Impostazioni del profilo di protezione delle identità in Intune per Windows Hello for Business
Importante
Nel luglio 2024, i profili di Intune seguenti per la protezione delle identità e degli account sono stati deprecati e sostituiti da un nuovo profilo consolidato denominato Protezione account. Questo profilo più recente si trova nel nodo dei criteri di protezione degli account della sicurezza degli endpoint ed è l'unico modello di profilo che rimane disponibile per creare nuove istanze dei criteri per la protezione dell'identità e dell'account. Le impostazioni di questo nuovo profilo sono disponibili anche tramite il catalogo delle impostazioni.
Tutte le istanze dei profili meno recenti seguenti creati rimangono disponibili per l'uso e la modifica:
- Protezione delle identità: disponibile in precedenza daConfigurazione>dispositivi>Crea>nuovi criteri>Windows 10 e modelli> successivi >Identity Protection
- Protezione dell'account (anteprima): disponibile in precedenza da Endpoint Security>Account Protection>Windows 10 e versioni successive>Protezione account (anteprima)
Nota
Intune può supportare più impostazioni rispetto alle impostazioni elencate in questo articolo. Non tutte le impostazioni sono documentate e non verranno documentate. Per visualizzare le impostazioni che è possibile configurare, creare un criterio di configurazione del dispositivo e selezionare Catalogo impostazioni. Per altre informazioni, vedere Catalogo impostazioni.
Questo articolo descrive le impostazioni di Windows Hello for Business che è possibile gestire con un profilo di protezione delle identità. I profili di protezione delle identità fanno parte dei criteri di configurazione dei dispositivi in Microsoft Intune. Tuttavia, a partire da luglio 2024, i profili di configurazione del dispositivo per Identity Protection vengono sostituiti da profili di sicurezza degli endpoint per la protezione degli account. Anche se è possibile continuare a usare i profili di protezione delle identità creati in precedenza, Intune non supporta più la creazione di nuove istanze. Al contrario, per gestire le impostazioni per la protezione delle identità, usare i criteri di protezione degli account di sicurezza degli endpoint.
Con un profilo di protezione delle identità, è possibile configurare le impostazioni in gruppi discreti di dispositivi Windows 10/11. Per configurare Windows Hello for Business a livello di tenant, come parte della registrazione del dispositivo, vedi Creare criteri di Windows Hello for Business in Integrare Windows Hello for Business con Microsoft Intune.
Questo articolo descrive le impostazioni per i criteri di registrazione.
Per altre informazioni su queste impostazioni, vedere Configurare le impostazioni dei criteri di Windows Hello for Business nella documentazione di Windows Hello.
Windows Hello for Business
I dettagli delle impostazioni seguenti si applicano solo al modello di profilo di configurazione del dispositivo per Identity Protection, deprecato a luglio 2024.
Configurare Windows Hello for Business:
Non configurato (impostazione predefinita): selezionare questa impostazione se non si vuole usare Intune per controllare le impostazioni di Windows Hello for Business. Le impostazioni esistenti di Windows Hello for Business nei dispositivi Windows 10/11 non sono state modificate. Tutte le altre impostazioni nel riquadro non sono disponibili.
Disabilita : se non vuoi usare Windows Hello for Business, seleziona questa impostazione. Tutte le altre impostazioni sullo schermo non sono quindi disponibili.
Abilita : selezionare questa impostazione se si desidera configurare le impostazioni di Windows Hello for Business.
Se impostato su Abilita, sono disponibili le impostazioni seguenti:
Lunghezza minima PIN
Specificare una lunghezza minima del PIN per i dispositivi, da 4 a 127 caratteri. Per impostazione predefinita, questa impostazione non è configurata.Lunghezza massima PIN
Specificare una lunghezza massima del PIN per i dispositivi, da quattro a 127 caratteri. Per impostazione predefinita, questa impostazione non è configurata.Lettere minuscole nel PIN
Se necessario, il PIN utente deve includere almeno una lettera minuscola. Per impostazione predefinita, questa impostazione non è configurata.- Non consentito : impedisce agli utenti di usare lettere minuscole nel PIN. Questo comportamento si verifica anche se l'impostazione non è configurata.
- Consentito : consente agli utenti di usare lettere minuscole nel PIN, ma non è obbligatorio.
- Obbligatorio : gli utenti devono includere almeno una lettera minuscola nel PIN. Ad esempio, è prassi comune richiedere almeno una lettera maiuscola e un carattere speciale.
