Windows hello в windows 10 как включить в домене
Обновлено: 21.11.2024
Вы можете создать групповую политику или политику управления мобильными устройствами (MDM), которая будет реализовывать Windows Hello на устройствах под управлением Windows 10.
Настройка групповой политики Включить вход с помощью PIN-кода не применяется к Windows Hello для бизнеса. Он по-прежнему запрещает или разрешает создание удобного PIN-кода для Windows 10 версий 1507 и 1511.
Начиная с версии 1607, Windows Hello в качестве удобного PIN-кода по умолчанию отключен на всех компьютерах, присоединенных к домену. Чтобы включить удобный ПИН-код для Windows 10 версии 1607, включите параметр групповой политики Включить вход с помощью удобного ПИН-кода.
Используйте параметры политики сложности PIN-кода для управления PIN-кодами для Windows Hello для бизнеса.
Параметры групповой политики для Windows Hello для бизнеса
В следующей таблице перечислены параметры групповой политики, которые можно настроить для использования Windows Hello на рабочем месте. Эти параметры политики доступны в разделе «Конфигурация пользователя» и «Конфигурация компьютера» в разделе «Политики» > «Административные шаблоны» > «Компоненты Windows» > «Windows Hello для бизнеса».
Начиная с Windows 10 версии 1709, расположение раздела сложности ПИН-кода в групповой политике: Конфигурация компьютера > Административные шаблоны > Система > Сложность ПИН-кода.
Не настроено: устройство не предоставляет Windows Hello для бизнеса ни одному пользователю.
Включено: устройство инициализирует Windows Hello для бизнеса с помощью ключей или сертификатов для всех пользователей.
Не настроено: Windows Hello для бизнеса будет подготовлена с использованием TPM, если он доступен, и будет подготовлена с помощью программного обеспечения, если TPM недоступен.
Включено: Windows Hello для бизнеса будет предоставляться только с помощью TPM. Эта функция будет подготавливать Windows Hello для бизнеса с помощью TPM 1.2, если параметр их исключения не задан явным образом.
Не настроено: Windows Hello для бизнеса регистрирует ключ, который используется для локальной проверки подлинности.
Включено: Windows Hello для бизнеса регистрирует сертификат входа с помощью ADFS, который используется для локальной проверки подлинности.
Добавлено в Windows 10 версии 1703
Не настроено: Windows Hello для бизнеса не создает и не хранит секрет восстановления PIN-кода. Сброс ПИН-кода не использует службу восстановления ПИН-кода на основе Azure
Включено: Windows Hello для бизнеса использует службу восстановления ПИН-кода на основе Azure для сброса ПИН-кода
Отключено: Windows Hello для бизнеса не создает и не сохраняет секрет восстановления PIN-кода. Сброс ПИН-кода не использует службу восстановления ПИН-кода на базе Azure.
Не настроено: биометрические данные можно использовать как жест вместо PIN-кода
Включено: биометрические данные можно использовать в качестве жеста вместо PIN-кода.
Сложность PIN-кода
Не настроено: пользователи должны включать цифру в свой PIN-код.
Включено: пользователи должны включать цифру в свой PIN-код.
Не настроено: пользователи не могут использовать строчные буквы в своем PIN-коде
Включено: пользователи должны включать в свой PIN-код хотя бы одну строчную букву.
Не настроено: длина PIN-кода должна быть меньше или равна 127.
Включено: длина PIN-кода должна быть меньше или равна указанному вами числу.
Не настроено: длина PIN-кода должна быть больше или равна 4.
Включено: длина PIN-кода должна быть больше или равна указанному вами числу.
Не настроено: срок действия ПИН-кода не ограничен.
Включено: срок действия ПИН-кода может быть установлен через любое количество дней от 1 до 730, или же можно установить бессрочный срок действия ПИН-кода, установив для политики значение 0.
Не настроено: предыдущие PIN-коды не сохраняются.
