Table of contents
TOC
Comprimi il sommario
Espandi il sommario

Implementare Windows Hello for Business nell'organizzazione

J. Decker|Ultimo aggiornamento: 22/12/2016
|
1 Collaboratore

Si applica a

  • Windows 10
  • Windows 10 Mobile

Puoi creare Criteri di gruppo o criteri di gestione dei dispositivi mobili (MDM) che consentono di implementare Windows Hello nei dispositivi che eseguono Windows 10.

Importante

L'impostazione di Criteri di gruppo Attiva accesso con PIN non si applica a Windows Hello for Business. Usa l'impostazione Attiva accesso con PIN per consentire o impedire l'uso di un PIN per Windows 10, versioni 1507 1511 e 1607.

A partire dalla versione 1607, Windows Hello dispone di un PIN che è disabilitato per impostazione predefinita in tutti i computer aggiunti al dominio. Per abilitare un PIN per Windows 10 versione 1607, abilita l'impostazione di Criteri di gruppo Attiva accesso con PIN. Per altre informazioni, vedi il post di blog relativo alle modifiche del comportamento per i PIN/Windows Hello in Windows 10 versione 1607.

Usa le impostazioni dei criteri di Windows Hello for Business per gestire i PIN per Windows Hello for Business.

Impostazioni di Criteri di gruppo per Windows Hello for Business

La tabella seguente elenca le impostazioni di Criteri di gruppo che puoi configurare per l'uso di Hello nella rete aziendale. Queste impostazioni sono disponibili sia in Configurazione utente che in Configurazione computer in Criteri > Modelli amministrativi > Componenti di Windows > Microsoft Passport for Work.

CriterioOpzioni
Usare Windows Hello per le aziende

Non configurato: gli utenti possono effettuare il provisioning di Windows Hello for Business, che crittografa la password di dominio.

Abilitato: il dispositivo effettua il provisioning di Windows Hello for Business tramite chiavi o certificati per tutti gli utenti.

Disabilitato: il dispositivo non effettua il provisioning di Windows Hello for Business per nessun utente.

Usa un dispositivo di sicurezza hardware

Non configurato: il provisioning di Windows Hello for Business verrà effettuato tramite TPM, se disponibile, e verrà eseguito tramite software se TPM non è disponibile.

Abilitato: il provisioning di Windows Hello for Business verrà effettuato solo con TPM.

Disabilitato: il provisioning di Windows Hello for Business verrà effettuato tramite TPM, se disponibile, e verrà eseguito tramite software se TPM non è disponibile.

Usa biometria

Non configurato: la biometria può essere usata come gesto al posto di un PIN.

Abilitato: la biometria può essere usata come gesto al posto di un PIN.

Disabilitato: solo un PIN può essere usato come gesto.

Complessità PINRichiedi numeri

Non configurato: gli utenti devono includere un numero nel PIN.

Abilitato: gli utenti devono includere un numero nel PIN.

Disabilitato: gli utenti non possono usare numeri nel PIN.

Richiedi lettere minuscole

Non configurato: gli utenti non possono usare lettere minuscole nel PIN.

Abilitato: gli utenti devono includere almeno una lettera minuscola nel PIN.

Disabilitato: gli utenti non possono usare lettere minuscole nel PIN.

Lunghezza massima PIN

Non configurato: la lunghezza del PIN deve essere minore o uguale a 127.

Abilitato: la lunghezza del PIN deve essere minore o uguale al numero specificato.

Disabilitato: la lunghezza del PIN deve essere minore o uguale a 127.

Lunghezza minima PIN

Non configurato: la lunghezza del PIN deve essere maggiore o uguale a 4.

Abilitato: la lunghezza del PIN deve essere maggiore o uguale al numero specificato.

Disabilitato: la lunghezza del PIN deve essere maggiore o uguale a 4.

Scadenza

Non configurato: non è prevista alcuna scadenza per il PIN.

