Domande comuni su Windows Hello for Business

Windows Hello rappresenta il framework biometrico fornito in Windows. Windows Hello consente agli utenti di usare la biometria per accedere ai propri dispositivi archiviando in modo sicuro il nome utente e la password e rilasciandoli per l'autenticazione quando l'utente si identifica correttamente usando la biometria. Windows Hello for Business usa le chiavi asimmetriche protette dal modulo di sicurezza del dispositivo che richiede un movimento dell'utente (PIN o biometria) per l'autenticazione.

Tre motivi principali:

1. Un PIN è associato a un dispositivo: una differenza importante tra una password online e un PIN Hello è che il PIN è associato al dispositivo specifico in cui è configurato. Quel PIN sarà inutilizzabile senza quell'hardware specifico. Qualcuno che ottiene la password online può accedere al tuo account da qualsiasi luogo, ma se ottiene il PIN, dovrà accedere anche al tuo dispositivo. Il PIN non può essere usato da nessuna parte se non in quel dispositivo specifico. Se si vuole accedere a più dispositivi, è necessario configurare Hello in ogni dispositivo
2. Un PIN è locale per il dispositivo: una password online viene trasmessa al server. La password può essere intercettata durante la trasmissione o ottenuta da un server. Un PIN è locale nel dispositivo, non viene mai trasmesso da nessuna parte e non viene archiviato nel server. Al momento della creazione, il PIN stabilisce una relazione attendibile con il provider identità e crea una coppia di chiavi asimmetriche che vengono usate per l'autenticazione. Quando si immette il PIN, si sblocca la chiave di autenticazione, usata per firmare la richiesta inviata al server di autenticazione. Con Windows Hello for Business, il PIN è l'entropia fornita dall'utente usata per caricare la chiave privata nel modulo TPM (Trusted Platform Module). Il server non dispone di una copia del PIN. In questo caso, il client Windows non ha nemmeno una copia del PIN corrente. L'utente deve fornire l'entropia, la chiave protetta da TPM e il TPM che ha generato tale chiave per accedere correttamente alla chiave privata
3. Un PIN è supportato dall'hardware: il PIN Hello è supportato da un chip TPM (Trusted Platform Module), un processore di crittografia sicuro progettato per eseguire operazioni di crittografia. Il chip include più meccanismi di sicurezza fisica in grado di proteggerlo da manomissioni; il software dannoso non sarà pertanto in grado di manomettere le funzioni di sicurezza del TPM. Windows non collega le password locali al TPM, pertanto i PIN sono considerati più sicuri rispetto alle password locali. Il materiale della chiave utente viene generato e disponibile all'interno del TPM del dispositivo. Il TPM protegge il materiale chiave dagli utenti malintenzionati che vogliono acquisirlo e riutilizzarlo. Poiché Hello usa coppie di chiavi asimmetriche, le credenziali degli utenti non possono essere rubate nei casi in cui il provider di identità o i siti Web a cui l'utente accede sono stati compromessi. Il TPM protegge da vari attacchi noti e potenziali, inclusi gli attacchi di forza bruta del PIN. Dopo troppi tentativi errati, il dispositivo è bloccato

L'istruzione A PIN is stronger than a password is not directed at the strength of the entropy used by the PIN.The statement A PIN is stronger than a password is not directed at the strength of the entropy used by the PIN. Si tratta della differenza tra fornire entropia e continuare l'uso di una chiave simmetrica (la password). Il TPM ha funzionalità anti-martellamento che contrastano gli attacchi PIN di forza bruta (il tentativo continuo di un utente malintenzionato di provare tutte le combinazioni di PIN). Alcune organizzazioni potrebbero preoccuparsi del surf sulle spalle. Per queste organizzazioni, invece di aumentare la complessità del PIN, implementare la funzionalità Sblocco a più fattori .

Per compromettere le credenziali di Windows Hello protette da TPM, un utente malintenzionato deve avere accesso al dispositivo fisico. Quindi, l'utente malintenzionato deve trovare un modo per falsifiare la biometria dell'utente o indovinare il PIN. Tutte queste azioni devono essere eseguite prima che la protezione anti-martellamento TPM blocchi il dispositivo.