Включено: укажите количество предыдущих PIN-кодов, которые могут быть связаны с учетной записью пользователя, которую нельзя использовать повторно.
Отключено: предыдущие PIN-коды не сохраняются.
Не настроено: Windows разрешает, но не требует использования специальных символов в PIN-коде.
Включено: Windows требует от пользователя включения хотя бы одного специального символа в свой PIN-код.
Не настроено: пользователи не могут включать в свой PIN-код заглавную букву.
Включено: пользователи должны включать в свой PIN-код хотя бы одну заглавную букву.
Вход по телефону
| Политика | Область | Параметры |
|---|---|---|
| Использовать знак телефона -in | Компьютер | В настоящее время не поддерживается. |
Параметры политики MDM для Windows Hello для бизнеса
В следующей таблице перечислены параметры политики MDM, которые можно настроить для использования Windows Hello для бизнеса на рабочем месте. Эти параметры политики MDM используют поставщика услуг конфигурации PassportForWork (CSP).
Начиная с Windows 10 версии 1607 все устройства имеют только один PIN-код, связанный с Windows Hello для бизнеса. Это означает, что любой PIN-код на устройстве будет подчиняться политикам, указанным в CSP PassportForWork. Указанные значения имеют приоритет над любыми правилами сложности, установленными через Exchange ActiveSync (EAS) или DeviceLock CSP.
Верно: Windows Hello для бизнеса будет предоставлена всем пользователям на устройстве.
Неверно: пользователи не смогут подготовить Windows Hello для бизнеса.
Примечание. Если Windows Hello для бизнеса включена, а затем политика изменена на False, пользователи, которые ранее настроили Windows Hello для бизнеса, могут продолжать использовать ее, но не смогут настроить Windows Hello для бизнеса на другие устройства
Верно: Windows Hello для бизнеса будет подготовлена только с помощью TPM.
Верно: модули TPM версии 1.2 будут запрещены к использованию с Windows Hello для бизнеса.
Добавлено в Windows 10 версии 1703
Верно: Windows Hello для бизнеса использует службу восстановления ПИН-кода на базе Azure для сброса ПИН-кода.
Биометрия
Верно: биометрические данные можно использовать в качестве жеста вместо PIN-кода для входа в домен.
Не настроено: пользователи могут выбрать, включать ли расширенную защиту от спуфинга.
Верно: на устройствах, которые его поддерживают, требуется улучшенная защита от спуфинга.
Сложность PIN
0: цифры разрешены.
1: требуется хотя бы одна цифра.
0: строчные буквы разрешены.
1: требуется хотя бы одна строчная буква.
0: разрешены специальные символы.
1: требуется хотя бы один специальный символ.
0: допускаются прописные буквы.
1: требуется хотя бы одна заглавная буква.
Удаленное
| Политика | Область | По умолчанию | Параметры | UseRemotePassport | Устройство или пользователь | False | В настоящее время не поддерживается. |
|---|
В Windows 10 версии 1709 и более поздних версиях, если политика не настроена на явное требование букв или специальных символов, пользователи могут дополнительно установить буквенно-цифровой PIN-код. До версии 1709 пользователь должен был установить цифровой PIN-код.
Конфликты политик из нескольких источников политик
Windows Hello для бизнеса предназначена для управления с помощью групповой политики или MDM, но не их комбинации. Если политики установлены из обоих источников, это может привести к смешанному результату того, что на самом деле применяется для пользователя или устройства.
Политики для Windows Hello для бизнеса применяются с использованием следующей иерархии: групповая политика пользователей > групповая политика компьютеров > пользовательское MDM > устройство MDM > политика блокировки устройства.
Политика включения функций и политика доверия к сертификатам сгруппированы и применяются из одного и того же источника (GP или MDM) в соответствии с приведенным выше правилом. Политика «Использовать паспорт для работы» используется для определения победившего источника политики.
