Questo articolo di riferimento fornisce un elenco completo delle impostazioni dei criteri per Windows Hello for Business. L'elenco delle impostazioni è ordinato alfabeticamente e organizzato in quattro categorie:
Selezionare una delle schede per visualizzare l'elenco delle impostazioni disponibili:
Configurare un elenco delimitato da virgole di GUID del provider di credenziali, ad esempio i GUID del provider di impronte digitali e viso, da usare come primo e secondo fattore di sblocco. Se il provider di segnali attendibili viene specificato come uno dei fattori di sblocco, è anche necessario configurare un elenco delimitato da virgole di regole del segnale sotto forma di xml per ogni tipo di segnale da verificare.
Se si abilita questa impostazione di criterio, l'utente deve usare un fattore di ogni elenco per sbloccare correttamente. Se si disabilita o non si configura questa impostazione di criterio, gli utenti possono continuare a sbloccare con le opzioni esistenti.
|
Percorso |
| CSP |
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock |
| GPO |
Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business |
Per altre informazioni, vedere Sblocco a più fattori.
Configurare un elenco delimitato da virgole di regole del segnale sotto forma di xml per ogni tipo di segnale.
- Se si abilita questa impostazione di criterio, le regole del segnale vengono valutate per rilevare l'assenza dell'utente e bloccare automaticamente il dispositivo
- Se si disabilita o non si configura l'impostazione, gli utenti possono continuare a bloccare con le opzioni esistenti
|
Percorso |
| CSP |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/DynamicLock |
| GPO |
Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business |
Usa un dispositivo di sicurezza hardware
Un modulo TPM (Trusted Platform Module) offre vantaggi aggiuntivi per la sicurezza rispetto al software perché i dati protetti da esso non possono essere usati in altri dispositivi.
- Se abiliti questa impostazione di criterio, il provisioning di Windows Hello for Business si verifica solo nei dispositivi con TPM 1.2 o 2.0 utilizzabili. Facoltativamente, è possibile escludere i moduli di revisione 1.2 di TPM, impedendo il provisioning di Windows Hello for Business in tali dispositivi
Suggerimento
La specifica TPM 1.2 consente solo l'uso di RSA e dell'algoritmo hash SHA-1. Le implementazioni di TPM 1.2 variano nelle impostazioni dei criteri, il che può causare problemi di supporto man mano che i criteri di blocco variano. È consigliabile escludere i dispositivi TPM 1.2 dal provisioning di Windows Hello for Business.
-Se disabiliti o non configuri questa impostazione di criterio, il TPM è ancora preferibile, ma tutti i dispositivi possono effettuare il provisioning di Windows Hello for Business usando il software se il TPM non è funzionale o non disponibile.
|
Percorso |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/TPM12 |
| GPO |
Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business |
Usa certificato per l'autenticazione locale
Usare questa impostazione di criterio per configurare Windows Hello for Business per registrare un certificato di accesso usato per l'autenticazione locale.
- Se si abilita questa impostazione di criterio, Windows Hello for Business registra un certificato di accesso usato per l'autenticazione locale
- Se disabiliti o non configuri questa impostazione di criterio, Windows Hello for Business userà una chiave o un ticket Kerberos (a seconda di altre impostazioni dei criteri) per l'autenticazione locale
|
Percorso |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth |
| GPO |
Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business
Configurazione> utenteModelli> amministrativiComponenti di> WindowsWindows Hello for Business |
Usare l'attendibilità cloud per l'autenticazione locale
Usare questa impostazione di criterio per configurare Windows Hello for Business per l'uso del modello di attendibilità Kerberos cloud.
- Se si abilita questa impostazione di criterio, Windows Hello for Business usa un ticket Kerberos recuperato dall'autenticazione a Microsoft Entra ID per l'autenticazione locale
- Se disabiliti o non configuri questa impostazione di criterio, Windows Hello for Business usa una chiave o un certificato (a seconda di altre impostazioni dei criteri) per l'autenticazione locale
|
Percorso |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCloudTrustForOnPremAuth |
| GPO |
Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business |
Nota
L'attendibilità Kerberos cloud non è compatibile con l'attendibilità del certificato. Se l'impostazione dei criteri di attendibilità del certificato è abilitata, ha la precedenza su questa impostazione di criterio.
Usa Windows Hello for Business
- Se abiliti questo criterio, il dispositivo effettua il provisioning di Windows Hello for Business usando chiavi o certificati per tutti gli utenti
- Se disabiliti questa impostazione di criterio, il dispositivo non esegue il provisioning di Windows Hello for Business per nessun utente
- Se non configuri questa impostazione di criterio, gli utenti possono effettuare il provisioning di Windows Hello for Business
Selezionare l'opzione Non avviare il provisioning di Windows Hello dopo l'accesso quando si usa una soluzione non Microsoft per effettuare il provisioning di Windows Hello for Business:
- Se si seleziona Non avviare il provisioning di Windows Hello dopo l'accesso, Windows Hello for Business non avvia automaticamente il provisioning dopo l'accesso dell'utente
- Se non si seleziona Non avviare il provisioning di Windows Hello dopo l'accesso, Windows Hello for Business avvia automaticamente il provisioning dopo l'accesso dell'utente
|
Percorso |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/DisablePostLogonProvisioning |
| GPO |
Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business
Configurazione> utenteModelli> amministrativiComponenti di> WindowsWindows Hello for Business |
Scadenza
Questa impostazione specifica il periodo di tempo (in giorni) in cui è possibile usare un PIN prima che il sistema richieda all'utente di modificarlo. Il PIN può essere impostato in modo da scadere dopo un numero qualsiasi di giorni compreso tra 1 e 730 oppure i PIN possono essere impostati in modo che non scada mai se il criterio è impostato su 0.
