Windows Hello를 사용할 수 없음-일부 설정은 조직에서 관리합니다

19

Windows 10 Anniversary Edition을 새로 설치했습니다. 이제 AD 사용자로 로그인 한 도메인에 Surface Pro 4에 가입 한 상태에서 Windows Hello를 사용할 수 없습니다. Msft 계정으로 로그인하면 Windows Hello를 켤 수 있습니다.

도메인에 있지 않은 상태에서 "일부 설정은 조직에서 관리"를 시도 했습니까? (설정 앱을 통한 원격 측정 향상) 및 gp를 통한 원격 측정 재설정 .

이것은이 문제가 다른 문제와 다르다는 것을 보여줍니다. 이것은 또한 다른 질문과 달리 실제로 도메인에 가입되어 있습니다.

설정이 다음과 같습니다.

이전 버전의 Windows 10에서는 도메인이 도메인 사용자와 결합 된 동안 동일한 장치에서 Windows Hello를 사용할 수있었습니다. 그래서 GPO를 문제의 원인으로 배제했습니다. GPO는 도메인 사용자의 생체 인식을 명시 적으로 허용합니다. 어떡해?

Windows 10 Professional, Cortana가 활성화되었습니다. 내부자 없음. 도메인에 대한 관리 액세스 권한이 있습니다.

windows-10 windows-hello

— 주커 토벤
소스

해결책을 찾은 적이 있습니까? 나는 같은 문제가 있습니다 :(

— MojoDK

그래, 내가 했어! 나는 지금 @MojoDK :) 답변을 작성할 것입니다 :

— zuckerthoben

27

해결책을 찾았습니다. 기념일 업데이트부터 도메인 가입 컴퓨터에서 Windows Hello가 다르게 관리되기 때문입니다. 제대로 작동하려면 다음 단계를 따라야합니다.

1) 그룹 정책 중앙 저장소 설정 (이미 가지고 있어야 함)

2) Windows 10 1 주년 업데이트 그룹 정책 템플릿 가져 오기 . PolicyDefinitions (Win10 Anniversary Update 시스템의 windir)에서 중앙 저장소의 PolicyDefinitions로 파일을 복사하여 파일을 복사 할 수 있습니다. 일반 사용자가 중앙 저장소에 가져서는 안되는 권한 때문에 해당 파일을 먼저 파일 공유에 복사 할 수 있습니다.

3) Windows Hello를 사용하려면 새 GPO를 설정하거나 기존의 다음 설정에 추가하십시오.

컴퓨터 구성 / 정책 / 관리 템플릿

... / Windows 구성 요소 / 비즈니스 용 Windows Hello / 생체 인식 사용 => 사용

... / Windows 구성 요소 / 비즈니스 용 Windows Hello / 하드웨어 보안 장치 사용 => 사용 (Windows Hello의 키 또는 인증서 기반 정품 인증 대신 TPM을 사용하려는 경우) 일반적으로 모든 업무용 컴퓨터에는 TPM이 있어야합니다.

... / 시스템 / 로그온 / 편리한 PIN 로그인 => 사용 (키입니다. PIN 로그인을 활성화하여 다른 설정과 함께 Hello를 활성화 할 수 있습니다.)

... / Windows 구성 요소 / 생체 측정 / 도메인 사용자가 biometrics => 사용 을 사용하여 로그온하도록 허용 (기본적으로 사용하도록 설정되어 있지만 명시 적으로 사용하면 GP 관리가 훨씬 쉬워집니다.)

시스템 / 로그온 및 Windows 구성 요소 / 바이오 메트릭스 및 Windows 구성 요소 / Windows Hello for Business에서 더 많은 선택적 구성 가능성을 찾을 수 있습니다.

https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10에서 더 많은 배경을 찾을 수 있습니다. -version-1607 /

그리고 여기

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

가장 중요한 발췌 :

버전 1607부터 편의를 위해 Windows Hello는 모든 도메인 가입 컴퓨터에서 기본적으로 비활성화되어 있습니다. Windows 10 버전 1607에 편의 PIN을 사용하려면 그룹 정책 설정 편의 PIN 로그인 켜기를 사용하십시오. 비즈니스 용 Windows Hello 정책 설정을 사용하여 비즈니스 용 Windows Hello의 PIN을 관리합니다.