Все политики сложности PIN-кода сгруппированы отдельно от включения функций и применяются из единого источника политик. Использование аппаратного устройства безопасности и применение RequireSecurityDevice также сгруппированы вместе с политикой сложности ПИН-кода. Разрешение конфликтов для других политик Windows Hello для бизнеса применяется для каждой политики отдельно.
Логика разрешения конфликтов политики Windows Hello для бизнеса не учитывает политику ControlPolicyConflict/MDMWinsOverGP в CSP политики.
С помощью групповой политики компьютера настраиваются следующие параметры:
- Использование Windows Hello для бизнеса — включено
- Сертификат пользователя для локальной проверки подлинности — включен
С помощью политики MDM устройства настраиваются следующие параметры:
- UsePassportForWork — отключено
- UseCertificateForOnPremAuth — отключено
- Минимальная длина PIN-кода – 8
- Цифры – 1
- Строчные буквы – 1
- Специальные символы – 1
Принудительный набор политик:
- Использование Windows Hello для бизнеса — включено
- Использовать сертификат для локальной проверки подлинности — включено
- Минимальная длина PIN-кода – 8
- Цифры – 1
- Строчные буквы – 1
- Специальные символы – 1
Как использовать Windows Hello для бизнеса с Azure Active Directory
Существует три сценария использования Windows Hello для бизнеса в организациях, использующих только Azure AD:
- Организации, использующие версию Azure AD, входящую в состав Office 365. Для этих организаций дополнительная работа не требуется. Когда Windows 10 стала общедоступной, Microsoft изменила поведение стека Office 365 Azure AD. Когда пользователь выбирает вариант присоединения к рабочей или учебной сети, устройство автоматически присоединяется к разделу каталога арендатора Office 365, для устройства выдается сертификат, и оно становится доступным для Office 365 MDM, если арендатор подписался на этот раздел. характерная черта. Кроме того, пользователю будет предложено войти в систему и, если MFA включен, ввести подтверждение MFA, которое Azure AD отправляет на его телефон.
- Организации, использующие уровень бесплатного пользования Azure AD. Для этих организаций корпорация Майкрософт не включила автоматическое присоединение домена к Azure AD.Организации, подписавшиеся на уровень бесплатного пользования, могут включить или отключить эту функцию, поэтому автоматическое присоединение к домену не будет включено до тех пор, пока администраторы организации не решат включить ее. Если эта функция включена, устройства, которые присоединяются к домену Azure AD с помощью диалогового окна «Подключиться к работе или учебе», будут автоматически зарегистрированы в службе поддержки Windows Hello для бизнеса, но ранее присоединенные устройства не будут зарегистрированы.
- Организации, подписавшиеся на Azure AD Premium, имеют доступ ко всему набору функций Azure AD MDM. Эти функции включают элементы управления для управления Windows Hello для бизнеса. Вы можете настроить политики для отключения или принудительного использования Windows Hello для бизнеса, требовать использования TPM и контролировать длину и надежность ПИН-кодов, установленных на устройстве.
Если вы хотите использовать Windows Hello для бизнеса с сертификатами, вам потребуется система регистрации устройств. Это означает, что вы настраиваете Configuration Manager, Microsoft Intune или совместимую систему MDM, отличную от Microsoft, и позволяете ей регистрировать устройства. Это обязательный шаг для использования Windows Hello для бизнеса с сертификатами независимо от IDP, поскольку система регистрации отвечает за предоставление устройств необходимыми сертификатами.
Я выполнил чистую установку Windows 10 Anniversary Edition. Теперь я не могу включить Windows Hello, когда мой домен присоединен к Surface Pro 4, войдя в систему как пользователь AD. Однако когда я вхожу в свою учетную запись Msft, я могу включить Windows Hello.
Это показывает, что эта проблема отличается от других здесь. Это также на самом деле присоединенный домен, в отличие от большинства других вопросов здесь.
