impostazioni Windows Hello for Business in Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Configuration Manager si integra con Windows Hello for Business. Questa funzionalità era precedentemente nota come Microsoft Passport for Work. Windows Hello for Business è un metodo di accesso alternativo per i dispositivi Windows 10. Usa Active Directory o un account Microsoft Entra per sostituire una password, una smart card o una smart card virtuale. Hello for Business consente di usare un movimento utente per accedere anziché una password. Un movimento dell'utente può essere un PIN, un'autenticazione biometrica o un dispositivo esterno, ad esempio un lettore di impronte digitali.

Importante

A partire dalla versione 2203, questa funzionalità di accesso alle risorse aziendali non è più supportata. Per altre informazioni, vedere Domande frequenti sulla deprecazione dell'accesso alle risorse.

Active Directory Federation Services distribuzione di ADFS RA (Registration Authority) è più semplice, offre un'esperienza utente migliore e offre un'esperienza di registrazione dei certificati più deterministica. Usare ADFS RA per l'autenticazione basata su certificati con Windows Hello for Business.

Per ulteriori informazioni, vedere Windows Hello for Business.

Nota

Configuration Manager non abilita questa funzionalità facoltativa per impostazione predefinita. È necessario abilitare questa funzionalità prima di usarla. Per altre informazioni, vedere Abilitare le funzionalità facoltative dagli aggiornamenti.

Configuration Manager si integra con Windows Hello for Business nei modi seguenti:

  • Controllare quali movimenti gli utenti possono e non possono usare per accedere.

  • Archiviare i certificati di autenticazione nel provider di archiviazione chiavi (KSP) Windows Hello for Business. Per altre informazioni, vedere Profili certificato.

  • Creare e distribuire un profilo di Windows Hello for Business per controllarne le impostazioni nei dispositivi Windows 10 aggiunti al dominio che eseguono il client Configuration Manager. A partire dalla versione 1910, non è possibile usare l'autenticazione basata su certificato. Quando si usa l'autenticazione basata su chiave, non è necessario distribuire un profilo certificato.

Configurare un profilo

  1. Nella console di Configuration Manager passare all'area di lavoro Asset e conformità. Espandere Impostazioni di conformità, Accesso alle risorse aziendali e selezionare il nodo Profili Windows Hello for Business.

  2. Nella barra multifunzione selezionare Crea Windows Hello for Business profilo per avviare la procedura guidata del profilo.

  3. Nella pagina Generale specificare un nome e una descrizione facoltativa per questo profilo.

  4. Nella pagina Piattaforme supportate selezionare le versioni del sistema operativo a cui deve essere applicato questo profilo.

  5. Nella pagina Impostazioni configurare le impostazioni seguenti:

    • Configura Windows Hello for Business: specificare se questo profilo abilita, disabilita o non configura Hello for Business.

    • Usare un modulo TPM (Trusted Platform Module): un TPM offre un livello aggiuntivo di sicurezza dei dati. Scegliere uno dei seguenti valori:

      • Obbligatorio: solo i dispositivi con un TPM accessibile possono effettuare il provisioning Windows Hello for Business.

      • Preferito: i dispositivi tentano innanzitutto di usare un TPM. Se non è disponibile, possono usare la crittografia software.

    • Metodo di autenticazione: impostare questa opzione su Non configurato o Basato su chiave.

      Nota

      A partire dalla versione 1910, l'autenticazione basata su certificati con le impostazioni Windows Hello for Business in Configuration Manager non è supportata.

    • Configurare la lunghezza minima del PIN: se si vuole richiedere una lunghezza minima per il PIN dell'utente, abilitare questa opzione e specificare un valore. Se abilitato, il valore predefinito è 4.

    • Configurare la lunghezza massima del PIN: se si vuole richiedere una lunghezza massima per il PIN dell'utente, abilitare questa opzione e specificare un valore. Se abilitato, il valore predefinito è 127.

    • Richiedi scadenza PIN (giorni):specifica il numero di giorni prima che l'utente debba modificare il PIN del dispositivo.

    • Impedisci il riutilizzo dei PIN precedenti: non consentire agli utenti di usare i PIN usati in precedenza.