Windows Hello abilita l'accesso biometrico con impronta digitale, iris o riconoscimento facciale. Quando si configura Windows Hello, viene richiesto di creare un PIN dopo la configurazione biometrica. Il PIN consente di accedere quando non è possibile usare la biometria preferita a causa di un infortunio o perché il sensore non è disponibile o non funziona correttamente. Se è stato configurato solo un accesso biometrico e, per qualsiasi motivo, non è stato possibile usare tale metodo per accedere, è necessario accedere usando l'account e la password, che non offre lo stesso livello di protezione di Hello.

Ogni volta che viene generato il materiale della chiave, deve essere protetto dagli attacchi. Il modo più efficace per eseguire questa operazione consiste nell'usare hardware specializzato. Esiste una lunga cronologia di uso dei moduli di sicurezza hardware (HSM) per generare, archiviare ed elaborare le chiavi per le applicazioni critiche per la sicurezza. Le smart card sono un tipo speciale di modulo di protezione hardware, così come i dispositivi conformi allo standard TPM di Trusted Computing Group. Laddove possibile, l'implementazione di Windows Hello for Business sfrutta l'hardware TPM di onboarding per generare e proteggere le chiavi. Gli amministratori possono scegliere di consentire operazioni chiave nel software, ma è consigliabile usare l'hardware TPM. Il TPM protegge da un'ampia gamma di attacchi noti e potenziali, inclusi gli attacchi di forza bruta per i PIN. Il TPM offre anche un ulteriore livello di protezione dopo un blocco di account. Quando il TPM ha bloccato il materiale della chiave, l'utente dovrà reimpostare il PIN (il che significa che l'utente dovrà usare MFA per autenticare nuovamente l'IdP prima che idP consenta la registrazione). La reimpostazione del PIN significa che verranno rimossi tutti i certificati e le chiavi crittografati con il materiale per le chiavi precedente.

Windows Hello for Business offre un'esperienza utente di memorizzazione nella cache del PIN usando un sistema di ticketing. Invece di una memorizzazione dei PIN nella cache, i processi memorizzano nella cache un ticket che possono utilizzare per richiedere le operazioni con chiave privata. Le chiavi di accesso di Microsoft Entra ID e Active Directory vengono memorizzate nella cache sotto blocco. Ciò significa che le chiavi rimangono disponibili per l'uso senza chiedere conferma, purché l'utente sia connesso in modo interattivo. Le chiavi di accesso all'account Microsoft sono chiavi transazionali, il che significa che all'utente viene sempre richiesto di accedere alla chiave.

Windows Hello for Business usato come smart card (emulazione di smart card abilitata per impostazione predefinita) offre la stessa esperienza utente della memorizzazione nella cache predefinita del PIN della smart card. Ogni processo che richiede un'operazione di chiave privata richiede all'utente il PIN al primo utilizzo. Le successive operazioni di chiave privata non richiederanno all'utente il PIN.

La funzionalità di emulazione smart card di Windows Hello for Business verifica il PIN e quindi elimina il PIN in cambio di un ticket. Il processo non riceve il PIN, ma piuttosto il ticket che concede loro operazioni di chiave privata. Non è disponibile un'impostazione di criteri per regolare la memorizzazione nella cache.

Quando si esegue la registrazione in Windows Hello, viene creata una rappresentazione della biometria, denominata profilo di registrazione. I dati biometrici del profilo di registrazione sono specifici del dispositivo, vengono archiviati localmente nel dispositivo e non lasciano il dispositivo o il roaming con l'utente. Alcuni sensori di impronte digitali esterni archiviano i dati biometrici nel modulo di impronta digitale stesso anziché nel dispositivo Windows. Anche in questo caso, i dati biometrici vengono archiviati in locale in tali moduli, sono specifici del dispositivo, non si spostano, non lasciano mai il modulo e non vengono mai inviati al cloud Microsoft o al server esterno. Per altri dettagli, vedi La biometria di Windows Hello nell'organizzazione e l'autenticazione viso di Windows Hello.

I dati biometrici di Windows Hello vengono archiviati nel dispositivo come database modello crittografato. I dati del sensore biometrico (ad esempio la fotocamera del viso o il lettore di impronte digitali) creano una rappresentazione dei dati, o grafo, che viene quindi crittografata prima che venga archiviata nel dispositivo. Ogni sensore biometrico nel dispositivo usato da Windows Hello (viso o impronta digitale) avrà un proprio file di database biometrico in cui vengono archiviati i dati del modello. Ogni file di database biometrico viene crittografato con una chiave univoca generata in modo casuale crittografata nel sistema usando la crittografia AES che produce un hash SHA256.

