Innehållsförteckning
I den här handledningen hittar du instruktioner för att inaktivera Windows Hello for Business-prompten (även kallad Windows Hello for Business-provisionering), "Använd Windows Hello med ditt konto" efter att du har lagt till en PIN-kod och för att ta bort meddelandet "Din organisation kräver Windows Hello" under OOBE.
När du lägger till en Windows Hello PIN- eller fingeravtrycks- eller ansiktsinloggning på en dator som är ansluten till Azure AD eller i en Active Directory-domän (lokalt) måste du konfigurera ett Microsoft-konto för att få åtkomst till dina organisationsresurser. Detta krävs eftersom Windows Hello for Business automatiskt aktiveras när en enhet konfigureras för användning i en organisation.
Om du av någon anledning inte konfigurerar ett Microsoft-konto för Windows Hello for Business får du följande symptom och problem på datorn:
- I Windows Hello PIN-koden visas felet: "Det här alternativet är för närvarande otillgängligt" med beskrivningen "Tyvärr fungerar inte den här PIN-koden för din organisations resurser. Tryck eller klicka här för att åtgärda det".
- Du uppmanas att "Använd Windows Hello med ditt konto" när du konfigurerar en dator för första gången (OOBE) eller när du klickar på "Tryck eller klicka här för att åtgärda det" i alternativen för Windows Hello PIN-koden (se skärmbilden ovan).
- Du får felmeddelandet Windows Hello PIN: "Något gick fel. Vi kan inte konfigurera din PIN-kod. 0x801c044f" när du försöker åtgärda problemet utan att lägga till ett MS-konto.
Om du inte vill använda ett Microsoft-konto i Windows Hello for Business (t.ex. om en enda enhet används av flera användare eller om du inte har Azure AD/Office365-konton i din organisation) kan du inaktivera Windows Hello Provisioning med hjälp av instruktionerna nedan.
Så här inaktiverar du kravet på Windows Hello att använda ett Microsoft-konto i Windows Hello PIN eller under OOBE (FIX:Windows Hello PIN error 0x801c044f).
Om du vill tvinga Windows att inte fråga efter ett Microsoft-konto i Windows Hello PIN/Fingerprint/Face fortsätter du och inaktiverar Windows Hello for Business-provisioneringen. Detta tar bort både uppmaningen "Använd Windows Hello med ditt konto" i Windows Hello PIN och inaktiverar uppmaningen "Din organisation kräver Windows Hello" under OOBE.
Windows Hello for Business-provisionering kan inaktiveras med hjälp av grupprinciper, antingen lokalt eller i en Active Directory-domän, eller i Microsoft Intune. Beroende på din situation går du vidare till motsvarande del nedan.
- Del 1. Inaktivera Windows Hello Provisioning i Windows 10/11 Pro.Del 2. Inaktivera Windows Hello Provisioning i Active Directory.Del 3. Inaktivera Windows Hello Provisioning i Microsoft Endpoint Manager (INTUNE).
Del 1. Hur du inaktiverar Windows Hello-svaret "Använd Windows Hello med ditt konto" i lokal grupprincip (Windows 10/11 Pro).
Om du vill ta bort uppmaningen "Använd Windows Hello med ditt konto" på en fristående dator (som inte är ansluten till en domän) eller på specifika domän-datorer, gör du så här:*
Obs: Om du vill inaktivera tillhandahållandet av Windows Hello för hela AD-domänen följer du instruktionerna i del 2.
1. Kör gpedit.msc för att öppna Redigeraren för lokala grupprinciper.
2. Navigera till Lokal grupprincip i Lokal grupprincip:
- Datorkonfiguration\Administrativa mallar\Windows Components\Windows Hello for Business
3. Till höger öppnar du Använd Windows Hello for Business politik.
4. Ställ in policyn på Aktiverad * och Kontrollera alternativet Starta inte tillhandahållandet av Windows Hello efter inloggning .
Obs: Om du inaktiverar den här principen kan användarna inte konfigurera en Windows Hello for Business PIN-kod och de får följande meddelande i Windows Hello PIN-alternativen: "Det här alternativet är för närvarande inte tillgängligt. Något gick fel".
5. Starta om datorn för att tillämpa ändringen.
Del 2. Hur du inaktiverar Windows Hello-svaret i Active Directory (på plats).
