Domande comuni sui Windows Hello for Business

Windows Hello for Business sostituisce l'accesso alla password con l'autenticazione avanzata, usando una coppia di chiavi asimmetriche. Questo articolo domande frequenti (FAQ) ha lo scopo di aiutare a ottenere altre informazioni sui Windows Hello for Business.

Concetti

Qual è la differenza tra Windows Hello e Windows Hello for Business?

Windows Hello rappresenta il framework biometrico fornito in Windows. Windows Hello consente agli utenti di usare la biometria per accedere ai propri dispositivi archiviando in modo sicuro il nome utente e la password e rilasciandoli per l'autenticazione quando l'utente si identifica correttamente usando la biometria. Windows Hello for Business usa le chiavi asimmetriche protette dal modulo di sicurezza del dispositivo che richiede un movimento dell'utente (PIN o biometria) per l'autenticazione.

Come può un PIN essere più sicuro di una password?

Quando si usa Windows Hello for Business, il PIN non è una chiave simmetrica, mentre la password è una chiave simmetrica. Con le password, è presente un server con una rappresentazione della password. Con Windows Hello for Business, il PIN è l'entropia fornita dall'utente usata per caricare la chiave privata nel modulo TPM (Trusted Platform Module). Il server non dispone di una copia del PIN. In questo caso, il client Windows non ha nemmeno una copia del PIN corrente. L'utente deve fornire l'entropia, la chiave protetta da TPM e il TPM che ha generato tale chiave per accedere correttamente alla chiave privata. The statement "PIN is stronger than Password" is not directed at the strength of the entropy used by the PIN. Si tratta della differenza tra fornire entropia e continuare l'uso di una chiave simmetrica (la password). Il TPM ha funzionalità anti-martellamento che contrastano gli attacchi PIN di forza bruta (il tentativo continuo di un utente malintenzionato di provare tutte le combinazioni di PIN). Alcune organizzazioni potrebbero preoccuparsi del surf sulle spalle. Per queste organizzazioni, invece di aumentare la complessità del PIN, implementare la funzionalità Sblocco a più fattori .

Come funziona l'autenticazione Windows Hello for Business?

Quando un utente desidera accedere a materiale per le chiavi protetto, il processo di autenticazione inizia con l'utente che immette un PIN o esegue un movimento biometrico per sbloccare il dispositivo. Tale processo a volte è detto "rilascio della chiave". È possibile paragonarlo all'uso di una chiave fisica per aprire una porta: prima di poter aprire la porta è necessario estrarre la chiave dalla tasca o dalla borsa. Il PIN dell'utente sblocca la protezione con chiave per il contenitore primario nel dispositivo. Quando il contenitore viene sbloccato, le applicazioni (e pertanto l'utente) possono usare qualsiasi chiave IDP che si trova all'interno del contenitore. Queste chiavi vengono usate per le richieste di accesso inviate all'IdP, per richiedere l'accesso alle risorse specificate. È importante comprendere che, sebbene le chiavi siano sbloccate, le applicazioni non possono usarle a volontà. Le applicazioni possono usare API specifiche per richiedere operazioni che richiedono materiale per le chiavi per azioni specifiche (ad esempio, decrittografare un messaggio e-mail o accedere a un sito Web). L'accesso tramite queste API non richiede la convalida esplicita tramite un movimento dell'utente e il materiale della chiave non è esposto all'applicazione richiedente. L'applicazione richiede invece l'autenticazione, la crittografia o la decrittografia e il livello Windows Hello gestisce le operazioni effettive e restituisce i risultati. Se appropriato, un'applicazione può richiedere un'autenticazione forzata anche per un dispositivo sbloccato. Windows chiede all'utente di reimmettere il PIN o eseguire di nuovo un movimento di autenticazione, che aggiunge un ulteriore livello di protezione per dati o azioni sensibili. Ad esempio, è possibile configurare un'applicazione per richiedere la reautenzione ogni volta che viene eseguita un'operazione specifica, anche se lo stesso account e PIN o movimento sono già stati usati per sbloccare il dispositivo. Per altre informazioni sui diversi flussi di autenticazione usati da Windows Hello for Business, vedere Windows Hello for Business e Autenticazione.

Cosa accade dopo che un utente registra un PIN durante il processo di registrazione Windows Hello for Business?

