Windows hello в windows 10 как включить в домене

I have a Windows 10 Pro PC with Fall Creators Update installed. It is joined to our domain and I want to add a USB fingerprint reader. However, I am unable to enable Windows Hello. I have enabled Windows Hello for Business and PIN sign-in in Group policy. However, the options to configure Windows Hello are still greyed out. Any idea why this might be?
  • Remove From My Forums
  • Question

  • I have a Windows 10 Pro PC with Fall Creators Update installed. It is joined to our domain and I want to add a USB fingerprint reader. However, I am unable to enable Windows Hello. I have enabled Windows Hello for Business and PIN sign-in in Group policy.
    However, the options to configure Windows Hello are still greyed out. Any idea why this might be?


    Daryl Sensenig Tents For Rent

Answers

  • Here is the solution. Thank you.

    https://social.technet.microsoft.com/Forums/en-US/15d0a491-feed-49fe-811d-8d8248bf9e15/pin-and-fingerprint-signin-options-unavailable-greyed-out-in-windows-10-1709-enterprise?forum=win10itprogeneral


    Daryl Sensenig Tents For Rent

    • Marked as answer by

      Friday, January 18, 2019 5:39 PM

  • Remove From My Forums
  • Question

  • I have a Windows 10 Pro PC with Fall Creators Update installed. It is joined to our domain and I want to add a USB fingerprint reader. However, I am unable to enable Windows Hello. I have enabled Windows Hello for Business and PIN sign-in in Group policy.
    However, the options to configure Windows Hello are still greyed out. Any idea why this might be?


    Daryl Sensenig Tents For Rent

Answers

  • Here is the solution. Thank you.

    https://social.technet.microsoft.com/Forums/en-US/15d0a491-feed-49fe-811d-8d8248bf9e15/pin-and-fingerprint-signin-options-unavailable-greyed-out-in-windows-10-1709-enterprise?forum=win10itprogeneral


    Daryl Sensenig Tents For Rent

    • Marked as answer by

      Friday, January 18, 2019 5:39 PM

  • Remove From My Forums
  • Question

  • I have a Windows 10 Pro PC with Fall Creators Update installed. It is joined to our domain and I want to add a USB fingerprint reader. However, I am unable to enable Windows Hello. I have enabled Windows Hello for Business and PIN sign-in in Group policy.
    However, the options to configure Windows Hello are still greyed out. Any idea why this might be?


    Daryl Sensenig Tents For Rent

Answers

  • Here is the solution. Thank you.

    https://social.technet.microsoft.com/Forums/en-US/15d0a491-feed-49fe-811d-8d8248bf9e15/pin-and-fingerprint-signin-options-unavailable-greyed-out-in-windows-10-1709-enterprise?forum=win10itprogeneral


    Daryl Sensenig Tents For Rent

    • Marked as answer by

      Friday, January 18, 2019 5:39 PM

Доброго времени суток, Уважаемый. Сейчас я постараюсь рассказать что такое Windows Hello для бизнеса и как это настроить.

Windows Hello — это система аутентификации в Windows 10, на основе PIN кода, биометрических данных или гравифеского пароля. Приставка для бизнеса значит, что все это будет работать в домене.

Почему пароль уже не очень хорошо? Потому что! Если серьезно, то можно почитать тут.

Что нам надо?

  • Active Directory — Минимум 1 контроллер домена на базе Windows Server 2016. Уровень домена не ниже Windows Server 2012 R2.
  • Public Key Infrastructure
  • Azure Active Directory.
  • Windows 10 в качестве клиента.

Настройка сертификатов контроллера домена

Клиенты должны доверять контроллерам домена; лучший способ это обеспечить — предоставить каждому контроллеру домена сертификат проверки подлинности Kerberos. Установка сертификата на контроллер домена позволяет центру распространения ключей (KDC) подтверждать свою подлинность другим членам домена.

Войдите в центр сертификации или на рабочие станции управления, используя учетные данные, эквивалентные администратору домена.

  1. Откройте консоль управления Центр сертификации.
  2. Щелкните правой кнопкой мыши элемент Шаблоны сертификатов и затем выберите Управление.
  3. В консоли «Шаблон сертификата» щелкните правой кнопкой мыши шаблон Проверка подлинности Kerberos в области сведений, а затем щелкните Скопировать шаблон.
  4. На вкладке Совместимость снимите флажок Показать последующие изменения. Выберите Windows Server 2012 или Windows Server 2012 R2 из списка Центр сертификации. Выберите Windows Server 2012 или Windows Server 2012 R2 из списка Получатель сертификата.
  5. На вкладке Общие в поле отображаемого имени шаблона введите Проверка подлинности контроллера домена (Kerberos). Измените срок действия и период обновления в соответствии с потребностями вашей организации. Примечание: если используются другие имена шаблонов, их необходимо помнить и заменить на эти имена в разных частях лаборатории.
  6. На вкладке Субъект нажмите кнопку Строится на основе данных Active Directory, если она еще не нажата. Выберите пункт Нет в списке Формат имени субъекта. Выберите DNS-имя в списке Включить эту информацию в альтернативное имя субъекта. Снимите все остальные флажки.
  7. На вкладке Шифрование выберите Поставщик хранилища ключей из списка Категория поставщика. Из списка Имя алгоритма выберите RSA. Введите 2048 в текстовое поле Минимальный размер ключей. Выберите SHA256 из списка Хэш запроса. Нажмите кнопку OK.
  8. Закройте консоль.

Замена существующего сертификата контроллера домена

Большое количество контроллеров домена может иметь существующий сертификат контроллера домена. Службы сертификатов Active Directory предоставляют шаблона сертификата по умолчанию от контроллеров домена — шаблон сертификата контроллера домена. Более поздние версии включают новый шаблон сертификата — шаблон сертификата проверки подлинности контроллера домена. Эти шаблоны сертификатов были предоставлены до обновления спецификации Kerberos, в которой указано, что центры распространения ключей (KDC), выполняющие проверку подлинности сертификатов, должны включать расширение KDC для проверки подлинности.

Шаблон сертификата проверки подлинности Kerberos — самый новый шаблон сертификата, предназначенный для контроллеров домена, и именно его следует развернуть на всех контроллерах домена (2008 или более поздней версии). Функция автоматической регистрации в Windows позволяет легко заменить эти сертификаты контроллеров домена. Можно использовать следующую конфигурацию для замены более старых сертификатов контроллеров домена новыми сертификатами с помощью шаблона сертификата проверки подлинности Kerberos.

Войдите в центр сертификации или на рабочие станции управления, используя учетные данные, эквивалентные администратору предприятия.

