Съдържание
В този урок ще намерите инструкции за деактивиране на подкана за Windows Hello for Business (известна още като: Windows Hello for Business provisioning), "Use Windows Hello with your account" (Използвайте Windows Hello с вашия акаунт) след добавяне на ПИН и за премахване на съобщението "Your organization requires Windows Hello" (Вашата организация изисква Windows Hello) по време на OOBE.
При добавяне на опция за влизане с Windows Hello PIN/отпечатък от пръсти/лице на компютър, присъединен към Azure AD, или в домейн на Active Directory (на местно ниво), трябва да настроите акаунт на Microsoft за достъп до ресурсите на организацията. Това е необходимо, тъй като когато дадено устройство е настроено за използване в организация, Windows Hello for Business се активира автоматично.
Ако по някаква причина не настроите акаунт в Microsoft за Windows Hello for Business, ще се сблъскате със следните симптоми и проблеми в компютъра си:
- В ПИН кода на Windows Hello ще се сблъскате с грешката: "Тази опция в момента не е налична" с описание "Съжаляваме, този ПИН код не работи за ресурсите на вашата организация. Докоснете или кликнете тук, за да го поправите".
- Ще бъдете подканени да "Използвате Windows Hello с вашия акаунт", когато настройвате компютър за първи път (Out of the box experience (OOBE)) или след като щракнете върху "Tap or click here to fix it" (Докоснете или щракнете тук, за да го поправите) в опциите за Windows Hello PIN (вж. горната снимка).
- Ще получите грешката с ПИН кода на Windows Hello: "Нещо се обърка. Не сме в състояние да настроим вашия ПИН код. 0x801c044f", след като се опитате да отстраните проблема, без да добавяте акаунт в MS.
Ако не искате да използвате акаунт на Microsoft в Windows Hello for Business (напр. в случай, че едно устройство се използва от няколко потребители или ако нямате акаунти в Azure AD/Office365 в организацията си), можете да деактивирате Windows Hello Provisioning, като използвате инструкциите по-долу.
Как да деактивирате изискването на Windows Hello за използване на акаунт на Microsoft в Windows Hello PIN или по време на OOBE (ПОПРАВКА:Windows Hello PIN грешка 0x801c044f).
За да принудите Windows да не изисква акаунт на Microsoft в Windows Hello PIN/Fingerprint/Face, продължете и деактивирайте Windows Hello for Business provisioning. Това ще премахне подкана "Use Windows Hello with your account" в Windows Hello PIN и ще деактивира подкана "Your organization requires Windows Hello" по време на OOBE.
Предоставянето на Windows Hello for Business може да бъде деактивирано с помощта на групова политика, локално или в домейн на Active Directory, или в Microsoft Intune. Според ситуацията преминете към съответната част по-долу.
- Част 1. деактивиране на Windows Hello Provisioning в Windows 10/11 Pro.Част 2. деактивиране на Windows Hello Provisioning в Active Directory.Част 3. деактивиране на Windows Hello Provisioning в Microsoft Endpoint Manager (INTUNE).
Част 1. как да деактивирате подканата Windows Hello "Използвайте Windows Hello с вашия акаунт" в местната групова политика (Windows 10/11 Pro).
Ако искате да премахнете подканата "Използвайте Windows Hello с вашия акаунт" на самостоятелен компютър (който не е присъединен към домейн) или на определени компютри в домейн, процедирайте, както следва:*
Забележка: Ако искате да забраните предоставянето на Windows Hello за целия AD домейн, следвайте инструкциите в част 2.
1. Изпълнявайте gpedit.msc за да отворите редактора на местната групова политика.
2. В Политиката на местната група отидете до:
- Компютърна конфигурация\Административни шаблони\Компоненти на Windows\Windows Hello for Business
3. Вдясно отворете Използване на Windows Hello за бизнеса политика.
4. Задайте политиката на Разрешено * и проверете опцията Да не се стартира предоставянето на Windows Hello след влизане в системата .
Забележка: Ако деактивирате тази политика, потребителите няма да могат да настроят ПИН код на Windows Hello за бизнеса и ще получат следното съобщение в опциите на Windows Hello PIN: "Тази опция в момента не е налична. Нещо се е объркало".
5. Рестартиране компютъра, за да приложите промяната.
Част 2. как да деактивирате подкана Windows Hello в Active Directory (в помещения).
