Sblocco a più fattori

Windows Hello for Business supporta l'uso di una singola credenziale (PIN e biometrica) per sbloccare un dispositivo. Pertanto, se una qualsiasi di queste credenziali viene compromessa (shoulder surfing), un utente malintenzionato potrebbe ottenere l'accesso al sistema.

Windows Hello for Business possono essere configurati con sblocco a più fattori, estendendo Windows Hello con segnali attendibili. Gli amministratori possono configurare i dispositivi per richiedere una combinazione di fattori e segnali attendibili per sbloccarli.

Lo sblocco a più fattori è ideale per le organizzazioni che:

  • Hanno espresso che i PIN da soli non soddisfano le loro esigenze di sicurezza
  • Si vuole impedire agli Information Worker di condividere le credenziali
  • Vuole che le organizzazioni siano conformi ai criteri normativi di autenticazione a due fattori
  • Vuoi mantenere l'esperienza utente di accesso a Windows familiare e non accontentarti di una soluzione personalizzata

Come funziona

Il provider di credenziali del primo fattore di sblocco e il secondo provider di credenziali di sblocco sono responsabili della maggior parte della configurazione. Ognuno di questi componenti contiene un identificatore univoco globale (GUID) che rappresenta un provider di credenziali di Windows diverso. Con l'impostazione dei criteri abilitata, gli utenti sbloccano il dispositivo usando almeno un provider di credenziali di ogni categoria prima che Windows consenta all'utente di passare al desktop.

L'impostazione dei criteri include tre componenti:

  • Provider di credenziali del primo fattore di sblocco
  • Provider di credenziali del secondo fattore di sblocco
  • Regole di segnale per lo sblocco del dispositivo

Configurare i fattori di sblocco

Attenzione

Quando il criterio di sicurezza DontDisplayLastUserName è abilitato, è noto che interferisce con la possibilità di usare lo sblocco a più fattori.

La parte Provider di credenziali del primo fattore di sblocco e Provider di credenziali del secondo fattore di sblocco dell'impostazione dei criteri contiene ciascuna un elenco delimitato da virgole di provider di credenziali.

I provider di credenziali supportati includono:

Provider di credenziali GUID
PIN {D6886603-9D2F-4EB2-B667-1971041FA96B}
Impronta digitale {BEC09223-B018-416D-A0AC-523971B639F5}
Riconoscimento facciale {8AF662BF-65A0-4D0A-A540-A338A999D36F}
Segnale attendibile
(prossimità telefono, percorso di rete)
{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

Nota

Lo sblocco a più fattori non supporta i provider di credenziali di terze parti o provider di credenziali non elencati nella tabella precedente.

I provider di credenziali predefiniti per il provider di credenziali del primo fattore di sblocco includono:

  • PIN
  • Impronta digitale
  • Riconoscimento facciale

I provider di credenziali predefiniti per il provider di credenziali del secondo fattore di sblocco includono:

  • Segnale attendibile
  • PIN

Configura un elenco delimitato da virgole di GUID di provider di credenziali che desideri utilizzare come primo e secondo fattore di sblocco. Anche se un provider di credenziali può essere visualizzato in entrambi gli elenchi, le credenziali supportate da tale provider possono soddisfare solo uno dei fattori di sblocco. I provider di credenziali elencati non devono essere in un ordine specifico.

Ad esempio, se includi il PIN e i provider di credenziali per impronte digitali gli entrambi gli elenchi di primo e secondo fattore, un utente può utilizzare l'impronta digitale o il PIN come primo fattore di sblocco. Qualsiasi fattore usato per soddisfare il primo fattore di sblocco non può essere usato per soddisfare il secondo fattore di sblocco. Ogni fattore può pertanto essere utilizzato una sola volta. Il provider di segnale attendibile può solo essere specificato come parte dell'elenco di provider di credenziali del secondo fattore sblocco.

Configurare regole del segnale per il provider di credenziali del segnale attendibile

L'impostazione regole del segnale per lo sblocco del dispositivo contiene le regole che il provider di credenziali del segnale attendibile utilizza per eseguire lo sblocco del dispositivo.

