオンとWindowsコンポーネント/バイオメトリクスとWindowsコンポーネント/Windows Hello for Businessに、より多くのオプション設定の可能性があります。

より詳しい背景はこちら https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

と、こちら https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

最も重要な抜粋です。

バージョン1607以降、すべてのドメインに接続されたコンピュータでは、便利なPINとしてのWindows Helloがデフォルトで無効になっています。Windows 10（バージョン 1607）で便利なPINを有効にするには、グループ ポリシー設定の [便利なPINサインインを有効にする] を有効にします。Windows Hello for Businessのポリシー設定を使用して、Windows Hello for BusinessのPINを管理します。

キーまたは証明書ベースのWindows Helloを使用する場合は、リンク先のガイドに従ってください。しかし、混乱しないでください。通常のWindows Helloでも通常のTPMを使用することができます。

以下のレジストリキーを設定すると動作します。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

リファレンス。 https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

私がしなければならなかったことは

1.Windows KEY + RでRun 2. Enterを押してください。 gpedit.msc 3. ENABLED

これは、Windows 10 ProでSurface Pro 4のWindows Helloを有効にしました。

私は長い間これと戦ってきました。便利なPINログインを有効にする、ビジネスのためのWindows Helloを有効にする、生体認証を有効にする、などなど、グループポリシーの設定をすべて試しました。ようやく解決策を見つけました。

会社のPCはWindows 10 build 1809です。ほとんどがLenovoのX1 YogasとP330sと一部のSurface Prosです。それらは2012 R2のドメインに加入しており、メールとOffice Pro PlusのOffice 365に加入しています。Office 365でE3ライセンスを取得しています。ユーザーが独自のO365ライセンスを使ってOfficeアプリを登録すると、Windowsを仕事用アカウントに接続します。それを解除することで、PINとFingerprintの設定ができました。やり方は以下の通り。

1.Windows Settings -> Accounts -> Access Work or School. Windowsのロゴがカラフルな「Work or School Account」が鍵の設定になっている。これを外します。Connected to whatever domain」の設定は触らないようにしましょう。

1. 続いて「サインインオプション」をクリック。指紋と暗証番号がグレーアウトされなくなりました。それでもグレーアウトされている場合は、「便利なPINサインイン」が有効になっていることを確認してください。

2. PINを追加し、次にFingerprintを追加します。

3. Settings -> Accountsの “Access Work or School "に戻ります。

4. Connectをクリックして、ユーザーのメールアドレスとパスワードを入力します。

現在有効なグループポリシーは、[ポリシー]、[管理テンプレート]、[システム]、[ログオン]の下にある[コンビニエンスPINサインインをオンにする]設定のみです。これはWindows Hello for Businessではないことに注意してください。これはまだパスワードの詰め込みに過ぎません。いつの日か、コンビニエンスPINサインインは廃止され、安全な方法で行われるようになるでしょう。

以下のレジストリ

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

を設定し、UACを有効にしてPCを再起動します。

有効な証明書を持っていないと設定してはいけないことが1つあります（これは2016年のサーバーでの話です）。

“Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business” が NOT CONFIGURED に設定されていることを確認してください。

これは私が設定していたもので（別のブログから）、そのせいでwindows helloが動かなくなってしまい、windows helloが起動すらしなくなってしまいました。でも、設定していない限りは大丈夫なはず。

いろいろ試してみた結果（ここにある他の回答も含めて）、最終的には回避策を使って自分で問題を解決しました。これは回避策であり、実際の解決策ではないことに注意してください。

要約すると、問題は、私の組織のドメインアカウントの何かが、指紋を入力するオプションを無効にしていたことです。私の場合、私のローカルオフィス支店のITグループでさえ、何がそれをブロックしているのか分からなかったのです。

結局、職場のコンピュータに新しいローカルユーザーアカウントを作成して、ローカルの完全な管理者権限を与えました。この新しいアカウントには、私の個人的な Microsoft アカウントを使って接続しました(ローカルアカウントを使うこともできたかもしれませんが)。新しいアカウントにログインすると、フィンガープリントに問題はなく、フィンガープリントを簡単に設定することができました。

この回避策の潜在的な欠点：

• 新しいユーザーアカウントなので、多くのコンピュータプログラムや設定の再インストールや再設定が必要になるかもしれません。基本的には、新品の Windows コンピュータをセットアップするようなものです。私の場合は、新しい仕事用のパソコンを手に入れたときにやってしまったので、とにかく再設定をしなければなりませんでした。
• 組織の設定によっては、ドメインではないアカウントが組織のリソースに適切にアクセスできない場合があります。私の場合は問題ありませんでした。問題がある場合は、おそらく組織の VPN に接続して、これらの特別なリソースにアクセスすることができます。

これらの回避策は、フィンガープリントサインインを取得するためだけに利用する価値はないかもしれませんが、私の場合は組織のコンテキストでは非常にうまく機能しています。

私はDELL 7280に加入したドメインを使用しています。下のレジストリキーを追加して、再起動したら、6桁のピンを追加することができた。

[HKEYLOCALMACHINE\SOFTWARE\Policies\MicrosoftWindows\System] “AllowDomainPINLogon”=dword:00000001