Usare i profili di protezione delle identità per gestire Windows Hello for Business in Microsoft Intune
Microsoft Intune usa i profili di protezione delle identità per la configurazione del dispositivo per gestire Windows Hello for Business nei dispositivi Windows gestiti. Windows Hello for Business è un metodo per l'accesso ai dispositivi Windows sostituendo password, smart card e smart card virtuali.
Si applica a:
- Windows 10
- Windows 11
Quando si usano i profili di protezione delle identità di Intune per gestire le impostazioni di Windows Hello for Business, è possibile:
- Abilitare Windows Hello for Business per dispositivi e utenti
- Impostare i requisiti del PIN del dispositivo, inclusa una lunghezza minima o massima del PIN
- Consenti movimenti, ad esempio un'impronta digitale, che gli utenti possono (o non possono usare) per accedere ai dispositivi
Questa funzionalità si applica ai dispositivi che eseguono:
Oltre ai profili di protezione delle identità, Intune supporta le opzioni seguenti per gestire le impostazioni per Windows Hello for Business:
- Durante la registrazione del dispositivo: configurare i criteri a livello di tenant che si applicano Windows Hello impostazioni ai dispositivi al momento della registrazione del dispositivo con Intune.
- Baseline di sicurezza: alcune impostazioni per Windows Hello possono essere gestite tramite le baseline di sicurezza di Intune, ad esempio le baseline per la sicurezza Microsoft Defender per endpoint o la baseline di sicurezza per Windows 10 e versioni successive.
- Criteri di protezione degli account di sicurezza degli endpoint: i criteri di protezione degli account includono alcune delle impostazioni usate da Windows Hello.
Nota
Per i clienti che desiderano configurare Windows Holographic for Business, usare DeviceLock CSP
Questo articolo illustra come creare un profilo di configurazione del dispositivo per Identity Protection. Per un elenco di tutte le impostazioni e delle relative operazioni, vedere Impostazioni del dispositivo Windows per abilitare Windows Hello for Business.
Importante
A causa del modo in cui Intune determina l'ambito e l'applicabilità dei criteri di Windows Hello for Business, un dispositivo può registrare l'ID evento 454 come risultato dell'applicazione dei criteri. Questo può essere ignorato in modo sicuro quando i criteri vengono applicati correttamente (e applicati).
Creare il profilo del dispositivo
Accedere all'interfaccia di amministrazione Microsoft Intune.
Selezionare Device Configuration Create (Crea configurazione>dispositivi>).
Immettere le proprietà seguenti:
- Piattaforma: selezionare Windows 10 e versioni successive.
- Profilo: selezionare Modelli>Protezione dell'identità.
Selezionare Crea.
In Informazioni di base immettere le proprietà seguenti:
- Nome: immettere un nome descrittivo per il nuovo profilo. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento.
- Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.
Selezionare Avanti per continuare.
In Impostazioni di configurazione completare le impostazioni seguenti:
Configura Windows Hello for Business: scegliere come configurare Windows Hello for Business:
Non configurato (impostazione predefinita): il provisioning Windows Hello for Business nel dispositivo. Quando i profili di protezione delle identità vengono assegnati solo agli utenti, per impostazione predefinita il contesto del dispositivo è Non configurato.
Disabilitato: se non si vuole usare Windows Hello for Business, selezionare questa opzione. Questa opzione disabilita Windows Hello for Business per tutti gli utenti.
Abilitato: scegliere questa opzione per effettuare il provisioning e configurare le impostazioni di Windows Hello for Business in Intune. Immettere le impostazioni da configurare. Per un elenco di tutte le impostazioni e delle relative operazioni, vedere - Impostazioni del dispositivo Windows per abilitare Windows Hello for Business.
Usare le chiavi di sicurezza per l'accesso: abilitare Windows Hello chiave di sicurezza come credenziale di accesso per tutti i PC nel tenant.
- Attivazione
- Non configurato (impostazione predefinita)
Selezionare Avanti per continuare.
In Assegnazioni selezionare i gruppi di utenti e dispositivi che riceveranno questo profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.
Importante
Per consentire il provisioning di più utenti in un dispositivo, specificare che i criteri di Windows Hello for Business devono essere applicati ai dispositivi. Se il criterio viene applicato solo agli utenti, è possibile effettuare il provisioning di un solo utente in un dispositivo.
Seleziona Avanti.
In Regole di applicabilità usare le opzioni Regola, Proprietà e Valore per definire il modo in cui questo profilo viene applicato all'interno dei gruppi assegnati. Intune applica il profilo ai dispositivi che soddisfano le regole immesse. Per altre informazioni sulle regole di applicabilità, vedere Regole di applicabilità.
Selezionare Avanti.
In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per