Elemento regola

Le regole del segnale devono essere rappresentate in formato XML. Ogni regola del segnale ha un elemento iniziale e finale rule che contiene l'attributo e il schemaVersion valore. La versione corrente dello schema supportata è 1.0.

Esempio

<rule schemaVersion="1.0">
</rule>

Elemento segnale

Ogni elemento della regola ha un signal elemento . Tutti gli elementi del segnale hanno un type elemento e value. I valori supportati sono:

  • bluetooth
  • Ipconfig
  • wi-fi

Bluetooth

Si definisce il segnale bluetooth con più attributi nell'elemento del segnale. La configurazione bluetooth non usa altri elementi. È possibile terminare l'elemento del segnale con un tag />finale breve.

Attributo Valore Obbligatorio
tipo bluetooth
scenario Authentication
classOfDevice "numero" no
rssiMin "numero" no
rssiMaxDelta "numero" no

Ad esempio:

<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

L'attributo classofDevice per impostazione predefinita è Phone e usa i valori della tabella seguente:

Descrizione Valore
Varie 0
Computer 256
Telefono 512
Punto di accesso alla rete/LAN 768
Audio/Video 1024
Periferica 1280
Creazione di immagini 1536
Dispositivo indossabile 1792
Giocattolo 2048
Integrità 2304
Non classificato 7936

La potenza del segnale del valore dell'attributo rssiMin indica la potenza necessaria per il dispositivo da considerare "nell'intervallo". Il valore predefinito di -10 consente all'utente di spostarsi in una postazione o ufficio di dimensioni medie senza attivare Windows per bloccare il dispositivo. RssiMaxDelta ha un valore predefinito pari a -10, che indica a Windows di bloccare il dispositivo una volta che la potenza del segnale si è indebolita di più della misura di 10.

Le misurazioni RSSI sono relative e inferiori man mano che i segnali bluetooth tra i due dispositivi abbinati si riducono. Una misura di 0 è più forte di -10. Una misura di -10 è più forte di -60 e indica che i dispositivi si stanno allontanando l'uno dall'altro.

Importante

Microsoft consiglia di usare i valori predefiniti per questa impostazione di criterio. Le misurazioni sono relative secondo le diverse condizioni di ciascun ambiente. Di conseguenza, gli stessi valori possono produrre risultati diversi. Verifica le impostazioni dei criteri in ogni ambiente prima della distribuzione dell'impostazione su larga scala. Utilizza i valori rssiMIN e rssiMaxDelta dal file XML creato dall'Editor Gestione Criteri di gruppo o rimuovi entrambi gli attributi per utilizzare i valori predefiniti.

Configurazione IP

È possibile definire i segnali di configurazione IP utilizzando uno o più elementi ipConfiguration. Ogni elemento ha un valore di stringa. Gli elementi IpConfiguration non hanno attributi o elementi annidati.

IPv4Prefix

Il prefisso di rete IPv4 rappresentato in notazione decimale puntata standard di Internet. Un prefisso di rete che usa la notazione Classless Inter-Domain Routing (CIDR) è necessario come parte della stringa di rete. Una porta di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv4Prefix. Ad esempio:

<ipv4Prefix>192.168.100.0/24</ipv4Prefix>

Gli indirizzi IPv4 assegnati nell'intervallo da 192.168.100.1 a 192.168.100.254 corrispondono a questa configurazione del segnale.

IPv4Gateway

Il gateway di rete IPv4 rappresentato in notazione decimale puntata standard di Internet. Una porta o prefisso di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv4Gateway. Ad esempio:

<ipv4Gateway>192.168.100.10</ipv4Gateway>
IPv4DhcpServer

Il server DHCP IPv4 rappresentato in notazione decimale puntata standard di Internet. Una porta o prefisso di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv4DhcpServer. Ad esempio:

<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>
IPv4DnsServer

Il server DNS IPv4 rappresentato in notazione decimale puntata standard di Internet. Una porta o prefisso di rete non deve essere presente nella stringa di rete. L'elemento segnale può contenere uno o più elementi ipv4DnsServer.

