Não consegue activar o Windows Olá - Algumas definições são geridas pela sua organização

Encontrei a solução. A razão é que o Windows Hello é gerido de forma diferente em computadores de domínio unido, começando com a actualização do aniversário. Para que funcione, é necessário seguir estes passos:

1) Configurar um Group Policy Central Store (já deve ter isso)

2) Obter Windows 10 Anniversary Update Group Policy Templates*. Pode fazê-lo copiando os seus ficheiros da PolicyDefinitions (em windir numa máquina Win10 Anniversary Update) para a PolicyDefinitions da loja central. Poderá copiar esses ficheiros primeiro para uma partilha de ficheiros, devido às permissões que o seu utilizador habitual não deve ter na loja central.

3) Configurar um novo GPO ou adicionar a um já existente as seguintes configurações para activar o Windows Olá:

• Configuração do Computador/Políticas/Tipos Administrativos

…/ Componentes do Windows/Windows Olá para Negócios/ Utilizar biometria => Activado

. ../Windows Components/Windows Hello for Business/ Utilizar um dispositivo de segurança de hardware* => Activado (se quiser usar TPM em vez de activação baseada em chave ou certificado para Windows Hello). Note que em geral todos os computadores de negócios devem ter TPM

…/System/Logon/ Turn on convenience PIN sign-in* => Enabled (Esta é a chave. Isto permite a entrada no PIN que, por sua vez, habilita o Olá, juntamente com as outras definições).

…/Windows Components/Biometrics/ Permitir que os utilizadores do domínio se liguem utilizando biometria => Activado (Penso que isto está activado por defeito, mas ser explícito torna a gestão do GP muito mais fácil).

Encontrará mais possibilidades de configuração opcional em System/Logon e Windows Components/Biometrics e Windows Components/Windows Hello for Business.

Encontrará mais fundo aqui https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10-version-1607/

e aqui https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization

Excerto mais importante:

Iniciando na versão 1607, o Windows Olá como PIN de conveniência está desactivado por defeito em todos os computadores que se juntam ao domínio. Para activar um PIN de conveniência para Windows 10, versão 1607, activar a definição da Política de Grupo Activar o login do PIN de conveniência. Utilize as definições da política do Windows Hello for Business para gerir os PIN para Windows Hello for Business.

Se pretender utilizar o Windows Hello baseado em chaves ou certificados pode seguir os guias nos links. Mas não fique confuso. Ainda pode utilizar o TPM normal para o Windows normal Olá.

A definição da seguinte chave de registo funciona para mim:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

Referência: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade-on-domain-account?forum=win10itprosetup

Tudo o que eu tinha de fazer era:

1. Windows KEY + R para abrir o Run
2. Entrar:
   gpedit.msc
3. [Política do Computador Local] > [Configuração do Computador]> [Templates Administrativos]> [Sistema]> [Logon]> [Voltar no login de conveniência PIN] : *ENABLED**

Isto activou o Windows Hello on Surface Pro 4 com Windows 10 Pro.

Tenho vindo a lutar contra isto há muito tempo. Tentei todas estas configurações de política de grupo: activar o login de conveniência do PIN, activar o olá das janelas para negócios, activar a biometria, etc. etc. etc. Finalmente encontrei a solução.

Os PCs da minha empresa são Windows 10 build 1809. Principalmente Lenovo X1 Yogas e P330s e alguns Surface Pros. Estão ligados a um domínio R2 de 2012 e são subscritos ao Office 365 para e-mail e Office Pro Plus. Temos uma licença E3 no Office 365. Quando um utilizador regista as aplicações Office usando a sua própria licença O365, este liga o Windows à sua conta de trabalho. A desconexão que me permitiu configurar o PIN e a impressão digital. Eis como o fazer:

1. Ir para Configurações do Windows -> Contas -> Acesso ao Trabalho ou Escola. A configuração chave é a “Conta Trabalho ou Escola” com o logotipo colorido das janelas por ela. Desligue isso. Não tocar na definição “Ligado a qualquer domínio”.

2. Em seguida, clicar em “Opções de início de sessão”. A impressão digital e o PIN já não estão cinzentos. Se ainda estiver a cinzento, então certifique-se de que o “login do PIN de conveniência” está activado.

3. Adicione o PIN e, em seguida, a impressão digital.

4. Voltar a “Acesso ao Trabalho ou à Escola” em Definições -\i1> Contas.

5. Clique em Ligar e introduza o endereço de e-mail e a palavra-passe do utilizador.

A única política de grupo actualmente em vigor é a configuração “Ligar PIN de Conveniência” em Políticas, Modelos Administrativos, Sistema, Logon. Note que isto NÃO é o Windows Hello for Business. Isto ainda é apenas um recheio de senha. Algum dia, o login com PIN de conveniência será depraciado e teremos de o fazer de forma segura.

Definir o seguinte registo

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"AllowDomainPINLogon"=dword:00000001

depois activar UAC e reiniciar PC.

Há uma coisa que não deve configurar a menos que tenha os certificados válidos (isto está no servidor 2016).

Certifique-se de que “Computer conf/policies/Admin temp/Windows comp/Windows Hello for Business/Use Windows Hello for Business” está definido como NÃO CONFIGURADO.

Esta era a única coisa que eu tinha definido (de outro blogue) e tinha impedido o olá das janelas de funcionar, o olá das janelas nem sequer começava. Mas enquanto não estiver configurado, deveria estar OK.

Depois de tentar tantas coisas (incluindo todas as outras respostas até à data), finalmente resolvi o problema por mim próprio com uma solução de trabalho. Note-se que isto é uma solução alternativa, não uma solução real:

Recapitulando, o problema é que algo na conta de domínio da minha organização desactivou a opção de introduzir as impressões digitais. No meu caso, mesmo o meu grupo de TI na sucursal do meu escritório local não conseguia perceber o que a estava a bloquear.

Então acabei por criar uma nova conta de utilizador local no meu computador de trabalho com plenos direitos administrativos locais. Para essa nova conta, utilizei a minha conta pessoal da Microsoft para me ligar (embora provavelmente pudesse ter utilizado uma conta local). Quando entrei na nova conta, não havia problema com as impressões digitais e podia facilmente configurar as impressões digitais.

Potenciais desvantagens para esta solução:

• Uma vez que se trata de uma nova conta de utilizador, poderá ser necessário reinstalar e reconfigurar muitos programas e configurações de computador. É basicamente como configurar um computador Windows novinho em folha. No meu caso, fiz isto quando recebi um novo computador de trabalho, por isso tive de fazer a reconfiguração de qualquer forma.
• Em algumas configurações organizacionais, as contas não-domínio podem não ter acesso adequado a alguns recursos organizacionais. Isto não foi um problema no meu caso. Se for um problema consigo, talvez pudesse ligar-se à VPN organizacional para aceder a estes recursos especiais, talvez mesmo permanentemente nesta conta de trabalho.

Estas soluções podem não valer a pena para si apenas para obter a entrada de impressões digitais, mas funcionam de forma excelente no meu contexto organizacional.

Estou num domínio que se juntou à Dell 7280. A adição da chave de registo abaixo, juntamente com a reinicialização, permitiu-me adicionar um pino de 6 dígitos.

[HKEYLOCALMACHINE_SOFTWARE\Policies\Microsoft\Windows\System] “AllowDomainPINLogon”=dword:00000001