För att inaktivera Windows Hello for Business-tilldelningen i hela AD-domänen gör du så här:
Steg 1. Skapa en ny domänpolicy för Hello for Business. *
Obs: I den här guiden skapar jag en ny domänpolicy för Windows Hello for Business. Om du inte vill skapa en ny policy och vill tillämpa ändringarna på standarddomänpolicyn hoppar du över till steg 2.
1. På din domänserver öppnar du Serveransvarig och från Verktyg öppna den Hantering av grupprinciper.
2. Högerklicka på din domän under objektet "Domäner" och välj Skapa ett grupprincipobjekt i den här domänen och länka det hit.
3. Skriv ett namn för det nya grupprincipobjektet (t.ex. "Hello_Provisioning") och klicka på OKEJ.
Steg 2. Aktivera Windows Hello for Business.
1. Högerklicka på i det nya grupprincipobjektet (eller i standarddomänpolicyn) och klicka på Redigera.
2. I den vänstra rutan navigerar du till:
- Datorkonfiguration\Policy\Administrativa mallar\Windows-komponenter\Windows Hello for Business
* Anteckningar:
1. Genom att fastställa denna policy Aktiverad du låter användarna logga in med en Windows Hello PIN-kod.
2. Om du inaktiverar den här principen kan användarna inte konfigurera en Windows Hello PIN-kod och de kommer att få följande meddelande i Windows Hello PIN-alternativen: "Det här alternativet är för närvarande inte tillgängligt. Något gick fel".
4. Fortsätt till nästa steg för att inaktivera Windows Hello for business provisioning.
Steg 3. Inaktivera uppmaningen "Använd Windows Hello med ditt konto".
Fortsätt slutligen och distribuera följande registerändring till alla datorer i Active Directory för att inaktivera Windows Hello-provisioneringen:
1. Navigera till GPO "Hello_Provisioning" (eller i standarddomänpolicyn):
- Datorkonfiguration\Inställningar\Windows-inställningar\Registret
2. Högerklicka på på Register och välj Ny > Registerobjekt .
3. I fönstret "Nya registeregenskaper" tillämpar du följande inställningar och klickar på OK :
- På Åtgärd välja: Skapa På Hive Välj: HKEY_LOCAL_MACHINE På Nyckelväg typ: SOFTWARE\Policies\Microsoft\PassportForWork På Värde Namn typ: InaktiveraPostLogonProvisioning Typ av värde: REG_DWORD Värdeuppgifter: 1
4. Stäng Redigeraren för hantering av grupprinciper och starta om en domändator för att se om ändringen i registret har tillämpats. *
Obs: Om du vill se om registerändringen har tillämpats på arbetsstationerna:
1. Starta om en AD-dator (arbetsstation) och logga in på domänen.
2. Öppna Registry Editor och navigera till:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork
3. Se i den högra rutan om den InaktiveraPostLogonProvisioning & Aktiverad REG_DWORD-värden finns och har Värdeuppgifter 1. *
Info: DWORD-värdet "Enabled" skapas automatiskt när du aktiverar Windows Hello for Business (steg 1). Om värdet inte finns där följer du samma steg ovan och skapar det med hjälp av GPO.
Del 3. Hur du inaktiverar Windows Hello i Microsoft Endpoint Manager (INTUNE).
Inaktivera Windows Hello Provisioning i Microsoft Intune:
1. Logga in på Microsoft Endpoint Manager admincenter med en Intune-administratörsroll .
2. Välj Enheter till vänster och till höger gå till Windows -> Registrering i Windows .
3. Öppna Windows Hello för företag och under Konfigurera Windows Hello for Business , välj Aktiverad.
4. Skapa nu följande PowerShell-skript och skicka följande registerändring till klienterna via Intune: *
- Set-ItemProperty -Path "HKLM:\SOFTWARE\SOFTWARE\Policies\Microsoft\PassportForWork" -Name DisablePostLogonProvisioning -Value "1" -Type DWORD
Anmärkning: Välj "JA för "Kör skriptet i 64-bitars PowerShell Host" när du distribuerar den via Intune.
Vilken metod fungerade för dig?
Låt mig veta om den här guiden har hjälpt dig genom att lämna en kommentar om dina erfarenheter. Gilla och dela den här guiden för att hjälpa andra.
Andy Davis
En systemadministratörs blogg om Windows
