Зміст
У цьому посібнику ви знайдете інструкції щодо вимкнення підказки Windows Hello для бізнесу (вона ж: налаштування Windows Hello для бізнесу), "Використовувати Windows Hello з вашим обліковим записом" після додавання PIN-коду та видалення повідомлення "Вашій організації потрібна Windows Hello" під час OOBE.
Під час додавання PIN-коду/відбитка пальця/обличчя Windows Hello для входу на комп'ютері, підключеному до Azure AD, або в домені Active Directory (у локальному приміщенні), необхідно налаштувати обліковий запис Microsoft для доступу до ресурсів організації. Це потрібно, оскільки, коли пристрій налаштовано для використання в організації, Windows Hello для бізнесу вмикається автоматично.
Якщо з будь-якої причини ви не налаштували обліковий запис Microsoft для Windows Hello для бізнесу, ви можете зіткнутися з наступними симптомами та проблемами на вашому комп'ютері:
- У PIN-коді Windows Hello ви побачите помилку: "Ця опція наразі недоступна" з описом "Вибачте, цей PIN-код не працює для ресурсів вашої організації. Торкніться або натисніть тут, щоб виправити це".
- Вам буде запропоновано "Використовувати Windows Hello з вашим обліковим записом", коли ви вперше налаштовуєте ПК (Out of the box experience (OOBE)), або після натискання "Натисніть або натисніть тут, щоб виправити це" в параметрах PIN-коду Windows Hello (див. скріншот вище).
- Ви отримаєте помилку PIN-коду Windows Hello: "Щось пішло не так. Ми не можемо налаштувати ваш PIN-код. 0x801c044f" після спроби вирішити проблему без додавання облікового запису MS.
Якщо ви не бажаєте використовувати обліковий запис Microsoft у Windows Hello для бізнесу (наприклад, у випадку, коли один пристрій використовується кількома користувачами або якщо у вашій організації немає облікових записів Azure AD/Office365), ви можете вимкнути надання Windows Hello, скориставшись наведеними нижче інструкціями.
Як вимкнути вимогу Windows Hello використовувати обліковий запис Microsoft в Windows Hello PIN або під час OOBE (FIX:Помилка Windows Hello PIN 0x801c044f).
Щоб змусити Windows не запитувати обліковий запис Microsoft під час введення PIN-коду Windows Hello/відбитка пальця/обличчя, перейдіть і вимкніть налаштування Windows Hello для бізнесу. Це видалить запит "Використовувати Windows Hello з вашим обліковим записом" у PIN-коді Windows Hello і вимкне запит "Вашій організації потрібна Windows Hello" під час OOBE.
Налаштування Windows Hello для бізнесу можна відключити за допомогою групової політики, як локально, так і в домені Active Directory або в Microsoft Intune. Відповідно до вашої ситуації перейдіть до відповідного розділу нижче.
- Частина 1. Відключення Windows Hello Provisioning в Windows 10/11 Pro.Частина 2. Відключення Windows Hello Provisioning в Active Directory.Частина 3. Відключення Windows Hello Provisioning в Microsoft Endpoint Manager (INTUNE).
Частина 1. Як відключити підказку Windows Hello "Використовувати Windows Hello з вашим обліковим записом" в локальній груповій політиці (Windows 10/11 Pro).
Якщо ви хочете прибрати запит "Використовувати Windows Hello з вашим обліковим записом" на окремому комп'ютері (не підключеному до домену) або на певних комп'ютерах домену, виконайте наступне:*.
Примітка: Якщо ви хочете відключити надання Windows Hello для всього домену AD, дотримуйтесь інструкцій в частині 2.
1. Біжи gpedit.msc відкрити редактор локальної групової політики.
2. У розділі Локальна групова політика перейдіть до:
- Конфігурація комп'ютера\Адміністративні шаблони\Компоненти Windows\Windows Hello for Business
3. Праворуч відкрийте розділ Використовуйте Windows Hello для бізнесу політику.
4. Встановіть політику на Увімкнено * і перевірка можливість Не запускати забезпечення Windows Hello після входу в систему .
Примітка: Якщо вимкнути цю політику, користувачі не зможуть налаштувати PIN-код Windows Hello для бізнесу і вони отримають наступне повідомлення в опціях PIN-коду Windows Hello: "Ця опція наразі недоступна. Щось пішло не так".
5. перезапуск ПК для застосування змін.
Частина 2. Як відключити підказку Windows Hello в Active Directory (на підприємстві).
Щоб відключити надання Windows Hello для бізнесу у всьому домені AD, виконайте наступні дії:
Крок 1. Створіть нову політику домену для Hello for Business *.
