Sblocco a più fattori

Windows Hello for Business supporta l'autenticazione a più fattori combinando credenziali associate al dispositivo (fattore di possesso) con un PIN (fattore di conoscenza) o un movimento biometrico, ad esempio il riconoscimento facciale o la scansione delle impronte digitali (fattore di inerenza). Negli ambienti in cui il possesso del dispositivo da solo potrebbe non fornire una garanzia sufficiente, ad esempio se il PIN di un utente può essere osservato da un utente malintenzionato nelle vicinanze, la richiesta di un segnale di attendibilità aggiuntivo insieme al PIN o al movimento biometrico può contribuire a rafforzare l'esperienza di accesso Windows Hello for Business e ridurre il rischio di accesso non autorizzato.

Windows Hello for Business possono essere configurati con sblocco a più fattori, estendendo Windows Hello con segnali attendibili. Gli amministratori possono configurare i dispositivi in modo da richiedere un ulteriore "fattore" del segnale di attendibilità che integra l'autenticazione tradizionale Windows Hello sovrapponendo un segnale aggiuntivo, ad esempio una connessione a un dispositivo o a una rete aggiuntiva familiare.

Lo sblocco a più fattori è ideale per le organizzazioni che:

• Hanno espresso che un Windows Hello credenziali associate al dispositivo autorizzate da un PIN da solo non soddisfa le proprie esigenze di sicurezza
• Si vuole attenuare l'impatto degli information worker che condividono le credenziali
• Vuoi mantenere l'esperienza utente di accesso a Windows familiare invece di distribuire una soluzione personalizzata

Come funziona

I provider di credenziali del primo fattore di sblocco e i provider di credenziali di sblocco secondo sono responsabili della maggior parte della configurazione. Ognuno di questi componenti contiene un identificatore univoco globale (GUID) che rappresenta un provider di credenziali di Windows diverso. Con l'impostazione dei criteri abilitata, gli utenti sbloccano il dispositivo usando almeno un provider di credenziali di ogni categoria prima che Windows consenta all'utente di passare al desktop.

L'impostazione dei criteri include tre componenti:

• Provider di credenziali del primo fattore di sblocco
• Provider di credenziali del secondo fattore di sblocco
• Regole di segnale per lo sblocco del dispositivo

Configurare i fattori di sblocco

Attenzione

Quando il criterio di sicurezza DontDisplayLastUserName è abilitato, è noto che interferisce con la possibilità di usare lo sblocco a più fattori.

I provider di credenziali supportati includono:

Provider di credenziali del primo fattore di sblocco	GUID
PIN	{D6886603-9D2F-4EB2-B667-1971041FA96B}
Scansione delle impronte digitali	{BEC09223-B018-416D-A0AC-523971B639F5}
Riconoscimento facciale	{8AF662BF-65A0-4D0A-A540-A338A999D36F}

Provider di credenziali del secondo fattore di sblocco	GUID
Segnale attendibile (prossimità telefono, percorso di rete)	{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

Nota

Lo sblocco a più fattori supporta solo i provider di credenziali elencati nella tabella precedente. Qualsiasi altro provider di credenziali configurato come primo o secondo fattore di sblocco non è supportato e potrebbe avere risultati imprevisti.

I provider di credenziali predefiniti per i provider di credenziali del primo fattore di sblocco includono:

• PIN (obbligatorio)
• Scansione delle impronte digitali
• Riconoscimento facciale

I provider di credenziali predefiniti per i provider di credenziali del secondo fattore di sblocco includono:

• Segnale attendibile (obbligatorio)

Configurare un elenco delimitato da virgole di GUID del provider di credenziali da usare come primo fattori di sblocco. I provider di credenziali elencati non devono essere in un ordine specifico.

Nota

Se l'autenticazione biometrica non riesce, all'utente viene richiesto di accedere con il PIN Windows Hello. Il PIN consente a un utente di accedere quando non può usare la biometria a causa di un infortunio o perché il sensore non è disponibile o non funziona correttamente. Per altre informazioni, vedere Perché è necessario un PIN per usare la biometria?