  1. Откройте консоль управления Центр сертификации.
  2. Щелкните правой кнопкой мыши элемент Шаблоны сертификатов и затем выберите Управление.
  3. В консоли «Шаблоны сертификатов» щелкните правой кнопкой мыши шаблон Проверки подлинности на контроллере домена (Kerberos) (или имя шаблона сертификата, созданного в предыдущем разделе) в области сведений и нажмите кнопку Свойства.
  4. Выберите вкладку Устаревшие шаблоны. Нажмите кнопку Добавить.
  5. Из диалогового окна Добавление устаревшего шаблона выберите шаблон сертификата Контроллер домена и нажмите кнопку ОК. Нажмите Добавить.
  6. Из диалогового окна Добавление устаревшего шаблона выберите шаблон сертификата Проверка подлинности контроллера домена и нажмите кнопку ОК.
  7. Из диалогового окна Добавление устаревшего шаблона выберите шаблон сертификата Проверка подлинности Kerberos и нажмите кнопку ОК.
  8. Добавьте другие шаблоны сертификатов предприятия, настроенные ранее для контроллеров домена, на вкладку Устаревшие шаблоны.
  9. Нажмите кнопку ОК и закройте консоль Шаблоны сертификатов.

Шаблон сертификата настроен для замены всех шаблонов сертификатов, перечисленных в списке устаревших шаблонов сертификатов.

Публикация шаблонов сертификатов в центр сертификации

Центр сертификации может выдавать только сертификаты, соответствующие шаблонам сертификатов, опубликованным в этот центр сертификации.

  1. Откройте консоль управления Центр сертификации.
  2. Разверните родительский узел в области навигации.
  3. В области навигации щелкните Шаблоны сертификатов.
  4. Щелкните правой кнопкой мыши узел Шаблоны сертификатов. Выберите пункт Создать и щелкните выдаваемый Шаблон сертификата.
  5. В окне Включение шаблонов сертификатов выберите шаблон Проверка подлинности контроллера домена (Kerberos), созданный в предыдущих шагах. Нажмите кнопку ОК для публикации выбранного шаблона сертификатов в центр сертификации.
  6. Если вы опубликовали шаблон сертификата проверки подлинности контроллера домена (Kerberos), следует отменить публикацию шаблонов сертификатов, включенных в список устаревших шаблонов.
    • Чтобы отменить публикацию шаблона сертификата, щелкните правой кнопкой мыши шаблон сертификата, публикацию которого вы хотите отменить, в области сведений консоли «Центр сертификации», а затем выберите Удалить. Нажмите кнопку Да для подтверждения операции.
  7. Закройте консоль.

Настройка контроллеров домена для автоматической регистрации сертификатов

Контроллеры домена автоматически запрашивают сертификат на основе шаблона сертификата контроллера домена. Однако контроллер домена не знает о более новых шаблонах сертификатов или устаревших конфигурациях шаблонов сертификатов. Чтобы продолжить автоматическую регистрацию и обновление сертификатов контроллера домена, которые знают о более новых шаблонах сертификатов и устаревших конфигурациях шаблона сертификата, создайте и настройте объект групповой политики для автоматической регистрации сертификатов и свяжите объект групповой политики с OU контроллеров домена.

  1. Запустите Консоль управления групповыми политиками (gpmc.msc).
  2. В области навигации разверните домен и выберите узел Объект групповой политики.
  3. Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать.
  4. Введите Автоматическая регистрация сертификатов контроллера домена в поле имени и нажмите кнопку ОК.
  5. Щелкните правой кнопкой мыши объект групповой политики Автоматическая регистрация сертификатов контроллера домена и щелкните Изменить.
  6. В области навигации в узле Конфигурация компьютера разверните Политики.
  7. Разверните Параметры Windows, Параметры безопасности и выберите Политики открытого ключа.
  8. В области сведений щелкните правой кнопкой мыши Клиент служб сертификации: автоматическая регистрация и выберите Свойства.
  9. В окне Модель конфигурации выберите Включено.
  10. Установите флажок Обновлять сертификаты с истекшим сроком действия или в состоянии ожидания и удалять отозванные сертификаты.
  11. Установите флажок Обновлять сертификаты, использующие шаблоны сертификатов.
  12. Нажмите кнопку OK. Закройте Редактор управления групповыми политиками.
  13. В области навигации разверните домен и узел, имя которого соответствует имени вашего домена Active Directory. Щелкните правой кнопкой мыши подразделение Контроллеры домена и щелкните Связать существующий объект групповой политики…
  14. В диалоговом окне Выбор объекта групповой политики выберите Автоматическая регистрация сертификатов контроллера домена или имя объекта групповой политики регистрации сертификата контроллера домена, созданный ранее, и нажмите кнопку ОК.

Групповая политика «Включить Windows Hello для бизнеса»

Параметр групповой политики «Включить Windows Hello для бизнеса» необходим Windows для определения того, следует ли пользователю пытаться регистрироваться в Windows Hello для бизнеса. Пользователь будет пытаться регистрироваться только в случае, если этот параметр политики включен.

Создание объекта групповой политики Windows Hello для бизнеса

Объект групповой политики содержит параметры политики, необходимые для запуска подготовки Windows Hello для бизнеса, а также для обеспечения автоматического продления сертификатов проверки подлинности Windows Hello для бизнеса.

  1. Запустите Консоль управления групповыми политиками (gpmc.msc).
  2. В области навигации разверните домен и выберите узел Объект групповой политики.
  3. Щелкните правой кнопкой мыши Объект групповой политики и выберите Создать.
  4. Введите Включить Windows Hello для бизнеса в поле имени и нажмите кнопку ОК.
  5. В области содержимого щелкните правой кнопкой мыши объект групповой политики Включить Windows Hello для бизнеса и выберите Изменить.
  6. В области навигации в узле Конфигурация пользователя разверните Политики.
  7. Разверните Административные шаблоны, Компонент Windows и выберите Windows Hello для бизнеса.
  8. В области содержимого дважды щелкните Использовать Windows Hello для бизнеса. Щелкните Включить и нажмите кнопку ОК.
  9. Закройте Редактор управления групповыми политиками.

Настройка безопасности в объекте групповой политики Windows Hello для бизнеса

Самый лучший способ развертывания объекта групповой политики Windows Hello для бизнеса— это использование фильтрации по группам безопасности. Благодаря этому можно легко управлять пользователями, которые должны получить Windows Hello для бизнеса, просто добавляя их в группу. Это позволяет развернуть Windows Hello для бизнеса в несколько этапов.

  1. Запустите Консоль управления групповыми политиками (gpmc.msc).
  2. В области навигации разверните домен и выберите узел Объект групповой политики.
  3. Дважды щелкните объект групповой политики Включить Windows Hello для бизнеса.
  4. В разделе Фильтрация ограничений безопасности области содержимого нажмите кнопку Добавить. Введите Пользователи Windows Hello для бизнеса или имя ранее созданной группы безопасности и нажмите кнопку ОК.
  5. Перейдите на вкладку Делегирование, выберите Прошедшие проверку и нажмите кнопку Дополнительно.
  6. В списке Группы или пользователи выберите Прошедшие проверку. В списке Разрешения для прошедших проверку пользователей снимите флажок Разрешить для разрешения Применить групповую политику. Нажмите кнопку OK.

Развертывание объекта групповой политики Windows Hello для бизнеса

При применении объекта групповой политики Windows Hello для бизнеса используется фильтрация по группам безопасности. Это позволяет привязать объект групповой политики к домену, что гарантирует, что объект групповой политики будет находиться в пределах области для всех пользователей. Тем не менее, фильтрация по группам безопасности гарантирует, что только пользователи, входящие в глобальную группу Пользователи Windows Hello для бизнеса, будут получать и применять объект групповой политики, что приводит к подготовке Windows Hello для бизнеса.

