Spis treści
W tym poradniku znajdziesz instrukcje, jak wyłączyć monit Windows Hello for Business (aka: Windows Hello for Business provisioning), "Użyj Windows Hello z kontem" po dodaniu PIN-u oraz usunąć komunikat "Twoja organizacja wymaga Windows Hello" podczas OOBE.
W przypadku dodawania opcji logowania za pomocą kodu PIN/odcisku palca/twarzy na komputerze dołączonym do usługi Azure AD lub w domenie Active Directory (w siedzibie lokalnej) należy skonfigurować konto Microsoft, aby uzyskać dostęp do zasobów organizacji. Jest to wymagane, ponieważ po skonfigurowaniu urządzenia do użytku w organizacji automatycznie włączana jest funkcja Windows Hello for Business.
Jeśli z jakiegoś powodu nie skonfigurujesz konta Microsoft dla Windows Hello for Business, na swoim komputerze napotkasz następujące objawy i problemy:
- W PIN-ie Windows Hello napotkamy błąd: "Ta opcja jest obecnie niedostępna" z opisem "Przepraszamy, ten PIN nie działa dla zasobów Twojej organizacji. Dotknij lub kliknij tutaj, aby go naprawić".
- Podczas pierwszej konfiguracji komputera (Out of the box experience (OOBE)) lub po kliknięciu "Stuknij lub kliknij tutaj, aby to naprawić" w opcjach Windows Hello PIN (patrz powyższy zrzut ekranu), zostaniesz poproszony o "Użycie Windows Hello z Twoim kontem".
- Otrzymasz błąd Windows Hello PIN: "Something went wrong. We are not able to setup your PIN. 0x801c044f" po próbie naprawienia problemu bez dodania konta MS.
Jeśli nie chcesz używać konta Microsoft Account w Windows Hello for Business (np. w przypadku, gdy jedno urządzenie jest używane przez kilku użytkowników lub jeśli nie masz kont Azure AD/Office365 w swojej organizacji), to możesz wyłączyć Windows Hello Provisioning, korzystając z poniższych instrukcji.
Jak wyłączyć wymóg Windows Hello dotyczący używania konta Microsoft w Windows Hello PIN lub podczas OOBE (FIX:Windows Hello PIN error 0x801c044f).
Aby wymusić na systemie Windows, aby nie pytał o konto Microsoft w Windows Hello PIN/Fingerprint/Face, przejdź i wyłącz provisioning Windows Hello for Business. To usunie zarówno monit "Użyj Windows Hello z kontem" w Windows Hello PIN, jak i wyłączy monit "Twoja organizacja wymaga Windows Hello" podczas OOBE.
Windows Hello for Business provisioning może być wyłączony za pomocą Group Policy, zarówno lokalnie lub w domenie Active Directory, jak i w Microsoft Intune. W zależności od sytuacji przejdź do odpowiedniej części poniżej.
- Część 1. Wyłączenie Windows Hello Provisioning w Windows 10/11 Pro.Część 2. Wyłączenie Windows Hello Provisioning w Active Directory.Część 3. Wyłączenie Windows Hello Provisioning w Microsoft Endpoint Manager (INTUNE).
Część 1. Jak wyłączyć monit Windows Hello "Użyj Windows Hello z kontem", w Lokalnych Zasadach Grupy (Windows 10/11 Pro).
Jeśli chcesz usunąć monit "Użyj funkcji Windows Hello na swoim koncie" na samodzielnym komputerze (niepołączonym z domeną) lub na określonych komputerach domeny, wykonaj następujące czynności:*.
Uwaga: Jeśli chcesz wyłączyć dostarczanie Windows Hello do całej domeny AD, postępuj zgodnie z instrukcjami w części 2.
1. Uruchom gpedit.msc aby otworzyć edytor lokalnych zasad grupy.
2. W Local Group Policy przejdź do:
- Konfiguracja komputera - Szablony administracyjne - Komponenty systemu Windows - Hello for Business
3. Po prawej stronie otwórz Użyj funkcji Windows Hello dla firm polityka.
4. Ustawić politykę na Enabled * i sprawdź opcja Nie uruchamiaj usługi Windows Hello po zalogowaniu się .
Uwaga: Jeśli wyłączysz tę zasadę, użytkownicy nie będą mogli skonfigurować Windows Hello for Business PIN i otrzymają następujący komunikat w opcjach PIN Windows Hello: "Ta opcja jest obecnie niedostępna. Coś poszło nie tak".
5. uruchom ponownie PC, aby zastosować zmianę.
Część 2. Jak wyłączyć monit Windows Hello w Active Directory (On Premises).
Aby wyłączyć udostępnianie usługi Windows Hello for Business w całej domenie AD, wykonaj następujące czynności:
Krok 1. Utwórz nową politykę domeny dla Hello for Business *.