Importante

• Il segnale attendibile è necessario come secondo fattore di sblocco e non è supportato come primo fattore di sblocco.
• Assicurarsi che gli utenti abbiano configurato un fattore attendibile. Se non è configurato un fattore attendibile, gli utenti potrebbero riscontrare errori di accesso e essere bloccati fuori dal dispositivo.
• Anche se lo sblocco a più fattori consente la configurazione di provider alternativi per i fattori di sblocco del primo e del secondo, tali provider non sono supportati e potrebbero avere risultati imprevisti. Usare solo PIN (obbligatorio), scansione delle impronte digitali e riconoscimento facciale per il primo fattore di sblocco e un segnale attendibile come secondo fattore di sblocco.
• Se il fattore di segnale attendibile viene perso, rubato o sostituito, l'utente potrebbe non essere in grado di accedere al dispositivo fino a quando non viene configurato un nuovo fattore di segnale attendibile.

Configurare regole del segnale per il provider di credenziali del segnale attendibile

L'impostazione regole del segnale per lo sblocco del dispositivo contiene le regole che il provider di credenziali del segnale attendibile utilizza per eseguire lo sblocco del dispositivo.

Elemento regola

Le regole del segnale devono essere rappresentate in formato XML. Ogni regola del segnale ha un elemento iniziale e finale rule che contiene l'attributo e il schemaVersion valore. La versione corrente dello schema supportata è 1.0.

Esempio

<rule schemaVersion="1.0">
</rule>

Elemento segnale

Ogni elemento della regola ha un signal elemento . Tutti gli elementi del segnale hanno un type elemento e value. I valori supportati sono:

• Bluetooth
• Configurazione IP
• Wi-Fi

Bluetooth

Si definisce il segnale Bluetooth con altri attributi nell'elemento del segnale. La configurazione Bluetooth non usa altri elementi. È possibile terminare l'elemento del segnale con un tag />finale breve.

Attributo	Valore	Obbligatorio
tipo	Bluetooth	sì
scenario	Authentication	sì
classOfDevice	"numero"	no
rssiMin	"numero"	no
rssiMaxDelta	"numero"	no

Ad esempio:

<rule schemaVersion="1.0">
    <signal type="Bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

La potenza del segnale del valore dell'attributo rssiMin indica la potenza necessaria per il dispositivo da considerare "nell'intervallo". Il valore predefinito di -10 consente all'utente di spostarsi in una postazione o ufficio di dimensioni medie senza attivare Windows per bloccare il dispositivo. RssiMaxDelta ha un valore predefinito pari a -10, che indica a Windows di bloccare il dispositivo una volta che la potenza del segnale si è indebolita di più della misura di 10.

Le misurazioni RSSI sono relative e inferiori man mano che i segnali Bluetooth tra i due dispositivi abbinati si riducono. Una misura di 0 è più forte di -10. Una misura di -10 è più forte di -60 e indica che i dispositivi si stanno allontanando l'uno dall'altro.

Importante

Microsoft consiglia di usare i valori predefiniti per questa impostazione di criterio. Le misurazioni sono relative secondo le diverse condizioni di ciascun ambiente. Di conseguenza, gli stessi valori possono produrre risultati diversi. Verifica le impostazioni dei criteri in ogni ambiente prima della distribuzione dell'impostazione su larga scala. Utilizza i valori rssiMIN e rssiMaxDelta dal file XML creato dall'Editor Gestione Criteri di gruppo o rimuovi entrambi gli attributi per utilizzare i valori predefiniti.

Configurazione IP

È possibile definire i segnali di configurazione IP utilizzando uno o più elementi ipConfiguration. Ogni elemento ha un valore di stringa. Gli elementi IpConfiguration non hanno attributi o elementi annidati.

IPv4Prefix

Il prefisso di rete IPv4 rappresentato in notazione decimale puntata standard di Internet. Un prefisso di rete che usa la notazione Classless Inter-Domain Routing (CIDR) è necessario come parte della stringa di rete. Una porta di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv4Prefix. Ad esempio:

<ipv4Prefix>192.168.100.0/24</ipv4Prefix>

Gli indirizzi IPv4 assegnati nell'intervallo da 192.168.100.1 a 192.168.100.254 corrispondono a questa configurazione del segnale.

IPv4Gateway

Il gateway di rete IPv4 rappresentato in notazione decimale puntata standard di Internet. Una porta o prefisso di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv4Gateway. Ad esempio:

<ipv4Gateway>192.168.100.10</ipv4Gateway>

IPv4DhcpServer

Il server DHCP IPv4 rappresentato in notazione decimale puntata standard di Internet. Una porta o prefisso di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv4DhcpServer. Ad esempio:

<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>

IPv4DnsServer

Il server DNS IPv4 rappresentato in notazione decimale puntata standard di Internet. Una porta o prefisso di rete non deve essere presente nella stringa di rete. L'elemento signal può contenere uno o più elementi ipv4DnsServer .

Esempio:

<ipv4DnsServer>192.168.100.10</ipv4DnsServer>

IPv6Prefix

Il prefisso di rete IPv6 rappresentato nella rete IPv6 tramite codifica esadecimale standard Internet. Un prefisso di rete in notazione CIDR è richiesto come parte della stringa di rete. Una porta di rete o ID ambito non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv6Prefix. Ad esempio:

<ipv6Prefix>21DA:D3::/48</ipv6Prefix>

IPv6Gateway

Il gateway di rete IPv6 rappresentato in codifica esadecimale standard di Internet. Un ID ambito IPv6 potrebbe essere presente nella stringa di rete. Una porta o prefisso di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv6Gateway. Ad esempio:

<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>

IPv6DhcpServer

Il server DNS IPv6 rappresentato in codifica esadecimale standard di Internet. Un ID ambito IPv6 potrebbe essere presente nella stringa di rete. Una porta o prefisso di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv6DhcpServer. Ad esempio:

<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer

IPv6DnsServer

Il server DNS IPv6 rappresentato in codifica esadecimale standard di Internet. Un ID ambito IPv6 potrebbe essere presente nella stringa di rete. Una porta o prefisso di rete non deve essere presente nella stringa di rete. L'elemento segnale può contenere uno o più elementi ipv6DnsServer. Ad esempio:

<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>

dnsSuffix

Nome di dominio completo del suffisso DNS interno dell'organizzazione in cui esiste qualsiasi parte del nome di dominio completo in questa impostazione nel suffisso DNS primario del computer. L'elemento segnale può contenere uno o più elementi dnsSuffix. Ad esempio:

<dnsSuffix>corp.contoso.com</dnsSuffix>

Wi-Fi

Definisci Wi-Fi segnali usando uno o più elementi wifi. Ogni elemento ha un valore di stringa. Gli elementi Wifi non hanno attributi o elementi annidati.

SSID

Contiene l'identificatore del set di servizi (SSID) di una rete wireless. SSID è il nome della rete wireless. L'elemento SSID è obbligatorio. Ad esempio:

<ssid>corpnetwifi</ssid>

BSSID

Contiene l'identificatore del set di servizi di base (BSSID) di un punto di accesso wireless. BSSID è l'indirizzo mac del punto di accesso wireless. L'elemento BSSID è facoltativo. Ad esempio:

<bssid>12-ab-34-ff-e5-46</bssid>

Sicurezza

Contiene il tipo di sicurezza usato dal client durante la connessione alla rete wireless. L'elemento di sicurezza è obbligatorio e deve contenere uno dei valori seguenti:

Value	Descrizione
Open	La rete wireless è una rete aperta che non richiede alcuna autenticazione o crittografia.
WEP	La rete wireless è protetta tramite la privacy equivalente cablata.
WPA-Personal	La rete wireless è protetta tramite Wi-Fi accesso protetto.
WPA-Enterprise	La rete wireless è protetta tramite Wi-Fi Protected Access-Enterprise.
WPA2-Personal	La rete wireless è protetta usando Wi-Fi Accesso protetto 2, che in genere usa una chiave precon condivisa.
WPA2-Enterprise	La rete wireless è protetta usando Wi-Fi Accesso protetto 2-Enterprise.
WPA3-Personal	La rete wireless è protetta usando Wi-Fi Accesso protetto 3, che in genere usa una chiave precon condivisa.
WPA3-Enterprise	La rete wireless è protetta tramite Wi-Fi Accesso protetto 3-Enterprise.
WPA3-Enterprise-192	La rete wireless è protetta usando Wi-Fi accesso protetto a 3-Enterprise a 192 bit.

Ad esempio:

<security>WPA2-Enterprise</security>

TrustedRootCA

Contiene l'identificazione personale del certificato radice attendibile della rete wireless. È possibile usare qualsiasi certificato radice attendibile valido. Il valore è rappresentato come stringa esadecimale, dove ogni byte nella stringa è separato da un singolo spazio. L'elemento è facoltativo. Ad esempio:

<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>

Sig_quality

Contiene un valore numerico compreso tra 0 e 100 per rappresentare la potenza del segnale della rete wireless necessaria per essere considerata un segnale attendibile.

Ad esempio:

<sig_quality>80</sig_quality>

Configurazioni di segnali attendibili di esempio

Importante

Questi esempi sono disposti con il ritorno a capo per una migliore leggibilità. Una volta formattato correttamente, l'intero contenuto XML deve essere una singola riga.

