(5 vote(s), 
Loading...Lorsque vous insérez une machine Windows 10 dans votre domaine Active Directory certains paramètres se grisent, c'est le cas de la gestion des empreintes digitales dans le composant Windows Hello.
Le message suivant est alors affiché :
"Certains paramètres sont gérés par votre entreprise"
Voyons comment ceci proprement pour toutes les versions de Windows 10, y compris pour la toute dernière version "1703".
Méthode sale via le registre
Vous n'avez pas envie de créer une GPO mais profiter du paramètre sur un PC en particulier ? Alors cette méthode (sale) est faite pour vous.
Saisir en invite de commande administrateur :
REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows\System /v AllowDomainPINLogon /t REG_DWORD /d 1
Redémarrer la machine.
Si vous aimez faire les choses proprement alors choisissez la méthode GPO qui suit.
Importer les modèles admx de Windows 10 / Server 2016
Pour gérer ce paramètre à travers une GPO nous devons ajouter des modèles d'administration (template) pour l'éditeur de stratégie de groupes (GPO editor).
Les template admx pour Windows 10 1703 ne sont pas encore disponibles, mais ceux de la version précédente fonctionnent sans problème.
Téléchargez et installez le pack "Windows 10 and Windows Server 2016 (version 2.0)" :
https://www.microsoft.com/fr-FR/download/details.aspx?id=53430
Rappel : une synthèse des fichiers admx est disponible ici.
Installez le pack sur une machine quelconque en Windows 7 ou 10, afin ne pas polluer votre DC.
Par défaut les fichiers template sont installés dans :
C:\Program Files (x86)\Microsoft Group Policy\Windows 10 and Windows Server 2016 (Version 2.0)\PolicyDefinitions
Nous avons besoin de copier ces 3 modèles :
| Fichier | Copier dans |
|---|---|
| CredentialProviders.admx | \\societe.local\SYSVOL\societe.local\Policies\PolicyDefinitions |
| login.admx | \\societe.local\SYSVOL\societe.local\Policies\PolicyDefinitions |
| passport.admx | \\societe.local\SYSVOL\societe.local\Policies\PolicyDefinitions |
| fr-fr\login.adml | \\societe.local\SYSVOL\societe.local\Policies\PolicyDefinitions\fr-fr |
| fr-fr\CredentialProviders.admx | \\societe.local\SYSVOL\societe.local\Policies\PolicyDefinitions\fr-fr |
| fr-fr\passport.admx | \\societe.local\SYSVOL\societe.local\Policies\PolicyDefinitions\fr-fr |
Je vous conseille d'utiliser le compte admin du domaine pour réaliser cette opération afin d'éviter tout problème de permission.
note : j'ai utilisé uniquement les templates en français "fr-fr", à vous de choisir d'autres langues si nécessaire, cela ne concernera que l'affichage dans l'éditeur GPO, l'impact est donc mineur.
Création de la GPO
Créez une nouvelle GPO dans l'éditeur de gestion des stratégies de groupe , par exemple dans l'OU qui contient les ordinateurs portables.
Lui donner un nom explicite, par exemple "Win10_Hello_For_Business" puis clic droit > modifier.
Rendez-vous dans :
Configuration ordinateur \ Stratégies \ Modèles d'administration \ Système \ Ouverture de session
Sur le paramètre "Activer la connexion par le code PIN d'usage" choisir "activé" :
C'est tout.
Les paramètres concernant Windows Hello for Business peuvent rester sur "non configuré" :
Toute, rien ne vous empêche de les utiliser pour personnaliser la complexité du code PIN.
En effet, l'utilisation d'une empreinte digitale implique la création d'un code PIN en solution de secours.
Application de la GPO
Vous pouvez forcer la mise à jour via l'invite de commande :
gpupdate /force /boot
Sachez que plusieurs redémarrages peuvent s'avérer nécessaires avant que cette GPO s'applique sur le poste client.
Attention au code PIN
Attention car avec cette méthode vos utilisateurs risquent de générer des appels de support pour cause de perte de code PIN... cela n'a rien de méchant car ils peuvent toujours utiliser leur identifiant AD et mot de passe.
Note : l'option Hello n'est pas configurable en bureau à distance (RDP), le message "Windows Hello n'est pas disponible sur cet appareil" sera affiché. Vous devez être physiquement connecté sur la machine pour voir l'option.
10 commentaires
Ah super !
Pour ma part en modification la clé de registre sur mon poste, cela ne fonctionne pas.
Du coup j'ai suivi l'installation des ADMX et de la GPO, et ça fonctionne correctement 🙂
Par contre il ne s'agit pas de Login.admx/adml mais de Logon.admx/adml.