  1. Запустите Консоль управления групповыми политиками (gpmc.msc).
  2. В области навигации разверните домен, щелкните правой кнопкой мыши узел с именем вашего домена Active Directory и выберите Связать существующий объект групповой политики…
  3. В диалоговом окне Выбор объекта групповой политики выберите Включить Windows Hello для бизнеса или имя ранее созданного объекта групповой политики Windows Hello для бизнеса и нажмите кнопку ОК.

Azure Active Directory

Теперь важно обновить структуру синхронизации Active Directory с Azure Active Directory. Если этого не сделать, то при вводе PIN кода, пользователи будут видеть ошибку вида «функция (входа по PIN коду) временно недоступна».

Windows 10

Можно приступать к настроке PIN кода, отпечатка пальцев и т.д.

Содержание

  1. Windows Hello предварительного обзора развертывания бизнеса
  2. Только развертывание облака Azure AD
  3. Гибридные развертывания
  4. Локальные развертывания
  5. Windows hello в windows 10 как включить в домене
  6. Что нам надо?
  7. Настройка сертификатов контроллера домена
  8. Замена существующего сертификата контроллера домена
  9. Публикация шаблонов сертификатов в центр сертификации
  10. Настройка контроллеров домена для автоматической регистрации сертификатов
  11. Групповая политика «Включить Windows Hello для бизнеса»
  12. Создание объекта групповой политики Windows Hello для бизнеса
  13. Настройка безопасности в объекте групповой политики Windows Hello для бизнеса
  14. Развертывание объекта групповой политики Windows Hello для бизнеса
  15. Azure Active Directory
  16. Windows 10
  17. Групповая политика «Включить Windows Hello для бизнеса»
  18. Создание объекта групповой политики Windows Hello для бизнеса
  19. Настройка безопасности в объекте групповой политики Windows Hello для бизнеса
  20. Развертывание объекта групповой политики Windows Hello для бизнеса
  21. Другие связанные параметры групповой политики
  22. Windows Hello для бизнеса
  23. Использование устройства аппаратной защиты
  24. Использование биометрии
  25. Сложность PIN-кода
  26. Проверка
  27. Добавление пользователей в группу «Пользователи Windows Hello для бизнеса»
  28. Обзор развертывания Windows Hello для бизнеса
  29. Допущения
  30. Модели развертывания и доверия
  31. Подготовка
  32. Настройка Windows Hello для параметров бизнес-политики — доверие сертификата
  33. Групповая политика «Включить Windows Hello для бизнеса»
  34. Использовать сертификат для локальной проверки подлинности
  35. Включить автоматическую регистрацию сертификатов
  36. Создание объекта групповой политики Windows Hello для бизнеса
  37. Настройка автоматической регистрации сертификатов
  38. Настройка безопасности в объекте групповой политики Windows Hello для бизнеса
  39. Развертывание объекта групповой политики Windows Hello для бизнеса
  40. Другие связанные параметры групповой политики
  41. Windows Hello для бизнеса
  42. Использование устройства аппаратной защиты
  43. Использование биометрии
  44. Сложность PIN-кода
  45. Проверка
  46. Добавление пользователей в группу «Пользователи Windows Hello для бизнеса»

Windows Hello предварительного обзора развертывания бизнеса

В этой статье перечислены требования к инфраструктуре для различных моделей развертывания для Windows Hello для бизнеса.

Только развертывание облака Azure AD

Гибридные развертывания

В таблице приведены минимальные требования для каждого развертывания. Для ключевого доверия к развертыванию с несколькими доменами и несколькими лесами к каждому домену или лесу, который Windows Hello бизнес-компонентов или участвует в процессе рефералов Kerberos, применимы следующие требования.

Windows Hello для бизнеса в начале 2022 г. внедряет новую модель доверия, называемую облачным доверием. Эта модель доверия позволит развертывать Windows Hello для бизнеса с помощью инфраструктуры, внедренной для поддержки входных ключевых элементов безопасности на присоединенных устройствах Hybrid Azure AD и локальном доступе к ресурсам на устройствах Azure AD Joined. Дополнительные сведения будут доступны в Windows Hello для облачного доверия бизнеса, как только он будет доступен.

Доверие на основе ключей
Управление посредством групповых политик
Доверие на основе сертификатов
Смешанное управление
Доверие на основе ключей
Управление современными средствами
Доверие на основе сертификатов
Управление современными средствами
Windows10 версии1511 или более поздней Гибридные устройства, присоединенные к Azure AD:
Минимум: Windows 10 версии 1703
Лучшая производительность: Windows 10 версии 1709 или более поздней версии (поддерживается синхронная регистрация сертификатов).
Устройства, присоединенные к Azure AD:
Windows10 версии1511 или более поздней
Windows10 версии1511 или более поздней Windows10 версии1511 или более поздней
Windows Server 2016 или более поздней схемы Windows Server 2016 или более поздней схемы Windows Server 2016 или более поздней схемы Windows Server 2016 или более поздней схемы
Режим работы домена/леса Windows Server2008R2 Режим работы домена/леса Windows Server2008R2 Режим работы домена/леса Windows Server2008R2 Режим работы домена/леса Windows Server2008R2
Windows Server 2016 или более поздние контроллеры домена Контроллеры домена Windows Server2008R2 или позднее Windows Server 2016 или более поздние контроллеры домена Контроллеры домена Windows Server2008R2 или позднее
Центр сертификации Windows Server2012 или позднее Центр сертификации Windows Server2012 или позднее Центр сертификации Windows Server2012 или позднее Центр сертификации Windows Server2012 или позднее
Windows Server 2016 AD FS с обновлением KB4088889 (гибридные клиенты, присоединенные к Azure AD)
и
служба регистрации сертификатов для сетевых устройств Windows Server2012 или более поздней версии (присоединение к Azure AD)
Н/Д Служба регистрации сертификатов для сетевых устройств Windows Server2012 или более поздней версии
Клиент Azure MFA или
AD FS с адаптером Azure MFA или
AD FS с адаптером сервера Azure MFA или
AD FS со сторонним адаптером MFA
Клиент Azure MFA или
AD FS с адаптером Azure MFA или
AD FS с адаптером сервера Azure MFA или
AD FS со сторонним адаптером MFA
Клиент Azure MFA или
AD FS с адаптером Azure MFA или
AD FS с адаптером сервера Azure MFA или
AD FS со сторонним адаптером MFA
Клиент Azure MFA или
AD FS с адаптером Azure MFA или
AD FS с адаптером сервера Azure MFA или
AD FS со сторонним адаптером MFA
Учетная запись Azure Учетная запись Azure Учетная запись Azure Учетная запись Azure
Azure Active Directory Azure Active Directory Azure Active Directory Azure Active Directory
Azure AD Connect Azure AD Connect Azure AD Connect Azure AD Connect
Azure AD Premium (необязательно) Azure AD Premium, необходимые для записи устройства Azure AD Premium (необязательно, для автоматической регистрации в MDM) Azure AD Premium (необязательно, для автоматической регистрации в MDM)

Гибридные развертывания поддерживают неразрушительные сбросы ПИН-кода, которые работают как с доверием сертификата, так и с ключевыми моделями доверия.

