Configurare Windows Hello for Business nei dispositivi durante la registrazione con Intune

Con Microsoft Intune, è possibile creare criteri a livello di tenant che configurano l'uso di Windows Hello for Business nei dispositivi Windows 10 o Windows 11 al momento della registrazione di tali dispositivi con Intune. Questo criterio è destinato all'intera organizzazione e supporta la configurazione guidata di Windows Autopilot.

Per i dispositivi Windows 10/11, l'uso di Windows Hello for Business sostituisce l'uso delle password con l'autenticazione a due fattori avanzata nei dispositivi. Questa autenticazione è costituita da credenziali utente associate a un dispositivo e che usa un PIN o biometrico.

Dopo la registrazione del dispositivo o quando si sceglie di non usare i criteri di registrazione a livello di tenant, Intune supporta i metodi seguenti per gestire Windows Hello in gruppi discreti di dispositivi:

• Protezione delle identità: i criteri di configurazione del dispositivo includono il profilo di protezione delle identità, che è possibile usare per configurare gruppi di dispositivi per Windows Hello.

• Baseline di sicurezza: alcune impostazioni per Windows Hello possono essere gestite da baseline di sicurezza come le baseline per la sicurezza Microsoft Defender per endpoint o la baseline di sicurezza per Windows 10 e versioni successive.

• Criteri di protezione degli account di sicurezza degli endpoint: i criteri di protezione degli account includono alcune delle impostazioni usate da Windows Hello.

Importante

Prima dell'aggiornamento dell'anniversario (versione 1607 di Windows), è possibile impostare due PIN diversi che possono essere usati per l'autenticazione alle risorse:

• Il PIN del dispositivo può essere usato per sbloccare il dispositivo e connettersi alle risorse cloud.
• Il PIN di lavoro è stato usato per accedere alle risorse Microsoft Entra nei dispositivi personali dell'utente (BYOD).

Nell'aggiornamento dell'anniversario questi due PIN sono stati uniti in un unico PIN del dispositivo. Tutti i criteri di configurazione di Intune impostati per controllare il PIN del dispositivo e, inoltre, tutti i criteri di Windows Hello for Business configurati, ora impostano entrambi questo nuovo valore PIN. Se sono stati impostati entrambi i tipi di criteri per controllare il PIN, vengono applicati i criteri di Windows Hello for Business. Per assicurarsi che i conflitti di criteri vengano risolti e che i criteri PIN siano applicati correttamente, aggiornare i criteri di Windows Hello for Business in modo che corrispondano alle impostazioni nei criteri di configurazione e chiedere agli utenti di sincronizzare i dispositivi nell'app Portale aziendale.

Controllo dell'accesso basato sui ruoli

È necessario essere un amministratore del servizio Intune per creare o modificare un criterio di Windows Hello for Business nella registrazione di Windows. Tutti gli altri ruoli di Intune hanno accesso in sola lettura. Per altre informazioni sul controllo degli accessi in base al ruolo, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.

Creare un criterio di Windows Hello for Business

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Passare a Dispositivi>Registra dispositivi>Registrazione>di Windows Windows Hello for Business. Verrà visualizzato il riquadro Windows Hello for Business.

3. Selezionare le opzioni seguenti per Configura Windows Hello for Business:

   • Abilitato. Selezionare questa impostazione se si desidera configurare le impostazioni di Windows Hello for Business. Quando si seleziona Abilitato, altre impostazioni per Windows Hello sono visibili e possono essere configurate per i dispositivi.

   • Disabilitato. Se non si vuole abilitare Windows Hello for Business durante la registrazione del dispositivo, selezionare questa opzione. Se disabilitato, gli utenti non possono effettuare il provisioning Windows Hello for Business. Se impostato su Disabilitato, è comunque possibile configurare le impostazioni successive per Windows Hello for Business anche se questo criterio non abilita Windows Hello for Business.

   • Non configurato. Selezionare questa impostazione se non si vuole usare Intune per controllare le impostazioni di Windows Hello for Business. Le impostazioni di Windows Hello for Business esistenti nei dispositivi 10/11 non sono state modificate. Tutte le altre impostazioni nel riquadro non sono disponibili.

4. Se è stato selezionato Abilitato nel passaggio precedente, configurare le impostazioni necessarie applicate a tutti i dispositivi registrati Windows 10/11. Dopo aver configurato queste impostazioni, selezionare Salva.

   • Usare un modulo TPM (Trusted Platform Module):Use a Trusted Platform Module (TPM):

     Un chip TPM offre un altro livello di sicurezza dei dati. Scegliere uno dei seguenti valori:

     • Obbligatorio (impostazione predefinita). Solo i dispositivi con un TPM accessibile possono effettuare il provisioning Windows Hello for Business.
     • Preferito. I dispositivi tentano prima di tutto di usare un TPM. Se questa opzione non è disponibile, può usare la crittografia software.

   • Lunghezza minima del PIN e lunghezza massima del PIN:

     Configura i dispositivi in modo da usare la lunghezza minima e massima del PIN specificata per garantire l'accesso sicuro. La lunghezza predefinita del PIN è di sei caratteri, ma è possibile applicare una lunghezza minima di quattro caratteri. La lunghezza massima del PIN è di 127 caratteri.

   • Lettere minuscole nel PIN, lettere maiuscole nel PIN e caratteri speciali nel PIN.

     È possibile applicare un PIN più forte richiedendo l'uso di lettere maiuscole, lettere minuscole e caratteri speciali nel PIN. Per ognuno di essi, selezionare tra:

     • Consentito. Gli utenti possono usare il tipo di carattere nel PIN, ma non è obbligatorio.

     • Obbligatorio. Gli utenti devono includere almeno uno dei tipi di carattere nel PIN. Ad esempio, è prassi comune richiedere almeno una lettera maiuscola e un carattere speciale.

     • Non consentito (impostazione predefinita). Gli utenti non devono usare questi tipi di caratteri nel PIN. Questo è anche il comportamento se l'impostazione non è configurata.

       I caratteri speciali includono: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

   • Scadenza PIN (giorni):

     È consigliabile specificare un periodo di scadenza per un PIN, dopo il quale gli utenti devono modificarlo. Il valore predefinito è 41 giorni.

   • Ricordare la cronologia dei PIN:

     Limita il riutilizzo dei PIN usati in precedenza. Per impostazione predefinita, gli ultimi 5 PIN non possono essere riutilizzati.

   • Consenti autenticazione biometrica:

     Abilita l'autenticazione biometrica, ad esempio il riconoscimento facciale o l'impronta digitale, come alternativa a un PIN per Windows Hello for Business. Gli utenti devono comunque configurare un PIN di lavoro nel caso in cui l'autenticazione biometrica non riesca. Scegliere tra:

     • Sì. Windows Hello for Business consente l'autenticazione biometrica.
     • No. Windows Hello for Business impedisce l'autenticazione biometrica (per tutti i tipi di account).

   • Usare l'anti-spoofing avanzato, se disponibile:

     Configura se le funzionalità anti-spoofing di Windows Hello vengono usate nei dispositivi che la supportano. Ad esempio, il rilevamento di una fotografia di un viso anziché di un viso reale.

     Se impostato su Sì, Windows richiede a tutti gli utenti di usare l'anti-spoofing per le funzionalità facciali quando è supportato.

   • Consenti l'accesso tramite telefono:

     Se questa opzione è impostata su Sì, gli utenti possono usare un passaporto remoto per fungere da dispositivo complementare portatile per l'autenticazione del computer desktop. Il computer desktop deve essere Microsoft Entra aggiunto e il dispositivo complementare deve essere configurato con un PIN Windows Hello for Business.

   • Abilitare la sicurezza avanzata dell'accesso:

     Configurare Windows Hello sicurezza avanzata dell'accesso nei dispositivi con hardware idoneo. Le opzioni disponibili sono:

     • Predefinito. La sicurezza di accesso avanzata verrà abilitata nei sistemi con hardware con funzionalità. Gli utenti del dispositivo non possono usare periferiche esterne per accedere al dispositivo con Windows Hello.
     • La sicurezza di accesso avanzata verrà disabilitata in tutti i sistemi. Gli utenti del dispositivo possono usare periferiche esterne compatibili con Windows Hello per accedere al dispositivo.

   • Usare le chiavi di sicurezza per l'accesso:

     Se impostata su Abilita, questa impostazione fornisce la capacità per l'attivazione/disattivazione remota Windows Hello chiavi di sicurezza per tutti i computer dell'organizzazione di un cliente.

supporto Windows Holographic for Business

Windows Holographic for Business supporta le impostazioni seguenti per Windows Hello for Business:

• Usare un modulo Trusted Platform Module (TPM)
• Lunghezza minima PIN
• Lunghezza massima PIN
• Lettere minuscole nel PIN
• Lettere maiuscole nel PIN
• Caratteri speciali nel PIN
• Scadenza PIN (giorni)
• Ricordare la cronologia dei PIN

Passaggi successivi

Per altre informazioni su Windows Hello, vedere gli argomenti seguenti nella documentazione di Windows:

• Pianificazione di una distribuzione Windows Hello for Business
• Panoramica dei prerequisiti per la distribuzione Windows Hello for Business