Не удается отключить обязательное использование Windows Hello для учетных записей Microsoft

Содержание

Вопрос или проблема
Ответ или решение
Теория
Пример
Применение

Вопрос или проблема

Мне нужно запустить сервис от имени моей локальной учетной записи, которая также является учетной записью Microsoft. В настройках я как-то включил опцию “Для повышения безопасности разрешить вход только через Windows Hello для учетных записей Microsoft на этом устройстве (рекомендуется)”. Рядом есть переключатель, но когда я его выключаю и обновляю страницу, он снова включен. Я не могу найти групповую политику, которая это навязывает, и она не заблокирована, как другие настройки, закрепленные групповой политикой. Я попытался вручную изменить соответствующую настройку реестра, но она уже была отключена (ноль):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device]
"DevicePasswordLessBuildVersion"=dword:00000000

Как я могу отключить эту настройку, чтобы использовать пароль с нужным мне Windows-сервисом? Windows 11 Education 23H2 22631.4751

Ответ или решение

Теория

Вопрос о невозможности отключения функции "Windows Hello для учетных записей Microsoft" – это проблема, с которой сталкиваются многие пользователи Windows 11. Данная функция обусловлена повышением уровня безопасности, требуя аутентификацию с использованием биометрических данных или PIN-кодов вместо простых паролей. Windows Hello интегрируется с Microsoft Accounts для обеспечения более безопасного доступа к устройству, и в рамках определенных версий, таких как Windows 11 Education, могут существовать дополнительные уровни строгих политик.

Однако существуют ситуации, когда необходимо вернуться к классическому способу аутентификации, чтобы обеспечить совместимость с определенными приложениями или службами. Например, ваше требование запустить службу от имени локальной учетной записи, которая также является учетной записью Microsoft, может быть причиной такой необходимости.

Пример

Рассмотрев ваши действия, вы пытались отключить данный параметр через пользовательский интерфейс системы и редактор реестра. Вы изменили значение в реестре, чтобы деактивировать механизм PasswordLess (безпарольного входа):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PasswordLess\Device]
"DevicePasswordLessBuildVersion"=dword:00000000

Тем не менее, даже после изменения указанной записи в реестре и отключения опции в настройках Windows, проблема осталась нерешенной. Это указывает на возможность существования дополнительных политик безопасности, которые контролируются не только через конфигурацию системы, но и через серверные политики или настройки Azure AD, если ваш девайс связан с корпоративной сетью или учебным заведением.

Применение

Вот пошаговое руководство, которое может помочь вам обойти это ограничение:

Проверка соответствия с Azure AD или групповыми политиками:
- Убедитесь, что устройство не связано с Azure Active Directory (AAD) или доменом, где могут применятся дополнительные политики безопасности. Если ваше устройство связывается с Azure AD, возможно, что некоторые корпоративные политики предотвращают изменение данного параметра.
Использование локальной учетной записи:
- Если применение Microsoft Account не критично, создайте локальную учетную запись администратора и попробуйте запустить нужную службу от ее имени. Это не только обойдет ограничение, но и может упростить тестирование и отладку ваших служб.
Редактор локальной групповой политики:
- Откройте редактор групповой политики (gpedit.msc) и проверьте следующие параметры:
  - Компьютерная конфигурация > Административные шаблоны > Система > Вход в систему.
  - Параметры, связанные с ограничениями входа, могут включать политики, связанные с Windows Hello и безпарольной аутентификацией.
Хотя указанные параметры могут не присутствовать в редакторе локальных групповых политик на вашей системе (особенно в версиях Education), всегда стоит проверить наличие подобных настроек.
Настройки безопасности учетной записи Microsoft:
- Зайдите в настройки безопасности вашей учетной записи Microsoft через веб-интерфейс и проверьте наличие дополнительных методов аутентификации или связанных с этим политики безопасности.
Возврат к предыдущей версии:
- Если ничего не помогает, и вам необходимо срочно решить проблему, можете рассмотреть вариант возврата к предыдущей версии Windows, которая не имела данного ограничения, если это, конечно, оправдано в долгосрочной перспективе.

Эти шаги могут оказаться полезными, но в конечном счете, решение вашей проблемы может зависеть от специфики настроек вашей операционной системы и ее взаимодействия с доменными политиками или политиками AAD. Если проблема остается нерешенной, рекомендую обратиться в техническую поддержку Microsoft для получения более детальных рекомендаций в контексте вашей конкретной конфигурации.