Требования:

Локальное развертывание поддерживает деструктивный сброс ПИН-кода, который работает как с доверием сертификата, так и с ключевыми моделями доверия.

Требования:

Локальные развертывания

В таблице приведены минимальные требования для каждого развертывания.

Доверие на основе ключей
Управление посредством групповых политик
Доверие на основе сертификатов
Управление посредством групповых политик
Windows10 версии1703 или более поздней Windows10 версии1703 или более поздней
Схема Windows Server2016 Схема Windows Server2016
Режим работы домена/леса Windows Server2008R2 Режим работы домена/леса Windows Server2008R2
Windows Server 2016 или более поздние контроллеры домена Контроллеры домена Windows Server2008R2 или позднее
Центр сертификации Windows Server2012 или позднее Центр сертификации Windows Server2012 или позднее
AD FS Windows Server 2016 с обновлением KB4088889 AD FS Windows Server 2016 с обновлением KB4088889
AD FS со сторонним адаптером MFA AD FS со сторонним адаптером MFA
Учетная запись Azure (необязательно, для выставления счетов за Azure MFA) Учетная запись Azure (необязательно, для выставления счетов за Azure MFA)

Для Windows Hello для бизнес-ключевых доверчивых развертыватель, если у вас есть несколько доменов, для каждого домена требуется по крайней мере один контроллер домена Windows server 2016 или более новый. Дополнительные сведения см. в руководстве по планированию.

Источник

Windows hello в windows 10 как включить в домене

Доброго времени суток, Уважаемый. Сейчас я постараюсь рассказать что такое Windows Hello для бизнеса и как это настроить.

Почему пароль уже не очень хорошо? Потому что! Если серьезно, то можно почитать тут.

Что нам надо?

Настройка сертификатов контроллера домена

Клиенты должны доверять контроллерам домена; лучший способ это обеспечить — предоставить каждому контроллеру домена сертификат проверки подлинности Kerberos. Установка сертификата на контроллер домена позволяет центру распространения ключей (KDC) подтверждать свою подлинность другим членам домена.

Замена существующего сертификата контроллера домена

Большое количество контроллеров домена может иметь существующий сертификат контроллера домена. Службы сертификатов Active Directory предоставляют шаблона сертификата по умолчанию от контроллеров домена — шаблон сертификата контроллера домена. Более поздние версии включают новый шаблон сертификата — шаблон сертификата проверки подлинности контроллера домена. Эти шаблоны сертификатов были предоставлены до обновления спецификации Kerberos, в которой указано, что центры распространения ключей (KDC), выполняющие проверку подлинности сертификатов, должны включать расширение KDC для проверки подлинности.

Шаблон сертификата проверки подлинности Kerberos — самый новый шаблон сертификата, предназначенный для контроллеров домена, и именно его следует развернуть на всех контроллерах домена (2008 или более поздней версии). Функция автоматической регистрации в Windows позволяет легко заменить эти сертификаты контроллеров домена. Можно использовать следующую конфигурацию для замены более старых сертификатов контроллеров домена новыми сертификатами с помощью шаблона сертификата проверки подлинности Kerberos.

Шаблон сертификата настроен для замены всех шаблонов сертификатов, перечисленных в списке устаревших шаблонов сертификатов.

Публикация шаблонов сертификатов в центр сертификации

Настройка контроллеров домена для автоматической регистрации сертификатов

Групповая политика «Включить Windows Hello для бизнеса»

Параметр групповой политики «Включить Windows Hello для бизнеса» необходим Windows для определения того, следует ли пользователю пытаться регистрироваться в Windows Hello для бизнеса. Пользователь будет пытаться регистрироваться только в случае, если этот параметр политики включен.

Создание объекта групповой политики Windows Hello для бизнеса

Настройка безопасности в объекте групповой политики Windows Hello для бизнеса

Развертывание объекта групповой политики Windows Hello для бизнеса

Azure Active Directory

Теперь важно обновить структуру синхронизации Active Directory с Azure Active Directory. Если этого не сделать, то при вводе PIN кода, пользователи будут видеть ошибку вида «функция (входа по PIN коду) временно недоступна».

Windows 10

Можно приступать к настроке PIN кода, отпечатка пальцев и т.д.

Источник

Относится к:

Для запуска консоли управления групповой политикой Windows 10 версии 1703 требуется не менее Windows 10 версии 1703, которая предоставляет последние Windows Hello для бизнеса и параметров групповой политики сложности ПИН-кода. Чтобы запустить консоль управления групповой политикой, необходимо установить средства администрирования удаленного сервера для Windows. Эти средства можно скачать из Центра загрузки Microsoft. Установите средства администрирования удаленного сервера для Windows на компьютере с Windows 10 версии 1703 или более поздней версии.

Для локальных развертываний Windows Hello для бизнеса с доверием на основе сертификатов требуется один параметр групповой политики: «Включить Windows Hello для бизнеса»

Групповая политика «Включить Windows Hello для бизнеса»

Параметр групповой политики определяет, разрешено ли пользователям зарегистрироваться для Windows Hello для бизнеса. Его можно настроить для компьютеров или пользователей.

Если настроить групповую политику для компьютеров, всем пользователям, входим на эти компьютеры, будет разрешено и предложено зарегистрироваться для Windows Hello для бизнеса. Если вы настроили групповую политику для пользователей, только этим пользователям будет разрешено и предложено зарегистрироваться для Windows Hello для бизнеса. Для настройки этих параметров с помощью GPO необходимо скачать и установить последние административные шаблоны (.admx) для Windows.

Создание объекта групповой политики Windows Hello для бизнеса

Объект групповой политики содержит параметры политики, необходимые для запуска подготовки Windows Hello для бизнеса, а также для обеспечения автоматического продления сертификатов проверки подлинности Windows Hello для бизнеса.

Настройка безопасности в объекте групповой политики Windows Hello для бизнеса

Самый лучший способ развертывания объекта групповой политики Windows Hello для бизнеса— это использование фильтрации по группам безопасности. Благодаря этому можно легко управлять пользователями, которые должны получить Windows Hello для бизнеса, просто добавляя их в группу. Это позволяет развернуть Windows Hello для бизнеса в несколько этапов.

Развертывание объекта групповой политики Windows Hello для бизнеса

При применении объекта групповой политики Windows Hello для бизнеса используется фильтрация по группам безопасности. Это позволяет привязать объект групповой политики к домену, что гарантирует, что объект групповой политики будет находиться в пределах области для всех пользователей. Тем не менее, фильтрация по группам безопасности гарантирует, что только пользователи, входящие в глобальную группу Пользователи Windows Hello для бизнеса, будут получать и применять объект групповой политики, что приводит к подготовке Windows Hello для бизнеса.

