Come disattivare la richiesta "Usa Windows Hello con il tuo account" (errore 0x801c044f).

In questa guida troverete le istruzioni per disattivare il prompt di Windows Hello for Business (alias: provisioning di Windows Hello for Business), "Usa Windows Hello con il tuo account" dopo aver aggiunto un PIN e per rimuovere il messaggio "La tua organizzazione richiede Windows Hello" durante l'OOBE.

Quando si aggiunge un PIN/impronta digitale/faccia di Windows Hello come opzione di accesso su un computer collegato ad Azure AD o in un dominio Active Directory (in locale), è necessario configurare un account Microsoft per accedere alle risorse dell'organizzazione. Questo è necessario perché, quando un dispositivo viene impostato per l'uso in un'organizzazione, Windows Hello for Business viene abilitato automaticamente.

Se per qualsiasi motivo non si configura un account Microsoft per Windows Hello for Business, si verificheranno i seguenti sintomi e problemi sul PC:

• Nel PIN di Windows Hello compare l'errore: "Questa opzione non è attualmente disponibile" con la descrizione "Spiacenti, questo PIN non funziona per le risorse della tua organizzazione. Tocca o fai clic qui per risolvere il problema".

• Vi verrà richiesto di "Usare Windows Hello con il vostro account" quando configurerete un PC per la prima volta (esperienza Out of the box (OOBE)), oppure dopo aver fatto clic su "Tocca o fai clic qui per risolvere il problema" nelle opzioni del PIN di Windows Hello (vedere la schermata precedente).

• Otterrete l'errore PIN di Windows Hello: "Qualcosa è andato storto. Non siamo in grado di impostare il PIN. 0x801c044f" dopo aver provato a risolvere il problema senza aggiungere un account MS.

Se non si desidera utilizzare un account Microsoft in Windows Hello for Business (ad esempio, nel caso in cui un singolo dispositivo sia utilizzato da più utenti o se non si dispone di account Azure AD/Office365 nell'organizzazione), è possibile disattivare il provisioning di Windows Hello, utilizzando le istruzioni riportate di seguito.

Come disattivare il requisito di Windows Hello per l'utilizzo di un account Microsoft nel PIN di Windows Hello o durante l'OOBE (FIX:Windows Hello PIN error 0x801c044f).

Per costringere Windows a non richiedere un account Microsoft in Windows Hello PIN/Fingerprint/Face, procedere e disattivare il provisioning di Windows Hello for Business. In questo modo verrà rimossa la richiesta "Usa Windows Hello con il tuo account" in Windows Hello PIN e verrà disattivata la richiesta "La tua organizzazione richiede Windows Hello" durante l'OOBE.

Il provisioning di Windows Hello for Business può essere disattivato utilizzando i Criteri di gruppo, localmente o in un dominio Active Directory, oppure in Microsoft Intune. In base alla vostra situazione, passate alla parte corrispondente qui sotto.

• Parte 1. Disabilitare il provisioning di Windows Hello in Windows 10/11 Pro.Parte 2. Disabilitare il provisioning di Windows Hello in Active Directory.Parte 3. Disabilitare il provisioning di Windows Hello in Microsoft Endpoint Manager (INTUNE).

Parte 1. Come disattivare la richiesta di Windows Hello "Usa Windows Hello con il tuo account", nei Criteri di gruppo locali (Windows 10/11 Pro).

Se si desidera rimuovere la richiesta "Usa Windows Hello con il tuo account", su un computer indipendente (non unito a un dominio) o su specifici PC del dominio, procedere come segue:*

Nota: se si desidera disabilitare la fornitura di Windows Hello all'intero dominio AD, seguire le istruzioni riportate nella parte 2.

1. Correre gpedit.msc per aprire l'Editor Criteri di gruppo locali.

2. In Criteri di gruppo locali, andare a:

• Configurazione del computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business

3. A destra aprite la finestra Utilizzare Windows Hello per le aziende politica.

4. Impostare il criterio su Abilitato * e controllo l'opzione Non avviare il provisioning di Windows Hello dopo il login .

Nota: se si disattiva questo criterio, gli utenti non saranno in grado di configurare un'opzione PIN di Windows Hello for Business e riceveranno il seguente messaggio nelle opzioni PIN di Windows Hello: "Questa opzione non è attualmente disponibile. Qualcosa è andato storto".

5. Riavviare il PC per applicare la modifica.

Parte 2. Come disattivare il prompt di Windows Hello in Active Directory (On Premises).

