Obsah
V tomto návode nájdete pokyny na vypnutie výzvy Windows Hello for Business (alias: Windows Hello for Business provisioning), "Use Windows Hello with your account" po pridaní kódu PIN a na odstránenie správy "Your organization requires Windows Hello" počas OOBE.
Pri pridávaní možnosti Windows Hello PIN/odtlačok prsta/obličaj ako prihlásenie do počítača pripojeného k Azure AD alebo do domény Active Directory (v miestnych priestoroch) musíte nastaviť konto Microsoft na prístup k zdrojom organizácie. Je to potrebné, pretože po nastavení zariadenia na používanie v organizácii sa automaticky povolí funkcia Windows Hello for Business.
Ak z akéhokoľvek dôvodu nenastavíte konto Microsoft pre službu Windows Hello for Business, v počítači sa vyskytnú nasledujúce príznaky a problémy:
- V položke PIN pre Windows Hello sa zobrazí chyba: "Táto možnosť je momentálne nedostupná" s popisom "Je nám ľúto, tento PIN nefunguje pre zdroje vašej organizácie. Ťuknite na položku alebo kliknite sem a opravte ho".
- Pri prvom nastavení počítača (Out of the box experience (OOBE)) alebo po kliknutí na položku "Klepnutím alebo kliknutím sem to opravíte" v možnostiach PIN kódu Windows Hello (pozri vyššie uvedený obrázok obrazovky) sa zobrazí výzva "Použiť Windows Hello s vaším kontom".
- Po pokuse o odstránenie problému bez pridania konta MS sa zobrazí chyba PIN Windows Hello: "Niečo sa pokazilo. Nie sme schopní nastaviť váš PIN. 0x801c044f".
Ak nechcete používať konto Microsoft v službe Windows Hello pre firmy (napr. v prípade, že jedno zariadenie používa viacero používateľov alebo ak v organizácii nemáte účty Azure AD/Office365), môžete vypnúť službu Windows Hello Provisioning pomocou pokynov uvedených nižšie.
Ako zakázať požiadavku Windows Hello na používanie konta Microsoft v systéme Windows Hello PIN alebo počas OOBE. (OPRAVA:Windows Hello PIN error 0x801c044f).
Ak chcete prinútiť systém Windows, aby v položke Windows Hello PIN/odtlačok prsta/obličaj nevyžadoval konto Microsoft, pokračujte a vypnite zabezpečenie Windows Hello for Business. Tým sa odstráni výzva "Použiť Windows Hello s účtom" v položke Windows Hello PIN a vypne sa výzva "Vaša organizácia vyžaduje Windows Hello" počas OOBE.
Poskytovanie služby Windows Hello for Business možno zakázať pomocou zásad skupiny, a to buď lokálne, alebo v doméne Active Directory, alebo v službe Microsoft Intune. Podľa vašej situácie prejdite na príslušnú časť nižšie.
- Časť 1. Zakázanie služby Windows Hello Provisioning v systéme Windows 10/11 Pro. časť 2. Zakázanie služby Windows Hello Provisioning v službe Active Directory. časť 3. Zakázanie služby Windows Hello Provisioning v programe Microsoft Endpoint Manager (INTUNE).
Časť 1. Ako zakázať výzvu Windows Hello "Použiť Windows Hello s vaším účtom" v miestnych zásadách skupiny (Windows 10/11 Pro).
Ak chcete odstrániť výzvu "Použiť Windows Hello s vaším účtom" na samostatnom počítači (nepripojenom k doméne) alebo na konkrétnych doménových počítačoch, postupujte takto:*
Poznámka: Ak chcete vypnúť poskytovanie služby Windows Hello pre celú doménu AD, postupujte podľa pokynov v časti 2.
1. Spustiť gpedit.msc otvoriť Editor miestnych zásad skupiny.
2. V Miestnych zásadách skupiny prejdite na:
- Konfigurácia počítača\Šablóny pre správu\Komponenty systému Windows\Windows Hello for Business
3. Vpravo otvorte Používanie služby Windows Hello pre firmy politika.
4. Nastavenie zásad na Povolené * a kontrola možnosť Po prihlásení nespustiť zabezpečenie služby Windows Hello .
Poznámka: Ak túto zásadu zakážete, používatelia nebudú môcť nastaviť PIN kód Windows Hello pre firmy a v možnostiach kódu PIN služby Windows Hello sa zobrazí táto správa: "Táto možnosť je momentálne nedostupná. Niečo sa pokazilo".
5. Reštartovanie PC, aby sa zmena použila.
Časť 2. Ako zakázať výzvu Windows Hello v službe Active Directory (v priestoroch).
Ak chcete zakázať poskytovanie služby Windows Hello for Business v celej doméne AD, postupujte takto:
Krok 1. Vytvorenie novej doménovej politiky pre aplikáciu Hello for Business. *
Poznámka: V tejto príručke vytvorím novú doménovú zásadu pre Windows Hello for Business. Ak nechcete vytvoriť novú zásadu a chcete aplikovať zmeny na predvolenú doménovú zásadu, prejdite na krok 2.