Windows Hello genera una nuova coppia di chiavi pubblica-privata nel dispositivo. Il TPM genera e protegge questa chiave privata; se il dispositivo non ha un TPM, la chiave privata viene crittografata e archiviata nel software. Questa chiave iniziale viene definita chiave di protezione. È associato solo a un singolo movimento; in altre parole, se un utente registra un PIN, un'impronta digitale e un viso sullo stesso dispositivo, ognuno di questi movimenti avrà una chiave di protezione univoca. Ogni gesto univoco genera una chiave di protezione univoca. La chiave di protezione esegue il wrapping sicuro della chiave di autenticazione. Il contenitore dispone di un'unica chiave di autenticazione, ma possono esistere più copie di tale chiave di cui è stato eseguito il wrapping con protezioni con chiave univoche diverse. Windows Hello genera anche una chiave amministrativa che l'utente o l'amministratore può usare per reimpostare le credenziali, se necessario, ad esempio quando si usa il servizio di reimpostazione del PIN. Oltre alla protezione con chiave, i dispositivi abilitati per TPM generano un blocco di dati che contiene le attestazioni dal TPM. A questo punto, l'utente ha un movimento PIN definito nel dispositivo e una protezione con chiave associata per tale movimento PIN. Ciò significa che l'utente è in grado di accedere in modo sicuro al dispositivo con il PIN e quindi di stabilire una sessione attendibile con il dispositivo per aggiungere il supporto per un movimento biometrico come alternativa per il PIN. Quando si aggiunge un movimento biometrico, segue la stessa sequenza di base: l'utente esegue l'autenticazione nel sistema usando il PIN e quindi registra la nuova biometria, dopo di che Windows genera una coppia di chiavi univoca e la archivia in modo sicuro. Per gli accessi futuri è possibile usare il PIN o i movimenti biometrici registrati.

Che cos'è un contenitore?

Nel contesto di Windows Hello for Business, un contenitore è un raggruppamento logico di dati o materiali chiave. Windows Hello usa un singolo contenitore che contiene il materiale della chiave utente per gli account personali, incluso il materiale chiave associato all'account Microsoft dell'utente o ad altri provider di identità consumer e le credenziali associate a un account aziendale o dell'istituto di istruzione. Il contenitore contiene le credenziali aziendali solo nei dispositivi registrati per un'organizzazione e contiene il materiale per le chiavi per l'IDP aziendale, come Active Directory in locale o Azure AD.

Nota

Non sono presenti contenitori fisici su disco, nel Registro di sistema o altrove. I contenitori sono unità logiche usate per raggruppare elementi correlati. Le chiavi, i certificati e le credenziali che Windows Hello archiviano sono protetti senza la creazione di contenitori o cartelle effettivi.

Il contenitore contiene un set di chiavi, alcune delle quali vengono usate per proteggere altre chiavi. La figura seguente mostra un esempio: la protezione con chiave viene usata per crittografare la chiave di autenticazione e la chiave di autenticazione viene usata per crittografare le singole chiavi archiviate nel contenitore. Ogni contenitore logico contiene uno o più set di chiavi.
contenitore logico con set di chiavi

I contenitori possono contenere vari tipi di materiale delle chiavi:

  • Chiave di autenticazione, che è sempre una coppia di chiavi pubblico-privata asimmetrica. Questa coppia di chiavi viene generata durante la registrazione. Deve essere sbloccato ogni volta che si accede, usando il PIN dell'utente o un movimento biometrico. La chiave di autenticazione esiste fino a quando l'utente ripristina il PIN, momento in cui verrà generata una nuova chiave. Quando viene generata la nuova chiave, tutto il materiale per le chiavi protetto dalla chiave precedente deve essere decrittografato e crittografato di nuovo tramite la nuova chiave.
  • La chiave IDP. Queste chiavi possono essere simmetriche o asimmetriche, a seconda dell'IDP usato. Un singolo contenitore può contenere zero o più chiavi IDP, con alcune restrizioni(ad esempio, il contenitore aziendale può contenere zero o una chiave IDP). Le chiavi IDP vengono archiviate nel contenitore. Per implementazioni di Windows Hello for Work basate su certificati, quando il contenitore viene sbloccato, le applicazioni che richiedono l'accesso alla chiave IDP o alla coppia di chiavi possono richiedere l'accesso. Le chiavi IDP vengono usate per firmare o crittografare le richieste di autenticazione o i token inviati da questo dispositivo all'IDP. Le chiavi IDP hanno in genere una lunga durata, che potrebbe comunque essere più breve rispetto alla chiave di autenticazione. L'uso delle coppie di chiavi asimmetriche è richiesto per gli account Microsoft, gli account Active Directory e gli account Azure AD. Il dispositivo genera chiavi pubbliche e private, registra la chiave pubblica nell'IdP (che la archivia per verifiche successive) e archivia in modo sicuro la chiave privata. Per le aziende, le chiavi IDP possono essere generate in due modi:
    • La coppia di chiavi IDP può essere associata a un'autorità di certificazione (CA) aziendale tramite il servizio Registrazione dispositivi di rete (NDES) di Windows. In questo caso, Windows Hello richiede un nuovo certificato con la stessa chiave del certificato dell'infrastruttura PKI esistente. Questa opzione consente alle organizzazioni con un'infrastruttura PKI esistente di continuare a usarla se appropriato. Dato che molte applicazioni, ad esempio le soluzioni VPN, richiedono l'uso di certificati, quando si distribuiscono Windows Hello in questa modalità, consente una transizione più veloce dalle password utente mantenendo al tempo stesso le funzionalità basate su certificati. Questa opzione consente anche all'organizzazione di archiviare ulteriori certificati nel contenitore protetto.
    • L'IDP può generare direttamente la coppia di chiavi IDP, che consente una distribuzione rapida e con un sovraccarico inferiore di Windows Hello in ambienti che non hanno o necessitano di un'infrastruttura a chiave pubblica.