Примітка: У цьому посібнику я створю нову політику домену для Windows Hello для бізнесу. Якщо ви не хочете створювати нову політику і хочете застосувати зміни до політики домену за замовчуванням, перейдіть до кроку 2.
1. На сервері вашого домену відкрийте розділ Менеджер серверів і від Інструменти відкрийте Управління груповою політикою.
2. Під об'єктом "Домени" натисніть правою кнопкою миші на вашому домені і виберіть Створіть GPO в цьому домені і прив'яжіть його тут.
3. Введіть ім'я нового GPO (наприклад, "Hello_Provisioning") і натисніть ГАРАЗД.
Крок 2. Увімкніть Windows Hello для бізнесу.
1. клацніть правою кнопкою миші в новому GPO (або в Політиці домену за замовчуванням) і натисніть Редагувати.
2. На лівій панелі перейдіть до:
- Конфігурація комп'ютера\Політики\Адміністративні шаблони\Компоненти Windows\Windows Hello for Business
* Примітки:
1. встановлюючи цю політику Увімкнено ви дозволите користувачам входити за допомогою PIN-коду Windows Hello.
2. якщо вимкнути цю політику, користувачі не зможуть налаштувати PIN-код Windows Hello і вони отримають повідомлення в опціях PIN-коду Windows Hello: "Ця опція наразі недоступна. Щось пішло не так".
4. Перейдіть до наступного кроку, щоб відключити Windows Hello для бізнесу.
Крок 3. Вимкніть запит "Використовувати Windows Hello з вашим обліковим записом".
Нарешті, перейдіть до розгортання наступної зміни реєстру на всіх комп'ютерах в Active Directory, щоб відключити забезпечення Windows Hello:
1. В GPO "Hello_Provisioning" (або в політиці домену за замовчуванням) перейдіть до:
- Конфігурація комп'ютера\Налаштування\Параметри\Налаштування Windows\Реєстр
2. клацніть правою кнопкою миші на Реєстр та оберіть Новий > Реєстраційний номер .
3. У вікні "Властивості нового реєстру" застосуйте наступні налаштування і натисніть OK :
- За адресою Дія вибирати: Створити За адресою Вулик виберіть: HKEY_LOCAL_MACHINE За адресою Ключовий шлях тип: ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ\Політики\Microsoft\PassportForWork За адресою Значення Назва тип: Вимкнути резервування після входу в систему Тип значення: REG_DWORD Цінні дані: 1
4. Закрийте редактор управління груповими політиками і перезапуск будь-який комп'ютер домену, щоб перевірити, чи були застосовані зміни в реєстрі.
Примітка: Щоб перевірити, чи були застосовані зміни в реєстрі до робочих станцій:
1. перезавантажте будь-який комп'ютер (робочу станцію) AD і увійдіть в Домен.
2. відкрийте Редактор реєстру і перейдіть до:
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork
3. подивіться на правій панелі, чи є DisablePostLoginProvisioning & Enabled Значення REG_DWORD існує і має значення Data 1. *
Інформація: Значення DWORD "Enabled" створюється автоматично при включенні Windows Hello для бізнесу (Крок 1). Якщо значення відсутнє, виконайте ті ж кроки, що описані вище, і створіть його за допомогою GPO.
Частина 3. Як відключити підказку Windows Hello в Microsoft Endpoint Manager (INTUNE).
Щоб вимкнути Windows Hello Provisioning в Microsoft Intune:
1. Увійдіть в центр адміністрування Microsoft Endpoint Manager за допомогою Роль адміністратора Intune .
2. Виберіть Пристрої зліва і справа перейдіть до Вікна -> Реєстрація Windows .
3. Відкрито Windows Hello для бізнесу і молодше Налаштування Windows Hello для бізнесу виберіть Увімкнено.
4. Тепер створіть наступний PowerShell-скрипт і відправте клієнтам через Intune наступне зміна реєстру: * *.
- Set-ItemProperty -Path "HKLM:\SOFTWARE\SOFTWARE\Policies\Microsoft\PassportForWork" -Name DisablePostLogonProvisioning -Value "1" -Type DWORD
Примітка: Виберіть "ТАК для "Запуск скрипта в 64-бітному хості PowerShell" при розгортанні через Intune.
Ось так! Який метод спрацював у вас?
Дайте мені знати, якщо цей посібник допоміг вам, залишивши свій коментар про ваш досвід. Будь ласка, поставте лайк і поділіться цим посібником, щоб допомогти іншим.
Енді Девіс
Блог системного адміністратора про Windows