키 또는 인증서 기반 Windows Hello를 사용하려면 링크의 안내를 따르십시오. 그러나 혼동하지 마십시오. 일반 Windows Hello에는 여전히 일반 TPM을 사용할 수 있습니다.

— 주커 토벤
소스

1

언급 한 링크에 따라 Windows Hello를 사용하기 위해 "편의 PIN 로그인 켜기"가 필요하지는 않습니다. 편의 PIN은 Windows Hello PIN만큼 안전하지 않은 구식 PIN입니다. ""비즈니스 용 Windows Hello를 배포하려는 경우 편리한 PIN 로그인이 아닌보다 안전한 자격 증명으로 이동할 수있는 완벽한 기회 일 수 있습니다. ") 실제로 비즈니스 용 Windows Hello를 구성하려면 GPO 만 – docs.microsoft.com/en-us/azure/active-directory/…

— Speedbird186

잘 잡을 수는 있지만 SCCM이 도메인 가입 장치에서 Windows Hello를 활성화하는 유일한 솔루션은 아닙니다. 안전한 다른 방법이 있어야합니다.

— zuckerthoben

이 작업을 수행하기 위해 도메인에 가입 된 랩톱 에서 로컬 정책 (Run> GPedit.msc) 을 간단히 편집 할 수 있다는 점을 지적하고 싶었습니다 . 좋은 정보, 감사합니다.

— SamAndrew81

슬프게도이 모든 것이 저에게 도움이되지 않았습니다 : / 로컬 계정으로 로그인 할 수 있지만 Windows Hello는 여전히 내 AD 계정으로 회색으로 표시됩니다.

— 도미니크

첫 번째 단계 인 "1) 그룹 정책 중앙 저장소 설정 (이미 가지고 있어야 함)"을 이해하지 못합니다. 도메인 가입 비즈니스 컴퓨터에 대한 로컬 관리자 권한이 있지만 네트워크 관리자 권한이 없습니다. 이 첫 번째 포인트와 두 번째 포인트에 대해 단계별 하위 단계를 제공 할 수 있습니까? 다른 요점은 분명하지만 처음 두 가지가 없으면이 솔루션을 실제로 시도 할 수 없습니다.

— Ochado

5

다음 레지스트리 키를 설정하면 효과가 있습니다.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

참조 : https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- 도메인 계정? forum = win10itprosetup

— 스티븐 콴
소스

내 PC가 도메인에 가입되어 있지만 관리자 권한이 없습니다. 이 솔루션은 문제를 해결했습니다.

— Nikola Malešević

이를 통해 (최종 사용자로서) 회사 IT 부서에 관계없이 Surface Book에서 Windows Hello를 사용할 수있었습니다.

— 전체적 개발자

1

이것은 나와 함께 작동하지 않습니다

— Ahmed Hamdy

기존 도메인에서 Windows Server 2016 Build 1607을 구성원 서버로 실행하고 있으며이 레지스트리 키가 이미 설정되어 있지만 Windows Hello를 사용할 수 없습니다.

— Dai

5

내가해야 할 일은 :

Windows KEY+ R실행을 열려면
시작하다:
```
gpedit.msc
```
[로컬 컴퓨터 정책]> [컴퓨터 구성]> [관리 템플릿]> [시스템]> [로그온]> [ 편리한 PIN 로그인 켜기 ] : 사용

이를 통해 Windows 10 Pro의 Surface Pro 4에서 Windows Hello를 사용할 수있었습니다.

— 주포
소스

예, 그것은 저의 대답과 거의 동일하지만 단일 로컬 사용자를위한 것입니다. 도메인 접근 방식은 엔터프라이즈 사용 사례에 더 좋습니다.

— zuckerthoben 2012

2

"그룹 정책 중앙 저장소"가 무엇인지 모르며 정책을 적용 할 위치를 말하지 않습니다. 중앙 AD 서버 또는 로컬 PC에서 ...