Come vengono protette le chiavi?

Ogni volta che viene generato il materiale della chiave, deve essere protetto dagli attacchi. Il modo più efficace per eseguire questa operazione consiste nell'usare hardware specializzato. Esiste una lunga cronologia dell'uso dei moduli di sicurezza hardware (HSM) per generare, archiviare ed elaborare le chiavi per le applicazioni critiche per la sicurezza. Le smart card sono un tipo speciale di modulo di protezione hardware, così come i dispositivi conformi allo standard TPM di Trusted Computing Group. Laddove possibile, l'implementazione Windows Hello for Business sfrutta l'hardware TPM di onboarding per generare e proteggere le chiavi. Gli amministratori possono scegliere di consentire le operazioni chiave nel software, ma è consigliabile usare l'hardware TPM. Il TPM protegge da un'ampia gamma di attacchi noti e potenziali, inclusi gli attacchi di forza bruta per i PIN. Il TPM offre anche un ulteriore livello di protezione dopo un blocco di account. Quando il TPM ha bloccato il materiale della chiave, l'utente dovrà reimpostare il PIN (il che significa che l'utente dovrà usare MFA per autenticare nuovamente l'IDP prima che l'IDP consenta la registrazione). La reimpostazione del PIN significa che verranno rimossi tutti i certificati e le chiavi crittografati con il materiale per le chiavi precedente.

Come lavora la memorizzazione dei PIN nella cache con Windows Hello for Business?

Windows Hello for Business offre un'esperienza utente di memorizzazione nella cache del PIN usando un sistema di ticketing. Invece di una memorizzazione dei PIN nella cache, i processi memorizzano nella cache un ticket che possono utilizzare per richiedere le operazioni con chiave privata. Le chiavi di accesso di Azure AD e Active Directory sono memorizzate nella cache in condizioni di blocco. Ciò significa che le chiavi rimangono disponibili per l'uso senza chiedere conferma, purché l'utente sia connesso in modo interattivo. Le chiavi di accesso all'account Microsoft sono chiavi transazionali, il che significa che all'utente viene sempre richiesto di accedere alla chiave.

A partire da Windows 10 versione 1709, Windows Hello for Business usato come smart card (emulazione delle smart card abilitata per impostazione predefinita) offre la stessa esperienza utente della memorizzazione nella cache predefinita del PIN delle smart card. Per ogni processo che richiede un'operazione di chiave privata verrà richiesto all'utente il PIN al primo utilizzo. Le successive operazioni di chiave privata non richiederanno all'utente il PIN.

La funzionalità di emulazione smart card di Windows Hello for Business verifica il PIN e quindi elimina il PIN in cambio di un ticket. Il processo non riceve il PIN, ma piuttosto il ticket che concede loro operazioni di chiave privata. Windows 10 non fornisce alcuna Criteri di gruppo impostazioni per regolare la memorizzazione nella cache.

Dove vengono archiviati Windows Hello dati biometrici?

Quando si esegue la registrazione in Windows Hello, viene creata una rappresentazione della biometria, denominata profilo di registrazione, altre informazioni sono disponibili in Windows Hello autenticazione viso. I dati biometrici del profilo di registrazione sono specifici del dispositivo, vengono archiviati localmente nel dispositivo e non lasciano il dispositivo o il roaming con l'utente. Alcuni sensori di impronte digitali esterni archiviano i dati biometrici nel modulo di impronta digitale stesso anziché nel dispositivo Windows. Anche in questo caso, i dati biometrici vengono archiviati in locale in tali moduli, sono specifici del dispositivo, non si spostano, non lasciano mai il modulo e non vengono mai inviati al cloud Microsoft o al server esterno. Per altri dettagli, vedere Windows Hello biometria nell'azienda.

Qual è il formato usato per archiviare Windows Hello dati biometrici nel dispositivo?

Windows Hello dati biometrici vengono archiviati nel dispositivo come database modello crittografato. I dati del sensore biometrico (ad esempio la fotocamera del viso o il lettore di impronte digitali) creano una rappresentazione dei dati, o grafo, che viene quindi crittografata prima che venga archiviata nel dispositivo. Ogni sensore biometrico nel dispositivo utilizzato da Windows Hello (viso o impronta digitale) avrà un proprio file di database biometrico in cui vengono archiviati i dati del modello. Ogni file di database biometrico viene crittografato con una chiave univoca generata in modo casuale crittografata nel sistema usando la crittografia AES che produce un hash SHA256.