Esempio 1

Nell'esempio seguente viene configurato un tipo di segnale IPConfig usando gli elementi Ipv4Prefix, Ipv4DnsServer e DnsSuffix .

<rule schemaVersion="1.0">
    <signal type="ipConfig">
        <ipv4Prefix>10.10.10.0/24</ipv4Prefix>
        <ipv4DnsServer>10.10.0.1</ipv4DnsServer>
        <ipv4DnsServer>10.10.0.2</ipv4DnsServer>
        <dnsSuffix>corp.contoso.com</dnsSuffix>
    </signal>
</rule>

Esempio 2

Nell'esempio seguente viene configurato un tipo di segnale IpConfig usando un elemento dnsSuffix e un segnale Bluetooth per i telefoni. L'esempio implica che la regola IpConfig o Bluetooth deve restituire true, perché la valutazione del segnale risultante sia vera.

Nota

Separa ogni elemento della regola con una virgola.

<rule schemaVersion="1.0">
    <signal type="ipConfig">
        <dnsSuffix>corp.contoso.com</dnsSuffix>
    </signal>
</rule>,
<rule schemaVersion="1.0">
    <signal type="Bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

Esempio 3

Nell'esempio seguente viene configurato lo stesso dell'esempio 2 usando elementi di and composizione. L'esempio implica che ipConfig e la regola Bluetooth devono restituire true, perché la valutazione del segnale risultante sia vera.

<rule schemaVersion="1.0">
<and>
  <signal type="ipConfig">
   <dnsSuffix>corp.microsoft.com</dnsSuffix>
  </signal>
  <signal type="Bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</and>
</rule>

Esempio 4

Nell'esempio seguente il Wi-Fi viene configurato come segnale attendibile.

<rule schemaVersion="1.0">
  <signal type="wifi">
    <ssid>contoso</ssid>
    <bssid>12-ab-34-ff-e5-46</bssid>
    <security>WPA2-Enterprise</security>
    <trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
    <sig_quality>80</sig_quality>
  </signal>
</rule>

Configurare lo sblocco a più fattori

Per configurare lo sblocco a più fattori, è possibile usare:

• Microsoft Intune/CSP
• Criteri di gruppo

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.

Intune/CSP

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria	Nome dell'impostazione
Modelli> amministrativiWindows Hello for Business	Plug-in di sblocco del dispositivo

1. Configurare il primo e il secondo fattore di sblocco usando le informazioni in Configurare i fattori di sblocco.
2. Se si usano segnali attendibili, configurare i segnali attendibili usati dal fattore di sblocco usando le informazioni in Configurare le regole del segnale per il provider di credenziali del segnale attendibile.

Assegnare il criterio a un gruppo che contenga come membri i dispositivi o gli utenti da configurare.

In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il CSP PassportForWork.

Impostazione
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock

GPO

Per configurare un dispositivo con criteri di gruppo, usare l'Editor Criteri di gruppo locali. Per configurare più dispositivi aggiunti ad Active Directory, creare o modificare un oggetto Criteri di gruppo (GPO) e usare le impostazioni seguenti:

Percorso Criteri di gruppo	Impostazione di Criteri di gruppo	Value
Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business	Configurare i fattori di sblocco del dispositivo	Abilitato

1. Configurare il primo e il secondo fattore di sblocco usando le informazioni in Configurare i fattori di sblocco.
2. Se si usano segnali attendibili, configurare i segnali attendibili usati dal fattore di sblocco usando le informazioni in Configurare le regole del segnale per il provider di credenziali del segnale attendibile.

I criteri di gruppo possono essere collegati a domini o unità organizzative, filtrati usando gruppi di sicurezza o filtrati tramite filtri WMI.

Importante

È consigliabile disabilitare tutti i provider di credenziali non Microsoft per assicurarsi che gli utenti non possano sbloccare i propri dispositivi se non hanno i fattori necessari. Le opzioni di fallback prevedono l'uso di password o smart card (che possono essere entrambe disabilitate in base alle necessità).

Risoluzione dei problemi

Lo sblocco a più fattori scrive gli eventi nel registro eventi in Registri applicazioni e servizi\Microsoft\Windows\HelloForBusiness con il nome di categoria Sblocco dispositivo.

Eventi

ID evento	Dettagli
3520	Tentativo di sblocco avviato
5520	Criteri di sblocco non configurati
6520	Evento di avviso
7520	Evento di errore
8520	Evento di operazione completata