Obsah
V tomto návodu najdete pokyny k vypnutí výzvy Windows Hello for Business (neboli: Windows Hello for Business provisioning), "Použít Windows Hello s vaším účtem" po přidání kódu PIN a k odstranění zprávy "Vaše organizace vyžaduje Windows Hello" během OOBE.
Při přidávání možnosti Windows Hello PIN/otisk prstu/obličej jako přihlášení do počítače připojeného k Azure AD nebo v doméně Active Directory (v místních prostorách) je nutné nastavit účet Microsoft pro přístup ke zdrojům organizace. To je nutné, protože při nastavení zařízení pro použití v organizaci se automaticky povolí funkce Windows Hello for Business.
Pokud z jakéhokoli důvodu nenastavíte účet Microsoft pro Windows Hello pro firmy, budou se v počítači vyskytovat následující příznaky a problémy:
- V okně Windows Hello PIN se setkáte s chybou: "Tato možnost je momentálně nedostupná" s popisem "Je nám líto, ale tento PIN nefunguje pro prostředky vaší organizace. Klepněte na nebo klikněte zde pro opravu".
- Při prvním nastavení počítače (Out of the box experience (OOBE)) nebo po kliknutí na možnost "Klepnutím nebo kliknutím zde to opravíte" v možnostech kódu PIN služby Windows Hello (viz výše uvedený obrázek) budete vyzváni k použití funkce Windows Hello s vaším účtem.
- Po pokusu o odstranění problému bez přidání účtu MS se zobrazí chyba kódu PIN Windows Hello: "Něco se pokazilo. Nejsme schopni nastavit váš kód PIN. 0x801c044f".
Pokud nechcete používat účet Microsoft ve službě Windows Hello pro firmy (např. v případě, že jedno zařízení používá více uživatelů nebo pokud ve vaší organizaci nemáte účty Azure AD/Office365), můžete funkci Windows Hello Provisioning zakázat pomocí níže uvedených pokynů.
Jak zakázat požadavek Windows Hello na použití účtu Microsoft v kódu PIN Windows Hello nebo během OOBE (OPRAVA:Chyba kódu PIN Windows Hello 0x801c044f).
Chcete-li donutit systém Windows, aby v položkách Windows Hello PIN/Fingerprint/Face nevyžadoval účet Microsoft, pokračujte a zakažte provisioning Windows Hello for Business. Tím odstraníte jak výzvu "Použít Windows Hello s vaším účtem" v položce Windows Hello PIN, tak i výzvu "Vaše organizace vyžaduje Windows Hello" během OOBE.
Poskytování služby Windows Hello for Business lze zakázat pomocí zásad skupiny, a to buď lokálně, nebo v doméně služby Active Directory, nebo v nástroji Microsoft Intune. Podle situace přejděte k příslušné části níže.
- Část 1. Zakázání služby Windows Hello Provisioning v systému Windows 10/11 Pro.Část 2. Zakázání služby Windows Hello Provisioning v Active Directory.Část 3. Zakázání služby Windows Hello Provisioning v aplikaci Microsoft Endpoint Manager (INTUNE).
Část 1. Jak zakázat výzvu Windows Hello "Použít Windows Hello s vaším účtem" v místních zásadách skupiny (Windows 10/11 Pro).
Pokud chcete odstranit výzvu "Použít Windows Hello s vaším účtem" na samostatném počítači (nepřipojeném k doméně) nebo na konkrétních počítačích v doméně, postupujte takto:*
Poznámka: Pokud chcete zakázat poskytování služby Windows Hello pro celou doménu AD, postupujte podle pokynů v části 2.
1. Spustit gpedit.msc a otevřete Editor místních zásad skupiny.
2. V místních zásadách skupiny přejděte na:
- Konfigurace počítače\Šablony pro správu\Součásti systému Windows\Systém Windows Hello pro firmy
3. Vpravo otevřete Použití funkce Windows Hello pro firmy politika.
4. Nastavte zásadu na Povoleno * a zkontrolujte možnost Nespouštět provisioning Windows Hello po přihlášení .
Poznámka: Pokud tuto zásadu zakážete, uživatelé nebudou moci nastavovat PIN kód Windows Hello pro firmy a v možnostech kódu PIN služby Windows Hello se jim zobrazí následující zpráva: "Tato možnost je momentálně nedostupná. Něco se pokazilo.".
5. Restart PC, aby se změna použila.
Část 2. Jak zakázat výzvu Windows Hello v adresáři Active Directory (On Premises).
