2016-08-15 08:15:59 +0000 2016-08-15 08:15:59 +0000
21
21

Windows Helloを有効にできない - 一部の設定は組織で管理されています。

Windows 10 Anniversary Editionをクリーンインストールしました。現在、ドメインに参加したSurface Pro 4では、ADユーザーとしてログインしてもWindows Helloを有効にすることができません。Msftアカウントでログインすると、Windows Helloを有効にすることはできますが。

ドメインではないのに「一部の設定は組織で管理されていますか? ](https://superuser.com/questions/947755/some-settings-are-managed-by-your-organization-while-not-on-domain) (設定アプリでテレメトリを増やす)とこれも試してみました。gp経由でテレメトリをリセットする](http://www.ibtimes.co.uk/how-fix-some-settings-are-managed-by-your-organization-message-windows-10-1521281).

これは、この問題がここでの他の問題とは異なることを示しています。これは、ここの他の質問とは異なり、実際にはドメインに参加していることを示しています。 これが問題の原因からGPOを除外した理由です。GPOはドメインユーザーのバイオメトリクスを明示的に許可しています。どうすればいいのでしょうか?

Windows 10 Professional、Cortanaを有効にしています。インサイダーズエディションはありません。ドメインへの管理者アクセスがあります。
ソース

回答 (8)

29
29
29
2016-10-05 06:44:04 +0000

解決策を見つけました。理由は、アニバーサリーアップデートを皮切りに、ドメインに参加したコンピュータでは、Windows Helloの管理が異なるからです。それを動作させるには、以下の手順を実行する必要があります。

1) Group Policy Central Storeを設定します(すでに持っているはずです)

2) Windows 10 Anniversary Updateのグループポリシーテンプレートを取得します。これは、PolicyDefinitions(Win10 Anniversary Updateマシンのwindirにある)からセントラルストアのPolicyDefinitionsにファイルをコピーすることで行うことができます。通常のユーザーはセントラルストアでは権限を持っていないはずなので、最初にこれらのファイルをファイル共有にコピーすることもできます。

3) Windows Hello を有効にするために、新しい GPO をセットアップするか、または既存の GPO に以下の設定を追加します:

…/Windows Components/Windows Hello For Business/ Use biometrics = Enabled

…/Windows Components/Windows Hello For Business/ Use biometrics = Enabled

… ./Windows Components/Windows Hello for Business/ Use a hardware security device = Enabled (Windows Hello のキーまたは証明書ベースのアクティベーションの代わりに TPM を使用する場合)。一般的に、すべてのビジネスコンピュータはTPM

…/System/Logon/ Turn on convenience PIN sign-in => Enabled (これがキーです。これはPINサインインを有効にして、他の設定と一緒にHelloを有効にします。)

…/Windows Components/Biometrics/ Allow domain users to log on using biometrics => Enabled (デフォルトで有効になっていると思いますが、明示的にすることでGPの管理が楽になります)

システム/ログオンとWindowsコンポーネント/バイオメトリクスとWindowsコンポーネント/Windows Hello for Businessに、より多くのオプション設定の可能性があります。

より詳しい背景はこちら https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

と、こちら https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

最も重要な抜粋です。

バージョン1607以降、すべてのドメインに接続されたコンピュータでは、便利なPINとしてのWindows Helloがデフォルトで無効になっています。Windows 10(バージョン 1607)で便利なPINを有効にするには、グループ ポリシー設定の [便利なPINサインインを有効にする] を有効にします。Windows Hello for Businessのポリシー設定を使用して、Windows Hello for BusinessのPINを管理します。

キーまたは証明書ベースのWindows Helloを使用する場合は、リンク先のガイドに従ってください。しかし、混乱しないでください。通常のWindows Helloでも通常のTPMを使用することができます。
ソース
5
5
5
2017-01-19 00:04:39 +0000

以下のレジストリキーを設定すると動作します。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

リファレンス。 https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

ソース
5
5
5
2017-02-21 09:04:20 +0000

私がしなければならなかったことは

1.Windows KEY + RでRun 2. Enterを押してください。 gpedit.msc 3. ENABLED

これは、Windows 10 ProでSurface Pro 4のWindows Helloを有効にしました。
ソース
4
4
4
2019-05-23 16:54:09 +0000