Chi ha accesso ai dati biometrici Windows Hello?

Poiché Windows Hello dati biometrici vengono archiviati in formato crittografato, nessun utente o processo diverso da Windows Hello può accedervi.

Qual è la differenza tra la reimpostazione non distruttiva e distruttiva del PIN?

Windows Hello for Business ha due tipi di reimpostazione del PIN: non distruttivo e distruttivo. Le organizzazioni che eseguono Windows 10 versione 1903 e successive e Azure Active Directory possono sfruttare il servizio Reimpostazione PIN Microsoft. Dopo essere stati inseriti in un tenant e distribuiti nei computer, gli utenti che hanno dimenticato i PIN possono eseguire l'autenticazione in Azure, fornire un secondo fattore di autenticazione e reimpostare il PIN senza effettuare di nuovo il provisioning di una nuova registrazione Windows Hello for Business. Questo flusso è una reimpostazione non distruttiva del PIN perché l'utente non elimina le credenziali correnti e ne ottiene una nuova. Per altre informazioni, vedere Reimpostazione del PIN.

Le organizzazioni che dispongono della distribuzione locale di Windows Hello for Business o che non usano Windows 10 versione 1903 e successive possono usare la reimpostazione distruttiva del PIN. Con la reimpostazione distruttiva del PIN, gli utenti che hanno dimenticato il PIN possono eseguire l'autenticazione usando la password e quindi eseguendo un secondo fattore di autenticazione per effettuare di nuovo il provisioning delle credenziali Windows Hello for Business. Il reprovisioning elimina le credenziali precedenti e richiede una nuova credenziale e un nuovo certificato. Per eseguire una reimpostazione distruttiva del PIN, le distribuzioni locali necessitano della connettività di rete ai controller di dominio, ai Active Directory Federation Services e all'autorità di certificazione emittente. Per i dispositivi aggiunti ad Azure Active Directory ibrido, la reimpostazione distruttiva del PIN è supportata solo con il modello di attendibilità del certificato e gli aggiornamenti più recenti per Active Directory Federation Services.

Quando viene creato Windows Hello file di database biometrico? Come viene registrato un utente in Windows Hello autenticazione viso o impronta digitale?

Windows Hello file di database modello biometrico viene creato nel dispositivo solo quando un utente viene registrato nell Windows Hello autenticazione basata sulla biometria. L'area di lavoro o l'amministratore IT potrebbe aver trasformato determinate funzionalità di autenticazione, tuttavia è sempre la scelta se si vuole usare Windows Hello o un metodo alternativo, ad esempio un PIN. Gli utenti possono controllare la registrazione corrente in dati biometrici Windows Hello passando alle opzioni di accesso nel dispositivo. Passare alle opzioni Di avvio > impostazioni > Account > di accesso . Se non viene visualizzato Windows Hello nelle opzioni di accesso, potrebbe non essere disponibile per il dispositivo o bloccato dall'amministratore tramite criteri. Gli amministratori possono richiedere agli utenti di registrarsi a Windows Hello durante Autopilot o durante la configurazione iniziale del dispositivo. Gli amministratori possono impedire agli utenti di registrarsi alla biometria tramite configurazioni dei criteri di Windows Hello for Business. Tuttavia, se consentito tramite configurazioni dei criteri, la registrazione in Windows Hello biometrica è sempre facoltativa per gli utenti.

Quando viene eliminato Windows Hello file di database biometrico? Come è possibile annullare la registrazione di un utente da Windows Hello autenticazione viso o impronta digitale?

Per rimuovere Windows Hello e tutti i dati di identificazione biometrica associati dal dispositivo, l'utente può passare alle opzioni Di avvio > impostazioni > account > di accesso. Selezionare il Windows Hello metodo di autenticazione biometrica da rimuovere e quindi selezionare Rimuovi. In questo modo l'utente verrà registrato dall'autenticazione biometrica Windows Hello e verrà eliminato anche il file di database modello biometrico associato. Per altre informazioni, vedere Opzioni di accesso di Windows e protezione dell'account (microsoft.com).

Gestione e operazioni

È possibile distribuire e gestire Windows Hello for Business usando Microsoft Intune?

Sì, le distribuzioni di Windows Hello for Business solo cloud e ibride possono usare Microsoft Intune. Per altre informazioni, vedere Integrare Windows Hello for Business con Microsoft Intune.

È possibile distribuire e gestire Windows Hello for Business usando Microsoft Configuration Manager?

A partire da Configuration Manager versione 2203, le distribuzioni Windows Hello for Business che usano Configuration Manager non sono più supportate.

Ricerca per categorie eliminare un contenitore Windows Hello for Business in un dispositivo?

È possibile disabilitare in modo efficace Windows Hello for Business avviando certutil.exe -deleteHelloContainer il dispositivo finale con un account utente e quindi riavviando il dispositivo.