Повторим еще раз, что привязка объекта групповой политики Windows Hello для бизнеса к домену гарантирует, что объект групповой политики находится в пределах области для всех пользователей. Параметры политики, однако, будут применяться не ко всем пользователям. Только пользователи, являющиеся членами группы Windows Hello для бизнеса, будут получать параметры политики. Все остальные пользователи этот объект групповой политики будут игнорировать.

Другие связанные параметры групповой политики

Windows Hello для бизнеса

Существуют другие параметры политики Windows Hello для бизнеса, которые можно настроить для управления вашим развертыванием Windows Hello для бизнеса. Эти параметры политики представляют собой параметры политики для компьютеров, т.е. они применяются к любому пользователю, выполняющему вход с компьютера с этими параметрами политики.

Использование устройства аппаратной защиты

По умолчанию Windows Hello для бизнеса отдает предпочтение аппаратно защищенным учетным данным, однако не все компьютеры способны создавать аппаратно защищенные учетные данные. Когда при регистрации в Windows Hello для бизнеса обнаруживается компьютер, который не способен создавать аппаратно защищенные учетные данные, создаются программные учетные данные.

Можно настроить и развернуть параметр групповой политики Использование устройства аппаратной защиты, чтобы принудить Windows Hello для бизнеса создавать только аппаратно защищенные учетные данные. Пользователи, которые выполняют вход с компьютера, неспособного создавать аппаратно защищенные учетные данные, не регистрируются в Windows Hello для бизнеса.

При включении параметра групповой политики Использование устройства аппаратной защиты становится доступен еще один параметр политики, который позволяет запретить использовать для регистрации в Windows Hello для бизнеса доверенные платформенные модули (TPM) версии1.2. TPMs версии 1.2 обычно выполняют криптографические операции медленнее, чем TPMs версии 2.0, и более неумолимы во время действий по блокировке и блокировке ПИН-кода. Соответственно, некоторые организации не готовы к замедлению быстродействия при входе в систему и затратам времени на управление, связанным с TPM версии1.2. Чтобы запретить Windows Hello для бизнеса использовать TPM версии1.2, просто установите флажок «Доверенный платформенный модуль версии 1.2» после включения объекта групповой политики «Использование устройства аппаратной защиты».

Использование биометрии

В сочетании с биометрическими данными Windows Hello для бизнеса обеспечивает пользователям максимальный комфорт. Вместо предоставления для входа в систему PIN-кода пользователь может использовать для входа в Windows отпечатки пальцев или распознавание лиц, не жертвуя при этом безопасностью.

По умолчанию Windows Hello для бизнеса позволяет пользователям регистрироваться и использовать биометрические данные. Некоторые организации, однако, пока не готовы переходить на биометрию, и хотели бы пока отключить ее использование. Чтобы запретить пользователям использовать биометрические данные, отключите параметр групповой политики Использование биометрии и примените его к своим компьютерам. Параметр политики отключает все биометрические данные. В настоящее время в Windows не предусмотрено детальных параметров политики, которые позволяли бы отключать конкретные модальности биометрии (например, разрешить распознавание лиц, но запретить использование отпечатков пальцев).

Сложность PIN-кода

Сложность PIN-кода относится не только к Windows Hello для бизнеса. Windows позволяет пользователям использовать ПИН-Windows Hello для бизнеса. Параметры групповой политики «Сложность PIN-кода» применяются ко всем ситуациям использования PIN-кодов, даже когда Windows Hello для бизнеса не развернута.

Windows содержит восемь параметров групповой политики сложности ПИН-кода, которые дают вам возможность детального управления созданием и управлением ПИН-кодом. Эти параметры политики можно развертывать для компьютеров, т.е. они будут влиять на всех пользователей, создающих PIN-коды на данном компьютере; или же их можно развертывать для пользователей, т.е. они будут влиять на создание PIN-кодов данными пользователями вне зависимости от используемого ими компьютера. При развертывании параметров групповой политики сложности PIN-кода и для компьютеров, и для пользователей, параметры политики для пользователей имеют приоритет над параметрами политики для компьютеров. Кроме того, разрешение таких конфликтов зависит от того, какая политика была применена последней. Windows не объединяет параметры политики автоматически, однако можно развернуть групповую политику для достижения разнообразных конфигураций. Предусмотрены следующие параметры политики:

В Windows 10 версии 1703 параметры групповой политики сложности PIN-кода были перемещены, чтобы у пользователей не складывалось впечатление, что параметры политики сложности PIN-кода относятся исключительно к Windows Hello для бизнеса. Теперь эти параметры групповой политики находятся в разделе «Административные шаблоны > Система > Сложность PIN-кода» в узлах «Конфигурация компьютера» и «Конфигурация пользователя» редактора групповой политики.

Проверка

Перед продолжением развертывания проверьте результаты своей работы, просмотрев следующие элементы:

Подтвердим, что вы были авторами параметров групповой политики с помощью последних файлов ADMX/ADML (из Windows 10 Creators Editions)

Убедитесь, что вы настроили параметр политики «Включить Windows Hello для бизнеса» в соответствии с областью вашего развертывания (компьютер или пользователь)

Подтвердит настройку регистрации сертификата use для локального параметра политики проверки подлинности.

Убедитесь, что вы автоматическую регистрацию сертификатов в соответствии с областью вашего развертывания (компьютер или пользователь)

Убедитесь, что вы настроили надлежащие параметры безопасности для объекта групповой политики:

Объект групповой политики связан с соответствующими расположениями в Active Directory

Любые дополнительные параметры групповой политики Windows Hello для бизнеса развернуты в политике, отдельной от той, которая включает Windows Hello для бизнеса для пользователей

Добавление пользователей в группу «Пользователи Windows Hello для бизнеса»

Пользователи должны получить параметры групповой политики Windows Hello для бизнеса и иметь надлежащее разрешение для подачи заявки на сертификат проверки подлинности WHFB. Предоставить пользователям эти параметры и разрешения можно путем добавления группы, используемой для синхронизации пользователей, в группу «Пользователи Windows Hello для бизнеса». Пользователи и группы, которые не являются членами этой группы, не будут пытаться регистрироваться в Windows Hello для бизнеса.

Источник

Обзор развертывания Windows Hello для бизнеса

Применяется к

Windows Hello для бизнеса — это трамплин в мир без паролей. Вместо имени пользователя и пароля для входа в Windows теперь используется надежная проверка подлинности пользователей на основе пары асимметричных ключей.

Этот обзор развертывания поможет вам развернуть Windows Hello для бизнеса. Первым шагом должно быть использование мастера без паролей в Центр администрирования Microsoft 365 или руководство по планированию Windows Hello для развертывания бизнеса для определения правильной модели развертывания для вашей организации.

После того как вы выбрали модель развертывания, руководство по развертыванию этой модели предоставит вам сведения, необходимые для успешного развертывания Windows Hello бизнеса в вашей среде.

Ознакомьтесь Windows Hello обзор предварительных условий развертывания бизнеса для сводки необходимых условий для каждой модели развертывания Windows Hello для бизнеса.

