Configurare e registrare Windows Hello for Business in un modello di trust con chiave ibrida

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Questo articolo descrive le funzionalità o gli scenari Windows Hello for Business applicabili a:

• Tipo di distribuzione:ibrido
• Tipo di attendibilità:con attendibilità delle chiavi
• Tipo di join: Microsoft Entra aggiungere , Microsoft Entra join ibrido

---

Dopo aver soddisfatto i prerequisiti e convalidato la configurazione PKI, la distribuzione di Windows Hello for Business prevede i passaggi seguenti:

• Configurare le impostazioni dei criteri per Windows Hello for Business
• Iscriversi a Windows Hello for Business

Configurare le impostazioni dei criteri per Windows Hello for Business

È necessaria un'impostazione di criteri per abilitare Windows Hello for Business in un modello di attendibilità chiave:

• Usa Windows Hello for Business

Un'altra impostazione facoltativa, ma consigliata, dei criteri è:

• Usa un dispositivo di sicurezza hardware

Le istruzioni seguenti descrivono come configurare i dispositivi usando Microsoft Intune o Criteri di gruppo.

Intune/CSP

Nota

Vedere l'articolo Configurare Windows Hello for Business usando Microsoft Intune per informazioni sulle diverse opzioni offerte da Microsoft Intune per configurare Windows Hello for Business.

Se il Intune criterio a livello di tenant è abilitato e configurato in base alle proprie esigenze, è possibile passare a Registra in Windows Hello for Business.

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria	Nome dell'impostazione	Valore
Windows Hello for Business	Usare Passport for Work	true
Windows Hello for Business	Richiedi dispositivo di sicurezza	true

Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.

In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il CSP PassportForWork.

Impostazione
- URI OMA:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Tipo di dati:bool - Valore:True
- URI OMA:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Tipo di dati:bool - Valore:True

GPO

È possibile configurare l'impostazione dei criteri Usa Windows Hello for Business nel computer o nel nodo utente di un oggetto Criteri di gruppo:

• Distribuendo l'impostazione dei criteri del nodo del computer, tutti gli utenti che accedono ai dispositivi di destinazione tentano una registrazione Windows Hello for Business
• Distribuendo l'impostazione dei criteri del nodo utente, vengono eseguiti solo gli utenti di destinazione per tentare una registrazione Windows Hello for Business

Se si distribuiscono le impostazioni dei criteri sia per gli utenti che per i computer, l'impostazione per gli utenti ha la precedenza.

Per configurare un dispositivo con Criteri di gruppo, usare l'Criteri di gruppo Editor locale. Per configurare più dispositivi aggiunti ad Active Directory, creare o modificare un oggetto Criteri di gruppo e usare le impostazioni seguenti:

Percorso criteri di gruppo	Impostazione di Criteri di gruppo	Value
Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business or Configurazione utente\Modelli amministrativi\Componenti di Windows\Windows Hello for Business	Usa Windows Hello for Business	Abilitato
Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business	Usa un dispositivo di sicurezza hardware	Abilitato

I criteri di gruppo possono essere collegati a domini o unità organizzative, filtrati usando gruppi di sicurezza o filtrati tramite filtri WMI.

Suggerimento

Il modo migliore per distribuire l'oggetto Criteri di gruppo Windows Hello for Business consiste nell'usare il filtro dei gruppi di sicurezza. Solo i membri del gruppo di sicurezza di destinazione eseguiranno il provisioning Windows Hello for Business, abilitando un'implementazione in più fasi. Questa soluzione consente di collegare l'oggetto Criteri di gruppo al dominio, assicurando che l'ambito dell'oggetto Criteri di gruppo sia limitato a tutte le entità di sicurezza. Il filtro del gruppo di sicurezza garantisce che solo i membri del gruppo globale ricevano e applichino l'oggetto Criteri di gruppo, con conseguente provisioning di Windows Hello for Business.

Se si distribuisce Windows Hello for Business configurazione usando sia Criteri di gruppo che Intune, le impostazioni Criteri di gruppo hanno la precedenza e Intune impostazioni vengono ignorate. Per altre informazioni sui conflitti di criteri, vedere Conflitti di criteri da più origini dei criteri

È possibile configurare altre impostazioni dei criteri per controllare il comportamento di Windows Hello for Business. Per altre informazioni, vedere impostazioni dei criteri di Windows Hello for Business.