Cosa accade quando un utente dimentica il PIN?

Se l'utente può accedere con una password, può reimpostare il PIN selezionando il collegamento Ho dimenticato il PIN nell'app Impostazioni. Gli utenti possono reimpostare anche il PIN dalla schermata di blocco selezionando il collegamento Ho dimenticato il PIN nel provider di credenziali PIN.

Per le distribuzioni locali, i dispositivi devono essere connessi alla rete locale (controller di dominio e/o autorità di certificazione) per reimpostare i PIN. Le distribuzioni ibride possono eseguire l'onboarding del tenant di Azure per usare il servizio di reimpostazione del PIN Windows Hello for Business per reimpostare i PIN. La reimpostazione non distruttiva del PIN funziona senza accesso alla rete aziendale. La reimpostazione distruttiva del PIN richiede l'accesso alla rete aziendale. Per altre informazioni sulla reimpostazione distruttiva e non distruttiva del PIN, vedere Reimpostazione del PIN.

Windows Hello for Business impedisce l'uso di PIN semplici?

Sì. L'algoritmo PIN semplice cerca e disabilita qualsiasi PIN che abbia un delta costante da una cifra a quella successiva. L'algoritmo conta il numero di passaggi necessari per raggiungere la cifra successiva, traboccando a 10 ('zero'). Quindi ad esempio:

  • Il PIN 1111 ha un delta costante di (0,0,0), quindi non è consentito
  • Il PIN 1234 ha un delta costante di (1,1,1), quindi non è consentito
  • Il PIN 1357 ha un delta costante di (2,2,2), quindi non è consentito
  • Il PIN 9630 ha un delta costante di (7,7,7), quindi non è consentito
  • Il PIN 1593 ha un delta costante di (4,4,4), quindi non è consentito
  • Il PIN 7036 ha un delta costante di (3,3,3), quindi non è consentito
  • Il PIN 1231 non ha un delta costante (1,1,8), quindi è consentito
  • Il PIN 1872 non ha un delta costante (7,9,5), quindi è consentito

Questo controllo impedisce la ripetizione di numeri, numeri sequenziali e modelli semplici. Genera sempre un elenco di 100 PIN non consentiti (indipendentemente dalla lunghezza del PIN). Questo algoritmo non si applica ai PIN alfanumerici.

Quali dati di diagnostica vengono raccolti quando Windows Hello for Business è abilitato?

Per aiutare Microsoft a mantenere il funzionamento corretto, per rilevare e prevenire le frodi e per continuare a migliorare Windows Hello, vengono raccolti i dati diagnostici sul modo in cui le persone usano Windows Hello. Ad esempio:

  • Dati che indicano se le persone accedono con il viso, l'iride, l'impronta digitale o il PIN
  • Il numero di volte in cui lo usano
  • Che funzioni o meno, tutte queste sono informazioni preziose che consentono a Microsoft di creare un prodotto migliore. I dati sono pseudonimi, non includono informazioni biometriche e vengono crittografati prima che vengano trasmessi a Microsoft. È possibile scegliere di interrompere l'invio dei dati di diagnostica a Microsoft in qualsiasi momento. Altre informazioni sui dati di diagnostica in Windows.

È possibile disabilitare il PIN durante l'uso di Windows Hello for Business?

No. La dismissione dell'uso delle password viene eseguita riducendo gradualmente l'utilizzo della password. Nelle situazioni in cui non è possibile eseguire l'autenticazione usando la biometria, è necessario un meccanismo di fallback che non sia una password. Il PIN è il meccanismo di fallback. La disabilitazione o il nascondere il provider di credenziali PIN disabiliterà l'uso della biometria.

Che cos'è l'ID evento 300?

Questo evento viene creato quando Windows Hello for Business viene creato e registrato correttamente in Azure Active Directory (Azure AD). Applicazioni o servizi possono attivare azioni in base a questo evento. Ad esempio, un servizio di provisioning di certificati può restare in ascolto di questo evento e attivare una richiesta di certificato. Si tratta di una condizione normale e non sono necessarie ulteriori azioni.

Progettazione e pianificazione

I Windows Hello for Business possono funzionare in ambienti con aria compressa?

Sì. È possibile usare la distribuzione di Windows Hello for Business locale e combinarla con un provider MFA di terze parti che non richiede la connettività Internet per ottenere una distribuzione Windows Hello for Business air-gapped.

Quanti utenti possono registrarsi per Windows Hello for Business in un singolo dispositivo Windows?

Il numero massimo di registrazioni supportate in un singolo dispositivo è 10. Ciò consente a 10 utenti di registrare ogni viso e fino a 10 impronte digitali. Per i dispositivi con più di 10 utenti o per gli utenti che accedono a molti dispositivi (ad esempio, un tecnico del supporto), è consigliabile usare le chiavi di sicurezza FIDO2.

