Impostazioni del profilo di protezione delle identità in Intune per Windows Hello for Business

  • Articolo

Nota

Intune può supportare più impostazioni rispetto alle impostazioni elencate in questo articolo. Non tutte le impostazioni sono documentate e non verranno documentate. Per visualizzare le impostazioni che è possibile configurare, creare un criterio di configurazione del dispositivo e selezionare Catalogo impostazioni. Per altre informazioni, vedere Catalogo impostazioni.

Questo articolo descrive Windows Hello for Business impostazioni che è possibile configurare in un profilo di protezione delle identità. I profili di protezione delle identità fanno parte dei criteri di configurazione dei dispositivi in Microsoft Intune. Con un profilo di protezione delle identità, è possibile configurare le impostazioni in gruppi discreti di dispositivi Windows 10/11. Per configurare Windows Hello for Business a livello di tenant, come parte della registrazione del dispositivo, vedere la sezione Creare criteri di Windows Hello for Business in Integrare Windows Hello for Business con Microsoft Intune. Questa sezione non solo descrive come creare criteri di configurazione a livello di tenant, ma descrive anche le impostazioni per i criteri di registrazione.

Per altre informazioni su queste impostazioni, vedere Configurare le impostazioni dei criteri di Windows Hello for Business nella documentazione Windows Hello.

Per altre informazioni sui profili di protezione delle identità in Intune, vedere Configurare la protezione delle identità.

Prima di iniziare

Creare un profilo di configurazione.

Windows Hello for Business

  • Configurare Windows Hello for Business:

    • Non configurato (impostazione predefinita): selezionare questa impostazione se non si vuole usare Intune per controllare le impostazioni Windows Hello for Business. Le impostazioni di Windows Hello for Business esistenti nei dispositivi Windows 10/11 non sono state modificate. Tutte le altre impostazioni nel riquadro non sono disponibili.

    • Disabilita: se non si vuole usare Windows Hello for Business, selezionare questa impostazione. Tutte le altre impostazioni sullo schermo non sono quindi disponibili.

    • Abilita: selezionare questa impostazione se si desidera configurare le impostazioni di Windows Hello for Business.

    Se impostato su Abilita, sono disponibili le impostazioni seguenti:

    • Lunghezza minima PIN
      Specificare una lunghezza minima del PIN per i dispositivi, da 4 a 127 caratteri. Per impostazione predefinita, questa impostazione non è configurata.

    • Lunghezza massima PIN
      Specificare una lunghezza massima del PIN per i dispositivi, da quattro a 127 caratteri. Per impostazione predefinita, questa impostazione non è configurata.

    • Lettere minuscole nel PIN
      Se necessario, il PIN utente deve includere almeno una lettera minuscola. Per impostazione predefinita, questa impostazione non è configurata.

      • Non consentito : impedisce agli utenti di usare lettere minuscole nel PIN. Questo comportamento si verifica anche se l'impostazione non è configurata.
      • Consentito : consente agli utenti di usare lettere minuscole nel PIN, ma non è obbligatorio.
      • Obbligatorio : gli utenti devono includere almeno una lettera minuscola nel PIN. Ad esempio, è prassi comune richiedere almeno una lettera maiuscola e un carattere speciale.

    • Lettere maiuscole nel PIN
      Se necessario, il PIN utente deve includere almeno una lettera maiuscola. Per impostazione predefinita, questa impostazione non è configurata.

      • Non consentito : impedisce agli utenti di usare lettere maiuscole nel PIN. Questo comportamento si verifica anche se l'impostazione non è configurata.
      • Consentito : consente agli utenti di usare lettere maiuscole nel PIN, ma non è obbligatorio.
      • Obbligatorio : gli utenti devono includere almeno una lettera maiuscola nel PIN. Ad esempio, è prassi comune richiedere almeno una lettera maiuscola e un carattere speciale.

    • Caratteri speciali nel PIN
      Se necessario, il PIN dell'utente deve includere almeno un carattere speciale. I caratteri speciali includono: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Non consentito (impostazione predefinita): impedisce agli utenti di usare caratteri speciali nel PIN. Questo comportamento si verifica anche se l'impostazione non è configurata.
      • Consentito : consente agli utenti di usare lettere maiuscole nel PIN, ma non è obbligatorio.
      • Obbligatorio : gli utenti devono includere almeno una lettera maiuscola nel PIN. Ad esempio, è prassi comune richiedere almeno una lettera maiuscola e un carattere speciale.

    • Scadenza PIN (giorni)
      Se configurato, l'utente sarà costretto a modificare il PIN dopo il numero di giorni impostato. L'utente può comunque modificare in modo proattivo il PIN prima della scadenza. Per impostazione predefinita, questa impostazione non è configurata.

    • Ricordare la cronologia dei PIN
      Se configurato, l'utente non sarà in grado di riutilizzare questo numero di PIN precedenti. Per impostazione predefinita, questa impostazione non è configurata.

    • Abilitare il ripristino del PIN
      Consente all'utente di usare il servizio di recupero pin Windows Hello for Business.

      • Abilita : il segreto di ripristino del PIN viene archiviato nel dispositivo e l'utente può modificare il PIN, se necessario.
      • Non configurato (impostazione predefinita): il segreto di ripristino non viene creato o archiviato.

    • Usare un modulo Trusted Platform Module (TPM)
      Un chip TPM offre un ulteriore livello di sicurezza dei dati.

      • Abilita: solo i dispositivi con un TPM accessibile possono effettuare il provisioning Windows Hello for Business.
      • Non configurato (impostazione predefinita): i dispositivi tentano innanzitutto di usare un TPM. Se un TPM non è disponibile, può usare la crittografia software.

    • Consentire l’autenticazione biometrica
      Se consentito, Windows Hello for Business può eseguire l'autenticazione usando gesti, ad esempio viso e impronta digitale. Gli utenti devono comunque configurare un PIN in caso di errore.

      • Abilita: Windows Hello for Business consente l'autenticazione biometrica.
      • Non configurato (impostazione predefinita): Windows Hello for Business impedisce l'autenticazione biometrica (per tutti i tipi di account).

    • Usare l'anti-spoofing avanzato, se disponibile
      Se abilitata, i dispositivi usano l'anti-spoofing avanzato, se disponibile ,ad esempio rilevando una fotografia di un viso invece di un viso reale.

      • Abilita : Windows richiede a tutti gli utenti di usare l'anti-spoofing per le funzionalità facciali quando questo è supportato.
      • Non configurato (impostazione predefinita): Windows rispetta le configurazioni anti-spoofing nel dispositivo.

    • Certificato per le risorse locali

      • Abilita: consente a Windows Hello for Business di usare i certificati per l'autenticazione alle risorse locali.
      • Non configurato (impostazione predefinita): impedisce a Windows Hello for Business di usare i certificati per l'autenticazione nelle risorse locali. I dispositivi usano invece il comportamento predefinito dell'autenticazione locale key-trust. Per altre informazioni, vedere Certificato utente per l'autenticazione locale nella documentazione di Windows Hello.

  • Usare le chiavi di sicurezza per l'accesso
    Questa impostazione è disponibile per i dispositivi che eseguono Windows 10 versione 1903 o successiva o Windows 11. Usarlo per gestire il supporto per l'uso di chiavi di sicurezza Windows Hello per l'accesso.

    • Abilita: gli utenti possono usare una chiave di sicurezza Windows Hello come credenziale di accesso per i PC destinati a questo criterio.
    • Non configurate : le chiavi di sicurezza sono disabilitate e gli utenti non possono usarle per accedere ai PC.

Passaggi successivi

Assegnare il profilo e monitorarne lo stato.