— juFo

1

컨텍스트에서 AD에 대한 그룹 정책을 작성한다고 가정 할 수 있습니다. 그룹 정책 중앙 저장소를 설정하는 방법을 설명하는 것은 내 대답 범위를 훨씬 뛰어 넘습니다. 안내서와 설명은 웹 전체에서 찾을 수 있습니다.

— zuckerthoben

저는 10 명의 프로를 가지고 있지만 이러한 옵션이 보이지 않습니다

— Crash893

설명에 문제가 있습니다. 4 자리 PIN의 경우 최소 핑 길이를 값 4와 함께 사용으로 설정해야합니다.

— sofsntp

3

나는이 긴 시간 동안 싸워왔다. 편의 PIN 로그인 설정, 비즈니스 용 Windows Hello 활성화, 생체 인식 활성화 등이 그룹 정책 설정을 모두 시도했습니다. 마침내 솔루션을 찾았습니다.

우리 회사의 PC는 Windows 10 build 1809입니다. 대부분 Lenovo X1 Yoga 및 P330 및 일부 Surface Pro입니다. 이들은 2012 R2 도메인에 도메인에 가입되어 있으며 이메일 및 Office Pro Plus를 위해 Office 365에 가입되어 있습니다. Office 365에는 E3 라이선스가 있습니다. 사용자가 자신의 O365 라이선스를 사용하여 Office 앱을 등록하면 Windows가 업무용 계정에 연결됩니다. 연결을 끊으면 PIN 및 지문을 설정할 수 있습니다. 방법은 다음과 같습니다.

Windows 설정-> 계정-> 회사 또는 학교 액세스로 이동하십시오. 주요 설정은 화려한 Windows 로고가있는 "회사 또는 학교 계정"입니다. 연결을 끊으십시오. "모든 도메인에 연결됨"설정을 터치하지 마십시오.
그런 다음 "로그인 옵션"을 클릭하십시오. 지문과 PIN이 더 이상 회색으로 표시되지 않습니다. 여전히 회색으로 표시되면 "편의 PIN 로그인"이 활성화되어 있는지 확인하십시오.
PIN을 입력 한 다음 지문을 추가하십시오.
설정-> 계정에서 "작업 또는 학교 액세스"로 돌아갑니다.
연결을 클릭하고 사용자의 이메일 주소와 비밀번호를 입력하십시오.

현재 유효한 유일한 그룹 정책은 정책, 관리 템플릿, 시스템, 로그온 아래의 "편의 PIN 로그인 켜기"설정입니다. 이것은 비즈니스 용 Windows Hello가 아닙니다. 이것은 여전히 암호를 채우는 것입니다. 언젠가는 편의 PIN 로그인이 더 이상 사용되지 않으며 안전한 방법으로 로그인해야합니다.

— CParker
소스

0

유효한 인증서가없는 경우 구성하지 말아야 할 것이 하나 있습니다 (이는 서버 2016에 있음).

"컴퓨터 conf / policies / 관리자 임시 / Windows comp / Windows Hello for Business / Windows Hello for Business 사용"이 구성되지 않음으로 설정되어 있는지 확인하십시오.

이것은 내가 다른 블로그에서 설정 한 것 중 하나이며 Windows Hello가 작동하지 못하게하여 Windows Hello가 시작되지 않습니다. 그러나 구성되지 않은 한 괜찮습니다.

— 사용자 780692
소스

댓글 작성 을 시작하는 방법을 이해하려면 "댓글을 달려면 50 개의 평판이 필요한 이유"를 읽으십시오 .

— Pimp Juice IT

0

다음 레지스트리 설정

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

그런 다음 UAC를 활성화하고 PC를 다시 시작하십시오.

— 사용자
소스

-2

Dell 7280에 가입 한 도메인에 있습니다. 재부팅과 함께 아래 레지스트리 키를 추가하면 6 자리 핀을 추가 할 수 있습니다.

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ System] "AllowDomainPINLogon"= dword : 00000001

— 조
소스