Il sistema è stato esteso da Active Directory ad Azure Active Directory. È possibile usare il modello di distribuzione locale?

No. Se l'organizzazione usa servizi cloud Microsoft, è necessario usare un modello di distribuzione ibrida. Le distribuzioni locali sono esclusive per le organizzazioni che hanno bisogno di più tempo prima di passare al cloud e usano esclusivamente Active Directory.

Quali attributi vengono sincronizzati da Azure AD Connect con Windows Hello for Business?

Per un elenco degli attributi sincronizzati in base agli scenari, vedere Sincronizzazione di Azure AD Connect: attributi sincronizzati con Azure Active Directory . Gli scenari di base che includono Windows Hello for Business sono lo scenario di Windows 10 e lo scenario di writeback del dispositivo. L'ambiente può includere altri attributi.

È possibile usare provider di MFA di terze parti con Windows Hello for Business?

Sì, se si usa la distribuzione ibrida federata, è possibile usare qualsiasi terze parti che fornisce un adattatore AD FS MFA. Un elenco di schede MFA di terze parti è disponibile qui.

Windows Hello for Business funziona con server federativi di terze parti?

Windows Hello for Business funziona con tutti i server federativi di terze parti che supportano i protocolli usati durante l'esperienza di provisioning.

Protocollo Descrizione
[MS-KPP]: Key Provisioning Protocol Specifica il protocollo Key Provisioning, che definisce un meccanismo con cui un client può registrare un set di chiavi crittografiche in una coppia utente e dispositivo.
[MS-OAPX]: estensioni del protocollo OAuth 2.0 Specifica le estensioni del protocollo OAuth 2.0, che vengono utilizzate per estendere il framework di autorizzazione OAuth 2.0. Queste estensioni abilitano le funzionalità di autorizzazione, ad esempio la specifica delle risorse, gli identificatori di richiesta e gli hint di accesso.
[MS-OAPXBC]: estensioni del protocollo OAuth 2.0 per i client gestore Specifica le estensioni del protocollo OAuth 2.0 per i client Broker, estensioni a RFC6749 (framework di autorizzazione OAuth 2.0) che consentono a un client broker di ottenere token di accesso per conto dei client chiamanti.
[MS-OIDCE]: estensioni del protocollo OpenID Connect 1.0 Specifica le estensioni del protocollo OpenID Connect 1.0. Queste estensioni definiscono altre attestazioni per il trasporto di informazioni sull'utente, tra cui il nome dell'entità utente, un identificatore univoco locale, un'ora per la scadenza della password e un URL per la modifica della password. Queste estensioni definiscono anche più metadati del provider che consentono l'individuazione dell'autorità emittente di token di accesso e offrono informazioni aggiuntive sulle funzionalità del provider.

È possibile registrare gli account di Windows locali in Windows Hello for Business?

Windows Hello for Business non è progettato per funzionare con gli account locali.

Quali sono i requisiti biometrici per Windows Hello for Business?

È possibile indossare una maschera per la registrazione o lo sblocco usando Windows Hello autenticazione viso?

Indossare una maschera per la registrazione è un problema di sicurezza perché altri utenti che indossano una maschera simile potrebbero essere in grado di sbloccare il dispositivo. Il gruppo di prodotti è a conoscenza di questo comportamento e sta analizzando ulteriormente questo articolo. Rimuovere una maschera se si indossa una maschera durante la registrazione o lo sblocco con Windows Hello autenticazione viso. Se l'ambiente di lavoro non consente di rimuovere temporaneamente una maschera, è consigliabile annullare la registrazione dall'autenticazione viso e usare solo PIN o impronta digitale.

Come funziona Windows Hello for Business con i dispositivi registrati di Azure AD?

A un utente verrà richiesto di configurare una chiave di Windows Hello for Business in un dispositivo registrato di Azure AD se la funzionalità è abilitata dai criteri. Se l'utente dispone di un contenitore Windows Hello esistente, la chiave Windows Hello for Business verrà registrata in tale contenitore e verrà protetta usando movimenti esistenti.

Se un utente ha eseguito l'accesso al dispositivo registrato di Azure AD con Windows Hello, la chiave di Windows Hello for Business verrà usata per autenticare l'identità aziendale dell'utente quando tenta di usare le risorse di Azure AD. La chiave Windows Hello for Business soddisfa i requisiti di Autenticazione a più fattori (MFA) di Azure AD e riduce il numero di richieste di autenticazione a più fattori che gli utenti vedranno quando accedono alle risorse.

È possibile registrare un dispositivo aggiunto a un dominio in Azure AD. Se il dispositivo aggiunto al dominio ha un PIN pratico, l'accesso con il PIN pratico non funzionerà più. Questa configurazione non è supportata da Windows Hello for Business.

Per altre informazioni, vedere Dispositivi registrati di Azure AD.

Windows Hello for Business funziona con sistemi operativi non Windows?

