Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Windows Hello for Business è ideale per gli Information Worker che hanno il proprio PC Windows designato. Le credenziali biometriche e PIN sono direttamente associate al PC dell'utente, impedendo l'accesso a chiunque non sia il proprietario. Con l'integrazione dell'infrastruttura a chiave pubblica (PKI) e il supporto predefinito per l'accesso Single Sign-On (SSO), Windows Hello for Business offre un metodo pratico per accedere facilmente alle risorse aziendali in locale e nel cloud.
Come funziona l'accesso tramite autenticazione di Windows Hello aziendale in Microsoft Entra ID
I passaggi seguenti illustrano come funziona il processo di accesso con Microsoft Entra ID:
- Un utente accede a Windows usando dati biometrici o PIN basati sul movimento della mano. Il movimento sblocca la chiave privata di Windows Hello for Business e viene inviato al provider di supporto per la sicurezza dell'autenticazione cloud, denominato Cloud Authentication Provider (CloudAP). Per altre informazioni su CloudAP, vedere Che cos'è un token di aggiornamento primario?.
- CloudAP richiede un nonce (un numero arbitrario casuale che può essere usato una sola volta) da Microsoft Entra ID.
- Microsoft Entra ID restituisce un nonce valido per 5 minuti.
- CloudAP firma il nonce usando la chiave privata dell'utente e restituisce il nonce firmato a Microsoft Entra ID.
- Microsoft Entra ID convalida il nonce firmato utilizzando la chiave pubblica dell'utente registrata in modo sicuro, confrontandola con la firma del nonce. Microsoft Entra ID convalida la firma e quindi convalida il nonce firmato restituito. Quando il nonce viene convalidato, Microsoft Entra ID crea un token di aggiornamento primario (PRT) con chiave di sessione crittografata nella chiave di trasporto del dispositivo e lo restituisce a CloudAP.
- Il CloudAP riceve il PRT crittografato con la chiave di sessione. CloudAP usa la chiave di trasporto privata del dispositivo per decrittografare la chiave di sessione e protegge la chiave di sessione usando il modulo TPM (Trusted Platform Module) del dispositivo.
- CloudAP restituisce una risposta di autenticazione riuscita a Windows. L'utente può quindi accedere alle applicazioni Windows e cloud e locali usando l'accesso SSO (Seamless Sign-On).
La guida alla pianificazione di Windows Hello for Business può essere usata per prendere decisioni sul tipo di distribuzione di Windows Hello for Business e sulle opzioni da prendere in considerazione.
Contenuti correlati
- Windows Hello for Business (Configurare Windows Hello for Business)
- Pianificare una distribuzione di Windows Hello for Business