Вот как выглядят настройки;
В старой версии Windows 10 одно и то же устройство могло включать Windows Hello, когда домен присоединялся к пользователю домена. Вот почему я исключаю GPO как источник проблемы. GPO даже явно разрешает биометрию для пользователей домена. Что я могу сделать?
Windows 10 Professional, Cortana включена. Издание без инсайдеров. У меня есть административный доступ к домену.
9 ответов 9
Я нашел решение. Причина в том, что Windows Hello по-разному управляется на присоединенных к домену компьютерах, начиная с юбилейного обновления. Чтобы заставить его работать, вы должны выполнить следующие шаги:
1) Настройте центральное хранилище групповых политик (у вас оно уже должно быть)
2) Получите шаблоны групповой политики Windows 10 Anniversary Update. Вы можете сделать это, скопировав свои файлы из PolicyDefinitions (в Windir на компьютере с Win10 Anniversary Update) в PolicyDefinitions центрального хранилища. Вы можете сначала скопировать эти файлы в общую папку из-за разрешений, которые ваш обычный пользователь не должен иметь в центральном хранилище.
3) Настройте новый объект групповой политики или добавьте к существующему следующие параметры, чтобы включить Windows Hello:
- Конфигурация компьютера/Политики/Административные шаблоны
Больше дополнительных возможностей конфигурации вы найдете в разделах Система/Вход в систему и Компоненты Windows/Биометрия и Компоненты Windows/Windows Hello для бизнеса.
Самая важная выдержка:
Начиная с версии 1607, Windows Hello в качестве удобного ПИН-кода по умолчанию отключен на всех компьютерах, присоединенных к домену. Чтобы включить удобный ПИН-код для Windows 10 версии 1607, включите параметр групповой политики Включить удобный вход с помощью ПИН-кода. Используйте параметры политики Windows Hello для бизнеса для управления PIN-кодами для Windows Hello для бизнеса.
Если вы хотите использовать Windows Hello на основе ключа или сертификата, следуйте инструкциям по ссылкам. Однако не запутайтесь. Вы по-прежнему можете использовать обычный TPM для обычного Windows Hello.
Мы хотим включить Windows Hello (в частности, вход с помощью PIN-кода) на присоединенных к домену компьютерах с Windows 10. Если мы перейдем в «Настройки»> «Параметры входа», там будет написано: «Некоторыми настройками управляет ваша организация». Я искал везде, но не могу найти способ включить это для всех пользователей с помощью групповой политики.
Любая помощь приветствуется, заранее спасибо.
Примите участие, чтобы выиграть Oculus Win, наушники/колонки или подарочную карту на 300 евро
дбито
Последние файлы ADMX для Windows 10:
21 ответ
БакиИТ
Пока мало что известно об этой функции, но быстрый поиск в Google нашел ее. Может дать вам указание, связанное с групповой политикой, проверить.
Карл Хольцхауэр
Это можно сделать с помощью групповой политики. однако убедитесь, что у вас установлены новейшие объекты групповой политики
дбито
См. параметры групповой политики для Windows Hello ниже:
Параметр групповой политики для включения PIN-кода должен быть (после Windows 10 1607)
"Включить удобный вход с помощью PIN-кода"
дбито
Последние файлы ADMX для Windows 10:
Нфилип
Играл с этим несколько дней, но безрезультатно - до сегодняшнего дня. Я пробовал много разных настроек, и все они, кажется, сломаны. Мне пришлось удалить все остальные настройки, связанные с PIN-кодом, Windows Hello, биометрией и паспортом Windows. Вот что я установил:
Убедитесь, что PIN-код не нарушает политику паролей вашей компании.
Думаю, это то, что мне нужно. Просто чтобы убедиться, что я прав: я запускаю .msi, чтобы получить определения политики. После этого я хочу поместить их в центральное хранилище (SYSVOL\Domain\Policies). Если у меня уже есть папка «PolicyDefinitions», мне просто заменить ее этой или добавить файлы .admx в существующую?