Windows Hello for Business è una funzionalità della piattaforma Windows. In questo momento, Microsoft non sviluppa client per altre piattaforme. Tuttavia, Microsoft è aperto a terze parti interessate a spostare queste piattaforme dalle password. Le terze parti interessate possono ottenere altre informazioni inviando un messaggio di whfbfeedback@microsoft.composta elettronica a .

Windows Hello for Business funziona con i client azure Active Directory Domain Services (Azure AD DS)?

No, Azure AD DS è un ambiente gestito separatamente in Azure e la registrazione dei dispositivi ibridi con Cloud Azure AD non è disponibile tramite Azure AD Connect. Di conseguenza, Windows Hello for Business non funziona con Azure AD DS.

Windows Hello for Business viene considerata l'autenticazione a più fattori?

Windows Hello for Business è l'autenticazione a due fattori basata sui fattori di autenticazione osservati: qualcosa che si ha, qualcosa che si conosce e qualcosa che fa parte dell'utente. Windows Hello for Business incorpora due di questi fattori: qualcosa che ti appartiene (chiave privata dell'utente protetta dal modulo di sicurezza del dispositivo) e qualcosa che conosci (PIN). Se disponi dell'hardware appropriato, puoi migliorare l'esperienza utente introducendo la biometria. Usando la biometria, è possibile sostituire il fattore di autenticazione "qualcosa che si conosce" con il fattore "qualcosa che fa parte dell'utente", con la garanzia che gli utenti possano tornare al "fattore qualcosa che conosci".

Nota

La chiave Windows Hello for Business soddisfa i requisiti di Autenticazione a più fattori (MFA) di Azure AD e riduce il numero di richieste di autenticazione a più fattori che gli utenti vedranno quando accedono alle risorse. Per altre informazioni, vedere Che cos'è un token di aggiornamento primario.

Qual è una soluzione migliore o più sicura per l'autenticazione, la chiave o il certificato?

Entrambi i tipi di autenticazione offrono la stessa sicurezza; uno non è più sicuro dell'altro. I modelli di attendibilità della distribuzione determinano la modalità di autenticazione in Active Directory (locale). Sia l'attendibilità chiave che l'attendibilità del certificato usano le stesse credenziali a due fattori supportate dall'hardware. Le differenze tra i due tipi di trust sono il rilascio di certificati di entità finale:

  • Il modello di attendibilità delle chiavi esegue l'autenticazione in Active Directory usando una chiave non elaborata. L'attendibilità delle chiavi non richiede un certificato rilasciato dall'organizzazione, pertanto non è necessario rilasciare certificati agli utenti (i certificati del controller di dominio sono ancora necessari)
  • Il modello di attendibilità del certificato esegue l'autenticazione in Active Directory usando un certificato. Pertanto, è necessario rilasciare certificati agli utenti. Il certificato usato nell'attendibilità del certificato usa la chiave privata protetta da TPM per richiedere un certificato alla CA emittente dell'organizzazione

Che cos'è il PIN pratico?

Il PIN pratico offre un modo più semplice per accedere a Windows rispetto alle password, ma usa comunque una password per l'autenticazione. Quando viene fornito il PIN pratico corretto a Windows, le informazioni sulla password vengono caricate dalla cache e autenticano l'utente. Le organizzazioni che usano PIN pratici devono passare a Windows Hello for Business. Le nuove distribuzioni di Windows devono distribuire Windows Hello for Business e non pin pratici.

È possibile usare un PIN pratico con Azure Active Directory?

No. Anche se è possibile impostare un PIN pratico nei dispositivi aggiunti ad Azure AD e aggiunti ad Azure AD ibrido, il PIN pratico non è supportato per gli account utente di Azure AD (incluse le identità sincronizzate). Il PIN pratico è supportato solo per gli utenti Active Directory locale e gli utenti dell'account locale.

E le smart card virtuali?

Windows Hello for Business è la credenziale moderna a due fattori per Windows. Microsoft deprecerà le smart card virtuali in futuro, ma in questo momento non è impostata alcuna data. I clienti che usano smart card virtuali devono passare a Windows Hello for Business. Microsoft pubblicherà la data in anticipo per garantire ai clienti un lead time adeguato per passare a Windows Hello for Business. Microsoft consiglia di usare le nuove distribuzioni di Windows Windows Hello for Business.

Quali URL sono necessari per consentire una distribuzione ibrida?

Per un elenco degli URL necessari, vedere Microsoft 365 Common e Office Online.

Se l'ambiente usa Microsoft Intune, vedere Endpoint di rete per Microsoft Intune.

Funzionalità

È possibile usare una fotocamera esterna compatibile Windows Hello quando il computer dispone di una fotocamera integrata Windows Hello compatibile?