Допущения

В этом руководстве предполагается наличие базовой инфраструктуры, соответствующей требованиям к вашему развертыванию. Как для гибридных, так и для локальных развертываний предполагается, что у вас есть:

Если вы впервые устанавливаете роль сервера, убедитесь, что соответствующая серверная операционная система установлена, обновлена путем применения последних исправлений и присоединена к домену. Этот документ содержит инструкции по установке и настройке конкретных ролей на этом сервере.

Не приступайте к развертыванию до тех пор, пока серверы и инфраструктура размещения (не роли), указанные в вашем списке предварительных условий, не будут настроены и полностью работоспособны.

Модели развертывания и доверия

Windows Hello для бизнеса имеет три модели развертывания: только облако Azure AD, гибридное и локальное. Гибридная и локальной модели развертывания имеют две модели доверия: key trust и certificate trust.

Windows Hello для бизнеса в начале 2022 г. внедряет новую модель доверия, называемую облачным доверием. Эта модель доверия позволит развертывать Windows Hello для бизнеса с помощью инфраструктуры, внедренной для поддержки входных ключевых элементов безопасности на присоединенных устройствах Hybrid Azure AD и локальном доступе к ресурсам на устройствах Azure AD Joined. Дополнительные сведения будут доступны в Windows Hello для облачного доверия бизнеса, как только он будет доступен.

Гибридные развертывания предназначены для предприятий, которые используют Azure Active Directory. Локальные развертывания предназначены для предприятий, которые используют исключительно локальную службу Active Directory. Помните, что в средах, в которых используется служба Azure Active Directory, необходимо использовать гибридную модель развертывания для всех доменов в соответствующем лесу.

Модель доверия определяет, как пользователи должны будут подтверждать свою подлинность для локальной службы Active Directory:

RDP не поддерживает проверку подлинности с Windows Hello для бизнеса в качестве предоставленных учетных данных. RDP поддерживается только развертыванием доверия сертификата в качестве предоставленной учетной данных в настоящее время. Windows Hello для бизнеса доверие ключа можно использовать с помощью Защитник Windows Remote Credential Guard.

Ниже ниже 1000 руководств по развертыванию и моделей, включенных в эту тему:

Для Windows Hello для бизнес-гибридных сертификатов необходимые условия доверия и основные предпосылки доверия, вам потребуется Azure Active Directory Подключение, чтобы синхронизировать учетные записи пользователей в локальном Active Directory с Azure Active Directory. Для локального развертывания, как доверия ключа, так и сертификата, используйте сервер Azure MFA, на котором учетные данные не синхронизируются с Azure Active Directory. Узнайте, как развернуть службы многофакторной проверки подлинности (MFA) для ключевых служб доверия и для развертывания доверия сертификатов.

Подготовка

Подготовка Windows Hello для бизнеса начинается сразу же после входа пользователя, т.е. после загрузки профиля пользователя, но до того, как пользователь получит свой рабочий стол. Windows запускает процесс подготовки только в случае, если проверка всех предварительных условий пройдена. Состояние проверки предварительных условий можно определить, просмотрев раздел Регистрация устройства пользователя в средстве Просмотр событий, выбрав Журналы приложений и службMicrosoftWindows.

Источник

Настройка Windows Hello для параметров бизнес-политики — доверие сертификата

Относится к:

Для запуска консоли управления групповой политикой Windows 10 версии 1703 требуется не менее Windows 10 версии 1703, которая предоставляет последние Windows Hello для бизнеса и параметров групповой политики сложности ПИН-кода. Чтобы запустить консоль управления групповой политикой, необходимо установить средства администрирования удаленного сервера для Windows. Скачать их можно из Центра загрузки Майкрософт. Установите средства администрирования удаленного сервера для Windows на компьютере с Windows 10 версии 1703 или более поздней версии.

Для локальных развертываний Windows Hello для бизнеса с доверием на основе сертификатов требуется три параметра групповой политики:

Групповая политика «Включить Windows Hello для бизнеса»

Параметр групповой политики определяет, разрешено ли пользователям зарегистрироваться для Windows Hello для бизнеса. Его можно настроить для компьютеров или пользователей.

Использовать сертификат для локальной проверки подлинности

Параметр групповой политики «Использовать сертификат для локальной проверки подлинности» определяет, какая модель проверки подлинности используется для локального развертывания — модель доверия на основе ключей или модель доверия на основе сертификатов. Необходимо настроить этот параметр групповой политики, чтобы настроить Windows для подачи заявки на сертификат проверки подлинности Windows Hello для бизнеса. Если этот параметр политики не настроен, Windows считает, что развертывание использует локальную проверку подлинности по модели доверия на основе ключей, для чего требуется достаточное количество контроллеров домена Windows Server2016 для обработки запросов проверки подлинности на основе ключей, создаваемых Windows Hello для бизнеса.

Этот параметр групповой политики можно настраивать для компьютеров или пользователей. Развертывание этого параметра политики для компьютеров приведет к тому, что ВСЕ пользователи будут запрашивать сертификат проверки подлинности Windows Hello для бизнеса. Развертывание этого параметра политики для пользователя приведет к тому, что только этот пользователь будет запрашивать сертификат проверки подлинности Windows Hello для бизнеса. Кроме того, можно развернуть этот параметр политики для группы пользователей, чтобы только эти пользователи запрашивали сертификат проверки подлинности Windows Hello для бизнеса. Если развернуты параметры политики и для пользователей, и для компьютеров, параметр политики для пользователей имеет приоритет.

Включить автоматическую регистрацию сертификатов

При подготовке Windows Hello для бизнеса производится первоначальная регистрация сертификата проверки подлинности Windows Hello для бизнеса. Срок действия этого сертификата истекает в зависимости от длительности, настроенной в шаблоне сертификата проверки подлинности Windows Hello для бизнеса. Функциональность автоматической регистрации сертификатов в Windows10 версии1703 была обновлена так, чтобы сделать возможным продление этих сертификатов до истечения срока их действия, что значительно уменьшает количество ошибок при проверке подлинности, связанных с сертификатами с истекшим сроком действия.

Этот процесс не требует вмешательства пользователя— при условии, что пользователь выполняет вход с помощью Windows Hello для бизнеса. Сертификат продлевается в фоновом режиме до того, как истечет срок его действия.

Создание объекта групповой политики Windows Hello для бизнеса

Объект групповой политики содержит параметры политики, необходимые для запуска подготовки Windows Hello для бизнеса, а также для обеспечения автоматического продления сертификатов проверки подлинности Windows Hello для бизнеса.

Настройка автоматической регистрации сертификатов

Настройка безопасности в объекте групповой политики Windows Hello для бизнеса

Самый лучший способ развертывания объекта групповой политики Windows Hello для бизнеса— это использование фильтрации по группам безопасности. Благодаря этому можно легко управлять пользователями, которые должны получить Windows Hello для бизнеса, просто добавляя их в группу. Это позволяет развернуть Windows Hello для бизнеса в несколько этапов.