Per disabilitare il provisioning di Windows Hello for Business in un intero dominio AD, procedere come segue:

Fase 1. Creare un nuovo criterio di dominio per Hello for Business.

Nota: in questa guida creerò un nuovo criterio di dominio per Windows Hello for Business. Se non si desidera creare un nuovo criterio e si vogliono applicare le modifiche al criterio di dominio predefinito, passare al punto 2.

1. Sul server di dominio, aprire la cartella Responsabile del server e da Strumenti aprire il Gestione dei criteri di gruppo.

2. Sotto l'oggetto "Domini", fare clic con il tasto destro del mouse sul proprio dominio e selezionare Creare una GPO in questo dominio e collegarla qui.

3. Digitare un nome per la nuova GPO (ad esempio "Hello_Provisioning") e fare clic su OK.

Passo 2. Abilitare Windows Hello for Business.

1. Fare clic con il tasto destro del mouse nel nuovo GPO (o nei Criteri di dominio predefiniti) e fare clic su Modifica.

2. Nel riquadro di sinistra, navigare in:

• Configurazione del computer\Politiche\Modelli amministrativi\Componenti di Windows\Windows Hello for Business

* Note:
1. Impostando questa politica Abilitato consentirà agli utenti di accedere con un PIN di Windows Hello.

2. Se si disattiva questo criterio, gli utenti non saranno in grado di impostare una PIN di Windows Hello e riceveranno il messaggio nelle opzioni PIN di Windows Hello: "Questa opzione non è attualmente disponibile. Qualcosa è andato storto".

4. Procedere al passaggio successivo per disattivare il provisioning di Windows Hello for business.

Passo 3. Disattivare la richiesta "Usa Windows Hello con il tuo account".

Infine, procedete a distribuire la seguente modifica del registro di sistema a tutti i computer di Active Directory, al fine di disabilitare il provisioning di Windows Hello:

1. Nella GPO "Hello_Provisioning" (o nella politica di dominio predefinita), navigare in:

• Configurazione del computer/Preferenze/Impostazioni di Windows Registro di sistema

2. Fare clic con il tasto destro del mouse a Registro di sistema e selezionare Nuovo > Voce di registro .

3. Nella finestra "Nuove proprietà del registro", applicare le seguenti impostazioni e fare clic su OK :

• A Azione scegliere: Creare A Alveare selezionare: HKEY_LOCAL_MACHINE A Percorso chiave tipo: SOFTWARE/PoliticheMicrosoft/Passaporto per il lavoro A Nome del valore tipo: DisabilitaPostLogonProvisioning Tipo di valore: REG_DWORD Dati di valore: 1

4. Chiudere l'Editor Gestione criteri di gruppo e riavvio qualsiasi computer di dominio per verificare se la modifica del registro è stata applicata.

Nota: per verificare se la modifica del registro è stata applicata alle workstation:

1. Riavviare qualsiasi computer AD (workstation) e accedere al dominio.

2. Aprire l'Editor del Registro di sistema e navigare fino a:

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork

3. Vedere nel riquadro di destra se il DisabilitaPostLogonProvisioning & Abilitato I valori REG_DWORD esistono e hanno Valore Dati 1. *

Info: Il valore DWORD "Abilitato" viene creato automaticamente quando si abilita Windows Hello for Business (Fase 1). Se il valore non è presente, seguire gli stessi passaggi sopra descritti e crearlo tramite GPO.

Parte 3. Come disattivare il prompt di Windows Hello in Microsoft Endpoint Manager (INTUNE).

Per disattivare il provisioning di Windows Hello in Microsoft Intune:

1. Accedere al centro di amministrazione di Microsoft Endpoint Manager con una Ruolo di amministratore Intune .

2. Selezionare Dispositivi a sinistra e a destra vai a Finestre -> Iscrizione a Windows .

3. Aperto Windows Hello per le aziende e sotto Configurare Windows Hello for Business , selezionare Abilitato.

4. Ora create il seguente script PowerShell e inviate ai client la seguente modifica del Registro di sistema tramite Intune: *

• Set-ItemProperty -Path "HKLM:\SOFTWARE\SOFTWARE\Policies\Microsoft\PassportForWork" -Name DisablePostLogonProvisioning -Value "1" -Type DWORD

Nota: selezionare 'SÌ' per "Esegui lo script in un host PowerShell a 64 bit". quando lo si distribuisce tramite Intune.

Ecco! Quale metodo ha funzionato per voi?
Fatemi sapere se questa guida vi è stata utile lasciando un commento sulla vostra esperienza. Vi prego di mettere "Mi piace" e di condividere questa guida per aiutare gli altri.