Poiché i dati biometrici di Windows Hello sono archiviati in formato crittografato, nessun utente o processo diverso da Windows Hello può accedervi.

Il file di database modello biometrico di Windows Hello viene creato nel dispositivo solo quando un utente viene registrato nell'autenticazione basata sulla biometria di Windows Hello. Un amministratore IT può configurare le impostazioni dei criteri, ma è sempre una scelta di un utente se vuole usare la biometria o il PIN. Gli utenti possono controllare la registrazione corrente nella biometria di Windows Hello passando alle opzioni di accesso nel dispositivo. Passare alle opzioni Di avvio > impostazioni > Account > di accesso . Se le opzioni di accesso di Windows Hello non sono visualizzate, potrebbe non essere disponibile per il dispositivo o bloccate dall'amministratore tramite criteri. Gli amministratori possono richiedere agli utenti di registrarsi a Windows Hello durante Autopilot o durante la configurazione iniziale del dispositivo. Gli amministratori possono impedire agli utenti di registrarsi alla biometria tramite le configurazioni dei criteri di Windows Hello for Business. Tuttavia, se consentita tramite configurazioni dei criteri, la registrazione nella biometria di Windows Hello è sempre facoltativa per gli utenti.

Per rimuovere Windows Hello e tutti i dati di identificazione biometrica associati dal dispositivo, aprire Impostazioni start > Opzioni > di accesso account>. Selezionare il metodo di autenticazione biometrica di Windows Hello da rimuovere e quindi selezionare Rimuovi. L'azione annulla la registrazione dall'autenticazione biometrica di Windows Hello ed elimina il file di database modello biometrico associato. Per altre informazioni, vedere Opzioni di accesso di Windows e protezione dell'account (microsoft.com).

A partire da Configuration Manager versione 2203, le distribuzioni di Windows Hello for Business con Configuration Manager non sono più supportate.

È possibile eliminare il contenitore Windows Hello for Business eseguendo il comando certutil.exe -deleteHelloContainer.

Se l'utente può accedere con una password, può reimpostare il PIN selezionando il collegamento HO dimenticato il PIN nell'app Impostazioni o dalla schermata di blocco, selezionando il collegamento Ho dimenticato il PIN nel provider di credenziali PIN.

Per le distribuzioni locali, i dispositivi devono essere connessi alla rete locale (controller di dominio e/o autorità di certificazione) per reimpostare i PIN. Le distribuzioni ibride possono eseguire l'onboarding del tenant di Microsoft Entra per usare il servizio di reimpostazione del PIN di Windows Hello for Business per reimpostare i PIN. La reimpostazione non distruttiva del PIN funziona senza accesso alla rete aziendale. La reimpostazione distruttiva del PIN richiede l'accesso alla rete aziendale. Per altre informazioni sulla reimpostazione distruttiva e non distruttiva del PIN, vedere Reimpostazione del PIN.

Sì. L'algoritmo PIN semplice cerca e disabilita qualsiasi PIN che abbia un delta costante da una cifra a quella successiva. L'algoritmo conta il numero di passaggi necessari per raggiungere la cifra successiva, traboccando a 10 ('zero'). Quindi ad esempio:

• Il PIN 1111 ha un delta costante di (0,0,0), quindi non è consentito
• Il PIN 1234 ha un delta costante di (1,1,1), quindi non è consentito
• Il PIN 1357 ha un delta costante di (2,2,2), quindi non è consentito
• Il PIN 9630 ha un delta costante di (7,7,7), quindi non è consentito
• Il PIN 1593 ha un delta costante di (4,4,4), quindi non è consentito
• Il PIN 7036 ha un delta costante di (3,3,3), quindi non è consentito
• Il PIN 1231 non ha un delta costante (1,1,2), quindi è consentito
• Il PIN 1872 non ha un delta costante (7,9,5), quindi è consentito

Questo controllo impedisce la ripetizione di numeri, numeri sequenziali e modelli semplici. Genera sempre un elenco di 100 PIN non consentiti (indipendentemente dalla lunghezza del PIN). Questo algoritmo non si applica ai PIN alfanumerici.