@Fpetit: une petite erreur s'était glissée dans la ligne pour le registre, c'est corrigé (un "1" à supprimer à la fin du nom de la clé)
J'ai aussi corrigé login en logon, merci de l'avoir vu 🙂
@Mr Xhark:
je me suis fait avoir aussi par le post, ça semble passer sans le 1 !
y a possibilité de corriger pour les prochains ? 🙂
@Overcrash: c'est corrigé, j'avais un petit souci de cache qui est réglé, merci de l'avoir signalé 🙂
Bonjour,
J'ai Windows 10 édition Famille 64 bits v1703 sur mon PC (ce n'est pas un PC de marque, mais un PC assemblé de A à Z). J'ai acheté un petit lecteur d'empreinte digitale compatible Windows Hello et l'ai connecté en USB.
Windows a immédiatement reconnu l'appareil et installé un pilote pour l'appareil (visible dans le Gestionnaire de périphériques).
Malheureusement, quand je fais Démarrer > Paramètres > Comptes > Options de connexion, il m'affiche en jaune "*Des paramètres sont masqués ou gérés par votre organisation."
Windows Hello apparait bel et bien, mais il est indiqué en dessous "Windows Hello n'est pas disponible sur cet appareil."
J'ai voulu suivre vos méthodes:
- La première, la méthode sale par le Registre, corrigée, puis PC redémarré ne donne rien.
- La seconde, l'importation des modèles ADMX, je bloque sur un détail:
Il faut déplacer des fichiers et des dossiers à un endroit:
\\societe.local\SYSVOL\societe.local\Policies\PolicyDefinitions
Ou çà se trouve exactement ?
Note, je ne suis pas sûr que mon PC gère les stratégies de groupe...
Merci.
@JMPCOMPUTER: bonjour, si votre PC est dans un contexte d'entreprise (domaine active directory) rapprochez-vous du service informatique
Je reviens vers vous car je ne peux pas éditer mon précédent message et je suis obligé d'attendre une réponse avant de poster à nouveau.
A l'intention de Mr Xhark: Non, il s'agit d'un PC (non portable) à la maison, à usage personnel.
Je ne sais pas si la méthode sale a fonctionné ou non. En fait, j'ai copié/collé le lien dans une fenêtre CMD en tant qu'administrateur sans modifier quoi que ce soit, puis j'ai lu le commentaire de Mr Xhark et j'ai été directement dans le Registre pour changer la donnée 1 par 0.
Cela n'a apparemment rien changé... (je ne sais pas).
Ensuite, j'ai voulu essayer la deuxième méthode (sans supprimer la clé de Registre de la première méthode), mais impossible de savoir ou envoyer les fichiers et dossiers indiqués, d'où mon premier message.
Depuis, j'ai utilisé un outil que vous connaissez peut-être: O&O ShutUp10.
Cet outil affiche - en français - des paramètres activés ou désactivés. Seul défaut de cet excellent outil: On n'est pas sûr de ce qu'on fait car l'affichage est assez troublant. Je compte faire un tuto sur mon blog pour tenter d'éclaircir ce point.
En attendant, j'ai recherché et trouvé un paramètre qui se nome "Caractéristiques biométriques désactivé" (dans la partie Intimité). J'ai cliqué dessus pour le passer en vert (il était rouge), puis j'ai créé un point de restauration, retourné dans les paramètres (sans changements). Enfin, j'ai cliqué à nouveau sur le même paramètre pour le repasser en rouge et maintenant, le bouton [Configurer] de Windows Hello apparait.
J'ai pu enregistrer des empreintes digitales pour démarrer mon PC avec mon appareil.
Je vous invite malgré tout à indiquer aux futurs utilisateurs ou copier ces fameux fichiers (le chemin complet) dans votre tutoriel.
Merci.
Je rame depuis quelques jours car la boîte de dialogue de configuration me disait que Windows Hello n'est pas disponible.
C'était consécutif à une restauration d'image de disque.
À la suite de ça j'ai réinstallé les programmes installés depuis la sauvegarde.
Mais pour la taille des caractères je ne me rappelais pas très bien. Une recherche m'a mené sur Alternate FontSizer.
Il s'avère que c'est ce programme qui est incompatible avec Windows Hello.
Pour cet usage je vous conseille d'aller voir sur le site WinTools.info
Bonjour,
Pour activer HELLO sur Windows 10 de la façon la plus "Sale" via Regedit, le chemin a changé :
Ouvrir Regedit (Toujours Sauvegarder la base avant toute modif) et dans :
Faire Nouveau : AllowDomainPINLogon en REG_DWORD (32) et passer le Bit à 1
Merci à Mr Xhark
@Gonna: au plaisir, merci pour l'info