Sì. A partire da Windows 10, versione 21H1 è possibile usare una fotocamera esterna compatibile Windows Hello se un dispositivo supporta già una fotocamera Windows Hello interna. Quando sono presenti entrambe le fotocamere, la fotocamera esterna viene usata per l'autenticazione viso. Per altre informazioni, vedere Strumenti IT per supportare Windows 10, versione 21H1. Tuttavia, l'uso di fotocamere e accessori Hello esterni è limitato se ESS è abilitato, vedere Windows Hello Sicurezza avanzata per l'accesso.

È possibile utilizzare una fotocamera esterna compatibile con Windows Hello o un altro accessorio compatibile con Windows Hello quando il coperchio del portatile è chiuso o ancorato?

Alcuni portatili e tablet con tastiere che si chiudono potrebbero non utilizzare una fotocamera esterna compatibile Windows Hello o altri accessori compatibili Windows Hello quando il computer è ancorato con il coperchio chiuso. Il problema è stato risolto in Windows 11 versione 22H2.

È possibile usare le credenziali Windows Hello for Business in modalità browser privato o in modalità "incognito"?

Windows Hello for Business credenziali devono accedere allo stato del dispositivo, che non è disponibile in modalità browser privato o in incognito. Di conseguenza, non può essere usato in modalità browser privato o in incognito.

È possibile usare un PIN e la biometria per sbloccare il dispositivo?

È possibile usare lo sblocco a più fattori per richiedere agli utenti di fornire un fattore aggiuntivo per sbloccare il dispositivo. L'autenticazione resta a due fattori, ma un altro fattore è necessario prima che Windows consenta all'utente di accedere al desktop. Per altre informazioni, vedere Sblocco a più fattori.

Trust Kerberos cloud

Che cos'è Windows Hello for Business trust Kerberos cloud?

Windows Hello for Business trust Kerberos cloud è un modello di trust che consente Windows Hello for Business distribuzione usando l'infrastruttura introdotta per supportare l'accesso con chiave di sicurezza nei dispositivi aggiunti ad Azure AD ibrido e l'accesso alle risorse locali nei dispositivi aggiunti ad Azure AD. L'attendibilità Kerberos cloud è il modello di distribuzione preferito se non è necessario supportare scenari di autenticazione del certificato. Per altre informazioni, vedere Distribuzione dell'attendibilità Kerberos nel cloud.

L Windows Hello for Business trust Kerberos cloud funziona nell'ambiente locale?

Questa funzionalità non funziona in un ambiente di servizi di dominio AD locale puro.

L Windows Hello for Business trust Kerberos cloud funziona in un accesso a Windows con controller di dominio di sola lettura presente nell'ambiente ibrido?

Windows Hello for Business trust Kerberos cloud cerca un controller di dominio scrivibile per scambiare il TGT parziale. Se si dispone di almeno un controller di dominio scrivibile per sito, l'accesso con attendibilità Kerberos cloud funzionerà.

È necessaria una linea di visualizzazione per un controller di dominio per usare Windows Hello for Business trust Kerberos cloud?

Windows Hello for Business trust Kerberos cloud richiede una linea di visualizzazione per un controller di dominio quando:

  • un utente accede per la prima volta o si sblocca con Windows Hello for Business dopo il provisioning
  • tentativo di accesso alle risorse locali protette da Active Directory

È possibile usare RDP/VDI con Windows Hello for Business trust Kerberos cloud?

Windows Hello for Business trust Kerberos cloud non può essere usato come credenziale fornita con RDP/VDI. Analogamente all'attendibilità delle chiavi, l'attendibilità Kerberos cloud può essere usata per RDP con [remote credential guard][/windows/security/identity-protection/remote-credential-guard] o se un certificato viene registrato in Windows Hello for Business a questo scopo.

È necessario applicare una patch completa a tutti i controller di dominio in base ai prerequisiti per poter usare Windows Hello for Business trust Kerberos cloud?

No, solo il numero necessario per gestire il carico da tutti i dispositivi di attendibilità Kerberos cloud.

Trust chiave

Perché l'autenticazione non riesce immediatamente dopo il provisioning dell'attendibilità della chiave ibrida?

In una distribuzione ibrida, la chiave pubblica di un utente deve essere sincronizzata da Azure AD ad AD prima che possa essere usata per l'autenticazione in un controller di dominio. Questa sincronizzazione viene gestita da Azure AD Connect e verrà eseguita durante un normale ciclo di sincronizzazione.

È possibile usare Windows Hello for Business trust chiave e RDP?

Remote Desktop Protocol (RDP) non supporta attualmente l'uso dell'autenticazione basata su chiave e dei certificati autofirmati come credenziali fornite. È tuttavia possibile distribuire i certificati nel modello di attendibilità delle chiavi per abilitare RDP. Per altre informazioni, vedere Distribuzione di certificati agli utenti con attendibilità chiave per abilitare RDP. Inoltre, Windows Hello for Business trust chiave può essere usato anche con RDP con Windows Defender Remote Credential Guard senza distribuire certificati.