Configurare e registrare Windows Hello for Business nel modello di attendibilità del certificato ibrido

Questo articolo descrive le funzionalità o gli scenari di Windows Hello for Business applicabili a:


Una volta soddisfatti i prerequisiti e convalidate le configurazioni PKI e AD FS, la distribuzione di Windows Hello for Business prevede i passaggi seguenti:

Configurare le impostazioni dei criteri per Windows Hello for Business

Sono necessarie due impostazioni dei criteri per abilitare Windows Hello for Business in un modello di attendibilità del certificato:

Un'altra impostazione facoltativa, ma consigliata, dei criteri è:

Usare le istruzioni seguenti per configurare i dispositivi usando Microsoft Intune o Criteri di gruppo.

È possibile configurare l'impostazione dei criteri Usa Windows Hello for Business nel computer o nel nodo utente di un oggetto Criteri di gruppo:

  • Distribuendo l'impostazione dei criteri del nodo del computer, tutti gli utenti che accedono ai dispositivi di destinazione tentano una registrazione di Windows Hello for Business
  • Distribuendo l'impostazione dei criteri del nodo utente, vengono eseguiti solo gli utenti di destinazione per tentare una registrazione di Windows Hello for Business

Se si distribuiscono le impostazioni dei criteri sia per gli utenti che per i computer, l'impostazione per gli utenti ha la precedenza.

Suggerimento

Usare lo stesso gruppo di sicurezza Utenti di Windows Hello for Business per assegnare le autorizzazioni del modello di certificato per assicurarsi che gli stessi membri possano registrarsi nel certificato di autenticazione di Windows Hello for Business.

Il provisioning di Windows Hello for Business esegue la registrazione iniziale del certificato di autenticazione di Windows Hello for Business. Questo certificato scade in base alla durata configurata nel modello di certificato di autenticazione di Windows Hello for Business.

Il processo non richiede alcuna interazione dell'utente, a condizione che l'utente accinga a usare Windows Hello for Business. Il certificato viene rinnovato in background prima della scadenza.

Per configurare un dispositivo con Criteri di gruppo, usare l'Editor Criteri di gruppo locali. Per configurare più dispositivi aggiunti ad Active Directory, creare o modificare un oggetto Criteri di gruppo e usare le impostazioni seguenti:

Percorso criteri di gruppo Impostazione di Criteri di gruppo Value
Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business
or
Configurazione utente\Modelli amministrativi\Componenti di Windows\Windows Hello for Business
Usa Windows Hello for Business Abilitato
Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business
or
Configurazione utente\Modelli amministrativi\Componenti di Windows\Windows Hello for Business
Usa certificato per l'autenticazione locale Abilitato
Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri chiave pubblica
or
Configurazione utente\Impostazioni di Windows\Impostazioni di sicurezza\Criteri chiave pubblica
Client di Servizi certificati - Registrazione automatica - Selezionare Abilitato dal modello di configurazione
- Selezionare i certificati rinnovati scaduti, aggiornare i certificati in sospeso e rimuovere i certificati revocati
- Selezionare Aggiorna certificati che usano modelli di certificato
Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business Usa un dispositivo di sicurezza hardware Abilitato

Nota

L'abilitazione dell'impostazione Usa un criterio dispositivo di sicurezza hardware è facoltativa, ma consigliata.

I criteri di gruppo possono essere collegati a domini o unità organizzative, filtrati usando gruppi di sicurezza o filtrati tramite filtri WMI.

Suggerimento

Il modo migliore per distribuire l'oggetto Criteri di gruppo di Windows Hello for Business consiste nell'usare il filtro dei gruppi di sicurezza. Solo i membri del gruppo di sicurezza di destinazione eseguiranno il provisioning di Windows Hello for Business, abilitando un'implementazione in più fasi. Questa soluzione consente di collegare l'oggetto Criteri di gruppo al dominio, assicurando che l'ambito dell'oggetto Criteri di gruppo sia limitato a tutte le entità di sicurezza. Il filtro del gruppo di sicurezza garantisce che solo i membri del gruppo globale ricevano e applichino l'oggetto Criteri di gruppo, con conseguente provisioning di Windows Hello for Business.

Se si distribuisce la configurazione di Windows Hello for Business usando Criteri di gruppo e Intune, le impostazioni di Criteri di gruppo hanno la precedenza e le impostazioni di Intune vengono ignorate. Per altre informazioni sui conflitti di criteri, vedere Conflitti di criteri da più origini dei criteri

È possibile configurare altre impostazioni dei criteri per controllare il comportamento di Windows Hello for Business. Per altre informazioni, vedere Impostazioni dei criteri di Windows Hello for Business.

