Windows Hello kann nicht aktiviert werden - Einige Einstellungen werden von Ihrer Organisation verwaltet

Das Setzen des folgenden Registrierungsschlüssels funktioniert für mich:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Referenz: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

Ich habe lange dagegen gekämpft. Ich habe alle diese Gruppenrichtlinieneinstellungen ausprobiert:Aktivieren Sie die bequeme PIN-Anmeldung, aktivieren Sie Windows Hello for Business, aktivieren Sie Biometrie usw. etc. etc. Ich habe endlich die Lösung gefunden.

Die PCs in meiner Firma sind die Windows 10 build 1809. Meistens Lenovo X1 Yogas und P330s und einige Surface-Profis. Sie sind einer 2012 R2-Domäne mit einer Domäne verbunden und haben Office 365 für E-Mail und Office Pro Plus abonniert. Wir haben eine E3 Lizenz in Office 365. Wenn ein der Benutzer registriert die Office-Apps mit seiner eigenen O365-Lizenz und verbindet Windows mit seinem Arbeitskonto. Durch das Trennen konnte ich PIN und Fingerabdruck einrichten. Hier ist, wie es geht:

1. Gehen Sie zu Windows-Einstellungen - > Konten - > Zugriff auf Arbeit oder Schule. Die Schlüsseleinstellung ist das "Arbeits-oder Schulkonto"mit dem farbenfrohen Windows-Logo. Trennen Sie das. Berühren Sie nicht die Einstellung "Mit welcher Domäne auch immer verbunden".

2. Klicken Sie dann auf "Anmeldeoptionen". Fingerabdruck und sie sind nicht mehr ausgegraut. Wenn es noch ausgegraut ist, stellen Sie sicher, dass "Convenience PIN sign-in" aktiviert ist.

3. Fügen Sie die PIN und dann den Fingerabdruck hinzu.

4. Gehen Sie zurück zu "Zugriff auf Arbeit oder Schule" in Einstellungen -> Konten.

5. Klicken Sie auf Verbinden und geben Sie die E-Mail-Adresse und das Passwort des Benutzers ein.

Die einzige derzeit gültige Gruppenrichtlinie ist die Einstellung "Convenience-PIN-Anmeldung aktivieren" unter Richtlinien, Verwaltungsvorlagen, System, Anmeldung. Beachten Sie, dass dies NICHT Windows Hello for Business ist. Dies ist immer noch nur Passwort-Füllung. Eines Tages wird die PIN-Anmeldung veraltet sein und wir müssen es auf sichere Weise tun.

Alles was ich tun musste ist:

1. Windows-TASTE + R zum Öffnen von Run
2. Eingeben:

   gpedit.msc

3. [Lokale Computerrichtlinie] > [Computerkonfiguration] > [Administrative Vorlagen] > [System] > [Anmeldung] > [Aktivieren Sie die PIN-Anmeldung] : AKTIVIERT

Dadurch wurde Windows Hello auf Surface Pro 4 mit Windows 10 Pro aktiviert.

Es gibt eine Sache, die Sie nicht konfigurieren dürfen, es sei denn, Sie haben die gültigen Zertifikate (dies ist auf Server 2016).

Stellen Sie sicher, dass "Computer conf/Richtlinien/Admin temp/Windows comp/Windows Hello for Business/Verwenden von Windows Hello for Business" ist auf NICHT KONFIGURIERT gesetzt.

Dies war das eine, was ich eingestellt hatte (aus einem anderen Blog) und es hatte verhindert, dass Windows Hello funktionierte, Windows Hello würde nicht einmal starten. Aber solange es nicht konfiguriert ist, sollte es in Ordnung sein.

Einstellung der folgenden Registry

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Aktivieren Sie dann UAC und starten Sie den PC neu.

Das hat bei mir funktioniert:

Gehe zum Pfad im Registrierungseditor

"Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System"

Fügen Sie eine neue Registrierung hinzu, wenn sie nicht existiert

Typ: DWORD(32 bit)

- Name: AllowDomainPINLogon

Wert: 1

Und starten Sie dann Ihren Computer neu.

Nachdem ich so viele Dinge ausprobiert hatte (einschließlich aller anderen Antworten hier), habe ich das Problem endlich mit einer Problemumgehung für mich behoben. Beachten Sie, dass dies eine Problemumgehung ist, keine echte Lösung:

Um es noch einmal zusammenzufassen, besteht das Problem darin, dass etwas im Domänenkonto meiner Organisation die Option zur Eingabe von Fingerabdrücken deaktiviert hat. In meinem Fall konnte sogar meine IT-Gruppe in meiner lokalen Bürofiliale nicht herausfinden, was sie blockierte.

Also habe ich auf meinem Arbeitscomputer ein neues lokales Benutzerkonto erstellt mit vollen lokalen Verwaltungsrechten. Für dieses neue Konto habe ich mein persönliches Microsoft-Konto verwendet, um eine Verbindung herzustellen (obwohl ich wahrscheinlich ein lokales Konto hätte verwenden können). Als ich mich beim neuen Konto anmeldete, gab es kein Problem mit Fingerabdrücken und ich konnte die Fingerabdrücke einfach konfigurieren.

Mögliche Nachteile dieser Problemumgehung:

• Da es sich um ein neues Benutzerkonto handelt, müssen möglicherweise viele Computerprogramme und-einstellungen neu installiert und neu konfiguriert werden. Es ist im Grunde wie Einstellung einen brandneuen Windows-Computer. In meinem Fall habe ich dies getan, als ich einen neuen Arbeitscomputer bekam, also musste ich die Neukonfiguration trotzdem durchführen.
• In einigen organisatorischen Setups haben Nicht-Domänenkonten möglicherweise keinen ordnungsgemäßen Zugriff auf einige organisatorische Ressourcen. Dies war in meinem Fall kein Problem. Wenn es ein Problem mit Ihnen ist, können Sie möglicherweise eine Verbindung zum Organisations-VPN herstellen, um auf diese speziellen Ressourcen zuzugreifen, möglicherweise sogar dauerhaft in diesem Workaround-Konto.

Diese Problemumgehungen vielleicht lohnt es sich nicht für Sie, sich nur per Fingerabdruck anzumelden, aber sie funktionieren in meinem organisatorischen Kontext hervorragend.

Ich bin auf einer Domain beigetreten Dell 7280. Das Hinzufügen des Registrierungsschlüssels unten zusammen mit dem Neustart hat es mir ermöglicht, eine 6-stellige PIN hinzuzufügen.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System] "AllowDomainPINLogon"=dword:00000001