Guida alla distribuzione solo cloud

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Questo articolo descrive le funzionalità o gli scenari Windows Hello for Business applicabili a:

• Tipo di distribuzione:
• Tipo di join: Microsoft Entra partecipare

---

Requisiti

Prima di iniziare la distribuzione, esaminare i requisiti descritti nell'articolo Pianificare una distribuzione Windows Hello for Business.

Prima di iniziare, verificare che siano soddisfatti i requisiti seguenti:

• Authentication
• Configurazione dei dispositivi
• Licenze per i servizi cloud
• Preparare gli utenti all'uso di Windows Hello

Fasi di distribuzione

Dopo aver soddisfatto i prerequisiti, la distribuzione di Windows Hello for Business prevede i passaggi seguenti:

• Configurare le impostazioni dei criteri per Windows Hello for Business
• Iscriversi a Windows Hello for Business

Configurare le impostazioni dei criteri per Windows Hello for Business

Quando si Microsoft Entra aggiungere un dispositivo, il sistema tenta di registrare automaticamente l'utente in Windows Hello for Business. Se si vuole usare Windows Hello for Business in un ambiente solo cloud con le impostazioni predefinite, non è necessaria alcuna configurazione aggiuntiva.

Le distribuzioni solo cloud usano Microsoft Entra autenticazione a più fattori durante la registrazione Windows Hello for Business e non sono necessarie altre configurazioni MFA. Se non si è già registrati in MFA, si viene guidati attraverso la registrazione MFA come parte del processo di registrazione Windows Hello for Business.

Le impostazioni dei criteri possono essere configurate per controllare il comportamento di Windows Hello for Business, tramite il provider di servizi di configurazione (CSP) o criteri di gruppo (GPO). Nelle distribuzioni solo cloud, i dispositivi vengono in genere configurati tramite una soluzione MDM come Microsoft Intune, usando il CSP PassportForWork.

Nota

Vedere l'articolo Configurare Windows Hello for Business usando Microsoft Intune per informazioni sulle diverse opzioni offerte da Microsoft Intune per configurare Windows Hello for Business.

Se il Intune criterio a livello di tenant è configurato per disabilitare Windows Hello for Business o se i dispositivi vengono distribuiti con Windows Hello disabilitati, è necessario configurare un'impostazione di criterio per abilitare Windows Hello for Business:

• Usa Windows Hello for Business

Un'altra impostazione facoltativa, ma consigliata, dei criteri è:

• Usa un dispositivo di sicurezza hardware

Seguire le istruzioni seguenti per configurare i dispositivi usando Microsoft Intune o Criteri di gruppo.

Intune/CSP

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria	Nome dell'impostazione	Valore
Windows Hello for Business	Usare Passport for Work	true
Windows Hello for Business	Richiedi dispositivo di sicurezza	true

Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.

In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il CSP PassportForWork.

Impostazione
- URI OMA:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Tipo di dati:bool - Valore:True
- URI OMA:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Tipo di dati:bool - Valore:True

GPO

Per configurare un dispositivo con Criteri di gruppo, usare l'Criteri di gruppo Editor locale.

Percorso criteri di gruppo	Impostazione di Criteri di gruppo	Value
Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business or Configurazione utente\Modelli amministrativi\Componenti di Windows\Windows Hello for Business	Usa Windows Hello for Business	Abilitato
Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business	Usa un dispositivo di sicurezza hardware	Abilitato

Suggerimento

Se si usa Microsoft Intune e non si usano i criteri a livello di tenant, abilitare la pagina stato registrazione (ESP) per assicurarsi che i dispositivi ricevano le impostazioni dei criteri di Windows Hello for Business prima che gli utenti possano accedere al desktop. Per altre informazioni su ESP, vedere Configurare la pagina stato della registrazione.

È possibile configurare altre impostazioni dei criteri per controllare il comportamento di Windows Hello for Business. Per altre informazioni, vedere impostazioni dei criteri di Windows Hello for Business.

Iscriversi a Windows Hello for Business

Il processo di provisioning Windows Hello for Business inizia immediatamente dopo l'accesso di un utente, se vengono passati alcuni controlli dei prerequisiti.

Esperienza utente

Dopo l'accesso di un utente, inizia il processo di registrazione Windows Hello for Business:

1. Se il dispositivo supporta l'autenticazione biometrica, all'utente viene richiesto di configurare un movimento biometrico. Questo movimento può essere usato per sbloccare il dispositivo e eseguire l'autenticazione alle risorse che richiedono Windows Hello for Business. L'utente può ignorare questo passaggio se non vuole configurare un movimento biometrico
2. All'utente viene richiesto di usare Windows Hello con l'account dell'organizzazione. L'utente seleziona OK
3. Il flusso di provisioning procede alla parte di autenticazione a più fattori della registrazione. Il provisioning informa l'utente che sta tentando attivamente di contattare l'utente tramite la forma configurata di MFA. Il processo di provisioning non procede fino a quando l'autenticazione non riesce, non ha esito negativo o non si verifica un timeout. Un'autenticazione MFA non riuscita o timeout genera un errore e chiede all'utente di riprovare
4. Dopo l'esito positivo dell'autenticazione a più fattori, il flusso di provisioning chiede all'utente di creare e convalidare un PIN. Questo PIN deve osservare eventuali criteri di complessità del PIN configurati nel dispositivo
5. La parte restante del provisioning include la richiesta di Windows Hello for Business per una coppia di chiavi asimmetriche per l'utente, preferibilmente dal TPM (o obbligatorio se è impostato in modo esplicito tramite criteri). Dopo aver acquisito la coppia di chiavi, Windows comunica con l'IdP per registrare la chiave pubblica. Al termine della registrazione delle chiavi, Windows Hello for Business provisioning informa l'utente che può usare il PIN per accedere. L'utente può chiudere l'applicazione di provisioning e accedere al desktop

Diagrammi di sequenza

Per comprendere meglio i flussi di provisioning, esaminare i diagrammi di sequenza seguenti in base al tipo di autenticazione:

• Provisioning per Microsoft Entra dispositivi aggiunti con autenticazione gestita
• Provisioning per Microsoft Entra dispositivi aggiunti con autenticazione federata

Per comprendere meglio i flussi di autenticazione, esaminare il diagramma di sequenza seguente:

• Microsoft Entra aggiungere l'autenticazione a Microsoft Entra ID

Disabilitare la registrazione automatica

Se si vuole disabilitare la registrazione automatica Windows Hello for Business, è possibile configurare i dispositivi con un'impostazione di criteri o una chiave del Registro di sistema. Per altre informazioni, vedere Disabilitare la registrazione Windows Hello for Business.

Nota

Durante il flusso di esperienza predefinita (Configurazione guidata) di un Microsoft Entra join, si viene guidati a registrarsi in Windows Hello for Business quando non si dispone di Intune. È possibile annullare la schermata del PIN e accedere al desktop senza eseguire la registrazione in Windows Hello for Business.