    • Richiedi lettere maiuscole nel PIN: specifica se gli utenti devono includere lettere maiuscole nel PIN Windows Hello for Business. Scegliere tra:

      • Consentito: gli utenti possono usare caratteri maiuscoli nel PIN, ma non è necessario.

      • Obbligatorio: gli utenti devono includere almeno un carattere maiuscolo nel PIN.

      • Non consentito: gli utenti non possono usare caratteri maiuscoli nel PIN.

    • Richiedi lettere minuscole nel PIN: specifica se gli utenti devono includere lettere minuscole nel PIN Windows Hello for Business. Scegliere tra:

      • Consentito: gli utenti possono usare caratteri minuscoli nel PIN, ma non è necessario.

      • Obbligatorio: gli utenti devono includere almeno un carattere minuscolo nel PIN.

      • Non consentito: gli utenti non possono usare caratteri minuscoli nel PIN.

    • Configura caratteri speciali: specifica l'uso di caratteri speciali nel PIN. Scegliere tra:

      Nota

      I caratteri speciali includono il set seguente:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
      
      • Consentito: gli utenti possono usare caratteri speciali nel PIN, ma non è necessario.

      • Obbligatorio: gli utenti devono includere almeno un carattere speciale nel PIN.

      • Non consentito: gli utenti non possono usare caratteri speciali nel PIN. Questo comportamento si verifica anche se l'impostazione non è configurata.

    • Configurare l'uso delle cifre nel PIN: specifica l'uso dei numeri nel PIN. Scegliere tra:

      • Consentito: gli utenti possono usare i numeri nel PIN, ma non è necessario.

      • Obbligatorio: gli utenti devono includere almeno un numero nel PIN.

      • Non consentito: gli utenti non possono usare i numeri nel PIN.

    • Abilita movimenti biometrici: usare l'autenticazione biometrica, ad esempio il riconoscimento facciale o l'impronta digitale. Queste modalità sono un'alternativa a un PIN per Windows Hello for Business. Gli utenti continuano a configurare un PIN nel caso in cui l'autenticazione biometrica non riesca.

      Se impostato su , Windows Hello for Business consente l'autenticazione biometrica. Se impostato su No, Windows Hello for Business impedisce l'autenticazione biometrica per tutti i tipi di account.

    • Usare l'anti-spoofing avanzato: configura l'anti-spoofing avanzato nei dispositivi che lo supportano. Se impostato su , se supportato, Windows richiede a tutti gli utenti di usare l'anti-spoofing per le funzionalità del viso.

    • Usare l'accesso tramite telefono: configura l'autenticazione a due fattori con un telefono cellulare.

  6. Completare la procedura guidata.

Lo screenshot seguente è un esempio di Windows Hello for Business impostazioni del profilo:

Windows Hello for Business Procedura guidata Criteri, che mostra l'elenco delle impostazioni disponibili

Configurare le autorizzazioni

  1. Come amministratore di dominio o credenziali equivalenti, accedere a una workstation amministrativa sicura con la funzionalità facoltativa seguente installata: RSAT: Active Directory Domain Services e Lightweight Directory Services Tools.

  2. Aprire la console Utenti e computer di Active Directory.

  3. Selezionare il dominio, passare al menu Azioni e selezionare Proprietà.

  4. Passare alla scheda Sicurezza e selezionare Avanzate.

    Consiglio

    Se la scheda Sicurezza non è visualizzata, chiudere la finestra delle proprietà. Passare al menu Visualizza e selezionare Funzionalità avanzate.

  5. Selezionare Aggiungi.

  6. Scegliere Seleziona un'entità e immettere Key Admins.

  7. Nell'elenco Si applica a selezionare Oggetti utente discendente.

  8. Nella parte inferiore della pagina selezionare Cancella tutto.

  9. Nella sezione Proprietà selezionare Read msDS-KeyCredentialLink.In the Properties section, select Read msDS-KeyCredentialLink.

  10. Selezionare OK per salvare le modifiche e chiudere tutte le finestre.

Passaggi successivi

Profili certificato