Windows Hello disabilitato con Windows 10 (Version 1607,1703,1803) in dominio

Dalla versione 1607 di Windows 10, Microsoft ha cambiato il modo in cui gestisce l’impostazione del PIN e della biometria nei computer joinati ad un dominio di Active Directory. Nei computer, ad esempio il Surface Pro 4 che ha il riconoscimento facciale e il PIN con la funzione di Windows Hello, facendo l’upgrade alle versioni 1607 o 1703 l’utente non sarà più in grado di impostare i settaggi relativi alla biometria e all’accesso col PIN. Infatti se si apre la pagina sotto Impostazioni – Account – Opzioni d’accesso si potrà notare che alcuni settaggi sono in grigetto e una dicitura in rosso comunica che “alcune impostazioni sono gestite dalla vostra organizzazione” (Vedi figura qui sotto). Con account locale invece è tutto sbloccato.

 

Per poter gestire queste funzionalità l’amministratore di rete deve abilitare alcune Group Policy dal Domain controller.

  • Se non lo si è già fatto, importare gli ADMX files aggiornati di Windows 10 nell’archivio centrale, cartella PolicyDefinitions, del DC nel percorso \\miodominio\SYSVOL\miodominio\Policies, fare riferimento all’articolo “Download the new ADMX Templates 1803” su Technet.
  • Creare una nuova GPO o aggiungere ad una esistente i seguenti settaggi in Computer Configuration/Policies/Administrative Templates..

    –> …/System/Logon/ Turn on convenience PIN sign-in => Enabled
    –> …/Windows Components/Biometrics/ Allow domain users to log on using biometrics => Enabled
    –> …/Windows Components/Windows Hello For Business/ Use biometrics => Enabled

Faccio presente che, per i computer Upgradati alla versione 1607 con le funzionalità già abilitate prima dell’upgrade, possono comunque accedere tramite PIN, cambiarlo, resettarlo o cancellarlo.