Развертывание объекта групповой политики Windows Hello для бизнеса

При применении объекта групповой политики Windows Hello для бизнеса используется фильтрация по группам безопасности. Это позволяет привязать объект групповой политики к домену, что гарантирует, что объект групповой политики будет находиться в пределах области для всех пользователей. Тем не менее, фильтрация по группам безопасности гарантирует, что только пользователи, входящие в глобальную группу Пользователи Windows Hello для бизнеса, будут получать и применять объект групповой политики, что приводит к подготовке Windows Hello для бизнеса.

Повторим еще раз, что привязка объекта групповой политики Windows Hello для бизнеса к домену гарантирует, что объект групповой политики находится в пределах области для всех пользователей. Параметры политики, однако, будут применяться не ко всем пользователям. Только пользователи, являющиеся членами группы Windows Hello для бизнеса, будут получать параметры политики. Все остальные пользователи этот объект групповой политики будут игнорировать.

Другие связанные параметры групповой политики

Windows Hello для бизнеса

Существуют другие параметры политики Windows Hello для бизнеса, которые можно настроить для управления вашим развертыванием Windows Hello для бизнеса. Эти параметры политики представляют собой параметры политики для компьютеров, т.е. они применяются к любому пользователю, выполняющему вход с компьютера с этими параметрами политики.

Использование устройства аппаратной защиты

По умолчанию Windows Hello для бизнеса отдает предпочтение аппаратно защищенным учетным данным, однако не все компьютеры способны создавать аппаратно защищенные учетные данные. Когда при регистрации в Windows Hello для бизнеса обнаруживается компьютер, который не способен создавать аппаратно защищенные учетные данные, создаются программные учетные данные.

Можно настроить и развернуть параметр групповой политики Использование устройства аппаратной защиты, чтобы принудить Windows Hello для бизнеса создавать только аппаратно защищенные учетные данные. Пользователи, которые выполняют вход с компьютера, неспособного создавать аппаратно защищенные учетные данные, не регистрируются в Windows Hello для бизнеса.

При включении параметра групповой политики Использование устройства аппаратной защиты становится доступен еще один параметр политики, который позволяет запретить использовать для регистрации в Windows Hello для бизнеса доверенные платформенные модули (TPM) версии1.2. TPMs версии 1.2 обычно выполняют криптографические операции медленнее, чем TPMs версии 2.0, и более неумолимы во время действий по блокировке и блокировке ПИН-кода. Соответственно, некоторые организации не готовы к замедлению быстродействия при входе в систему и затратам времени на управление, связанным с TPM версии1.2. Чтобы запретить Windows Hello для бизнеса использовать TPM версии1.2, просто установите флажок «Доверенный платформенный модуль версии 1.2» после включения объекта групповой политики «Использование устройства аппаратной защиты».

Использование биометрии

В сочетании с биометрическими данными Windows Hello для бизнеса обеспечивает пользователям максимальный комфорт. Вместо предоставления для входа в систему PIN-кода пользователь может использовать для входа в Windows отпечатки пальцев или распознавание лиц, не жертвуя при этом безопасностью.

По умолчанию Windows Hello для бизнеса позволяет пользователям регистрироваться и использовать биометрические данные. Некоторые организации, однако, пока не готовы переходить на биометрию, и хотели бы пока отключить ее использование. Чтобы запретить пользователям использовать биометрические данные, отключите параметр групповой политики Использование биометрии и примените его к своим компьютерам. Параметр политики отключает все биометрические данные. В настоящее время в Windows не предусмотрено детальных параметров политики, которые позволяли бы отключать конкретные модальности биометрии (например, разрешить распознавание лиц, но запретить использование отпечатков пальцев).

Сложность PIN-кода

Сложность PIN-кода относится не только к Windows Hello для бизнеса. Windows позволяет пользователям использовать ПИН-Windows Hello для бизнеса. Параметры групповой политики «Сложность PIN-кода» применяются ко всем ситуациям использования PIN-кодов, даже когда Windows Hello для бизнеса не развернута.

Windows содержит восемь параметров групповой политики сложности ПИН-кода, которые дают вам возможность детального управления созданием и управлением ПИН-кодом. Эти параметры политики можно развертывать для компьютеров, т.е. они будут влиять на всех пользователей, создающих PIN-коды на данном компьютере; или же их можно развертывать для пользователей, т.е. они будут влиять на создание PIN-кодов данными пользователями вне зависимости от используемого ими компьютера. При развертывании параметров групповой политики сложности PIN-кода и для компьютеров, и для пользователей, параметры политики для пользователей имеют приоритет над параметрами политики для компьютеров. Кроме того, разрешение таких конфликтов зависит от того, какая политика была применена последней. Windows не объединяет параметры политики автоматически, однако можно развернуть групповую политику для достижения разнообразных конфигураций. Предусмотрены следующие параметры политики:

В Windows 10 версии 1703 параметры групповой политики сложности PIN-кода были перемещены, чтобы у пользователей не складывалось впечатление, что параметры политики сложности PIN-кода относятся исключительно к Windows Hello для бизнеса. Новое расположение этих параметров групповой политики находится в статье Конфигурация компьютераАдминистративные шаблоныSystemPIN-код в редакторе групповой политики.

Проверка

Перед продолжением развертывания проверьте результаты своей работы, просмотрев следующие элементы:

Подтвердим, что вы были авторами параметров групповой политики с помощью последних файлов ADMX/ADML (из Windows 10 Creators Editions)

Убедитесь, что вы настроили параметр политики «Включить Windows Hello для бизнеса» в соответствии с областью вашего развертывания (компьютер или пользователь)

Подтвердит настройку регистрации сертификата use для локального параметра политики проверки подлинности.

Убедитесь, что вы автоматическую регистрацию сертификатов в соответствии с областью вашего развертывания (компьютер или пользователь)

Убедитесь, что вы настроили надлежащие параметры безопасности для объекта групповой политики:

Объект групповой политики связан с соответствующими расположениями в Active Directory

Любые дополнительные параметры групповой политики Windows Hello для бизнеса развернуты в политике, отдельной от той, которая включает Windows Hello для бизнеса для пользователей

Добавление пользователей в группу «Пользователи Windows Hello для бизнеса»

Пользователи должны получить параметры групповой политики Windows Hello для бизнеса и иметь надлежащее разрешение для подачи заявки на сертификат проверки подлинности WHFB. Предоставить пользователям эти параметры и разрешения можно путем добавления группы, используемой для синхронизации пользователей, в группу «Пользователи Windows Hello для бизнеса». Пользователи и группы, которые не являются членами этой группы, не будут пытаться регистрироваться в Windows Hello для бизнеса.

Источник

Windows 10 поддерживает использование биометрии. Он уже поддерживает PIN-код, пароль и пароль изображения на всех компьютерах, но при наличии соответствующего оборудования Windows 10 также поддерживает сканирование лица, сканирование радужной оболочки глаза и сканирование отпечатков пальцев. Эти настройки можно найти в разделе «Настройки»> «Аккаунты»> «Параметры входа» . Но иногда, даже если имеется аппаратное обеспечение для поддержки этой функции, называемой Windows Hello, вы можете не найти опции, доступные для включения этой функции. В этом посте показано, как включить или отключить вход пользователей домена в Windows 10 с помощью биометрии с использованием реестра или GPEDIT.