Lettere maiuscole nel PIN
Se necessario, il PIN utente deve includere almeno una lettera maiuscola. Per impostazione predefinita, questa impostazione non è configurata.- Non consentito : impedisce agli utenti di usare lettere maiuscole nel PIN. Questo comportamento si verifica anche se l'impostazione non è configurata.
- Consentito : consente agli utenti di usare lettere maiuscole nel PIN, ma non è obbligatorio.
- Obbligatorio : gli utenti devono includere almeno una lettera maiuscola nel PIN. Ad esempio, è prassi comune richiedere almeno una lettera maiuscola e un carattere speciale.
Caratteri speciali nel PIN
Se necessario, il PIN dell'utente deve includere almeno un carattere speciale. I caratteri speciali includono:! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~- Non consentito (impostazione predefinita): impedisce agli utenti di usare caratteri speciali nel PIN. Questo comportamento si verifica anche se l'impostazione non è configurata.
- Consentito : consente agli utenti di usare lettere maiuscole nel PIN, ma non è obbligatorio.
- Obbligatorio : gli utenti devono includere almeno una lettera maiuscola nel PIN. Ad esempio, è prassi comune richiedere almeno una lettera maiuscola e un carattere speciale.
Scadenza PIN (giorni)
Se configurato, l'utente sarà costretto a modificare il PIN dopo il numero di giorni impostato. L'utente può comunque modificare in modo proattivo il PIN prima della scadenza. Per impostazione predefinita, questa impostazione non è configurata.Ricordare la cronologia dei PIN
Se configurato, l'utente non sarà in grado di riutilizzare questo numero di PIN precedenti. Per impostazione predefinita, questa impostazione non è configurata.Abilitare il ripristino del PIN
Consente all'utente di usare il servizio di ripristino pin di Windows Hello for Business.- Abilita : il segreto di ripristino del PIN viene archiviato nel dispositivo e l'utente può modificare il PIN, se necessario.
- Non configurato (impostazione predefinita): il segreto di ripristino non viene creato o archiviato.
Usare un modulo Trusted Platform Module (TPM)
Un chip TPM offre un ulteriore livello di sicurezza dei dati.- Abilita : solo i dispositivi con un TPM accessibile possono effettuare il provisioning di Windows Hello for Business.
- Non configurato (impostazione predefinita): i dispositivi tentano innanzitutto di usare un TPM. Se un TPM non è disponibile, può usare la crittografia software.
Consentire l’autenticazione biometrica
Se consentito, Windows Hello for Business può eseguire l'autenticazione usando gesti, ad esempio viso e impronta digitale. Gli utenti devono comunque configurare un PIN in caso di errore.- Abilita : Windows Hello for Business consente l'autenticazione biometrica.
- Non configurato (impostazione predefinita): Windows Hello for Business impedisce l'autenticazione biometrica (per tutti i tipi di account).
Usare l'anti-spoofing avanzato, se disponibile
Se abilitata, i dispositivi usano l'anti-spoofing avanzato, se disponibile ,ad esempio rilevando una fotografia di un viso invece di un viso reale.- Abilita : Windows richiede a tutti gli utenti di usare l'anti-spoofing per le funzionalità facciali quando questo è supportato.
- Non configurato (impostazione predefinita): Windows rispetta le configurazioni anti-spoofing nel dispositivo.
Certificato per le risorse locali
- Abilita : consente a Windows Hello for Business di usare i certificati per l'autenticazione alle risorse locali.
- Non configurato (impostazione predefinita): impedisce a Windows Hello for Business di usare i certificati per l'autenticazione alle risorse locali. I dispositivi usano invece il comportamento predefinito dell'autenticazione locale key-trust. Per altre informazioni, vedere Certificato utente per l'autenticazione locale nella documentazione di Windows Hello.
Usare le chiavi di sicurezza per l'accesso
Questa impostazione è disponibile per i dispositivi che eseguono Windows 10 versione 1903 o successiva o Windows 11. Usarlo per gestire il supporto per l'uso delle chiavi di sicurezza di Windows Hello per l'accesso.- Abilita : gli utenti possono usare una chiave di sicurezza di Windows Hello come credenziale di accesso per i PC destinati a questo criterio.
- Non configurate : le chiavi di sicurezza sono disabilitate e gli utenti non possono usarle per accedere ai PC.