Chcete-li zakázat poskytování služby Windows Hello for Business v celé doméně AD, postupujte takto:
Krok 1. Vytvoření nové zásady domény pro aplikaci Hello for Business. *
Poznámka: V tomto návodu vytvořím novou zásadu domény pro Windows Hello pro firmy. Pokud nechcete vytvářet novou zásadu a chcete změny použít na výchozí zásadu domény, přejděte ke kroku 2.
1. Na doménovém serveru otevřete Správce serveru a z Nástroje otevřít Správa zásad skupiny.
2. V objektu "Domény" klikněte pravým tlačítkem myši na svou doménu a vyberte možnost Vytvořte objekt GPO v této doméně a propojte jej sem.
3. Zadejte název nového objektu GPO (např. "Hello_Provisioning") a klikněte na tlačítko DOBŘE.
Krok 2. Povolte funkci Windows Hello pro firmy.
1. Klikněte pravým tlačítkem myši v novém objektu GPO (nebo ve výchozích zásadách domény) a klikněte na tlačítko Upravit.
2. V levém podokně přejděte na:
- Konfigurace počítače\Zásady\Šablony pro správu\Součásti systému Windows\Systém Windows Hello pro firmy
* Poznámky:
1. Nastavením této politiky Povoleno umožníte uživatelům přihlašovat se pomocí kódu PIN služby Windows Hello.
2. Pokud tuto zásadu zakážete, uživatelé nebudou moci nastavovat Kód PIN služby Windows Hello a v možnostech kódu PIN služby Windows Hello se zobrazí zpráva: "Tato možnost je momentálně nedostupná. Něco se pokazilo".
4. Přejděte k dalšímu kroku a zakažte funkci Windows Hello pro firemní provisioning.
Krok 3. Zakázat výzvu "Použít Windows Hello s vaším účtem".
Nakonec proveďte následující změnu registru ve všech počítačích ve službě Active Directory, abyste zakázali poskytování služby Windows Hello:
1. V objektu GPO "Hello_Provisioning" (nebo ve výchozích zásadách domény) přejděte na:
- Konfigurace počítače\ Předvolby\Nastavení systému Windows\ Registr
2. Klikněte pravým tlačítkem myši na adrese Registr a vyberte Nový > Položka registru .
3. V okně "Vlastnosti nového registru" použijte následující nastavení a klikněte na tlačítko OK :
- Na adrese Akce zvolit: Vytvořit Na adrese Hive vybrat: HKEY_LOCAL_MACHINE Na adrese Klíčová cesta typ: SOFTWARE\Zásady\Microsoft\PassportForWork Na adrese Název hodnoty typ: DisablePostLogonProvisioning Typ hodnoty: REG_DWORD Hodnotové údaje: 1
4. Zavřete Editor správy zásad skupiny a restartovat libovolného počítače v doméně, abyste zjistili, zda se změna registru použila. *
Poznámka: Chcete-li zjistit, zda byla změna registru použita na pracovních stanicích:
1. Restartujte libovolný počítač AD (pracovní stanici) a přihlaste se do domény.
2. Otevřete Editor registru a přejděte na:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork
3. Podívejte se na pravém panelu, zda ZakázatPostLogonProvisioning & Povoleno Hodnoty REG_DWORD existují a mají hodnotu Data 1. *
Informace: Hodnota DWORD "Enabled" se vytvoří automaticky při povolení funkce Windows Hello for Business (krok 1). Pokud tam tato hodnota není, postupujte stejně jako výše a vytvořte ji pomocí objektu GPO.
Část 3. Jak zakázat výzvu Windows Hello ve Správci koncových bodů společnosti Microsoft (INTUNE).
Zakázání služby Windows Hello Provisioning v nástroji Microsoft Intune:
1. Přihlaste se do centra správy Microsoft Endpoint Manager pomocí Role správce služby Intune .
2. Vyberte Zařízení vlevo a vpravo přejděte na Windows -> Zápis do systému Windows .
3. Otevřít Windows Hello pro firmy a pod Konfigurace funkce Windows Hello pro firmy , vyberte Povoleno.
4. Nyní vytvořte následující skript prostředí PowerShell a odešlete klientům následující změnu registru prostřednictvím služby Intune: *
- Set-ItemProperty -Path "HKLM:\SOFTWARE\SOFTWARE\Policies\Microsoft\PassportForWork" -Name DisablePostLogonProvisioning -Value "1" -Type DWORD
Poznámka: Vyberte "ANO pro "Spustit skript v 64bitovém hostiteli prostředí PowerShell" při nasazení prostřednictvím služby Intune.
To je vše! Která metoda se vám osvědčila?
Dejte mi vědět, zda vám tento návod pomohl, a zanechte komentář o svých zkušenostech. Prosím, lajkujte a sdílejte tento návod, abyste pomohli ostatním.
Andy Davis
Blog správce systému o Windows
