Te damos la respuesta a este atascamiento, o por lo menos eso esperamos. Si presentas alguna duda puedes escribirlo en el apartado de comentarios, que con gusto te ayudaremos
Solución:
Encontré la solución. La razón es que Windows Hello se administra de manera diferente en las computadoras unidas a un dominio, comenzando con la actualización de aniversario. Para que funcione tienes que seguir estos pasos:
1) Configurar un Almacén central de directivas de grupo (ya deberías tener eso)
2) Obtener Plantillas de políticas de grupo de actualización de aniversario de Windows 10. Puede hacerlo copiando sus archivos de PolicyDefinitions (en windir en una máquina con actualización de aniversario de Win10) en PolicyDefinitions del almacén central. Puede copiar esos archivos primero en un recurso compartido de archivos, debido a los permisos que su usuario habitual no debería tener en el almacén central.
3) Configure un nuevo GPO o agregue a uno existente las siguientes configuraciones para habilitar Windows Hello:
- Configuración del equipo/Políticas/Plantillas administrativas
…/Componentes de Windows/Windows Hello para empresas/ Usar datos biométricos => Habilitado
…/Componentes de Windows/Windows Hello para empresas/ Usar un dispositivo de seguridad de hardware => Habilitado (si desea utilizar TPM en lugar de key o activación basada en certificado para Windows Hello). Tenga en cuenta que, en general, todas las computadoras comerciales deben tener TPM
…/Sistema/Iniciar sesión/ Activar inicio de sesión con PIN de conveniencia => Habilitado (Este es el key. Esto habilita el inicio de sesión con PIN, lo que a su vez habilitará Hello, junto con otras configuraciones).
…/Componentes de Windows/Biometría/ Permitir que los usuarios del dominio inicien sesión usando datos biométricos => Habilitado (Creo que esto está habilitado de forma predeterminada, pero ser explícito hace que la administración de GP sea mucho más fácil).
Encontrará más posibilidades de configuración opcionales en Sistema/Inicio de sesión y Componentes de Windows/Biometría y Componentes de Windows/Windows Hello for Business.
Encontrará más antecedentes aquí: https://blogs.technet.microsoft.com/ash/2016/08/13/changes-to-convenience-pin-and-thus-windows-hello-behaviour-in-windows-10 -version-1607/
y aquí
https://technet.microsoft.com/en-us/itpro/windows/keep-secure/implement-microsoft-passport-in-your-organization
Extracto más importante:
A partir de la versión 1607, Windows Hello como PIN de conveniencia está deshabilitado de manera predeterminada en todas las computadoras unidas al dominio. Para habilitar un PIN de conveniencia para Windows 10, versión 1607, habilite la configuración de directiva de grupo Activar inicio de sesión con PIN de conveniencia. Utilice la configuración de directiva de Windows Hello para empresas para administrar los PIN de Windows Hello para empresas.
Si quieres usar key o Windows Hello basado en certificados, puede seguir las guías en los enlaces. Sin embargo, no te confundas. Todavía puede usar TPM normal para Windows Hello normal.
Configuración del siguiente registro key funciona para mi:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsSystem]
"AllowDomainPINLogon"=dword:00000001
Referencia: https://social.technet.microsoft.com/Forums/en-US/b975932a-b50b-4759-b43a-c94854c6da83/cant-enable-windows-hello-with-fresh-install-of-anniversity-upgrade- en-dominio-cuenta?forum=win10itprosetup
He estado luchando contra esto durante mucho tiempo. Probé todas estas configuraciones de políticas de grupo: active el inicio de sesión con PIN de conveniencia, habilite Windows Hello para empresas, habilite la biometría, etc., etc., etc. Finalmente encontré la solución.
Las PC de mi empresa son Windows 10 compilación 1809. En su mayoría, Lenovo X1 Yoga y P330 y algunas Surface Pro. Están unidos a un dominio de 2012 R2 y están suscritos a Office 365 para correo electrónico y Office Pro Plus. Tenemos una licencia E3 en Office 365. Cuando un usuario registra las aplicaciones de Office con su propia licencia O365, conecta Windows a su cuenta de trabajo. La desconexión me permitió configurar el PIN y la huella digital. Aquí está cómo hacerlo:
-
Vaya a Configuración de Windows -> Cuentas -> Acceder a trabajo o escuela. los key la configuración es la “Cuenta del trabajo o la escuela” con el colorido logotipo de Windows al lado. Desconecta eso. No toque la configuración “Conectado a cualquier dominio”.
-
Luego haga clic en “Opciones de inicio de sesión”. La huella digital y el PIN ya no aparecen atenuados. Si todavía está atenuado, asegúrese de que el “Inicio de sesión con PIN de conveniencia” esté habilitado.
-
Agregue el PIN, luego la huella digital.
-
Vuelva a “Acceder al trabajo o la escuela” en Configuración -> Cuentas.
-
Haga clic en Conectar e ingrese la dirección de correo electrónico y la contraseña del usuario.
La única política de grupo actualmente en vigor es la configuración “Activar inicio de sesión con PIN de conveniencia” en Políticas, Plantillas administrativas, Sistema, Inicio de sesión. Tenga en cuenta que esto NO es Windows Hello para empresas. Esto sigue siendo solo relleno de contraseñas. Algún día, el inicio de sesión con PIN de conveniencia quedará obsoleto y tendremos que hacerlo de manera segura.