дбито
Да, создайте центральное хранилище и скопируйте файлы amdx, извлеченные из файла msi. Убедитесь, что языковой пакет также включен.
dbeato написал:
Да, создайте центральное хранилище и скопируйте файлы amdx, извлеченные из msi. Убедитесь, что языковой пакет также включен.
Правильно ли заменить папку PolicyDefinitions, которая уже находится в этом месте? Просто хочу убедиться, что ничего не стер.
дбито
Сделайте резервную копию папки PolicyDenfitions. Затем извлеките файлы, сказав C:\users\administrator\documents\Windows 10 POlicy\, скопируйте файлы amdx из этого места в папку и замените предложенные.
Спасибо всем за помощь! В итоге получилось сочетание всех этих ответов. Еще раз спасибо, все хорошо здесь.
Адам (Эй Джей Тек)
Представитель бренда AJ Tek
Можете ли вы поделиться своей окончательной настройкой. Я играю с этим прямо сейчас (следил за веткой с тех пор, как вы написали изначально). Вы сказали, что это комбинация. Начиная с загрузки правильных файлов ADMX для Windows 10, какие настройки вы включили, чтобы все заработало?
Трэвис0729
Может кто-нибудь объяснить мне, что я делаю неправильно? Ниже прикреплено изображение всех вещей, которые я включил для своего объекта групповой политики.
Трэвис0729
Немного увеличил изображение.
Трэвис0729
Итак, я нашел решение своей проблемы. На приведенном выше рисунке вы можете видеть, что у меня есть «Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Windows Hello для бизнеса/Использование Windows Hello для бизнеса» и «Конфигурация пользователя/Административные шаблоны/Компоненты Windows/Windows Hello для бизнеса/Использование Windows Hello». для бизнеса» установлено значение «ВКЛЮЧЕНО», хотя я действительно хотел, чтобы для них было установлено значение «НЕ НАСТРОЕНО»
дбито
Travis0729 написал:
Итак, я нашел решение своей проблемы. На приведенном выше рисунке вы можете видеть, что у меня есть «Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Windows Hello для бизнеса/Использование Windows Hello для бизнеса» и «Конфигурация пользователя/Административные шаблоны/Компоненты Windows/Windows Hello для бизнеса/Использование Windows Hello». для бизнеса» установлено значение «ВКЛЮЧЕНО», хотя я действительно хотел, чтобы для них было установлено значение «НЕ НАСТРОЕНО»
Адам (Эй Джей Тек)
Представитель бренда AJ Tek
У меня все еще есть проблемы с этим. У меня есть следующее:
Остальные параметры, показанные на снимках экрана в сообщениях выше, говорят «если вы включите или не настроите этот параметр», поэтому я решил не настраивать его.
У меня есть шаблоны ADMX 1703 (скоро будет 1709)
дбито
OverDrive написал:
У меня все еще есть проблемы с этим. У меня есть следующее:
Остальные настройки, которые показаны на снимках экрана в сообщениях выше, говорят «если вы включите или не настроите этот параметр», поэтому я решил не настраивать его. .
У меня есть шаблоны ADMX 1703 (скоро будет 1709)
Значит, он у вас не включается?
Новейшие шаблоны администратора из Fall Creators Update (1709):
У меня сервер 2008r2 с шаблонами 1709. Кто-нибудь знает, есть ли у сервера 2008 ограничения на кнопку отпечатка пальца? Я вижу в предварительных требованиях, что у вас должен быть сервер 2012 для работы биометрии.
Для тех из вас, у кого это работает, нужно ли было устанавливать сервер 2016 года с ADFS или вы могли обойтись без этого?
Эта тема заблокирована администратором и больше не открыта для комментариев.
Чтобы продолжить это обсуждение, задайте новый вопрос.
Щелкни! Okta Breach, QNAP Devices, Raspberry Pi, Space Lettuce, Mercury Diamonds
Ваша ежедневная доза технических новостей. Вы должны это услышать. Okta подтверждает, что 2,5% клиентов пострадали от взлома в январе Раскрываются новые подробности взлома Okta, и вполне возможно, что преступники имели физический доступ к emplo.