Iscriversi a Windows Hello for Business

Il processo di provisioning Windows Hello for Business inizia immediatamente dopo il caricamento del profilo utente e prima che l'utente riceva il desktop. Per avviare il processo di provisioning, tutti i controlli dei prerequisiti devono essere superati.

È possibile determinare lo stato dei controlli dei prerequisiti visualizzando il log di amministrazione registrazione dispositivi utente in Registri applicazioni e servizi > di Microsoft > Windows.
Queste informazioni sono disponibili anche usando il dsregcmd.exe /status comando da una console. Per altre informazioni, vedere dsregcmd.

Esperienza utente

Dopo l'accesso di un utente, inizia il processo di registrazione Windows Hello for Business:

1. Se il dispositivo supporta l'autenticazione biometrica, all'utente viene richiesto di configurare un movimento biometrico. Questo movimento può essere usato per sbloccare il dispositivo e eseguire l'autenticazione alle risorse che richiedono Windows Hello for Business. L'utente può ignorare questo passaggio se non vuole configurare un movimento biometrico
2. All'utente viene richiesto di usare Windows Hello con l'account dell'organizzazione. L'utente seleziona OK
3. Il flusso di provisioning procede alla parte di autenticazione a più fattori della registrazione. Il provisioning informa l'utente che sta tentando attivamente di contattare l'utente tramite la forma configurata di MFA. Il processo di provisioning non procede fino a quando l'autenticazione non riesce, non ha esito negativo o non si verifica un timeout. Un'autenticazione MFA non riuscita o timeout genera un errore e chiede all'utente di riprovare
4. Dopo l'esito positivo dell'autenticazione a più fattori, il flusso di provisioning chiede all'utente di creare e convalidare un PIN. Questo PIN deve osservare eventuali criteri di complessità del PIN configurati nel dispositivo
5. La parte restante del provisioning include la richiesta di Windows Hello for Business per una coppia di chiavi asimmetriche per l'utente, preferibilmente dal TPM (o obbligatorio se è impostato in modo esplicito tramite criteri). Dopo aver acquisito la coppia di chiavi, Windows comunica con l'IdP per registrare la chiave pubblica. Al termine della registrazione delle chiavi, Windows Hello for Business provisioning informa l'utente che può usare il PIN per accedere. L'utente può chiudere l'applicazione di provisioning e accedere al desktop

Dopo la registrazione, Microsoft Entra Connect sincronizza la chiave dell'utente da Microsoft Entra ID ad Active Directory.

Importante

Il tempo minimo necessario per sincronizzare la chiave pubblica dell'utente da Microsoft Entra ID al Active Directory locale è di 30 minuti. L'utilità di pianificazione Microsoft Entra Connect controlla l'intervallo di sincronizzazione. Questa latenza di sincronizzazione ritarda la capacità dell'utente di autenticare e usare le risorse locali fino a quando la chiave pubblica dell'utente non viene sincronizzata con Active Directory. Dopo la sincronizzazione, l'utente può autenticare e accedere alle risorse locali. Leggere Microsoft Entra Connect Sync: Utilità di pianificazione per visualizzare e modificare il ciclo di sincronizzazione per l'organizzazione.

Diagrammi di sequenza

Per comprendere meglio i flussi di provisioning, esaminare i diagrammi di sequenza seguenti in base al tipo di autenticazione e join del dispositivo:

• Provisioning per Microsoft Entra dispositivi aggiunti con autenticazione gestita
• Provisioning per Microsoft Entra dispositivi aggiunti con autenticazione federata
• Provisioning in un modello di distribuzione dell'attendibilità della chiave ibrida con autenticazione gestita

Per comprendere meglio i flussi di autenticazione, esaminare il diagramma di sequenza seguente:

• Microsoft Entra l'autenticazione di join ibrido usando una chiave
• Microsoft Entra aggiungere l'autenticazione ad Active Directory usando una chiave