За да деактивирате Windows Hello for Business provisioning в целия AD домейн, процедирайте, както следва:
Стъпка 1. Създайте нова политика на домейна за Hello for Business. *
Забележка: В това ръководство ще създам нова политика на домейна за Windows Hello for Business. Ако не искате да създавате нова политика и искате да приложите промените към политиката на домейна по подразбиране, преминете към стъпка 2.
1. В сървъра на домейна отворете Мениджър на сървъри и от Инструменти отворете Управление на групови политики.
2. В обекта "Домейни" щракнете с десния бутон на мишката върху вашия домейн и изберете Създайте GPO в този домейн и го свържете тук.
3. Въведете име за новия GPO (например "Hello_Provisioning") и щракнете върху ДОБРЕ.
Стъпка 2. Активирайте Windows Hello for Business.
1. Кликнете с десния бутон на мишката в новия GPO (или в политиката на домейна по подразбиране) и щракнете върху Редактиране.
2. В левия прозорец преминете към:
- Компютърна конфигурация\Политики\Административни шаблони\Компоненти на Windows\Windows Hello for Business
* Бележки:
1. Чрез определяне на тази политика Разрешено ще позволите на потребителите да влизат в системата с ПИН код на Windows Hello.
2. Ако забраните тази политика, потребителите няма да могат да настроят ПИН код на Windows Hello и ще получат съобщението в опциите на Windows Hello PIN: "Тази опция в момента не е налична. Нещо се е объркало".
4. Преминете към следващата стъпка, за да деактивирате Windows Hello for business provisioning.
Стъпка 3. Деактивирайте подкана "Използвайте Windows Hello с вашия акаунт".
Накрая продължете и внедрете следната промяна в регистъра на всички компютри в Active Directory, за да деактивирате осигуряването на Windows Hello:
1. В GPO "Hello_Provisioning" (или в политиката на домейна по подразбиране) отидете до:
- Конфигурация на компютъра\Предпочитания\Настройки на Windows\Регистър
2. Кликнете с десния бутон на мишката в Регистър и изберете Нов > Елемент от регистъра .
3. В прозореца "Свойства на новия регистър" приложете следните настройки и щракнете върху OK :
- На адрес Действие изберете: Създаване на На адрес Кошер изберете: HKEY_LOCAL_MACHINE На адрес Ключов път тип: СОФТУЕР\Политики\Микрософт\Паспорт за работа На адрес Име на стойността тип: DisablePostLogonProvisioning Тип на стойността: REG_DWORD Данни за стойността: 1
4. Затворете редактора за управление на груповата политика и рестартиране на всеки компютър от домейна, за да проверите дали промяната в регистъра е приложена. *
Забележка: За да видите дали промяната в регистъра е приложена към работните станции:
1. Рестартирайте всеки AD компютър (работна станция) и влезте в домейна.
2. Отворете редактора на регистъра и отидете до:
- HKEY_LOCAL_MACHINE\SOFTWARE\Политики\Microsoft\PassportForWork
3. Вижте в десния панел дали Деактивиране на PostLogonProvisioning & Enabled Съществуват стойности REG_DWORD и има стойност Data 1. *
Информация: Стойността DWORD "Enabled" се създава автоматично, когато разрешите Windows Hello for Business (Стъпка 1). Ако стойността не е налична, следвайте същите стъпки по-горе и я създайте с помощта на GPO.
Част 3. как да деактивирате подкана Windows Hello в Microsoft Endpoint Manager (INTUNE).
Деактивиране на Windows Hello Provisioning в Microsoft Intune:
1. Влезте в административния център на Microsoft Endpoint Manager с Роля на администратор на Intune .
2. Изберете Устройства отляво и отдясно отидете в Windows -> Записване в Windows .
3. Отворете Windows Hello за бизнеса и под Конфигуриране на Windows Hello за бизнеса , изберете Разрешено.
4. Сега създайте следния скрипт на PowerShell и изпратете на клиентите следната промяна в регистъра чрез Intune: *
- Set-ItemProperty -Path "HKLM:\SOFTWARE\SOFTWARE\Policies\Microsoft\PassportForWork" -Name DisablePostLogonProvisioning -Value "1" -Type DWORD
Забележка: Изберете 'ДА' за "Изпълнение на скрипт в 64-битов PowerShell хост" когато го внедрявате чрез Intune.
Това е всичко! Кой метод работи за вас?
Уведомете ме дали това ръководство ви е помогнало, като оставите коментар за опита си. Моля, харесайте и споделете това ръководство, за да помогнете на другите.
Анди Дейвис
Блог на системен администратор за Windows