Iscriversi a Windows Hello for Business

Il processo di provisioning di Windows Hello for Business inizia immediatamente dopo il caricamento del profilo utente e prima che l'utente riceva il desktop. Per avviare il processo di provisioning, tutti i controlli dei prerequisiti devono essere superati.

È possibile determinare lo stato dei controlli dei prerequisiti visualizzando il log di amministrazione registrazione dispositivi utente in Registri applicazioni e servizi > di Microsoft > Windows.
Queste informazioni sono disponibili anche usando il dsregcmd.exe /status comando da una console. Per altre informazioni, vedere dsregcmd.

Esperienza utente

Dopo l'accesso di un utente, inizia il processo di registrazione di Windows Hello for Business:

  1. Se il dispositivo supporta l'autenticazione biometrica, all'utente viene richiesto di configurare un movimento biometrico. Questo movimento può essere usato per sbloccare il dispositivo e eseguire l'autenticazione alle risorse che richiedono Windows Hello for Business. L'utente può ignorare questo passaggio se non vuole configurare un movimento biometrico
  2. All'utente viene richiesto di usare Windows Hello con l'account dell'organizzazione. L'utente seleziona OK
  3. Il flusso di provisioning procede alla parte di autenticazione a più fattori della registrazione. Il provisioning informa l'utente che sta tentando attivamente di contattare l'utente tramite la forma configurata di MFA. Il processo di provisioning non procede fino a quando l'autenticazione non riesce, non ha esito negativo o non si verifica un timeout. Un'autenticazione MFA non riuscita o timeout genera un errore e chiede all'utente di riprovare
  4. Dopo l'esito positivo dell'autenticazione a più fattori, il flusso di provisioning chiede all'utente di creare e convalidare un PIN. Questo PIN deve osservare eventuali criteri di complessità del PIN configurati nel dispositivo
  5. La parte restante del provisioning include la richiesta di Windows Hello for Business per una coppia di chiavi asimmetriche per l'utente, preferibilmente dal TPM (o obbligatorio se è impostato in modo esplicito tramite criteri). Dopo aver acquisito la coppia di chiavi, Windows comunica con l'IdP per registrare la chiave pubblica. Al termine della registrazione delle chiavi, il provisioning di Windows Hello for Business informa l'utente che può usare il PIN per accedere. L'utente può chiudere l'applicazione di provisioning e accedere al desktop

Una volta registrata la chiave, Windows crea una richiesta di certificato utilizzando la stessa coppia di chiavi per richiedere un certificato. Windows invia la richiesta di certificato al server AD FS per la registrazione del certificato.

L'autorità di registrazione AD FS verifica che la chiave usata nella richiesta di certificato corrisponda alla chiave registrata in precedenza. Se corrisponde, l'autorità di certificazione AD FS firma la richiesta di certificato utilizzando il certificato dell'agente di registrazione e lo invia all'autorità di certificazione.

Nota

Affinché ADFS possa verificare la chiave usata nella richiesta di certificato, deve essere in grado di accedere all'endpoint https://enterpriseregistration.windows.net .

La CA convalida che il certificato sia firmato dall'autorità di registrazione. Al termine della convalida, rilascia un certificato in base alla richiesta e restituisce il certificato all'autorità di registrazione di AD FS. L'autorità di registrazione restituisce il certificato in Windows, dove installa quindi il certificato nell'archivio certificati dell'utente corrente. Al termine di questo processo, il flusso di lavoro di provisioning di Windows Hello for Business informa l'utente che può usare il PIN per accedere tramite il Centro notifiche.

Nota

L'aggiornamento di Windows Server 2016 KB4088889 (14393.2155) fornisce la registrazione certificato sincrona durante il provisioning del trust certificato ibrido. Con questo aggiornamento, gli utenti non devono attendere che Microsoft Entra Connect sincronizzi la chiave pubblica in locale. Gli utenti registrano il certificato durante il provisioning e possono usare il certificato per l'accesso immediatamente dopo aver completato il provisioning. L'aggiornamento deve essere installato nei server federativi.

Diagrammi di sequenza

Per comprendere meglio i flussi di provisioning, esaminare i diagrammi di sequenza seguenti in base al tipo di autenticazione e join del dispositivo:

Per comprendere meglio i flussi di autenticazione, esaminare il diagramma di sequenza seguente: