CSP PassportForWork

Importante

Questo CSP contiene alcune impostazioni in fase di sviluppo e applicabili solo per le compilazioni Windows Insider Preview. Queste impostazioni sono soggette a modifiche e potrebbero avere dipendenze da altre funzionalità o servizi in anteprima.

Il provider di servizi di configurazione PassportForWork viene usato per effettuare il provisioning di Windows Hello for Business (in precedenza Microsoft Passport for Work). Consente di accedere a Windows usando l'account Active Directory o Microsoft Entra e sostituire password, smart card e smart card virtuali.

Importante

A partire da Windows 10, versione 1607 tutti i dispositivi hanno un solo PIN associato a Windows Hello for Business. Ciò significa che tutti i PIN di un dispositivo saranno soggetti ai criteri specificati dal provider di servizi di configurazione PassportForWork. I valori specificati hanno la precedenza su eventuali regole di complessità impostate tramite Exchange ActiveSync o il provider di servizi di configurazione DeviceLock.

L'elenco seguente mostra i nodi del provider di servizi di configurazione PassportForWork:

• ./Device/Vendor/MSFT/PassportForWork
  • {TenantId}
    • Criteri
      • DisablePostLogonProvisioning
      • EnablePinRecovery
      • EnableWindowsHelloProvisioningForSecurityKeys
      • ExcludeSecurityDevices
        • TPM12
      • PINComplexity
        • Cifre
        • Scadenza
        • Cronologia
        • Lettere minuscole
        • MaximumPINLength
        • MinimumPINLength
        • SpecialCharacters
        • UppercaseLetters
      • Remoto
        • UseRemotePassport
      • RequireSecurityDevice
      • UseCertificateForOnPremAuth
      • UseCloudTrustForOnPremAuth
      • UseHelloCertificatesAsSmartCardCertificates
      • UsePassportForWork
  • Biometria
    • EnableESSwithSupportedPeripherals
    • FacialFeaturesUseEnhancedAntiSpoofing
    • UseBiometrics
  • DeviceUnlock
    • GruppoA
    • GruppoB
    • Plug-in
  • DynamicLock
    • DynamicLock
    • Plug-in
  • SecurityKey
    • UseSecurityKeyForSignin
  • UseBiometrics
• ./User/Vendor/MSFT/PassportForWork
  • {TenantId}
    • Criteri
      • EnablePinRecovery
      • PINComplexity
        • Cifre
        • Scadenza
        • Cronologia
        • Lettere minuscole
        • MaximumPINLength
        • MinimumPINLength
        • SpecialCharacters
        • UppercaseLetters
      • RequireSecurityDevice
      • UsePassportForWork

Dispositivo/{TenantId}

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}

Questo criterio specifica l'ID tenant nel formato di un GUID (Globally Unique Identifier) senza parentesi { }graffe, che verrà usato come parte del provisioning e della gestione Windows Hello for Business.

Per ottenere il GUID, usare il cmdlet di PowerShell Get-AzureAccount. Per altre informazioni, vedere Ottenere l'ID tenant di Windows Azure Active Directory in Windows PowerShell.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	node
Tipo accesso	Add, Delete, Get
Denominazione dinamica dei nodi	UniqueName: identificatore univoco globale (GUID), senza parentesi graffe ( { , } ), usato come parte del provisioning e della gestione Windows Hello for Business. Per ottenere un GUID, usare il cmdlet di PowerShell Get-AzureAccount. Per altre informazioni, vedere https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell.

Device/{TenantId}/Policies

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies

Nodo radice per i criteri.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	node
Tipo accesso	Add, Delete, Get

Device/{TenantId}/Policies/DisablePostLogonProvisioning

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅ [10.0.20348.2402] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.4239] e versioni successive ✅Windows 11 versione 21H2 con KB5036894 [10.0.22000.2899] e versioni successive ✅Windows 11 versione 22H2 con KB5035942 [10.0.22621.3374] e versioni successive ✅Windows Insider Preview

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning

Non avviare Windows Hello provisioning dopo l'accesso.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Provisioning abilitato.
true	Provisioning disabilitato.

Device/{TenantId}/Policies/EnablePinRecovery

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, versione 1703 [10.0.15063] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery

Se l'utente dimentica il PIN, può essere modificato in un nuovo PIN usando il servizio di ripristino del PIN Windows Hello for Business. Questo servizio cloud crittografa un segreto di ripristino archiviato localmente nel client, ma che può essere decrittografato solo dal servizio cloud.

• Se si abilita questa impostazione di criterio, il segreto di ripristino del PIN verrà archiviato nel dispositivo e l'utente potrà passare a un nuovo PIN nel caso in cui il PIN venga dimenticato.

• Se si disabilita o non si configura questa impostazione di criterio, il segreto di ripristino del PIN non verrà creato o archiviato. Se il PIN dell'utente viene dimenticato, l'unico modo per ottenere un nuovo PIN consiste nell'eliminare il PIN esistente e crearne uno nuovo, che richiederà all'utente di ripetere la registrazione con tutti i servizi a cui il PIN precedente ha fornito l'accesso.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

Device/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 11 versione 22H2 [10.0.22621] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnableWindowsHelloProvisioningForSecurityKeys

Abilitare Windows Hello provisioning se gli utenti accedono ai propri dispositivi con le chiavi di sicurezza FIDO2.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

Device/{TenantId}/Policies/ExcludeSecurityDevices

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, versione 1703 [10.0.15063] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices

Nodo radice per i dispositivi di sicurezza esclusi.

Nota

Non supportato in Windows Holographic e Windows Holographic for Business.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	node
Tipo accesso	Add, Delete, Get

Device/{TenantId}/Policies/ExcludeSecurityDevices/TPM12

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, versione 1703 [10.0.15063] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12

Alcuni TPM (Trusted Platform Modules) sono conformi solo alla precedente revisione 1.2 della specifica TPM definita dal Trusted Computing Group (TCG).

• Se si abilita questa impostazione di criterio, i moduli di revisione 1.2 di TPM non saranno consentiti per l'uso con Windows Hello for Business.

• Se si disabilita o non si configura questa impostazione di criterio, i moduli di revisione 1.2 di TPM potranno essere usati con Windows Hello for Business.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

Device/{TenantId}/Policies/PINComplexity

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity

Nodo radice per i criteri PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	node
Tipo accesso	Add, Delete, Get

Device/{TenantId}/Policies/PINComplexity/Digits

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits

Usare questa impostazione di criterio per configurare l'uso delle cifre nel PIN Windows Hello for Business.

Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno una cifra nel PIN.

Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare cifre nel PIN.

Se non si configura questa impostazione di criterio, Windows Hello for Business richiede agli utenti di usare le cifre nel PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	0

Valori consentiti:

Value	Descrizione
0 (Predefinito)	Consente l'uso di cifre nel PIN.
1	Richiede l'uso di almeno una cifra nel PIN.
2	Non consente l'uso di cifre nel PIN.

Device/{TenantId}/Policies/PINComplexity/Expiration

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration

Questo criterio specifica quando scade il PIN (in giorni). I valori validi sono compresi tra 0 e 730 inclusi. Se questo criterio è impostato su 0, i PIN non scadono.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti	Gamma: [0-730]
Valore predefinito	0

Device/{TenantId}/Policies/PINComplexity/History

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History

Questo criterio specifica il numero di PIN precedenti che possono essere archiviati nella cronologia che non possono essere usati. I valori validi sono compresi tra 0 e 50 inclusi. Se questo criterio è impostato su 0, l'archiviazione dei PIN precedenti non è necessaria. La cronologia del PIN non viene mantenuta tramite la reimpostazione del PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti	Gamma: [0-50]
Valore predefinito	0

Device/{TenantId}/Policies/PINComplexity/LowercaseLetters

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters

Usare questa impostazione di criterio per configurare l'uso di lettere minuscole nel PIN Windows Hello for Business.

Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno una lettera minuscola nel PIN.

Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare lettere minuscole nel PIN.

Se non si configura questa impostazione di criterio, Windows Hello for Business non consente agli utenti di usare lettere minuscole nel PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	0

Valori consentiti:

Value	Descrizione
0 (Predefinito)	Consente l'uso di lettere minuscole nel PIN.
1	Richiede l'uso di almeno una lettera minuscola nel PIN.
2	Non consente l'uso di lettere minuscole nel PIN.

Device/{TenantId}/Policies/PINComplexity/MaximumPINLength

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength

La lunghezza massima del PIN consente di configurare il numero massimo di caratteri consentiti per il PIN. Il numero massimo che è possibile configurare per questa impostazione di criterio è 127. Il numero più basso che è possibile configurare deve essere maggiore del numero configurato nell'impostazione del criterio Lunghezza minima PIN o il numero 4, a seconda di quale sia maggiore.

• Se si configura questa impostazione di criterio, la lunghezza del PIN deve essere minore o uguale a questo numero.

• Se non si configura questa impostazione di criterio, la lunghezza del PIN deve essere minore o uguale a 127.

Nota

Se non vengono soddisfatte le condizioni specificate sopra per la lunghezza massima del PIN, verranno usati i valori predefiniti per la lunghezza massima e minima del PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti	Gamma: [4-127]
Valore predefinito	127

Device/{TenantId}/Policies/PINComplexity/MinimumPINLength

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength

La lunghezza minima del PIN consente di configurare il numero minimo di caratteri necessari per il PIN. Il numero più basso che è possibile configurare per questa impostazione di criterio è 4. Il numero massimo che è possibile configurare deve essere minore del numero configurato nell'impostazione dei criteri Lunghezza massima PIN o nel numero 127, a seconda di quale sia il numero più basso.

• Se si configura questa impostazione di criterio, la lunghezza del PIN deve essere maggiore o uguale a questo numero.

• Se non si configura questa impostazione di criterio, la lunghezza del PIN deve essere maggiore o uguale a 4.

Nota

Se non vengono soddisfatte le condizioni specificate sopra per la lunghezza minima del PIN, verranno usati i valori predefiniti per la lunghezza massima e minima del PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti	Gamma: [4-127]
Valore predefinito	4

Device/{TenantId}/Policies/PINComplexity/SpecialCharacters

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters

Usare questa impostazione di criterio per configurare l'uso di caratteri speciali nel movimento PIN Windows Hello for Business. I caratteri speciali validi per Windows Hello for Business movimenti PIN includono: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno un carattere speciale nel PIN.

Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare caratteri speciali nel PIN.

Se non si configura questa impostazione di criterio, Windows Hello for Business non consente agli utenti di usare caratteri speciali nel PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	0

Valori consentiti:

Value	Descrizione
0 (Predefinito)	Consente l'uso di caratteri speciali nel PIN.
1	Richiede l'uso di almeno un carattere speciale nel PIN.
2	Non consente l'uso di caratteri speciali nel PIN.

Device/{TenantId}/Policies/PINComplexity/UppercaseLetters

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters

Usare questa impostazione di criterio per configurare l'uso di lettere maiuscole nel PIN Windows Hello for Business.

Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno una lettera maiuscola nel PIN.

Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare lettere maiuscole nel PIN.

Se non si configura questa impostazione di criterio, Windows Hello for Business non consente agli utenti di usare lettere maiuscole nel PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	0

Valori consentiti:

Value	Descrizione
0 (Predefinito)	Consente l'uso di lettere maiuscole nel PIN.
1	Richiede l'uso di almeno una lettera maiuscola nel PIN.
2	Non consente l'uso di lettere maiuscole nel PIN.

Dispositivo/{TenantId}/Policies/Remote

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote

Nodo radice per i criteri di accesso al telefono.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	node
Tipo accesso	Add, Delete, Get

Device/{TenantId}/Policies/Remote/UseRemotePassport

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/Remote/UseRemotePassport

Valore booleano che specifica se l'accesso al telefono può essere usato con un dispositivo. L'accesso tramite telefono consente a un dispositivo registrato portatile di essere utilizzabile come dispositivo complementare per l'autenticazione desktop.

Il valore predefinito è false.

• Se si abilita questa impostazione, un dispositivo desktop consentirà l'uso di un dispositivo complementare registrato come fattore di autenticazione.

• Se si disabilita questa impostazione, non è possibile usare un dispositivo complementare negli scenari di autenticazione desktop.

Nota

Non supportato in Windows Holographic e Windows Holographic for Business prima di Windows 10 versione 1903 (aggiornamento di maggio 2019).

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

Device/{TenantId}/Policies/RequireSecurityDevice

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice

Un modulo TPM (Trusted Platform Module) offre vantaggi aggiuntivi in termini di sicurezza rispetto al software perché i dati archiviati al suo interno non possono essere usati in altri dispositivi.

• Se si abilita questa impostazione di criterio, Windows Hello for Business solo i dispositivi con provisioning TPM utilizzabile.

• Se si disabilita o non si configura questa impostazione di criterio, il TPM è ancora preferibile, ma tutti i dispositivi effettuano il provisioning Windows Hello for Business usando il software se il TPM non è funzionale o non è disponibile.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

Device/{TenantId}/Policies/UseCertificateForOnPremAuth

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth

Windows Hello for Business possono usare i certificati per eseguire l'autenticazione nelle risorse locali.

• Se si abilita questa impostazione di criterio, Windows Hello for Business attenderà fino a quando il dispositivo non avrà ricevuto un payload del certificato dal server di gestione dei dispositivi mobili prima di effettuare il provisioning di un PIN.

• Se si disabilita o non si configura questa impostazione di criterio, verrà eseguito il provisioning del PIN quando l'utente accede, senza attendere un payload del certificato.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

Device/{TenantId}/Policies/UseCloudTrustForOnPremAuth

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 21H2 con KB5010415 [10.0.19044.1566] e versioni successive ✅Windows 11 versione 21H2 con KB5010414 [10.0.22000.527] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth

Valore booleano che consente a Windows Hello for Business di usare Microsoft Entra Kerberos per l'autenticazione alle risorse locali.

• Se si abilita questa impostazione di criterio, Windows Hello for Business userà un ticket Kerberos Microsoft Entra per l'autenticazione alle risorse locali. Il ticket Kerberos Microsoft Entra viene restituito al client dopo aver eseguito correttamente l'autenticazione per Microsoft Entra ID se Microsoft Entra Kerberos è abilitato per il tenant e il dominio.

• Se si disabilita o non si configura questa impostazione di criterio, Windows Hello for Business userà una chiave o un certificato per eseguire l'autenticazione alle risorse locali.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

Device/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, versione 1809 [10.0.17763] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseHelloCertificatesAsSmartCardCertificates

• Se si abilita questa impostazione di criterio, le applicazioni usano i certificati Windows Hello for Business come certificati smart card. I fattori biometrici non sono disponibili quando viene richiesto a un utente di autorizzare l'uso della chiave privata del certificato. Questa impostazione di criterio è progettata per consentire la compatibilità con le applicazioni che si basano esclusivamente su certificati smart card.

• Se si disabilita o non si configura questa impostazione di criterio, le applicazioni non usano i certificati Windows Hello for Business come certificati smart card e sono disponibili fattori biometrici quando a un utente viene richiesto di autorizzare l'uso della chiave privata del certificato.

Windows richiede a un utente di bloccare e sbloccare la sessione dopo aver modificato questa impostazione se l'utente è attualmente connesso.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

Device/{TenantId}/Policies/UsePassportForWork

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork

Windows Hello for Business è un metodo alternativo per l'accesso a Windows tramite l'account Active Directory o Microsoft Entra che può sostituire password, smart card e smart card virtuali.

• Se si abilita o non si configura questa impostazione di criterio, il dispositivo esegue il provisioning Windows Hello for Business per tutti gli utenti.

• Se si disabilita questa impostazione di criterio, il dispositivo non effettua il provisioning Windows Hello for Business per nessun utente.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	True

Valori consentiti:

Value	Descrizione
false	Disabilitato.
true (impostazione predefinita)	Abilitata.

Dispositivo/Biometria

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/Biometrics

Nodo radice per i criteri biometrici.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	node
Tipo accesso	Ottieni

Device/Biometrics/EnableESSwithSupportedPeripherals

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 11 versione 22H2 [10.0.22621] e versioni successive

./Device/Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals

La sicurezza di accesso avanzata (ESS) isola sia i dati dei modelli biometrici che le operazioni di corrispondenza con l'hardware attendibile o le aree di memoria specificate, il che significa che il resto del sistema operativo non può accedervi o manometterli. Poiché anche il canale di comunicazione tra i sensori e l'algoritmo è protetto, è impossibile per il malware inserire o riprodurre dati per simulare l'accesso di un utente o bloccare un utente dal computer.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	1

Valori consentiti:

Value	Descrizione
0	ESS verrà abilitato nei sistemi con software e hardware idonei, seguendo il comportamento predefinito esistente in Windows. Le operazioni di autenticazione dei dispositivi periferici Windows Hello abilitati saranno consentite, in base alle limitazioni delle funzionalità correnti. Inoltre, con questa impostazione, ESS sarà abilitato su dispositivi con una combinazione di dispositivi biometrici, ad esempio una reimpostazione della password self-service con supporto per ESS e una fotocamera non compatibile con ESS. (scelta non consigliata).
1 (impostazione predefinita)	ESS verrà abilitato nei sistemi con software e hardware idonei, seguendo il comportamento predefinito esistente in Windows. Le operazioni di autenticazione di qualsiasi dispositivo biometrico periferico verranno bloccate e non saranno disponibili per Windows Hello. (impostazione predefinita e consigliata per la massima sicurezza).

Mapping dei criteri di gruppo:

Nome	Valore
Nome	Abilitare ESS con le periferiche supportate
Percorso	Passport > AT > WindowsComponents > MSPassportForWorkCategory

Device/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing

Questa impostazione determina se è necessario un anti-spoofing avanzato per Windows Hello autenticazione viso.

• Se si abilita questa impostazione, Windows richiede a tutti gli utenti nei dispositivi gestiti di usare l'anti-spoofing avanzato per Windows Hello autenticazione viso. In questo modo viene disabilitata Windows Hello autenticazione viso nei dispositivi che non supportano l'anti-spoofing avanzato.

• Se disabiliti o non configuri questa impostazione, Windows non richiede l'anti-spoofing avanzato per Windows Hello autenticazione viso.

Si noti che l'anti-spoofing avanzato per Windows Hello autenticazione viso non è necessario nei dispositivi non gestiti.

Nota

Non supportato in Windows Holographic e Windows Holographic for Business prima di Windows 10 versione 1903 (aggiornamento di maggio 2019).

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

Device/Biometrics/UseBiometrics

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics

Windows Hello for Business consente agli utenti di usare movimenti biometrici, ad esempio viso e impronte digitali, come alternativa al movimento PIN. Tuttavia, gli utenti devono comunque configurare un PIN da usare in caso di errori.

• Se si abilita o non si configura questa impostazione di criterio, Windows Hello for Business consente l'uso di movimenti biometrici.

• Se si disabilita questa impostazione di criterio, Windows Hello for Business impedisce l'uso di movimenti biometrici.

Nota

La disabilitazione di questo criterio impedisce l'uso di movimenti biometrici nel dispositivo per tutti i tipi di account.

Nota

Non supportato in Windows Holographic e Windows Holographic for Business prima di Windows 10 versione 1903 (aggiornamento di maggio 2019).

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

Device/DeviceUnlock

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1803 [10.0.17134] e versioni successive

./Device/Vendor/MSFT/PassportForWork/DeviceUnlock

Sblocco del dispositivo.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	node
Tipo accesso	Ottieni

Device/DeviceUnlock/GroupA

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1803 [10.0.17134] e versioni successive

./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupA

Contiene un elenco di provider in base al GUID che devono essere considerati per il primo passaggio dell'autenticazione.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	chr (stringa)
Tipo accesso	Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti	Espressione regolare: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\}

Device/DeviceUnlock/GroupB

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1803 [10.0.17134] e versioni successive

./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/GroupB

Contiene un elenco di provider in base al GUID che devono essere considerati per il secondo passaggio dell'autenticazione.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	chr (stringa)
Tipo accesso	Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti	Espressione regolare: {[0-9A-Fa-f]{8}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{4}\-[0-9A-Fa-f]{12}\}

Device/DeviceUnlock/Plugins

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1803 [10.0.17134] e versioni successive

./Device/Vendor/MSFT/PassportForWork/DeviceUnlock/Plugins

Elenco di plug-in monitorati dal provider passivo per rilevare la presenza dell'utente.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	chr (stringa)
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire

Device/DynamicLock

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1803 [10.0.17134] e versioni successive

./Device/Vendor/MSFT/PassportForWork/DynamicLock

Blocco dinamico.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	node
Tipo accesso	Ottieni

Device/DynamicLock/DynamicLock

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1803 [10.0.17134] e versioni successive

./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock

Abilita/disabilita il blocco dinamico.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

Device/DynamicLock/Plugins

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1803 [10.0.17134] e versioni successive

./Device/Vendor/MSFT/PassportForWork/DynamicLock/Plugins

Elenco di plug-in monitorati dal provider passivo per rilevare l'assenza dell'utente.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	chr (stringa)
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire

Device/SecurityKey

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, versione 1903 [10.0.18362] e versioni successive

./Device/Vendor/MSFT/PassportForWork/SecurityKey

Chiave di sicurezza.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	node
Tipo accesso	Ottieni

Device/SecurityKey/UseSecurityKeyForSignin

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, versione 1903 [10.0.18362] e versioni successive

./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin

Usare la chiave di sicurezza per l'accesso. 0 è disabilitato. 1 è abilitato. Se non si configura questa impostazione di criterio, l'impostazione predefinita è disabilitata.

Consente agli utenti di accedere al dispositivo con una chiave di sicurezza FIDO2 compatibile con l'implementazione di Microsoft.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	0

Valori consentiti:

Value	Descrizione
0 (Predefinito)	Disabilitato.
1	Abilitato.

Device/UseBiometrics

Nota

Questo criterio è deprecato e può essere rimosso in una versione futura.

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ❌ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./Device/Vendor/MSFT/PassportForWork/UseBiometrics

QUESTO NODO È DEPRECATO E VERRÀ RIMOSSO IN UNA VERSIONE FUTURA. USARE INVECE IL NODO Biometrics/UseBiometrics.

Windows Hello for Business consente agli utenti di usare movimenti biometrici, ad esempio viso e impronte digitali, come alternativa al movimento PIN. Tuttavia, gli utenti devono comunque configurare un PIN da usare in caso di errori.

• Se si abilita o non si configura questa impostazione di criterio, Windows Hello for Business consente l'uso di movimenti biometrici.

• Se si disabilita questa impostazione di criterio, Windows Hello for Business impedisce l'uso di movimenti biometrici.

Nota

La disabilitazione di questo criterio impedisce l'uso di movimenti biometrici nel dispositivo per tutti i tipi di account.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

Utente/{TenantId}

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}

Questo criterio specifica l'ID tenant nel formato di un GUID (Globally Unique Identifier) senza parentesi { }graffe, che verrà usato come parte del provisioning e della gestione Windows Hello for Business.

Per ottenere il GUID, usare il cmdlet di PowerShell Get-AzureAccount. Per altre informazioni, vedere Ottenere l'ID tenant di Windows Azure Active Directory in Windows PowerShell.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	node
Tipo accesso	Add, Delete, Get
Denominazione dinamica dei nodi	UniqueName: identificatore univoco globale (GUID), senza parentesi graffe ( { , } ), usato come parte del provisioning e della gestione Windows Hello for Business. Per ottenere un GUID, usare il cmdlet di PowerShell Get-AzureAccount. Per altre informazioni, vedere https://devblogs.microsoft.com/scripting/get-windows-azure-active-directory-tenant-id-in-windows-powershell.

Utente/{TenantId}/Criteri

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies

Nodo radice per i criteri.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	node
Tipo accesso	Add, Delete, Get

Utente/{TenantId}/Policies/EnablePinRecovery

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10, versione 1703 [10.0.15063] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery

Se l'utente dimentica il PIN, può essere modificato in un nuovo PIN usando il servizio di ripristino del PIN Windows Hello for Business. Questo servizio cloud crittografa un segreto di ripristino archiviato localmente nel client, ma che può essere decrittografato solo dal servizio cloud.

• Se si abilita questa impostazione di criterio, il segreto di ripristino del PIN verrà archiviato nel dispositivo e l'utente potrà passare a un nuovo PIN nel caso in cui il PIN venga dimenticato.

• Se si disabilita o non si configura questa impostazione di criterio, il segreto di ripristino del PIN non verrà creato o archiviato. Se il PIN dell'utente viene dimenticato, l'unico modo per ottenere un nuovo PIN consiste nell'eliminare il PIN esistente e crearne uno nuovo, che richiederà all'utente di ripetere la registrazione con tutti i servizi a cui il PIN precedente ha fornito l'accesso.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

User/{TenantId}/Policies/PINComplexity

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity

Nodo radice per i criteri PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	node
Tipo accesso	Add, Delete, Get

User/{TenantId}/Policies/PINComplexity/Digits

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Digits

Usare questa impostazione di criterio per configurare l'uso delle cifre nel PIN Windows Hello for Business.

Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno una cifra nel PIN.

Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare cifre nel PIN.

Se non si configura questa impostazione di criterio, Windows Hello for Business richiede agli utenti di usare le cifre nel PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	0

Valori consentiti:

Value	Descrizione
0 (Predefinito)	Consente l'uso di cifre nel PIN.
1	Richiede l'uso di almeno una cifra nel PIN.
2	Non consente l'uso di cifre nel PIN.

Utente/{TenantId}/Policies/PINComplexity/Expiration

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/Expiration

Questo criterio specifica quando scade il PIN (in giorni). I valori validi sono compresi tra 0 e 730 inclusi. Se questo criterio è impostato su 0, i PIN non scadono.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti	Gamma: [0-730]
Valore predefinito	0

User/{TenantId}/Policies/PINComplexity/History

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/History

Questo criterio specifica il numero di PIN precedenti che possono essere archiviati nella cronologia che non possono essere usati. I valori validi sono compresi tra 0 e 50 inclusi. Se questo criterio è impostato su 0, l'archiviazione dei PIN precedenti non è necessaria. La cronologia del PIN non viene mantenuta tramite la reimpostazione del PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti	Gamma: [0-50]
Valore predefinito	0

User/{TenantId}/Policies/PINComplexity/LowercaseLetters

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/LowercaseLetters

Usare questa impostazione di criterio per configurare l'uso di lettere minuscole nel PIN Windows Hello for Business.

Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno una lettera minuscola nel PIN.

Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare lettere minuscole nel PIN.

Se non si configura questa impostazione di criterio, Windows Hello for Business non consente agli utenti di usare lettere minuscole nel PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	0

Valori consentiti:

Value	Descrizione
0 (Predefinito)	Consente l'uso di lettere minuscole nel PIN.
1	Richiede l'uso di almeno una lettera minuscola nel PIN.
2	Non consente l'uso di lettere minuscole nel PIN.

User/{TenantId}/Policies/PINComplexity/MaximumPINLength

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MaximumPINLength

La lunghezza massima del PIN consente di configurare il numero massimo di caratteri consentiti per il PIN. Il numero massimo che è possibile configurare per questa impostazione di criterio è 127. Il numero più basso che è possibile configurare deve essere maggiore del numero configurato nell'impostazione del criterio Lunghezza minima PIN o il numero 4, a seconda di quale sia maggiore.

• Se si configura questa impostazione di criterio, la lunghezza del PIN deve essere minore o uguale a questo numero.

• Se non si configura questa impostazione di criterio, la lunghezza del PIN deve essere minore o uguale a 127.

Nota

Se non vengono soddisfatte le condizioni specificate sopra per la lunghezza massima del PIN, verranno usati i valori predefiniti per la lunghezza massima e minima del PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti	Gamma: [4-127]
Valore predefinito	127

User/{TenantId}/Policies/PINComplexity/MinimumPINLength

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/MinimumPINLength

La lunghezza minima del PIN consente di configurare il numero minimo di caratteri necessari per il PIN. Il numero più basso che è possibile configurare per questa impostazione di criterio è 4. Il numero massimo che è possibile configurare deve essere minore del numero configurato nell'impostazione dei criteri Lunghezza massima PIN o nel numero 127, a seconda di quale sia il numero più basso.

• Se si configura questa impostazione di criterio, la lunghezza del PIN deve essere maggiore o uguale a questo numero.

• Se non si configura questa impostazione di criterio, la lunghezza del PIN deve essere maggiore o uguale a 4.

Nota

Se non vengono soddisfatte le condizioni specificate sopra per la lunghezza minima del PIN, verranno usati i valori predefiniti per la lunghezza massima e minima del PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungi, Elimina, Ottieni, Sostituisci
Valori consentiti	Gamma: [4-127]
Valore predefinito	4

User/{TenantId}/Policies/PINComplexity/SpecialCharacters

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/SpecialCharacters

Usare questa impostazione di criterio per configurare l'uso di caratteri speciali nel movimento PIN Windows Hello for Business. I caratteri speciali validi per Windows Hello for Business movimenti PIN includono: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~ .

Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno un carattere speciale nel PIN.

Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare caratteri speciali nel PIN.

Se non si configura questa impostazione di criterio, Windows Hello for Business non consente agli utenti di usare caratteri speciali nel PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	0

Valori consentiti:

Value	Descrizione
0 (Predefinito)	Consente l'uso di caratteri speciali nel PIN.
1	Richiede l'uso di almeno un carattere speciale nel PIN.
2	Non consente l'uso di caratteri speciali nel PIN.

User/{TenantId}/Policies/PINComplexity/UppercaseLetters

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/PINComplexity/UppercaseLetters

Usare questa impostazione di criterio per configurare l'uso di lettere maiuscole nel PIN Windows Hello for Business.

Il valore 1 corrisponde a "Required". Se si configura questa impostazione di criterio su 1, Windows Hello for Business richiede agli utenti di includere almeno una lettera maiuscola nel PIN.

Il valore 2 corrisponde a "Non consentire". Se si configura questa impostazione di criterio su 2, Windows Hello for Business impedisce agli utenti di usare lettere maiuscole nel PIN.

Se non si configura questa impostazione di criterio, Windows Hello for Business non consente agli utenti di usare lettere maiuscole nel PIN.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	int
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	0

Valori consentiti:

Value	Descrizione
0 (Predefinito)	Consente l'uso di lettere maiuscole nel PIN.
1	Richiede l'uso di almeno una lettera maiuscola nel PIN.
2	Non consente l'uso di lettere maiuscole nel PIN.

User/{TenantId}/Policies/RequireSecurityDevice

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice

Un modulo TPM (Trusted Platform Module) offre vantaggi aggiuntivi in termini di sicurezza rispetto al software perché i dati archiviati al suo interno non possono essere usati in altri dispositivi.

• Se si abilita questa impostazione di criterio, Windows Hello for Business solo i dispositivi con provisioning TPM utilizzabile.

• Se si disabilita o non si configura questa impostazione di criterio, il TPM è ancora preferibile, ma tutti i dispositivi effettuano il provisioning Windows Hello for Business usando il software se il TPM non è funzionale o non è disponibile.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	False

Valori consentiti:

Value	Descrizione
false (impostazione predefinita)	Disabilitato.
true	Abilitata.

User/{TenantId}/Policies/UsePassportForWork

Ambito	Edizioni	Sistema operativo applicabile
✅ dispositivo ✅ utente	✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC	✅Windows 10 versione 1511 [10.0.10586] e versioni successive

./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork

Windows Hello for Business è un metodo alternativo per l'accesso a Windows tramite l'account Active Directory o Microsoft Entra che può sostituire password, smart card e smart card virtuali.

• Se si abilita o non si configura questa impostazione di criterio, il dispositivo esegue il provisioning Windows Hello for Business per tutti gli utenti.

• Se si disabilita questa impostazione di criterio, il dispositivo non effettua il provisioning Windows Hello for Business per nessun utente.

Proprietà del framework di descrizione:

Nome della proprietà	Valore proprietà
Formato	bool
Tipo accesso	Aggiungere, eliminare, ottenere, sostituire
Valore predefinito	True

Valori consentiti:

Value	Descrizione
false	Disabilitato.
true (impostazione predefinita)	Abilitata.

Esempi

Ecco un esempio per impostare Windows Hello for Business e i criteri PIN. Attiva anche l'uso della biometria e del TPM.

<SyncML xmlns="SYNCML:SYNCML1.2">
          <SyncBody>
            <Add>
              <CmdID>2</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F
                  </LocURI>
                </Target>
              </Item>
            </Add>
            <Add>
              <CmdID>3</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/UsePassportForWork
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>4</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/RequireSecurityDevice
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>5</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MinimumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>8</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>6</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/MaximumPINLength
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>16</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>7</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/UppercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>8</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/LowercaseLetters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>9</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/SpecialCharacters
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>2</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>10</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Digits
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>1</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>11</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/History
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>20</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>12</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/PINComplexity/Expiration
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>70</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>13</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/5NEMDU42-45CC-8CBL-8BPF-D7092646325F/Policies/Remote/UseRemotePassport
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>14</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>15</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/FacialFeatureUseEnhancedAntiSpoofing
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">bool</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>true</Data>
              </Item>
            </Add>
            <Add>
              <CmdID>16</CmdID>
              <Item>
                <Target>
                  <LocURI>
                    ./Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals
                  </LocURI>
                </Target>
                <Meta>
                  <Format xmlns="syncml:metinf">int</Format>
                  <Type>text/plain</Type>
                </Meta>
                <Data>0</Data>
              </Item>
            </Add>
            <Final/>
          </SyncBody>
        </SyncML>

Articoli correlati

Riferimento del provider di servizi di configurazione