如何通過 GPO 在加入域的 Windows 10 Creators 中啟用指紋登錄？

我想使用 GPO 啟用指紋登錄。我安裝了 Windows 10 1703 (Creators) ADMX 文件。

首先，我讀到“電腦/策略/管理模板/系統/登錄”中的“打開便利 PIN 登錄”是必需的……這是真的嗎？如果是這樣，這似乎很荒謬……我知道使用者的域密碼必須在本地加密才能將指紋轉換為密碼，但是，我不想允許密碼登錄。如果使用者的指紋登錄不起作用，我寧願恢復為密碼登錄，而不是一個非常容易破解的密碼。

其次，我讀到一些使用者建議將 pin 複雜性要求設置得非常高，以糾正 4 或 6 位 pin 訪問的白痴。這些設置曾經存在於“電腦/策略/管理模板/Windows 組件/Windows Hello for Business”下，但 Windows 10 Creators ADMX 文件已刪除此選項？？！？！？！

更新：看起來“​​Pin Complexity”已移至系統下……不過，為什麼必須啟用 pin 才能使生物辨識功能正常工作，而手動輸入密碼始終可用？

我通過在 GPO 中更改以下內容來完成這項工作：

1. 我啟用了“打開便利 PIN 登錄”
2. 我為引腳設置了荒謬的複雜性要求

3. 我為每個指紋使用者隨機生成了一個 20 個字元的 PIN，並讓他們將 PIN 設置為此，立即忘記 PIN 並且不分發它。

我仍然不明白為什麼需要任何 PIN，因為即使在上述情況下，微軟表示需要 PIN 以防手指損壞……您仍然可以輸入密碼……

這似乎仍然是一個主要的安全漏洞，僅需要 PIN 前門/後門才能使用生物辨識技術……

引用自：https://serverfault.com/questions/858565