Abilitato: il PIN può essere impostato per la scadenza dopo qualsiasi numero di giorni compreso tra 1 e 730 oppure in modo da non avere alcuna scadenza impostando il criterio su 0.

Disabilitato: non è prevista alcuna scadenza per il PIN.

Cronologia

Non configurato: i PIN precedenti non sono memorizzati.

Abilitato: specificare il numero di PIN precedenti associati a un account utente che non possono essere riutilizzati.

Disabilitato: i PIN precedenti non sono memorizzati.

Nota Il PIN corrente è incluso nella cronologia dei PIN.
Richiedi caratteri speciali

Non configurato: gli utenti non possono includere un carattere speciale nel PIN.

Abilitato: gli utenti devono includere almeno un carattere speciale nel PIN.

Disabilitato: gli utenti non possono includere un carattere speciale nel PIN.

Richiedi lettere maiuscole

Non configurato: gli utenti non possono includere una lettera maiuscola nel PIN.

Abilitato: gli utenti devono includere almeno una lettera maiuscola nel PIN.

Disabilitato: gli utenti non possono includere una lettera maiuscola nel PIN.

Accesso al telefono

Usare l'accesso tramite telefono

Nota Si applica solo ai desktop. L'accesso telefonico è attualmente limitato a partecipanti del programma TAP (Technology Adoption Program) selezionati.

Non configurato: l'accesso tramite telefono è disabilitato.

Abilitato: gli utenti possono usare un dispositivo portatile registrato come dispositivo complementare per l'autenticazione desktop.

Disabilitato: l'accesso tramite telefono è disabilitato.

Impostazioni dei criteri MDM per Windows Hello for Business

La tabella seguente elenca le impostazioni dei criteri MDM che puoi configurare per l'uso di Windows Hello for Business nella rete aziendale. Queste impostazioni dei criteri MDM usano il provider di servizi di configurazione PassportForWork.

Importante

A partire da Windows 10 versione 1607, tutti i dispositivi hanno solo un PIN associato a Windows Hello for Business. Ciò significa che tutti i PIN di un dispositivo saranno soggetti ai criteri specificati dal provider di servizi di configurazione PassportForWork. I valori specificati hanno la precedenza su eventuali regole di complessità impostate tramite Exchange ActiveSync o il provider di servizi di configurazione DeviceLock.

CriterioAmbitoImpostazione predefinitaOpzioni
UsePassportForWorkDispositivoTrue

Verrà effettuato il provisioning di Windows Hello for Business per tutti gli utenti del dispositivo.

Gli utenti non saranno in grado di effettuare il provisioning di Windows Hello for Business.

Nota Se Windows Hello for Business è abilitato e in seguito il criterio viene impostato su False, gli utenti che hanno configurato Windows Hello for Business in precedenza possono continuare a usarlo, ma non potranno configurare Windows Hello for Business su altri dispositivi.
RequireSecurityDeviceDispositivoFalse

True: il provisioning di Windows Hello for Business verrà effettuato solo con TPM.

False: il provisioning di Windows Hello for Business verrà effettuato tramite TPM, se disponibile, e verrà eseguito tramite software se TPM non è disponibile.

Biometria

UseBiometrics

Dispositivo False

True: la biometria può essere usata come gesto al posto di un PIN per l'accesso al dominio.

False: solo un PIN può essere usato come gesto per l'accesso al dominio.

FacialFeaturesUser

EnhancedAntiSpoofing

DispositivoNon configurato

Non configurato: gli utenti possono scegliere se attivare l'anti-spoofing avanzato.

True: l'anti-spoofing avanzato è obbligatorio nei dispositivi che lo supportano.

False: gli utenti non possono attivare l'anti-spoofing avanzato.

PINComplexity
Cifre Dispositivo o utente2

1: i numeri non sono consentiti.

2: è obbligatorio almeno un numero.

Lettere minuscole Dispositivo o utente1

1: le lettere minuscole non sono consentite.

