Kazalo
V tem priročniku boste našli navodila za onemogočanje poziva Windows Hello for Business (tudi: Windows Hello for Business provisioning), "Use Windows Hello with your account" po dodajanju kode PIN in za odstranitev sporočila "Your organization requires Windows Hello" med OOBE.
Pri dodajanju možnosti prijave z Windows Hello PIN/prstni odtis/obličje v računalnik, ki je povezan z Azure AD, ali v domeno Active Directory (v lokalnih prostorih) morate nastaviti Microsoftov račun za dostop do virov organizacije. To je potrebno, ker se ob nastavitvi naprave za uporabo v organizaciji samodejno omogoči Windows Hello za podjetja.
Če iz katerega koli razloga ne nastavite Microsoftovega računa za Windows Hello za podjetja, se boste v računalniku soočili z naslednjimi simptomi in težavami:
- V PIN-u Windows Hello se bo pojavila napaka: "Ta možnost trenutno ni na voljo" z opisom "Žal ta PIN ne deluje za vire vaše organizacije. Tapnite ali kliknite tukaj, da ga popravite".
- Pri prvi nastavitvi računalnika (Out of the box experience (OOBE)) ali po kliku na "Tapnite ali kliknite tukaj, da ga popravite" v možnosti Windows Hello PIN (glejte zgornjo zaslonsko sliko) boste pozvani k uporabi storitve Windows Hello z vašim računom.
- Po poskusu odprave težave brez dodajanja računa MS boste prejeli napako Windows Hello PIN: "Nekaj je šlo narobe. Ne moremo nastaviti kode PIN. 0x801c044f".
Če ne želite uporabljati Microsoftovega računa v storitvi Windows Hello za podjetja (npr. če eno napravo uporablja več uporabnikov ali če v organizaciji nimate računov Azure AD/Office365), lahko onemogočite funkcijo Windows Hello Provisioning s pomočjo spodnjih navodil.
Kako onemogočiti zahtevo za uporabo Microsoftovega računa v programu Windows Hello PIN ali med OOBE (POPRAVEK:Windows Hello PIN napaka 0x801c044f).
Če želite, da sistem Windows ne zahteva Microsoftovega računa v programu Windows Hello PIN/prstni odtis/obraz, nadaljujte in onemogočite zagotavljanje Windows Hello za podjetja. To bo odstranilo poziv "Uporabite Windows Hello s svojim računom" v programu Windows Hello PIN in onemogočilo poziv "Vaša organizacija zahteva Windows Hello" med OOBE.
Zagotavljanje storitve Windows Hello for Business lahko onemogočite z uporabo skupinske politike, bodisi lokalno ali v domeni imeniške zbirke Active Directory bodisi v programu Microsoft Intune. V skladu s svojo situacijo nadaljujte z ustreznim delom spodaj.
- Del 1. Onemogočite Windows Hello Provisioning v sistemu Windows 10/11 Pro.Del 2. Onemogočite Windows Hello Provisioning v imeniku Active Directory.Del 3. Onemogočite Windows Hello Provisioning v Microsoft Endpoint Manager (INTUNE).
Del 1. Kako onemogočiti poziv Windows Hello "Uporabite Windows Hello s svojim računom" v lokalni politiki skupine (Windows 10/11 Pro).
Če želite odstraniti poziv "Uporabi Windows Hello s svojim računom" v samostojnem računalniku (ki ni vključen v domeno) ali v določenih domenskih računalnikih, postopajte na naslednji način:*
Opomba: Če želite onemogočiti zagotavljanje storitve Windows Hello za celotno domeno AD, sledite navodilom v 2. delu.
1. Spustite gpedit.msc da odprete urejevalnik lokalnih skupinskih pravilnikov.
2. V pravilniku lokalne skupine pojdite na:
- Konfiguracija računalnika\Administrativne predloge\Komponente sistema Windows\Windows Pozdravljeni za podjetja
3. Na desni strani odprite Uporaba storitve Windows Hello za podjetja politika.
4. Politiko nastavite na Omogočeno * in preverite možnost Zagotavljanja storitve Windows Hello ne zaženite po prijavi .
Opomba: Če to politiko onemogočite, uporabniki ne bodo mogli nastaviti PIN za Windows Hello za podjetja in v možnostih Windows Hello PIN bodo prejeli naslednje sporočilo: "Ta možnost trenutno ni na voljo. Nekaj je šlo narobe".
5. Ponovni zagon v računalnik, da se sprememba uporabi.
Del 2. Kako onemogočiti poziv Windows Hello v imeniku Active Directory (v prostorih).
