Windows Helloを有効にできない - 一部の設定は組織によって管理されています
私はWindows 10 Anniversary Editionのクリーンインストールをしました。 ADユーザーとしてログインし、Surface Pro 4に参加しているドメインでWindows Helloを有効にすることはできません。 Msftアカウントでログインすると、Windows Helloを有効にすることができます。
私は 「ドメインによって設定されていないときに "いくつかの設定はあなたの組織によって管理されていますか?」 (設定アプリによる遠隔測定の増加)そしてまたこれ: gpを使ってテレメトリをリセットします 。
これは、この問題が他の問題とは異なることを示しています。これは実際にはドメインに参加しています。ここでの他のほとんどの質問とは異なります。
これは設定がどのように見えるかです。 
Windows 10の古いバージョンでは、ドメインがドメインユーザーと結合している間に同じデバイスでWindows Helloを有効にすることができました。そのため、問題の原因としてGPOを除外しています。 GPOは、ドメインユーザーに対して明示的にバイオメトリクスを許可します。私に何ができる?
Windows 10 Professional、Cortanaが有効になっています。インサイダー版なし。ドメインへの管理アクセス権があります。
私はその解決策を見つけました。その理由は、周年記念の更新から始めて、Windows Helloはドメインに参加しているコンピュータでは異なる方法で管理されているためです。それを機能させるには、次の手順に従う必要があります。
1)グループポリシーの中央ストアを設定します(既に持っているはずです)
2) Windows 10 Anniversary Updateグループポリシーテンプレートを入手します。ファイルをPolicyDefinitions(Win10 Anniversary Updateマシンのwindir内)から中央ストアのPolicyDefinitionsにコピーすることによって、ファイルをコピーできます。通常のユーザーが中央ストアに対して持っているべきではないアクセス許可のために、これらのファイルを最初にファイル共有にコピーすることがあります。
3)Windows Helloを有効にするために、新しいGPOを設定するか、または既存の設定に追加します。
- コンピュータの構成/ポリシー/管理用テンプレート
.../Windowsコンポーネント/ Windows Hello For Business/バイオメトリクスの使用 =>有効
.../Windowsコンポーネント/ Windows Hello for Business/ハードウェアセキュリティデバイスを使用する =>有効(Windows Helloのキーまたは証明書ベースのライセンス認証の代わりにTPMを使用する場合)。一般に、すべてのビジネスコンピュータにTPMが必要です。
.../System/Logon/便利にするPINサインイン =>有効(これがキーです。これによりPINが有効になります)サインインすると、Helloが他の設定と共に有効になります。)
.../Windows Components/Biometrics/ドメインユーザーがbiometricsを使用してログオンできるようにする =>有効(デフォルトで有効になっていますが、明示的に指定するとGP管理がはるかに簡単になります) )
システム/ログオンおよびWindowsコンポーネント/バイオメトリクスおよびWindowsコンポーネント/ Windows Hello for Businessに、オプションの設定の可能性があります。
あなたはここでより多くの背景を見つけるでしょう: https://blogs.technet.Microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows- hello-behavior-windows-10-version-1607 /
そしてここ
最も重要な抜粋:
バージョン1607以降、Windows Helloは便宜上PINがすべてのドメイン参加コンピュータでデフォルトで無効になっています。 Windows 10バージョン1607でコンビニエンスPINを有効にするには、グループポリシー設定の[コンビニエンスPINサインインを有効にする]を有効にします。 Windows Hello for Businessのポリシー設定を使用して、Windows Hello for BusinessのPINを管理します。
キーまたは証明書ベースのWindows Helloを使用したい場合は、リンク内のガイドに従うことができます。混乱しないでください。それでも、通常のWindows Helloには通常のTPMを使用できます。
次のレジストリキーを設定するとうまくいきます。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001
私がしなければならなかったのは、
- Windows KEY + R Runを開く
- 入る:
gpedit.msc
- [ローカルコンピュータのポリシー]> [コンピュータの構成]> [管理用テンプレート]> [システム]> [ログオン]> [便利にするPINサインイン]:有効
これにより、Surface Pro 4とWindows 10 ProでWindows Helloが有効になります。
私はこれを長い間戦ってきました。私はこれらすべてのグループポリシー設定を試してみました:便利なPINログインを有効にする、ビジネスのためにこんにちはwindowsを有効にする、バイオメトリクスなどを有効にするなど。
私の会社のPCはWindows 10 build 1809です。主にLenovo X1 YogasとP330、そしていくつかのSurface Pro。これらは2012 R2ドメインにドメイン参加しており、電子メールおよびOffice Pro PlusでOffice 365を購読しています。 Office 365にはE3ライセンスがあります。ユーザーが自分のO365ライセンスを使用してOfficeアプリを登録すると、Windowsが自分の仕事用アカウントに接続されます。それを切断すると、PINとFingerprintを設定できました。これを行う方法は次のとおりです。
Windowsの設定 - >アカウント - >勤務先または学校にアクセスします。重要な設定は、それによってカラフルなwindowsロゴが付いた「職場または学校のアカウント」です。それを外します。 [任意のドメインに接続]設定に触れないでください。
次に[サインインオプション]をクリックします。指紋とPINはグレーアウトされなくなりました。それでもグレイ表示されている場合は、「便宜PINサインイン」が有効になっていることを確認してください。
PIN、次に指紋を追加します。
[設定] - > [アカウント]の[職場や学校へのアクセス]に戻ります。
[接続]をクリックして、ユーザーのメールアドレスとパスワードを入力します。
現在有効な唯一のグループポリシーは、[ポリシー]、[管理用テンプレート]、[システム]、[ログオン]の下の[利便性PINサインインを有効にする]設定です。これはWindows Hello for Businessではないことに注意してください。これはまだ単なるパスワード詰めです。いつか、利便性PINサインインが引き下げられ、安全な方法で行わなければならなくなります。
次のレジストリを設定する
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001
次にUACを有効にしてPCを再起動します。
有効な証明書がない限り、構成してはいけないことが1つあります(これはサーバー2016にあります)。
[コンピュータの設定/ポリシー/管理者用コンピュータ]/[Windows comp /ビジネス用Windows Hello /ビジネス用Windows Helloの使用]が[未構成]に設定されていることを確認します。
これは私が(他のブログから)設定したことの1つで、windows helloが機能しなくなり、windows helloが起動しなくなってしまいました。しかし、設定されていない限りは問題ないはずです。