Per aiutare Microsoft a mantenere le cose funzionanti, per rilevare e prevenire le frodi e per continuare a migliorare Windows Hello, vengono raccolti i dati di diagnostica su come gli utenti usano Windows Hello. Ad esempio:

• Dati relativi all'accesso delle persone con il viso, l'iride, l'impronta digitale o il PIN
• Il numero di volte in cui lo usano
• Che funzioni o meno, tutte queste sono informazioni preziose che consentono a Microsoft di creare un prodotto migliore. I dati sono pseudonimi, non includono informazioni biometriche e vengono crittografati prima che vengano trasmessi a Microsoft. È possibile scegliere di interrompere l'invio dei dati di diagnostica a Microsoft in qualsiasi momento. Altre informazioni sui dati di diagnostica in Windows.

No. La dismissione dell'uso delle password viene eseguita riducendo gradualmente l'utilizzo della password. Nelle situazioni in cui non è possibile eseguire l'autenticazione usando la biometria, è necessario un meccanismo di fallback che non sia una password. Il PIN è il meccanismo di fallback. Se si disabilita o si nasconde il provider di credenziali PIN, viene disabilitato l'uso della biometria.

L'utente non autorizzato non sarà in grado di utilizzare alcuna opzione biometrica e avrà l'unica opzione per immettere un PIN.

Se l'utente tenta di sbloccare il dispositivo immettendo PIN casuali, dopo tre tentativi non riusciti il provider di credenziali visualizzerà il messaggio seguente: È stato immesso un PIN non corretto più volte. Per riprovare, immettere A1B2C3 di seguito. Dopo aver immesso la frase di verifica A1B2C3, all'utente verrà concessa un'altra opportunità per immettere il PIN. In caso di esito negativo, il provider verrà disabilitato, lasciando all'utente l'unica opzione per riavviare il dispositivo. Dopo il riavvio, il modello di cui sopra si ripete.

Se i tentativi non riusciti continuano, il dispositivo entrerà in uno stato di blocco, che dura 1 minuto dopo il primo riavvio, 2 minuti dopo il quarto riavvio e 10 minuti dopo il quinto riavvio. La durata di ogni blocco aumenta di conseguenza. Questo comportamento è il risultato della funzionalità anti-martellamento TPM 2.0. Per altre informazioni sulla funzionalità anti-martellamento TPM, vedere Anti-hammering TPM 2.0.

Sì. È possibile usare la distribuzione locale di Windows Hello for Business e combinarla con un provider MFA non Microsoft che non richiede la connettività Internet per ottenere una distribuzione di Windows Hello for Business con air-gapped.

Il numero massimo di registrazioni supportate in un singolo dispositivo è 10. Ciò consente a 10 utenti di registrare ogni viso e fino a 10 impronte digitali. Per i dispositivi con più di 10 utenti o per gli utenti che accedono a molti dispositivi (ad esempio, un tecnico del supporto), è consigliabile usare le chiavi di sicurezza FIDO2.

No. Se l'organizzazione usa servizi cloud Microsoft, è necessario usare un modello di distribuzione ibrida. Le distribuzioni locali sono esclusive per le organizzazioni che hanno bisogno di più tempo prima di passare al cloud e usano esclusivamente Active Directory.

Per un elenco degli attributi sincronizzati in base agli scenari, vedere Microsoft Entra Connect Sync: Attributes synchronized to Microsoft Entra ID (Sincronizzazione Microsoft Entra Connect: attributi sincronizzati con Microsoft Entra ID ). Gli scenari di base che includono Windows Hello for Business sono lo scenario di Windows 10 e lo scenario di writeback del dispositivo . L'ambiente può includere altri attributi.

Sì, se si usa la distribuzione ibrida federata, è possibile usare qualsiasi scheda non Microsoft che fornisce un adattatore AD FS MFA. Un elenco di schede MFA non Microsoft è disponibile qui.

Windows Hello for Business funziona con tutti i server federativi non Microsoft che supportano i protocolli usati durante l'esperienza di provisioning.

Windows Hello for Business non è progettato per funzionare con gli account locali.

Per altre informazioni, vedere Requisiti biometrici di Windows Hello .