Če želite onemogočiti zagotavljanje storitve Windows Hello for Business v celotni domeni AD, ravnajte, kot sledi:
Korak 1. Ustvarite novo domensko politiko za Hello for Business. *
Opomba: V tem priročniku bom ustvaril novo domensko politiko za Windows Hello za podjetja. Če ne želite ustvariti nove politike in želite uporabiti spremembe v privzeti domenski politiki, preskočite na korak 2.
1. V domenskem strežniku odprite Upravitelj strežnika in iz Orodja odprite Upravljanje politik skupine.
2. V objektu "Domene" z desno tipko miške kliknite na svojo domeno in izberite Ustvarite GPO v tej domeni in ga povežite sem.
3. Vnesite ime novega GPO (npr. "Hello_Provisioning") in kliknite V REDU.
Korak 2. Omogočite funkcijo Windows Hello za podjetja.
1. Kliknite z desno tipko miške v novem GPO (ali v privzetem domenskem pravilniku) in kliknite Urejanje.
2. V levem podoknu pojdite do:
- Konfiguracija računalnika\Politike\Administrativne predloge\Komponente Windows\Windows Hello for Business
* Opombe:
1. Z določitvijo te politike Omogočeno uporabnikom omogočite prijavo s kodo PIN storitve Windows Hello.
2. Če to politiko onemogočite, uporabniki ne bodo mogli nastaviti PIN za Windows Hello in v možnostih Windows Hello PIN bodo prejeli sporočilo: "Ta možnost trenutno ni na voljo. Nekaj je šlo narobe".
4. Nadaljujte z naslednjim korakom, da onemogočite zagotavljanje storitve Windows Hello za podjetja.
Korak 3. Onemogočite poziv "Uporabi Windows Hello s svojim računom".
Na koncu nadaljujte in namestite naslednjo spremembo registra v vse računalnike v imeniku Active Directory, da onemogočite zagotavljanje storitve Windows Hello:
1. V GPO "Hello_Provisioning" (ali v privzeti domenski politiki) pojdite na:
- Konfiguracija računalnika\Prednostne nastavitve\Nastavitve sistema Windows\Register
2. Kliknite z desno tipko miške na spletni strani . Register in izberite Novo > Postavka registra .
3. V oknu "Lastnosti novega registra" uporabite naslednje nastavitve in kliknite OK :
- Na spletni strani Akcija izbrati: Ustvarite spletno stran Na spletni strani Ule izberite: HKEY_LOCAL_MACHINE Na spletni strani Ključna pot vrsta: PROGRAMSKA OPREMA\Politike\Microsoft\Pasum za delo Na spletni strani Ime vrednosti vrsta: DisablePostLogonProvisioning Vrsta vrednosti: REG_DWORD Podatki o vrednosti: 1
4. Zaprite urejevalnik za upravljanje skupinskih politik in ponovni zagon katerega koli računalnika v domeni, da preverite, ali se je sprememba registra uporabila. *
Opomba: Če želite preveriti, ali je bila sprememba registra uporabljena na delovnih postajah:
1. Ponovno zaženite katerikoli računalnik AD (delovno postajo) in se prijavite v domeno.
2. Odprite urejevalnik registra in pojdite na:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork
3. Na desnem zaslonu preverite, ali je OnemogočiPostLogonProvisioning & Omogočeno Vrednosti REG_DWORD obstajajo in imajo vrednost Data 1. *
Informacije: Vrednost DWORD "Enabled" se ustvari samodejno, ko omogočite Windows Hello for Business (1. korak). Če vrednosti ni, sledite istim korakom zgoraj in jo ustvarite z uporabo GPO.
Del 3. Kako onemogočiti poziv Windows Hello v programu Microsoft Endpoint Manager (INTUNE).
Onemogočanje storitve Windows Hello Provisioning v programu Microsoft Intune:
1. Prijavite se v upraviteljsko središče Microsoft Endpoint Manager z Vloga skrbnika storitve Intune .
2. Izberite Naprave na levi in na desni strani pojdite na Windows -> Vpis v operacijski sistem Windows .
3. Odpri Windows Hello za podjetja in pod Konfiguracija storitve Windows Hello za podjetja , izberite Omogočeno.
4. Zdaj ustvarite naslednjo skripto PowerShell in odjemalcem prek programa Intune posredujete naslednjo spremembo registra: *
- Set-ItemProperty -Path "HKLM:\SOFTWARE\SOFTWARE\Policies\Microsoft\PassportForWork" -Name DisablePostLogonProvisioning -Vrednost "1" -Type DWORD
Opomba: Izberite 'DA' za "Zaženi skripto v 64-bitnem gostitelju PowerShell" pri nameščanju prek programa Intune.
To je to! Katera metoda je delovala za vas?
Sporočite mi, ali vam je ta vodnik pomagal, tako da pustite komentar o svoji izkušnji. Všečkajte in delite ta vodnik, da pomagate drugim.
Andy Davis
Blog sistemskega skrbnika o sistemu Windows