Table of contents
在本教程中,您将找到禁用Windows Hello for Business提示(又称:Windows Hello for Business配置)、添加PIN码后 "用您的账户使用Windows Hello "以及删除OOBE期间 "您的组织需要Windows Hello "信息的说明。
在加入Azure AD的计算机上或在活动目录域(本地)中添加Windows Hello PIN/指纹/面部登录选项时,必须设置一个微软账户以访问组织资源。 这是必须的,因为当设备被设置为在组织中使用时,Windows Hello for Business会自动启用。
如果出于任何原因,你没有为Windows Hello for Business设置微软账户,你的电脑将面临以下症状和问题。
- 在Windows Hello PIN中,你会面临这样的错误:"此选项目前不可用",描述为 "对不起,此PIN对你的组织资源不起作用。 点选或点击这里来修复它"。
- 当你第一次设置电脑时(开箱体验(OOBE)),或在点击Windows Hello PIN选项中的 "点选或点击这里修复 "后(见上述截图),你会被提示 "用你的账户使用Windows Hello"。
- 在没有添加MS账户的情况下尝试修复问题后,你会得到Windows Hello PIN错误:"出了点问题,我们无法设置你的PIN码。 0x801c044f"。
如果你不想在Windows Hello for Business中使用微软账户(例如,在一个设备被多个用户使用的情况下,或者你的组织中没有Azure AD/Office365账户),那么你可以通过以下说明禁用Windows Hello供应。
如何禁用在Windows Hello PIN或OOBE期间使用微软账户的Windows Hello要求。 (FIX:Windows Hello PIN错误0x801c044f)。
要强制Windows在Windows Hello PIN/Fingerprint/Face中不询问微软账户,请继续并禁用Windows Hello for Business配置。 这将删除Windows Hello PIN中的 "使用Windows Hello与您的账户 "提示,并将禁用OOBE中的 "您的组织需要Windows Hello "提示。
可以使用组策略禁用Windows Hello for Business配置,可以在本地或Active Directory域中禁用,也可以在Microsoft Intune中禁用。 根据你的情况,进入以下相应部分。
- 第一部分:在Windows 10/11 Pro中禁用Windows Hello Provisioning。第二部分:在Active Directory中禁用Windows Hello Provisioning。第三部分:在Microsoft Endpoint Manager(INTUNE)中禁用Windows Hello Provisioning。
第1部分:如何在本地组策略中禁用Windows Hello提示 "用您的账户使用Windows Hello"(Windows 10/11 Pro)。
如果你想在一台独立的计算机上(未加入域)或对特定的域内计算机删除 "用你的账户使用Windows Hello "的提示,请按以下步骤操作:*。
注意:如果你想禁用Windows Hello对整个AD域的供应,请按照第2部分的指示。
1. 运行 gpedit.msc 来打开本地组策略编辑器。
2. 在本地组策略中,导航到。
- Computer Configuration/Administrative Templates/Windows Components/Windows Hello for Business
3. 在右侧打开 使用Windows Hello商务版 政策。
4. 将政策设定为 已启用 *和 检查 选项 登录后不启动Windows Hello配置功能 .
注意:如果你禁用这个策略,用户将不能设置一个 Windows Hello for Business密码 他们将在Windows Hello PIN选项中收到以下信息:"该选项目前不可用。 出了问题"。
5.重新启动 在PC上应用该变化。
第二部分:如何在活动目录中禁用Windows Hello提示(在企业内部)。
禁用整个AD域中的Windows Hello for Business配置的步骤如下。
第1步,为Hello for Business创建一个新的域名策略。
注意:在本指南中,我将为Windows Hello for Business创建一个新的域策略。 如果你不想创建一个新的策略,而你想把这些变化应用于默认域策略,请跳到步骤2。
1. 在你的域名服务器上,打开 服务器经理 并从 工具 打开 组策略管理。
2. 在 "域 "对象下,右击你的域并选择 在这个域中创建一个GPO,并将其链接到这里。
3. 为新的GPO键入一个名称(例如 "Hello_Provisioning"),然后点击 好的。
第2步:启用Windows Hello for Business。
1.右键单击 在新的GPO中(或在默认域策略中),并点击 编辑。
2. 在左边的窗格中导航到。
- Computer configuration\Policies\Administrative Templates\Windows Components\Windows Hello for Business
* 注意事项。
1.通过制定这一政策 已启用 你将允许用户使用Windows Hello密码登录。
2.如果你禁用此策略,用户将无法设置 Windows Hello密码 他们将在Windows Hello PIN选项中收到这样的信息:"该选项目前不可用。 出了点问题"。
4. 进入下一步,停用Windows Hello for business配置。
第3步,禁用 "用您的账户使用Windows Hello "提示。
最后,对活动目录中的所有计算机进行以下注册表修改,以禁用Windows Hello配置。
1. 在 "Hello_Provisioning "GPO上(或在默认域策略中),导航到。
- 电脑配置:Preferences\Windows Settings\ Registry
2.右键单击 在 登记处 并选择 新的 > 登记项目 .
3. 在 "新注册表属性 "窗口,应用以下设置并点击 OK :
- 在 行动 选择。 创建 在 蜂巢 选择。 hkey_local_machine 在 关键路径 类型。 SOFTWARE\Policies\PassportForWork 在 价值名称 类型。 禁用登录后配置 价值类型。 REG_DWORD 价值数据。 1
4. 关闭组策略管理编辑器并 重新启动 任何领域的计算机,以查看注册表的变化是否已经应用。
注意:要查看注册表的变化是否已经应用到工作站。
1.重新启动任何AD计算机(工作站)并登录到域。
2.打开注册表编辑器并导航到。
- HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/PassportForWork
3.在右侧窗格中查看是否有 禁用登录后配置 & 启用 REG_DWORD值存在,并且有值数据 1. *
信息:"已启用 "DWORD值是在启用Windows Hello for Business(步骤1)时自动创建的。 如果该值不存在,请按照上述相同步骤,使用GPO创建它。
第三部分:如何在微软端点管理器(INTUNE)中禁用Windows Hello提示。
要在Microsoft Intune中禁用Windows Hello Provisioning。
1. 用一个用户名登录到微软端点管理器管理中心。 Intune管理员角色 .
2. 选择 设备 在左边,在右边,去到 窗户 -> 窗口报名 .
3. 开放式 商务版Windows Hello 和下 配置Windows Hello for Business , 选择 已启用。
4. 现在创建以下PowerShell脚本,并通过Intune向客户推送以下注册表更改: *
- Set-ItemProperty -Path "HKLM:\SOFTWARE\SOFTWARE\Policies\Microsoft\PassportForWork" -Name DisablePostLogonProvisioning -Value "1" -Type DWORD
注:选择 '是'。 为 "在64位PowerShell主机中运行脚本" 当通过Intune部署它时。
就是这样!哪种方法对你有效?
如果本指南对你有帮助,请留下你的经验评论,让我知道。 请喜欢并分享本指南以帮助他人。
Andy Davis
A system administrator s blog about Windows