Подростки ненадлежащим образом используют Интернет в библиотеке
Привет! Я работаю в небольшой библиотеке, и у нас есть 6 общедоступных ПК с Windows для подростков. Вход в систему не требуется. Недавно наш библиотекарь-подросток просмотрела историю поиска по одному из них и нашла несколько сомнительных элементов (конечно же!). Есть ли у кого рекомендации.
Доступ к электронной почте заблокированного/бывшего пользователя
У нас есть сотрудник, которого недавно уволили, и его почтовый ящик был отключен. Вскоре после этого в дело вмешались юристы, которые потребовали доступ к этому почтовому ящику. Я снова включил почтовый ящик и отключил все методы аутентификации для этого пользователя, кроме веб-доступа и .
Кого волнуют объявления вашего поставщика брандмауэра?
Я только что закончил веб-семинар с объявлением от моего поставщика брандмауэра. Новое облачное обучение машинному обучению позволяет оперативно блокировать угрозы. Бесплатные возможности AIOP (с премиум-версией). Усовершенствованная фильтрация URL-адресов, использующая аналитику в реальном времени, которая устраняет проблемы с UR.
Искра! Серия Pro – 23 марта 2022 г.
День в истории: 2001 год. Российская космическая станция «Мир» погружается в море 23 марта 2001 года, после 15 лет пребывания на орбите, российская космическая станция «Мир» вновь вошла в Тихий океан после управляемого маневра схода с орбиты. Несмотря на получивший широкую огласку инцидент.
Добро пожаловать в BleepingComputer, бесплатное сообщество, где такие же люди, как и вы, собираются вместе, чтобы обсудить и узнать, как использовать свои компьютеры. Пользоваться сайтом легко и весело. В качестве гостя вы можете просматривать и просматривать различные обсуждения на форумах, но не можете создавать новую тему или отвечать на существующую, если вы не вошли в систему. Другими преимуществами регистрации учетной записи являются подписка на темы и форумы, создание в блоге и нигде на сайте не показывается реклама.
Невозможно включить Windows Hello в домене c.
Недавно я создал новый домен AD и подключил к нему несколько устройств с Windows 10 Pro (версия 2004) и по какой-то причине не могу включить на нем ПИН-код Windows Hello даже при наличии объектов групповой политики.
Серверная ОС: Windows Server 2016 Essentials и Server 2019 Essentials
Уровень функциональности домена: Server 2016
Политики из gpresult /h:
Отредактировано пользователем Windows10User, 20 сентября 2020 г., 10:20.
В Server 2016 Essentials иногда возникают ошибки, когда дело доходит до Windows Hello.
Наиболее вероятное исправление противоречит здравому смыслу:
Измените упомянутые выше политики с "Включено" на "Не настроено"
Затем добавьте этот раздел реестра вручную, даже если вы думаете, что это будет делать то же самое, что и при настройке через GPO:
"AllowDomainPINLogon" = dword : 00000001
Как ни странно, это решило проблему, спасибо
Подождите, по какой-то причине эта опция просто скрыта для некоторых машин
Просто поясню, работает ли контроллер домена Server Essentials 2019 на функциональном уровне Server 2016? Это единственный контроллер домена?
Знаете ли вы, на скольких машинах сейчас возникла проблема, а на скольких — нет?
У меня есть 2 контроллера домена, 1x Server 2016 Essentials и 1x Server 2019 Essentials, работающие на функциональном уровне Server 2016.
Из 7 клиентов 2 работают нормально, 4 имеют проблемы, а еще один я не успел проверить.
Настройки затронутых компьютеров выглядят следующим образом:
На незатронутых машинах настройки выглядят следующим образом:
Нет, это ничего не изменило.
Два успешных клиента были первыми клиентами, которые получили regedit, все клиенты после них потерпели неудачу
Читайте также: