Indholdsfortegnelse
I denne vejledning finder du instruktioner til at deaktivere Windows Hello for Business-prompten (også kendt som: Windows Hello for Business-provisionering), "Brug Windows Hello med din konto" efter tilføjelse af en pinkode og til at fjerne meddelelsen "Din organisation kræver Windows Hello" under OOBE.
Når du tilføjer en Windows Hello PIN-kode/fingeraftryk/ansigt som loginmulighed på en computer, der er tilsluttet Azure AD, eller i et Active Directory-domæne (lokalt), skal du konfigurere en Microsoft-konto for at få adgang til dine organisationsressourcer. Dette er nødvendigt, fordi Windows Hello for Business automatisk aktiveres, når en enhed konfigureres til brug i en organisation.
Hvis du af en eller anden grund ikke konfigurerer en Microsoft-konto til Windows Hello for Business, vil du opleve følgende symptomer og problemer på din pc:
- I Windows Hello PIN-koden vises fejlen: "Denne indstilling er i øjeblikket ikke tilgængelig" med beskrivelsen "Beklager, denne PIN-kode fungerer ikke for din organisations ressourcer. Tryk eller klik her for at rette den".
- Du bliver bedt om at "Brug Windows Hello med din konto", når du konfigurerer en pc for første gang (OOBE), eller når du klikker på "Tryk eller klik her for at rette det" i indstillingerne for Windows Hello PIN-kode (se ovenstående skærmbillede).
- Du får Windows Hello PIN-fejlen: "Noget gik galt. Vi kan ikke konfigurere din PIN-kode. 0x801c044f", når du forsøger at løse problemet uden at tilføje en MS-konto.
Hvis du ikke ønsker at bruge en Microsoft-konto i Windows Hello for Business (f.eks. hvis en enkelt enhed bruges af flere brugere, eller hvis du ikke har Azure AD/Office365-konti i din organisation), kan du deaktivere Windows Hello Provisioning ved at bruge nedenstående vejledning.
Sådan deaktiveres Windows Hello kravet om at bruge en Microsoft-konto i Windows Hello PIN-kode eller under OOBE (FIX:Windows Hello PIN-fejl 0x801c044f).
Hvis du vil tvinge Windows til ikke at bede om en Microsoft-konto i Windows Hello PIN/Fingerprint/Face, skal du fortsætte og deaktivere Windows Hello for Business-provisionering. Dette fjerner både "Brug Windows Hello med din konto"-prompten i Windows Hello PIN og deaktiverer "Din organisation kræver Windows Hello"-prompten under OOBE.
Windows Hello for Business-provisionering kan deaktiveres ved hjælp af gruppepolitik, enten lokalt eller i et Active Directory-domæne eller i Microsoft Intune. Fortsæt til den tilsvarende del nedenfor.
- Del 1. Deaktiver Windows Hello Provisioning i Windows 10/11 Pro.Del 2. Deaktiver Windows Hello Provisioning i Active Directory.Del 3. Deaktiver Windows Hello Provisioning i Microsoft Endpoint Manager (INTUNE).
Del 1. Sådan deaktiveres Windows Hello prompt "Brug Windows Hello med din konto", i lokal gruppepolitik (Windows 10/11 Pro).
Hvis du vil fjerne prompten "Brug Windows Hello med din konto" på en enkeltstående computer (som ikke er tilknyttet et domæne) eller på bestemte domæne-pc'er, skal du gå frem som følger:*
Bemærk: Hvis du vil deaktivere Windows Hello til hele AD-domænet, skal du følge instruktionerne i del 2.
1. Kør gpedit.msc for at åbne Redigeringsprogrammet for lokal gruppepolitik.
2. Naviger til Lokal gruppepolitik i Lokal gruppepolitik:
- Computerkonfiguration\Administrative skabeloner\Windows-komponenter\Windows Hello for Business
3. Til højre åbner du Brug Windows Hello for Business politik.
4. Indstil politikken til Aktiveret * og Tjek muligheden Start ikke Windows Hello tilrådighedsstillelse efter logon .
Bemærk: Hvis du deaktiverer denne politik, kan brugerne ikke oprette en Windows Hello for Business PIN-kode og de vil få følgende meddelelse i Windows Hello PIN-indstillingerne: "Denne indstilling er i øjeblikket ikke tilgængelig. Noget gik galt".
5. Genstart pc'en for at anvende ændringen.
Del 2. Sådan deaktiveres Windows Hello prompt i Active Directory (på stedet).
Du kan deaktivere Windows Hello for Business-tilførslen i hele AD-domænet ved at gøre følgende:
Trin 1. Opret en ny domænepolitik for Hello for Business. *
Bemærk: I denne vejledning opretter jeg en ny domænepolitik for Windows Hello for Business. Hvis du ikke ønsker at oprette en ny politik, og du ønsker at anvende ændringerne på standarddomænepolitikken, skal du springe til trin 2.
1. På din domæneserver skal du åbne Serverchef og fra Værktøj åbne den Styring af gruppepolitik.
2. Højreklik på dit domæne under objektet "Domæner", og vælg Opret et gruppepolitikobjekt i dette domæne, og tilknyt det til dette domæne.
3. Skriv et navn til det nye GPO (f.eks. "Hello_Provisioning"), og klik på OK.
Trin 2. Aktivér Windows Hello for Business.
1. Højreklik på i det nye GPO (eller i Standarddomænepolitik), og klik på Rediger.
2. I venstre rude navigerer du til:
- Computerkonfiguration\Politikker\Administrative skabeloner\Windows-komponenter\Windows Hello for Business
* Noter:
1. Ved at fastsætte denne politik Aktiveret du giver brugerne mulighed for at logge på med en Windows Hello PIN-kode.
2. Hvis du deaktiverer denne politik, vil brugerne ikke kunne oprette en Windows Hello PIN-kode og de vil få følgende besked i Windows Hello PIN-indstillingerne: "Denne indstilling er i øjeblikket ikke tilgængelig. Noget gik galt".
4. Fortsæt til næste trin for at deaktivere Windows Hello for business-tilpasning.
Trin 3. Deaktiver "Brug Windows Hello med din konto"-prompten.
Fortsæt endelig og implementer følgende ændring i registreringsdatabasen på alle computere i Active Directory for at deaktivere Windows Hello-provisionering:
1. Naviger til "Hello_Provisioning" GPO (eller i standarddomænepolitikken) på:
- Computer Konfiguration\ Præferencer\Windowsindstillinger\ Registrering
2. Højreklik på på Register og vælg Ny > Registerelement .
3. I vinduet "Nye registeregenskaber" skal du anvende følgende indstillinger og klikke på OK :
- På Handling vælge: Opret På Hive vælge: HKEY_LOCAL_MACHINE På Nøglesti type: SOFTWARE\Politikker\Microsoft\PasForWork På Værdi Navn type: DisablePostLogonProvisioning Værditype: REG_DWORD Værdidata: 1
4. Luk redigeringsprogrammet til administration af gruppepolitikker, og genstart enhver domænecomputer for at se, om ændringen i registreringsdatabasen er blevet anvendt. *
Bemærk: For at se, om ændringen i registreringsdatabasen er blevet anvendt på arbejdsstationerne:
1. Genstart en AD-computer (arbejdsstation) og log ind på domænet.
2. Åbn Registreringseditor og naviger til:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork
3. Se i højre rude, om den DeaktiverePostLogonProvisioning & Aktiveret REG_DWORD-værdier findes og har Værdi Data 1. *
Info: DWORD-værdien "Enabled" oprettes automatisk, når du aktiverer Windows Hello for Business (trin 1). Hvis værdien ikke er der, skal du følge de samme trin ovenfor og oprette den ved hjælp af GPO.
Del 3. Sådan deaktiveres Windows Hello prompt i Microsoft Endpoint Manager (INTUNE).
Sådan deaktiverer du Windows Hello Provisioning i Microsoft Intune:
1. Log på Microsoft Endpoint Manager admin center med en Intune-administratorrolle .
2. Vælg Enheder til venstre og til højre gå til Windows -> Tilmelding til Windows .
3. Åbn Windows Hello til virksomheder og under Konfigurere Windows Hello for Business , vælg Aktiveret.
4. Opret nu følgende PowerShell-script, og skub til klienterne følgende ændring i registreringsdatabasen via Intune: *
- Set-ItemProperty -Path "HKLM:\SOFTWARE\SOFTWARE\Policies\Microsoft\PassportForWork" -Name DisablePostLogonProvisioning -Value "1" -Type DWORD
Bemærk: Vælg 'JA' til "Kør script i 64 bit PowerShell-vært" når du distribuerer den via Intune.
Hvilken metode virkede for dig?
Lad mig vide, om denne vejledning har hjulpet dig ved at skrive en kommentar om dine erfaringer. Synes godt om og del denne vejledning for at hjælpe andre.
Andy Davis
En systemadministrators blog om Windows