私は長い間これと戦ってきました。便利なPINログインを有効にする、ビジネスのためのWindows Helloを有効にする、生体認証を有効にする、などなど、グループポリシーの設定をすべて試しました。ようやく解決策を見つけました。

会社のPCはWindows 10 build 1809です。ほとんどがLenovoのX1 YogasとP330sと一部のSurface Prosです。それらは2012 R2のドメインに加入しており、メールとOffice Pro PlusのOffice 365に加入しています。Office 365でE3ライセンスを取得しています。ユーザーが独自のO365ライセンスを使ってOfficeアプリを登録すると、Windowsを仕事用アカウントに接続します。それを解除することで、PINとFingerprintの設定ができました。やり方は以下の通り。

1.Windows Settings -> Accounts -> Access Work or School. Windowsのロゴがカラフルな「Work or School Account」が鍵の設定になっている。これを外します。Connected to whatever domain」の設定は触らないようにしましょう。

  1. 続いて「サインインオプション」をクリック。指紋と暗証番号がグレーアウトされなくなりました。それでもグレーアウトされている場合は、「便利なPINサインイン」が有効になっていることを確認してください。

  2. PINを追加し、次にFingerprintを追加します。

  3. Settings -> Accountsの “Access Work or School "に戻ります。

  4. Connectをクリックして、ユーザーのメールアドレスとパスワードを入力します。

現在有効なグループポリシーは、[ポリシー]、[管理テンプレート]、[システム]、[ログオン]の下にある[コンビニエンスPINサインインをオンにする]設定のみです。これはWindows Hello for Businessではないことに注意してください。これはまだパスワードの詰め込みに過ぎません。いつの日か、コンビニエンスPINサインインは廃止され、安全な方法で行われるようになるでしょう。
ソース
0
0
0
2018-01-18 07:14:08 +0000

以下のレジストリ

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

を設定し、UACを有効にしてPCを再起動します。
ソース
0
0
0
2017-10-15 20:47:53 +0000

有効な証明書を持っていないと設定してはいけないことが1つあります(これは2016年のサーバーでの話です)。

“Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business” が NOT CONFIGURED に設定されていることを確認してください。

これは私が設定していたもので(別のブログから)、そのせいでwindows helloが動かなくなってしまい、windows helloが起動すらしなくなってしまいました。でも、設定していない限りは大丈夫なはず。
ソース
-1
-1
-1
2020-01-21 12:33:14 +0000

いろいろ試してみた結果(ここにある他の回答も含めて)、最終的には回避策を使って自分で問題を解決しました。これは回避策であり、実際の解決策ではないことに注意してください。

要約すると、問題は、私の組織のドメインアカウントの何かが、指紋を入力するオプションを無効にしていたことです。私の場合、私のローカルオフィス支店のITグループでさえ、何がそれをブロックしているのか分からなかったのです。

結局、職場のコンピュータに新しいローカルユーザーアカウントを作成して、ローカルの完全な管理者権限を与えました。この新しいアカウントには、私の個人的な Microsoft アカウントを使って接続しました(ローカルアカウントを使うこともできたかもしれませんが)。新しいアカウントにログインすると、フィンガープリントに問題はなく、フィンガープリントを簡単に設定することができました。

この回避策の潜在的な欠点:

  • 新しいユーザーアカウントなので、多くのコンピュータプログラムや設定の再インストールや再設定が必要になるかもしれません。基本的には、新品の Windows コンピュータをセットアップするようなものです。私の場合は、新しい仕事用のパソコンを手に入れたときにやってしまったので、とにかく再設定をしなければなりませんでした。
  • 組織の設定によっては、ドメインではないアカウントが組織のリソースに適切にアクセスできない場合があります。私の場合は問題ありませんでした。問題がある場合は、おそらく組織の VPN に接続して、これらの特別なリソースにアクセスすることができます。

これらの回避策は、フィンガープリントサインインを取得するためだけに利用する価値はないかもしれませんが、私の場合は組織のコンテキストでは非常にうまく機能しています。
ソース
-2
-2
-2
2018-05-23 00:38:25 +0000

私はDELL 7280に加入したドメインを使用しています。下のレジストリキーを追加して、再起動したら、6桁のピンを追加することができた。

[HKEYLOCALMACHINE\SOFTWARE\Policies\MicrosoftWindows\System] “AllowDomainPINLogon”=dword:00000001
ソース