Разрешить пользователям домена вход в систему с использованием биометрии

Я рекомендовал вам создать точку восстановления системы. Это связано с тем, что при выполнении таких модификаций есть вероятность, что что-то сломается на стороне программного обеспечения вашего компьютера. Или, если у вас нет привычки создавать точку восстановления системы, я бы действительно рекомендовал вам часто ее создавать.

Использование редактора реестра

Нажмите комбинацию кнопок WINKEY + R, чтобы запустить утилиту Run, введите regedit и нажмите Enter. После открытия редактора реестра перейдите к следующему

HKEY_LOCAL_MACHINE ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ Политики Microsoft Биометрия Поставщик учетных данных

Теперь щелкните правой кнопкой мыши на правой боковой панели и выберите New> DWORD (32-bit) Value.

Установите имя этого вновь созданного DWORD как Учетные записи домена .

Дважды щелкните по вновь созданному DWORD и установите его значение как 1 . Это позволит разрешить пользователям домена входить в Windows 10 с использованием биометрии .

Значение 0 запрещает пользователям домена вход в Windows 10 с использованием биометрии.

Выйдите из редактора реестра и перезагрузите компьютер, чтобы изменения вступили в силу.

Использование редактора групповой политики

Нажмите комбинацию кнопок WINKEY + R, чтобы запустить утилиту Run, введите gpedit.msc и нажмите Enter. После открытия редактора групповой политики перейдите к следующему параметру:

Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Биометрия

Теперь на правой боковой панели дважды щелкните следующие записи и установите переключатель Включено для всех них,

  • Разрешить использование биометрии.
  • Разрешить пользователям входить в систему с помощью биометрии.
  • Разрешить пользователям домена входить в систему с использованием биометрии.

Выйдите из редактора групповой политики и перезагрузите компьютер, чтобы изменения вступили в силу. Это активирует настройку.

Ура!

Windows 7 и более поздние версии поддерживали биометрический вход. В Windows 10 опция биометрического входа существует как официальная функция, известная как Windows Hello.

Windows Hello — это, по сути, биометрический вход, однако он делится на разные типы в зависимости от устройства, используемого для входа. Windows Hello Face использует камеру вашей системы для входа в систему с помощью распознавания лиц. Если вы используете сканер отпечатков пальцев, он будет настроен как отпечаток пальца Windows Hello. А если вы используете ПИН-код, вы установите ПИН-код Windows Hello.

Windows Hello можно настроить по-разному, но, безусловно, самым избирательным методом является Windows Hello Face. Эта опция работает не со всеми веб-камерами. Вместо этого существует очень небольшой список веб-камер, которые можно использовать для настройки этой функции.

Windows Hello недоступна

Для Windows Hello Fingerprint вы обнаружите, что большинство сканеров отпечатков пальцев, даже безымянные бренды, будут работать нормально, если устройство было настроено правильно.

Если вы пытаетесь использовать Windows Hello, но Windows 10 сообщает, что эта функция недоступна, вот несколько вещей, которые вы можете сделать.

1. Проверьте совместимость устройства.

Если вы пытаетесь настроить Windows Hello с помощью веб-камеры или сканера отпечатков пальцев, вам следует проверить, поддерживается ли это устройство.

Использовать этот полезный инструмент, предоставленный Microsoft чтобы сузить список совместимых устройств / компьютеров.

2. Установите Windows Hello Face.

Windows Hello Face — это служба, которую необходимо установить, чтобы эта функция работала. Это дополнительная функция, поэтому есть вероятность, что она не установлена.

  1. Открой Приложение настроек (Сочетание клавиш Win + I).
  2. Перейти к Программы.
  3. Нажмите Дополнительные возможности.
  4. Пройдите через список установленных функций и посмотрите, есть ли в списке Windows Hello Face.
  5. Если Windows Hello Face отсутствует в списке, щелкните Добавить функцию.
  6. Войти Windows Hello Face в строке поиска.
  7. Выберите функцию от результатов и нажмите «Установить».
  8. Перезагрузите систему.

3. Включите Windows Hello из реестра Windows.

Для работы Windows Hello используются биометрические устройства, и эти устройства можно отключить из реестра. Если они были отключены, вы не сможете настроить Windows Hello в своей системе.

  1. Нажмите Сочетание клавиш Win + R , чтобы открыть окно запуска.
  2. Войти regedit и коснитесь Клавиша ввода.
  3. Перейти к следующий ключ.
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSystem
  1. Щелкните правой кнопкой мыши системный ключ и выберите Создать> Значение DWORD (32 бита).
  2. Назови это AllowDomainPINLogon.
  3. Установите его значение на 1
  4. Перезагрузите систему.

4. Включите Windows Hello из групповой политики.

Если вы используете Windows 10 Pro и подключены к домену, вам необходимо включить Windows Hello из групповой политики.

  1. Нажмите Сочетание клавиш Win + R , чтобы открыть окно запуска.
  2. Войти gpedit.msc и коснитесь Клавиша ввода.
  3. В столбце слева перейдите к Конфигурация компьютера> Административные шаблоны> Компоненты Windows.
  4. Ищите Разрешить использование биометрической политики и включите это.

5. Обновите драйверы.

Обновление драйверов может решить проблему с Windows Hello.

  1. Открыть Диспетчер устройств.
  2. Для сканера отпечатков пальцев: развернуть Биометрические устройства.
  3. Для веб-камеры: развернуть Камеры.
  4. Щелкните правой кнопкой мыши устройство и выберите Обновить драйвер.
  5. Выбирать Автоматический поиск драйвера.
  6. Установить вседоступные обновления драйверов и перезапустите систему.

6. Обновите Windows 10.

Проверьте, доступно ли обновление Windows, и установите его.

  1. Открой Приложение настроек (Сочетание клавиш Win + I).
  2. Перейти к Обновление и безопасность.
  3. Выберите Вкладка Центр обновления Windows.
  4. Нажмите Проверить наличие обновлений.
  5. Установите доступные обновления.

7. Удалите Центр обновления Windows.

Если Windows Hello работала в вашей системе и остановилась после установки обновления, удалите ее.

  1. Открой Приложение настроек (Сочетание клавиш Win + I).
  2. Перейти к Обновление и безопасность> Центр обновления Windows.
  3. Нажмите Просмотреть историю обновлений.
  4. Нажмите Удалите обновления.
  5. Выберите недавно установленное обновление что, по вашему мнению, вызывает проблемы и удалить это.

Вывод

Windows Hello работает с некоторыми устройствами, если вы пытаетесь настроить Windows Hello Face, но для Windows Hello Fingerprint большинство биометрических устройств справятся с этой задачей. Вы также можете использовать PIN-код, который также является методом входа в Windows Hello, и Windows 10 предпочитает его паролю. Все, что вам нужно для настройки PIN-кода, — это клавиатура.

Like this post? Please share to your friends:
  • Windows hello security process грузит процессор
  • Windows hyper v server 2019 проброс видеокарты
  • Windows hello for business provisioning will not be launched ошибка
  • Windows hyper v server 2019 manager
  • Windows hyper v server 2019 download