Impossibile attivare Windows Hello - Alcune impostazioni sono gestite dalla tua organizzazione

Ho trovato la soluzione. La ragione è che Windows Hello è gestito in modo diverso sui computer uniti al dominio, a partire dall'aggiornamento dell'anniversario. Per farlo funzionare dovete seguire questi passi:

1) Impostare un Group Policy Central Store (dovreste già averlo)

2) Ottenere Windows 10 Anniversary Update Group Policy Templates. Potete farlo copiando i vostri file da PolicyDefinitions (in windir su una macchina Win10 Anniversary Update) nelle PolicyDefinitions del negozio centrale. Potreste copiare quei file prima su una condivisione di file, a causa delle autorizzazioni che il vostro utente regolare non dovrebbe avere sul negozio centrale.

3) Impostare un nuovo GPO o aggiungere a uno esistente le seguenti impostazioni per abilitare Windows Hello:

• Computer Configuration/Policies/Administrative Templates

…/Windows Components/Windows Hello For Business/ Use biometrics => Enabled

. ../Componenti Windows/Windows Hello for Business/ Usa un dispositivo di sicurezza hardware => Abilitato (se vuoi usare il TPM invece dell'attivazione basata su chiave o certificato per Windows Hello). Nota che in generale tutti i computer aziendali dovrebbero avere il TPM

…/System/Logon/ Attiva il PIN sign-in => Abilitato (Questa è la chiave. Questo abilita il PIN sign-in che a sua volta abiliterà Hello, insieme alle altre impostazioni).

…/Windows Components/Biometrics/ Allow domain users to log on using biometrics => Enabled (Penso che questo sia abilitato di default, ma essere esplicito rende la gestione di GP molto più facile).

Troverete altre possibilità di configurazione opzionali in System/Logon e Windows Components/Biometrics e Windows Components/Windows Hello for Business.

Troverete maggiori informazioni qui https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

e qui https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Estratto più importante:

A partire dalla versione 1607, Windows Hello come PIN di convenienza è disabilitato per impostazione predefinita su tutti i computer collegati al dominio. Per abilitare un PIN di convenienza per Windows 10, versione 1607, attiva l'impostazione dei criteri di gruppo Attiva l'accesso con PIN di convenienza. Usa le impostazioni dei criteri di Windows Hello for Business per gestire i PIN per Windows Hello for Business.

Se vuoi usare Windows Hello basato su chiavi o certificati puoi seguire le guide nei link. Non confondetevi però. Puoi ancora usare il normale TPM per il normale Windows Hello.

L'impostazione della seguente chiave di registro funziona per me:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Riferimento: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

Tutto quello che ho dovuto fare è:

1. Windows KEY + R per aprire Run
2. Inserisci:
   gpedit.msc
3. [Politica locale del computer] > [Configurazione del computer] > [Modelli amministrativi] > [Sistema] > [Logon] > [Attiva l'accesso con PIN di convenienza] : **

Questo ha abilitato Windows Hello su Surface Pro 4 con Windows 10 Pro.

Ho lottato contro questo per molto tempo. Ho provato tutte queste impostazioni di group policy: attivare il login con PIN di convenienza, attivare windows hello for business, attivare la biometria, ecc. ecc. Finalmente ho trovato la soluzione.

I PC della mia azienda sono Windows 10 build 1809. Per lo più Lenovo X1 Yogas e P330s e alcuni Surface Pro. Sono uniti a un dominio 2012 R2 e sono abbonati a Office 365 per la posta elettronica e Office Pro Plus. Abbiamo una licenza E3 in Office 365. Quando un utente registra le app di Office utilizzando la propria licenza O365, collega Windows al proprio account di lavoro. Disconnettere questo mi ha permesso di impostare PIN e Fingerprint. Ecco come fare:

1. Vai in Impostazioni di Windows -> Accounts -> Accesso al lavoro o alla scuola. L'impostazione chiave è “Account lavoro o scuola” con il logo colorato di Windows accanto. Disconnettilo. Non toccare l'impostazione “Connesso a qualsiasi dominio”.

2. Poi clicca su “Opzioni di accesso”. L'impronta digitale e il PIN non sono più in grigio. Se è ancora in grigio, assicurati che “convenience PIN sign-in” sia abilitato.

3. Aggiungi il PIN, poi l'impronta digitale.

4. Ritorna a “Accesso al lavoro o alla scuola” in Impostazioni - ● Accounts.

5. Clicca su Connect e inserisci l'indirizzo email e la password dell'utente.

L'unico criterio di gruppo attualmente in vigore è l'impostazione “Turn on Convenience PIN sign-in” in Policies, Administrative Templates, System, Logon. Nota che questo NON è Windows Hello for Business. Questo è ancora solo un sistema di password. Un giorno, il convenience PIN sign-in sarà depravato e dovremo farlo in modo sicuro.

Impostare il seguente registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

poi abilitare UAC e riavviare il PC.

C'è una cosa che non devi configurare a meno che tu non abbia i certificati validi (questo è su server 2016).

Assicuratevi che “Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business” sia impostato su NOT CONFIGURED.

Questa era l'unica cosa che avevo impostato (da un altro blog) e aveva impedito a windows hello di funzionare, windows hello non partiva nemmeno. Ma finché non è configurato dovrebbe essere ok.

Dopo aver provato tante cose (comprese tutte le altre risposte qui fino ad oggi), ho finalmente risolto il problema da solo con un workaround. Notate che questo è un workaround, non una vera soluzione:

Per ricapitolare, il problema è che qualcosa nell'account di dominio della mia organizzazione ha disabilitato l'opzione di inserire le impronte digitali. Nel mio caso, anche il mio gruppo IT nella mia filiale locale non riusciva a capire cosa lo bloccasse.

Così ho finito per creare un nuovo account utente locale sul mio computer di lavoro con pieni diritti amministrativi locali. Per quel nuovo account, ho usato il mio account Microsoft personale per connettermi (anche se probabilmente avrei potuto usare un account locale). Quando mi sono collegato al nuovo account, non ci sono stati problemi con le impronte digitali e ho potuto facilmente configurarle.

Potenziali svantaggi di questo workaround:

• Poiché è un nuovo account utente, potrebbe richiedere la reinstallazione e la riconfigurazione di molti programmi e impostazioni del computer. È fondamentalmente come impostare un computer Windows nuovo di zecca. Nel mio caso, l'ho fatto quando ho avuto un nuovo computer di lavoro, quindi ho dovuto comunque fare la riconfigurazione.
• In alcune configurazioni organizzative, gli account non di dominio potrebbero non avere il giusto accesso ad alcune risorse organizzative. Questo non è stato un problema nel mio caso. Se è un problema per te, forse potresti connetterti con la VPN organizzativa per accedere a queste risorse speciali, forse anche permanentemente su questo account workaround.

Questi workaround potrebbero non valere per te solo per ottenere l'accesso con le impronte digitali, ma funzionano in modo eccellente nel mio contesto organizzativo.

Sono su un dominio unito a Dell 7280. Aggiungendo la chiave di registro qui sotto insieme al riavvio mi ha permesso di aggiungere un pin di 6 cifre.

[HKEY\LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System] “AllowDomainPINLogon”=dword:00000001