2: è obbligatoria almeno una lettera minuscola.

Lunghezza massima PIN Dispositivo o utente127

La lunghezza massima che può essere impostata è 127. La lunghezza massima non può essere minore dell'impostazione minima.

Lunghezza minima PINDispositivo o utente4

La lunghezza minima che può essere impostata è 4. La lunghezza minima non può essere maggiore dell'impostazione massima.

Scadenza Dispositivo o utente0

Valore intero che specifica il periodo di tempo (in giorni) per cui un PIN può essere usato prima che il sistema richieda all'utente di modificarlo. Il numero massimo che puoi configurare per questa impostazione è 730. Il numero minimo che puoi configurare per questa impostazione è 0. Se questo criterio è impostato su 0, il PIN dell'utente non avrà alcuna scadenza.

CronologiaDispositivo o utente0

Valore intero che specifica il numero di PIN precedenti associati a un account utente che non possono essere riutilizzati. Il numero massimo che puoi configurare per questa impostazione è 50. Il numero minimo che puoi configurare per questa impostazione è 0. Se questo criterio è impostato su 0, la memorizzazione dei PIN precedenti non è obbligatoria.

Caratteri specialiDispositivo o utente1

1: i caratteri speciali non sono consentiti

2: è obbligatorio almeno un carattere speciale

Lettere maiuscoleDispositivo o utente1

1: le lettere maiuscole non sono consentite.

2: è obbligatoria almeno una lettera maiuscola

Remoto

UseRemotePassport

Nota Si applica solo ai desktop. L'accesso telefonico è attualmente limitato a partecipanti del programma TAP (Technology Adoption Program) selezionati.
Dispositivo o utenteFalse

True: Accesso al telefono è abilitato.

False: Accesso al telefono è disabilitato.

Nota

Se per i criteri non è configurato l'obbligo esplicito di usare lettere o caratteri speciali, gli utenti potranno creare solo PIN numerici.

Prerequisiti

Per impostare i criteri di Windows Hello for Business nell'organizzazione è necessario questo software.

Modalità Windows Hello for BusinessAzure ADAzure AD/AD ibrida (disponibile con la versione di produzione di Windows Server 2016)
Autenticazione basata su chiaveSottoscrizione Azure AD
Autenticazione basata su certificati

Configuration Manager e MDM offrono la possibilità di gestire i criteri di Windows Hello for Business e di distribuire e gestire i certificati protetti da Windows Hello for Business.

Azure AD consente di registrare i dispositivi con l'organizzazione e di eseguire il provisioning di Windows Hello for Business per gli account dell'organizzazione.

Altre informazioni sull'abilitazione di Windows Hello for Business in un ambiente ibrido Azure AD/AD.

Windows Hello per BYOD

Windows Hello può essere gestito nei dispositivi personali usati dai dipendenti per scopi di lavoro con MDM. Nei dispositivi personali, gli utenti possono creare un PIN Windows Hello personale per sbloccare il dispositivo e usare questo PIN per l'accesso alle risorse aziendali.

Il PIN viene gestito con gli stessi criteri di Windows Hello for Business che puoi usare per gestire Windows Hello for Business nei dispositivi di proprietà dell'organizzazione. Il PIN può essere gestito anche con il criterio DeviceLock. I criteri DeviceLock possono essere usati per controllare i requisiti di lunghezza, complessità, cronologia e scadenza e possono essere configurati tramite il provider di servizi di configurazione dei criteri.

Argomenti correlati

La biometria di Windows Hello in ambiente aziendale

Perché il PIN è meglio di una password

Gestire la verifica dell'identità con Windows Hello for Business

Abilitare l'accesso telefonico al PC o alla VPN

Preparare gli utenti a usare Windows Hello

Windows Hello e modifiche delle password

Errori di Windows Hello durante la creazione di PIN

ID evento 300: creazione di Windows Hello completata

La biometria di Windows Hello in ambiente aziendale

© 2017 Microsoft