Indossare una maschera per la registrazione è un problema di sicurezza perché altri utenti che indossano una maschera simile potrebbero essere in grado di sbloccare il dispositivo. Rimuovi una maschera se ne indossi una durante la registrazione o lo sblocco con l'autenticazione viso di Windows Hello. Se l'ambiente di lavoro non consente di rimuovere temporaneamente una maschera, è consigliabile annullare la registrazione dall'autenticazione viso e usare solo PIN o impronta digitale.

A un utente verrà richiesto di configurare una chiave di Windows Hello for Business in un dispositivo registrato di Microsoft Entra se la funzionalità è abilitata dai criteri. Se l'utente ha un contenitore Windows Hello esistente, la chiave di Windows Hello for Business verrà registrata in tale contenitore e verrà protetta usando i movimenti esistenti.

Se un utente ha eseguito l'accesso al dispositivo registrato Microsoft Entra con Windows Hello, la chiave di Windows Hello for Business verrà usata per autenticare l'identità aziendale dell'utente quando tenta di usare le risorse di Microsoft Entra. La chiave di Windows Hello for Business soddisfa i requisiti di autenticazione a più fattori (MFA) di Microsoft Entra e riduce il numero di richieste di autenticazione a più fattori che gli utenti vedranno quando accedono alle risorse.

È possibile che Microsoft Entra registri un dispositivo aggiunto a un dominio. Se il dispositivo aggiunto al dominio ha un PIN pratico, l'accesso con il PIN pratico non funzionerà più. Questa configurazione non è supportata da Windows Hello for Business.

Per altre informazioni, vedere Dispositivi registrati di Microsoft Entra.

Windows Hello for Business è una funzionalità della piattaforma Windows.

No, Microsoft Entra Domain Services è un ambiente gestito separatamente in Azure e la registrazione dei dispositivi ibridi con l'ID Microsoft Entra cloud non è disponibile tramite Microsoft Entra Connect. Di conseguenza, Windows Hello for Business non funziona con Microsoft Entra Domain Services.

Windows Hello for Business è l'autenticazione a due fattori basata sui fattori di autenticazione osservati: qualcosa che hai, qualcosa che conosci e qualcosa che fa parte di te. Windows Hello for Business incorpora due di questi fattori: qualcosa che ti appartiene (chiave privata dell'utente protetta dal modulo di sicurezza del dispositivo) e qualcosa che conosci (PIN). Se disponi dell'hardware appropriato, puoi migliorare l'esperienza utente introducendo la biometria. Usando la biometria, è possibile sostituire il fattore di autenticazione "qualcosa che si conosce" con il fattore "qualcosa che fa parte di te", con le garanzie che gli utenti possono tornare al "fattore qualcosa che conosci".

Entrambi i tipi di autenticazione offrono la stessa sicurezza; uno non è più sicuro dell'altro. I modelli di attendibilità della distribuzione determinano la modalità di autenticazione in Active Directory. Sia l'attendibilità chiave che l'attendibilità del certificato usano le stesse credenziali a due fattori supportate dall'hardware. La differenza tra i due tipi di trust è il rilascio di certificati di entità finale:

• Il modello di attendibilità delle chiavi esegue l'autenticazione in Active Directory usando una chiave non elaborata. L'attendibilità delle chiavi non richiede un certificato emesso dall'organizzazione, pertanto non è necessario rilasciare certificati agli utenti (i certificati del controller di dominio sono ancora necessari)
• Il modello di attendibilità del certificato esegue l'autenticazione in Active Directory usando un certificato. Pertanto, è necessario rilasciare certificati agli utenti. Il certificato usato nell'attendibilità del certificato usa la chiave privata protetta da TPM per richiedere un certificato alla CA emittente dell'organizzazione

Il PIN pratico offre un modo più semplice per accedere a Windows rispetto alle password, ma usa comunque una password per l'autenticazione. Quando viene fornito il PIN pratico corretto a Windows, le informazioni sulla password vengono caricate dalla cache e autenticano l'utente. Le organizzazioni che usano PIN pratici devono passare a Windows Hello for Business. Le nuove distribuzioni di Windows devono distribuire Windows Hello for Business e non pin pratici.

No. Anche se è possibile impostare un PIN pratico nei dispositivi aggiunti a Microsoft Entra e aggiunti a Microsoft Entra, il PIN pratico non è supportato per gli account utente di Microsoft Entra (incluse le identità sincronizzate). Il PIN pratico è supportato solo per gli utenti di Active Directory locali e gli utenti dell'account locale.

Windows Hello for Business è l'autenticazione a due fattori moderna per Windows. I clienti che usano smart card virtuali sono fortemente invitati a passare a Windows Hello for Business.

Per un elenco degli URL necessari, vedere Microsoft 365 Common e Office Online.

Se l'ambiente usa Microsoft Intune, vedere Endpoint di rete per Microsoft Intune.

Sì, puoi usare una fotocamera esterna compatibile con Windows Hello se un dispositivo ha una fotocamera Interna di Windows Hello. Quando sono presenti entrambe le fotocamere, la fotocamera esterna viene usata per l'autenticazione viso. Per altre informazioni, vedere Strumenti IT per supportare Windows 10, versione 21H1. Se ESS è abilitato, vedi Sicurezza di accesso avanzata di Windows Hello.

Alcuni portatili e tablet con tastiere che si chiudono potrebbero non usare una fotocamera esterna compatibile con Windows Hello o un altro accessorio compatibile con Windows Hello quando il computer è ancorato con il coperchio chiuso. Il problema è stato risolto in Windows 11 versione 22H2.

Le credenziali di Windows Hello for Business devono accedere allo stato del dispositivo, che non è disponibile in modalità browser privato o in incognito. Di conseguenza, non può essere usato in modalità browser privato o in incognito.

È possibile usare lo sblocco a più fattori per richiedere agli utenti di fornire un fattore aggiuntivo per sbloccare il dispositivo. L'autenticazione resta a due fattori, ma un altro fattore è necessario prima che Windows consenta all'utente di accedere al desktop. Per altre informazioni, vedere Sblocco a più fattori.

L'attendibilità Kerberos cloud di Windows Hello for Business è un modello di trust che consente la distribuzione di Windows Hello for Business usando l'infrastruttura introdotta per supportare l'accesso con chiave di sicurezza nei dispositivi aggiunti a Microsoft Entra ibrido e l'accesso alle risorse locali nei dispositivi aggiunti a Microsoft Entra. L'attendibilità Kerberos cloud è il modello di distribuzione preferito se non è necessario supportare scenari di autenticazione del certificato. Per altre informazioni, vedere Distribuzione dell'attendibilità Kerberos nel cloud.

Questa funzionalità non funziona in un ambiente di servizi di dominio AD locale puro.

L'attendibilità Kerberos cloud di Windows Hello for Business cerca un controller di dominio scrivibile per lo scambio del TGT parziale. Se si dispone di almeno un controller di dominio scrivibile per sito, l'accesso con attendibilità Kerberos cloud funzionerà.

L'attendibilità Kerberos cloud di Windows Hello for Business richiede la visualizzazione diretta di un controller di dominio quando:

• un utente accede per la prima volta o si sblocca con Windows Hello for Business dopo il provisioning
• tentativo di accesso alle risorse locali protette da Active Directory

L'attendibilità Kerberos cloud di Windows Hello for Business non può essere usata come credenziale fornita con RDP/VDI. Analogamente all'attendibilità chiave, l'attendibilità Kerberos cloud può essere usata per RDP se un certificato è registrato in Windows Hello for Business a questo scopo. In alternativa, è consigliabile usare Remote Credential Guard che non richiede la distribuzione di certificati.

No, solo il numero necessario per gestire il carico da tutti i dispositivi di attendibilità Kerberos cloud.

In una distribuzione ibrida, la chiave pubblica di un utente deve essere sincronizzata da Microsoft Entra ID ad Active Directory prima che possa essere usata per l'autenticazione su un controller di dominio. Questa sincronizzazione viene gestita da Microsoft Entra Connect e verrà eseguita durante un normale ciclo di sincronizzazione.

Remote Desktop Protocol (RDP) non supporta l'uso dell'autenticazione basata su chiave come credenziali fornite. È tuttavia possibile distribuire i certificati nel modello di attendibilità delle chiavi per abilitare RDP. Per altre informazioni, vedere Distribuzione di certificati agli utenti con attendibilità chiave per abilitare RDP. In alternativa, è consigliabile usare Remote Credential Guard che non richiede la distribuzione di certificati.