Uwaga: W tym poradniku utworzę nową politykę domeny dla Windows Hello for Business. Jeśli nie chcesz tworzyć nowej polityki i chcesz zastosować zmiany do domyślnej polityki domeny, pomiń krok-2.
1. Na serwerze domeny, otwórz Kierownik serwera i od Narzędzia otworzyć Group Policy Management.
2. W obiekcie "Domeny" kliknij prawym przyciskiem myszy na swoją domenę i wybierz Utwórz GPO w tej domenie i Połącz ją tutaj.
3. Wpisz nazwę dla nowego GPO (np. "Hello_Provisioning") i kliknij OK.
Krok 2. Włącz funkcję Windows Hello for Business.
1. kliknij prawym przyciskiem myszy w nowym GPO (lub w Default Domain Policy) i kliknij Edytować.
2. W lewym panelu przejdź do:
- Konfiguracja komputera - Szablony administracyjne - Komponenty systemu Windows - Windows Hello for Business
* Uwagi:
1) Poprzez ustanowienie niniejszej polityki Enabled pozwolisz użytkownikom na logowanie się za pomocą kodu PIN Windows Hello.
2. Jeśli wyłączysz tę zasadę, użytkownicy nie będą mogli skonfigurować Windows Hello PIN i otrzymają komunikat w opcjach PIN Windows Hello: "Ta opcja jest obecnie niedostępna. Coś poszło nie tak".
4. Przejdź do następnego kroku, aby wyłączyć funkcję Windows Hello for business provisioning.
Krok 3. Wyłączenie monitu "Użyj Windows Hello z kontem".
Na koniec przejdź i wdróż następującą zmianę rejestru na wszystkich komputerach w Active Directory, aby wyłączyć provisioning Windows Hello:
1. Na "Hello_Provisioning" GPO (lub w domyślnej polityce domeny), przejdź do:
- Konfiguracja komputera Ustawienia systemu Windows Rejestr
2. kliknij prawym przyciskiem myszy na stronie Rejestr i wybrać Nowy > Pozycja w rejestrze .
3. W oknie "Właściwości nowego rejestru" zastosować następujące ustawienia i kliknąć OK :
- Na stronie Działanie wybierać: Utwórz Na stronie Ul wybierz: HKEY_LOCAL_MACHINE Na stronie Kluczowa ścieżka typu: OPROGRAMOWANIE Paszport do pracy Na stronie Nazwa wartości typu: DisablePostLogonProvisioning Typ wartości: REG_DWORD Dane dotyczące wartości: 1
4. Zamknij Edytor zasad grupy i zrestartować na każdym komputerze domeny, aby sprawdzić, czy zmiana rejestru została zastosowana. *
Uwaga: Aby sprawdzić, czy zmiana rejestru została zastosowana na stacjach roboczych:
1. zrestartować dowolny komputer AD (stację roboczą) i zalogować się do Domeny.
2) Otwórz Edytor rejestru i przejdź do:
- HKEY_LOCAL_MACHINE ¨Polityki¨ Microsoft ¨Paszport dla pracy¨
3. zobacz po prawej stronie, czy DisablePostLogonProvisioning & Enabled Wartości REG_DWORD istnieją i mają wartość Data 1. *
Info: Wartość DWORD "Enabled" jest tworzona automatycznie podczas włączania Windows Hello for Business (Krok-1). Jeśli wartość nie jest tam obecna, wykonaj te same kroki powyżej i utwórz ją za pomocą GPO.
Część 3. Jak wyłączyć monit Windows Hello w Microsoft Endpoint Manager (INTUNE).
Aby wyłączyć funkcję Windows Hello Provisioning w programie Microsoft Intune:
1. Zaloguj się do centrum administracyjnego Microsoft Endpoint Manager za pomocą Rola administratora Intune .
2. Wybierz Urządzenia po lewej i po prawej stronie przejdź do Windows -> Zapisy do systemu Windows .
3. Otwórz Windows Hello dla firm i pod Konfiguracja usługi Windows Hello for Business , wybrany Enabled.
4. Teraz utwórz następujący skrypt PowerShell i prześlij do klientów następującą zmianę rejestru za pośrednictwem Intune: *.
- Set-ItemProperty -Path "HKLM:™SOFTWARE ™Policies ™PassportForWork" -Name DisablePostLogonProvisioning -Value "1" -Type DWORD.
Uwaga: Wybierz 'TAK' dla "Uruchom skrypt w 64 bitowym PowerShell Host" podczas wdrażania go za pomocą programu Intune.
To już wszystko - która metoda zadziałała u Ciebie?
Daj mi znać, czy ten przewodnik pomógł Ci, zostawiając komentarz o swoim doświadczeniu. Proszę polubić i udostępnić ten przewodnik, aby pomóc innym.
Andy'ego Davisa
Blog administratora systemu o systemie Windows