Configurare Windows Hello for Business nei dispositivi quando si registrano con Intune

Con Microsoft Intune è possibile creare criteri a livello di tenant che configurano l'uso di Windows Hello for Business in dispositivi Windows 10 o Windows 11 al momento della registrazione di tali dispositivi con Intune. Questo criterio è destinato all'intera organizzazione e supporta la configurazione guidata di Windows Autopilot.

Per i dispositivi Windows 10/11, l'uso di Windows Hello for Business sostituisce l'uso delle password con l'autenticazione a due fattori avanzata nei dispositivi. Questa autenticazione è costituita da credenziali utente associate a un dispositivo e che usa un PIN o biometrico.

Dopo la registrazione del dispositivo o quando si sceglie di non usare i criteri di registrazione a livello di tenant, Intune supporta i metodi seguenti per gestire Windows Hello in gruppi discreti di dispositivi:

• Criteri di protezione degli account di sicurezza degli endpoint: per gestire Windows Hello nei dispositivi dopo la registrazione con Intune, usare il profilo di protezione dell'account di Intune, che fa parte dei criteri di protezione degli account di sicurezza degli endpoint.

• Baseline di sicurezza: alcune impostazioni per Windows Hello possono essere gestite da baseline di sicurezza come le baseline per Microsoft Defender per la sicurezza degli endpoint o baseline di sicurezza per Windows 10 e versioni successive.

• Catalogo delle impostazioni: le impostazioni dei profili di protezione degli account di sicurezza degli endpoint sono disponibili nel catalogo delle impostazioni di Intune.

Importante

Prima dell'aggiornamento dell'anniversario (versione 1607 di Windows), è possibile impostare due PIN diversi che possono essere usati per l'autenticazione alle risorse:

• Il PIN del dispositivo può essere usato per sbloccare il dispositivo e connettersi alle risorse cloud.
• Il PIN di lavoro è stato usato per accedere alle risorse di Microsoft Entra nel dispositivo personale di un utente (BYOD).

Nell'aggiornamento dell'anniversario questi due PIN sono stati uniti in un unico PIN del dispositivo. Tutti i criteri di configurazione di Intune impostati per controllare il PIN del dispositivo e, inoltre, tutti i criteri di Windows Hello for Business configurati, ora impostano entrambi questo nuovo valore PIN. Se sono stati impostati entrambi i tipi di criteri per controllare il PIN, vengono applicati i criteri di Windows Hello for Business. Per assicurarsi che i conflitti di criteri vengano risolti e che i criteri PIN siano applicati correttamente, aggiornare i criteri di Windows Hello for Business in modo che corrispondano alle impostazioni nei criteri di configurazione e chiedere agli utenti di sincronizzare i dispositivi nell'app Portale aziendale.

Controllo dell'accesso basato sui ruoli

È necessario essere un amministratore del servizio Intune per creare o modificare i criteri di Windows Hello for Business nella registrazione di Windows. Tutti gli altri ruoli di Intune hanno accesso in sola lettura. Per altre informazioni sul controllo degli accessi in base al ruolo, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.

Creare criteri di Windows Hello for Business per la registrazione del dispositivo

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Passare a Registrazione dispositivi>.

3. Nella scheda Windows , in Opzioni di registrazione, selezionare Windows Hello for Business. Attendere l'apertura del riquadro Windows Hello for Business.

4. Selezionare le opzioni seguenti per Configurare Windows Hello for Business:

   • Abilitato. Selezionare questa impostazione se si desidera configurare le impostazioni di Windows Hello for Business. Quando si seleziona Abilitato, altre impostazioni per Windows Hello sono visibili e possono essere configurate per i dispositivi.

   • Disabilitato. Se non vuoi abilitare Windows Hello for Business durante la registrazione del dispositivo, seleziona questa opzione. Se disabilitato, gli utenti non possono effettuare il provisioning di Windows Hello for Business. Se impostato su Disabilitato, puoi comunque configurare le impostazioni successive per Windows Hello for Business anche se questo criterio non abiliterà Windows Hello for Business.

   • Non configurato. Selezionare questa impostazione se non si vuole usare Intune per controllare le impostazioni di Windows Hello for Business. Le impostazioni esistenti di Windows Hello for Business nei dispositivi Windows 10/11 non cambiano. Tutte le altre impostazioni nel riquadro non sono disponibili.

5. Se è stato selezionato Abilitato nel passaggio precedente, configurare le impostazioni necessarie applicate a tutti i dispositivi Windows 10/11 registrati. Dopo aver configurato queste impostazioni, selezionare Salva.