1. Na svojom doménovom serveri otvorte Správca servera a z Nástroje otvoriť Správa zásad skupiny.
2. V objekte "Domény" kliknite pravým tlačidlom myši na svoju doménu a vyberte položku Vytvorte objekt GPO v tejto doméne a prepojte ho sem.
3. Zadajte názov nového GPO (napr. "Hello_Provisioning") a kliknite na tlačidlo V PORIADKU.
Krok 2. Povoľte funkciu Windows Hello for Business.
1. Kliknite pravým tlačidlom myši v novom objekte GPO (alebo v predvolených zásadách domény) a kliknite na tlačidlo Upraviť.
2. Na ľavom paneli prejdite na:
- Konfigurácia počítača\Zásady\Šablóny pre správu\Komponenty systému Windows\Windows Hello for Business
* Poznámky:
1. Stanovením tejto politiky Povolené umožníte používateľom prihlásiť sa pomocou kódu PIN služby Windows Hello.
2. Ak túto zásadu zakážete, používatelia nebudú môcť nastaviť Kód PIN služby Windows Hello a v možnostiach kódu PIN služby Windows Hello sa zobrazí správa: "Táto možnosť je momentálne nedostupná. Niečo sa pokazilo".
4. Pokračujte na ďalší krok, aby ste zakázali službu Windows Hello for business provisioning.
Krok 3. Zakážte výzvu "Použiť Windows Hello s vaším kontom".
Nakoniec pokračujte a nasaďte nasledujúcu zmenu registra do všetkých počítačov v službe Active Directory, aby ste zakázali službu Windows Hello provisioning:
1. V objekte GPO "Hello_Provisioning" (alebo v predvolených zásadách domény) prejdite na:
- Konfigurácia počítača\ Predvoľby\Nastavenia systému Windows\ Register
2. Kliknite pravým tlačidlom myši na adrese Register a vyberte Nový > Položka registra .
3. V okne "Vlastnosti nového registra" použite nasledujúce nastavenia a kliknite na tlačidlo OK :
- Na stránke Akcia vybrať: Vytvoriť stránku Na stránke Úľ vybrať: HKEY_LOCAL_MACHINE Na stránke Kľúčová cesta typ: SOFTWARE\Zásady\Microsoft\PassportForWork Na stránke Názov hodnoty typ: DisablePostLogonProvisioning Typ hodnoty: REG_DWORD Hodnotové údaje: 1
4. Zavrite Editor správy zásad skupiny a reštartovať ktoréhokoľvek počítača v doméne, aby ste zistili, či sa zmena v registri použila. *
Poznámka: Ak chcete zistiť, či sa zmena registra použila na pracovných staniciach:
1. Reštartujte akýkoľvek počítač AD (pracovnú stanicu) a prihláste sa do domény.
2. Otvorte Editor registrov a prejdite na:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork
3. Pozrite sa na pravom paneli, či DisablePostLogonProvisioning & Enabled Hodnoty REG_DWORD existujú a majú hodnotu Data 1. *
Informácie: Hodnota DWORD "Enabled" (Povolené) sa vytvorí automaticky pri povolení funkcie Windows Hello for Business (krok 1). Ak sa tam táto hodnota nenachádza, postupujte podľa rovnakých krokov ako vyššie a vytvorte ju pomocou GPO.
Časť 3. Ako zakázať výzvu Windows Hello v programe Microsoft Endpoint Manager (INTUNE).
Zakázanie služby Windows Hello Provisioning v službe Microsoft Intune:
1. Prihláste sa do centra správy Microsoft Endpoint Manager pomocou Úloha správcu služby Intune .
2. Vyberte Zariadenia vľavo a vpravo prejdite na Windows -> Zápis do systému Windows .
3. Otvoriť Windows Hello pre firmy a pod Konfigurácia služby Windows Hello pre firmy , vyberte Povolené.
4. Teraz vytvorte nasledujúci skript prostredia PowerShell a pošlite klientom nasledujúcu zmenu registra prostredníctvom služby Intune: *
- Set-ItemProperty -Path "HKLM:\SOFTWARE\SOFTWARE\Policies\Microsoft\PassportForWork" -Name DisablePostLogonProvisioning -Value "1" -Type DWORD
Poznámka: Vyberte "ÁNO pre "Spustiť skript v 64-bitovom hostiteľovi PowerShell" pri nasadení prostredníctvom služby Intune.
To je všetko! Ktorá metóda sa vám osvedčila?
Dajte mi vedieť, či vám táto príručka pomohla, a zanechajte komentár o svojich skúsenostiach. Prosím, lajkujte a zdieľajte túto príručku, aby ste pomohli ostatným.
Andy Davis
Blog správcu systému o systéme Windows