Esempio:

<ipv4DnsServer>192.168.100.10</ipv4DnsServer>
IPv6Prefix

Il prefisso di rete IPv6 rappresentato nella rete IPv6 tramite codifica esadecimale standard Internet. Un prefisso di rete in notazione CIDR è richiesto come parte della stringa di rete. Una porta di rete o ID ambito non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv6Prefix. Ad esempio:

<ipv6Prefix>21DA:D3::/48</ipv6Prefix>
IPv6Gateway

Il gateway di rete IPv6 rappresentato in codifica esadecimale standard di Internet. Un ID ambito IPv6 potrebbe essere presente nella stringa di rete. Una porta o prefisso di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv6Gateway. Ad esempio:

<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>
IPv6DhcpServer

Il server DNS IPv6 rappresentato in codifica esadecimale standard di Internet. Un ID ambito IPv6 potrebbe essere presente nella stringa di rete. Una porta o prefisso di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv6DhcpServer. Ad esempio:

<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer
IPv6DnsServer

Il server DNS IPv6 rappresentato in codifica esadecimale standard di Internet. Un ID ambito IPv6 potrebbe essere presente nella stringa di rete. Una porta o prefisso di rete non deve essere presente nella stringa di rete. L'elemento segnale può contenere uno o più elementi ipv6DnsServer. Ad esempio:

<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>
dnsSuffix

Nome di dominio completo del suffisso DNS interno dell'organizzazione in cui esiste qualsiasi parte del nome di dominio completo in questa impostazione nel suffisso DNS primario del computer. L'elemento segnale può contenere uno o più elementi dnsSuffix. Ad esempio:

<dnsSuffix>corp.contoso.com</dnsSuffix>

Wi-Fi

Definisci Wi-Fi segnali usando uno o più elementi wifi. Ogni elemento ha un valore di stringa. Gli elementi Wifi non hanno attributi o elementi annidati.

SSID

Contiene l'identificatore del set di servizi (SSID) di una rete wireless. SSID è il nome della rete wireless. L'elemento SSID è obbligatorio. Ad esempio:

<ssid>corpnetwifi</ssid>
BSSID

Contiene l'identificatore del set di servizi di base (BSSID) di un punto di accesso wireless. BSSID è l'indirizzo mac del punto di accesso wireless. L'elemento BSSID è facoltativo. Ad esempio:

<bssid>12-ab-34-ff-e5-46</bssid>
Sicurezza

Contiene il tipo di sicurezza usato dal client durante la connessione alla rete wireless. L'elemento di sicurezza è obbligatorio e deve contenere uno dei valori seguenti:

Value Descrizione
Open La rete wireless è una rete aperta che non richiede alcuna autenticazione o crittografia.
WEP La rete wireless è protetta tramite la privacy equivalente cablata.
WPA-Personal La rete wireless è protetta tramite Wi-Fi accesso protetto.
WPA-Enterprise La rete wireless è protetta tramite Wi-Fi Protected Access-Enterprise.
WPA2-Personal La rete wireless è protetta usando Wi-Fi Accesso protetto 2, che in genere usa una chiave precon condivisa.
WPA2-Enterprise La rete wireless è protetta usando Wi-Fi Accesso protetto 2-Enterprise.

Ad esempio:

<security>WPA2-Enterprise</security> 

TrustedRootCA

Contiene l'identificazione personale del certificato radice attendibile della rete wireless. È possibile usare qualsiasi certificato radice attendibile valido. Il valore è rappresentato come stringa esadecimale, dove ogni byte nella stringa è separato da un singolo spazio. L'elemento è facoltativo. Ad esempio:

<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>

Sig_quality

Contiene un valore numerico compreso tra 0 e 100 per rappresentare la potenza del segnale della rete wireless necessaria per essere considerata un segnale attendibile.

Ad esempio:

<sig_quality>80</sig_quality>

Configurazioni di segnali attendibili di esempio

Importante

Questi esempi sono disposti con il ritorno a capo per una migliore leggibilità. Una volta formattato correttamente, l'intero contenuto XML deve essere una singola riga.

Esempio 1

Nell'esempio seguente viene configurato un tipo di segnale IPConfig usando gli elementi Ipv4Prefix, Ipv4DnsServer e DnsSuffix .

<rule schemaVersion="1.0"> 
    <signal type="ipConfig"> 
        <ipv4Prefix>10.10.10.0/24</ipv4Prefix>
        <ipv4DnsServer>10.10.0.1</ipv4DnsServer>
        <ipv4DnsServer>10.10.0.2</ipv4DnsServer>
        <dnsSuffix>corp.contoso.com</dnsSuffix> 
    </signal> 
</rule>

Esempio 2

Nell'esempio seguente viene configurato un tipo di segnale IpConfig usando un elemento dnsSuffix e un segnale bluetooth per i telefoni. L'esempio implica che la regola IpConfig o Bluetooth deve restituire true, perché la valutazione del segnale risultante sia vera.

Nota

Separa ogni elemento della regola con una virgola.

<rule schemaVersion="1.0"> 
    <signal type="ipConfig"> 
        <dnsSuffix>corp.contoso.com</dnsSuffix> 
    </signal> 
</rule>,
<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

Esempio 3

Nell'esempio seguente viene configurato lo stesso dell'esempio 2 usando elementi di and composizione. L'esempio implica che ipConfig e la regola Bluetooth devono restituire true, perché la valutazione del segnale risultante sia vera.

<rule schemaVersion="1.0">
<and>
  <signal type="ipConfig">
   <dnsSuffix>corp.microsoft.com</dnsSuffix>
  </signal> 
  <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</and>
</rule>

Esempio 4

Nell'esempio seguente il Wi-Fi viene configurato come segnale attendibile.

<rule schemaVersion="1.0">
  <signal type="wifi">
    <ssid>contoso</ssid>
    <bssid>12-ab-34-ff-e5-46</bssid>
    <security>WPA2-Enterprise</security>
    <trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
    <sig_quality>80</sig_quality>
  </signal>
</rule>

Configurare lo sblocco a più fattori

Per configurare lo sblocco a più fattori, è possibile usare:

  • Microsoft Intune/CSP
  • Criteri di gruppo

Importante

  • Il PIN deve essere in almeno uno dei gruppi
  • I segnali attendibili devono essere combinati con un altro provider di credenziali
  • Non è possibile usare lo stesso fattore di sblocco per soddisfare entrambe le categorie. Pertanto, se si include un provider di credenziali in entrambe le categorie, significa che può soddisfare entrambe le categorie, ma non entrambe

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Selezionare l'opzione più adatta alle proprie esigenze.

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria Nome dell'impostazione
Modelli> amministrativiWindows Hello for Business Plug-in di sblocco del dispositivo
  1. Configurare il primo e il secondo fattore di sblocco usando le informazioni in Configurare i fattori di sblocco
  2. Se si usano segnali attendibili, configurare i segnali attendibili usati dal fattore di sblocco usando le informazioni in Configurare le regole del segnale per il provider di credenziali del segnale attendibile

Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.

In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il CSP PassportForWork.

Impostazione
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock

Importante

È consigliabile rimuovere tutti i provider di credenziali di terze parti per assicurarsi che gli utenti non possano sbloccare i propri dispositivi se non hanno i fattori necessari. Le opzioni di fallback prevedono l'uso di password o smart card (che possono essere entrambe disabilitate in base alle necessità).

Esperienza utente

Ecco un breve video che mostra l'esperienza utente quando è abilitato lo sblocco a più fattori:

  1. L'utente accede per la prima volta con impronta digitale + telefono associato a Bluetooth
  2. L'utente accede quindi con impronta digitale + PIN

Risoluzione dei problemi

Lo sblocco a più fattori scrive gli eventi nel registro eventi in Registri applicazioni e servizi\Microsoft\Windows\HelloForBusiness con il nome di categoria Sblocco dispositivo.

Eventi

ID evento Dettagli
3520 Tentativo di sblocco avviato
5520 Criteri di sblocco non configurati
6520 Evento di avviso
7520 Evento di errore
8520 Evento di operazione completata