   • Usare un modulo TPM (Trusted Platform Module):Use a Trusted Platform Module (TPM):

     Un chip TPM offre un altro livello di sicurezza dei dati. Scegliere uno dei seguenti valori:

     • Obbligatorio (impostazione predefinita). Solo i dispositivi con un TPM accessibile possono effettuare il provisioning di Windows Hello for Business.
     • Preferito. I dispositivi tentano prima di tutto di usare un TPM. Se questa opzione non è disponibile, può usare la crittografia software.

   • Lunghezza minima del PIN e lunghezza massima del PIN:

     Configura i dispositivi in modo da usare la lunghezza minima e massima del PIN specificata per garantire l'accesso sicuro. La lunghezza predefinita del PIN è di sei caratteri, ma è possibile applicare una lunghezza minima di quattro caratteri. La lunghezza massima del PIN è di 127 caratteri.

   • Lettere minuscole nel PIN, lettere maiuscole nel PIN e caratteri speciali nel PIN.

     È possibile applicare un PIN più forte richiedendo l'uso di lettere maiuscole, lettere minuscole e caratteri speciali nel PIN. Per ognuno di essi, selezionare tra:

     • Consentito: gli utenti possono usare il tipo di carattere nel PIN, ma non è obbligatorio.

     • Obbligatorio: gli utenti devono includere almeno uno dei tipi di carattere nel PIN. Ad esempio, è prassi comune richiedere almeno una lettera maiuscola e un carattere speciale.

     • Non consentito (impostazione predefinita): gli utenti non devono usare questi tipi di caratteri nel PIN. Questo è anche il comportamento se l'impostazione non è configurata.

       I caratteri speciali includono: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

   • Scadenza PIN (giorni):

     È consigliabile specificare un periodo di scadenza per un PIN, dopo il quale gli utenti devono modificarlo. Il valore predefinito è 41 giorni.

   • Ricordare la cronologia dei PIN:

     Limita il riutilizzo dei PIN usati in precedenza. Per impostazione predefinita, gli ultimi 5 PIN non possono essere riutilizzati.

   • Consenti autenticazione biometrica:

     Abilita l'autenticazione biometrica, ad esempio il riconoscimento facciale o l'impronta digitale, come alternativa a un PIN per Windows Hello for Business. Gli utenti devono comunque configurare un PIN di lavoro nel caso in cui l'autenticazione biometrica non riesca. Scegliere tra:

     • Sì. Windows Hello for Business consente l'autenticazione biometrica.
     • No. Windows Hello for Business impedisce l'autenticazione biometrica (per tutti i tipi di account).

   • Usare l'anti-spoofing avanzato, se disponibile:

     Configura se le funzionalità anti-spoofing di Windows Hello vengono usate nei dispositivi che la supportano. Ad esempio, il rilevamento di una fotografia di un viso anziché di un viso reale.

     Se impostato su Sì, Windows richiede a tutti gli utenti di usare l'anti-spoofing per le funzionalità facciali quando è supportato.

   • Consenti l'accesso tramite telefono:

     Se questa opzione è impostata su Sì, gli utenti possono usare un passaporto remoto per fungere da dispositivo complementare portatile per l'autenticazione del computer desktop. Il computer desktop deve essere aggiunto a Microsoft Entra e il dispositivo complementare deve essere configurato con un PIN di Windows Hello for Business.

   • Abilitare la sicurezza avanzata dell'accesso:

     Configurare La sicurezza avanzata dell'accesso di Windows Hello nei dispositivi con hardware idoneo. Le opzioni disponibili sono:

     • La sicurezza avanzata dell'accesso verrà abilitata nei sistemi con hardware con supporto (impostazione predefinita): gli utenti del dispositivo non possono usare periferiche esterne per accedere al dispositivo con Windows Hello.
     • La sicurezza di accesso avanzata verrà disabilitata in tutti i sistemi: gli utenti del dispositivo possono usare periferiche esterne compatibili con Windows Hello per accedere al dispositivo.

   • Usare le chiavi di sicurezza per l'accesso:

     Se impostato su Abilitato, questa impostazione fornisce la capacità per l'attivazione/disattivazione remota delle chiavi di sicurezza di Windows Hello per tutti i computer dell'organizzazione di un cliente.

Supporto di Windows Holographic for Business

Windows Holographic for Business supporta le impostazioni seguenti per Windows Hello for Business:

• Usare un modulo Trusted Platform Module (TPM)
• Lunghezza minima PIN
• Lunghezza massima PIN
• Lettere minuscole nel PIN
• Lettere maiuscole nel PIN
• Caratteri speciali nel PIN
• Scadenza PIN (giorni)
• Ricordare la cronologia dei PIN

Passaggi successivi

Per altre informazioni su Windows Hello, vedere gli argomenti seguenti nella documentazione di Windows:

• Pianificazione di una distribuzione di Windows Hello for Business
• Panoramica dei prerequisiti per la distribuzione di Windows Hello for Business