Il valore predefinito è 0.
Cronologia
Questa impostazione specifica il numero di PIN precedenti che possono essere associati a un account utente che non può essere riutilizzato. Questo criterio migliora la sicurezza garantendo che i PIN precedenti non vengano riutilizzati continuamente. Il valore deve essere compreso tra 0 e 50 PIN. Se questo criterio è impostato su 0, la memorizzazione dei PIN precedenti non è obbligatoria.
Il valore predefinito è 0.
Nota
La cronologia del PIN non viene mantenuta tramite la reimpostazione del PIN.
Lunghezza massima PIN
La lunghezza massima del PIN consente di configurare il numero massimo di caratteri consentiti per il PIN. Il numero massimo che è possibile configurare per questa impostazione di criterio è 127. Il numero più basso che è possibile configurare deve essere maggiore del numero configurato nell'impostazione del criterio Lunghezza minima PIN o il numero 4, a seconda di quale sia maggiore. Se si configura questa impostazione di criterio, la lunghezza del PIN deve essere minore o uguale a questo numero.
Se si disabilita o non si configura questa impostazione di criterio, la lunghezza del PIN deve essere minore o uguale a 127.
Nota
Se non vengono soddisfatte le condizioni specificate sopra per la lunghezza massima del PIN, i valori predefiniti vengono usati per la lunghezza massima e minima del PIN.
Lunghezza minima PIN
La lunghezza minima del PIN consente di configurare il numero minimo di caratteri necessari per il PIN. Il numero più basso che è possibile configurare per questa impostazione di criterio è 4. Il numero massimo che è possibile configurare deve essere minore del numero configurato nell'impostazione dei criteri Lunghezza massima PIN o nel numero 127, a seconda di quale sia il numero più basso.
Se si configura questa impostazione di criterio, la lunghezza del PIN deve essere maggiore o uguale a questo numero.
Se si disabilita o non si configura questa impostazione di criterio, la lunghezza del PIN deve essere maggiore o uguale a 6.
Nota
Se non vengono soddisfatte le condizioni specificate sopra per la lunghezza minima del PIN, verranno usati i valori predefiniti per la lunghezza massima e minima del PIN.
Richiedi numeri
Usare questa impostazione di criterio per configurare l'uso delle cifre nel PIN:
- Se si abilita questa impostazione di criterio, Windows richiede all'utente di includere almeno una cifra nel PIN
- Se disabiliti questa impostazione di criterio, Windows non consente all'utente di includere cifre nei pin
- Se non si configura questa impostazione di criterio, Windows consente ma non richiede cifre nel PIN
Richiedi lettere minuscole
Usare questa impostazione di criterio per configurare l'uso di lettere minuscole nel PIN:
- Se si abilita questa impostazione di criterio, Windows richiede all'utente di includere almeno una lettera minuscola nel PIN
- Se disabiliti questa impostazione di criterio, Windows non consente all'utente di includere lettere minuscole nel PIN
- Se non si configura questa impostazione di criterio, Windows consente, ma non richiede, lettere minuscole nel PIN
Richiedi caratteri speciali
Ambito: computer
Usare questa impostazione di criterio per configurare l'uso di caratteri speciali nel PIN. I caratteri speciali includono il set seguente:
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- Se si abilita questa impostazione di criterio, Windows richiede all'utente di includere almeno un carattere speciale nel PIN
- Se disabiliti questa impostazione di criterio, Windows non consente all'utente di includere caratteri speciali nel PIN
- Se non si configura questa impostazione di criterio, Windows consente, ma non richiede, caratteri speciali nel PIN
Richiedi lettere maiuscole
Usare questa impostazione di criterio per configurare l'uso di lettere maiuscole nel PIN:
- Se si abilita questa impostazione di criterio, Windows richiede all'utente di includere almeno una lettera maiuscola nel PIN
- Se disabiliti questa impostazione di criterio, Windows non consente all'utente di includere lettere maiuscole nel PIN
- Se non si configura questa impostazione di criterio, Windows consente, ma non richiede, lettere maiuscole nel PIN
Usare il ripristino del PIN
Il ripristino pin consente a un utente di modificare un PIN dimenticato usando il servizio di ripristino pin di Windows Hello for Business, senza perdere credenziali o certificati associati, incluse le chiavi associate agli account personali dell'utente nel dispositivo.
A tale scopo, il servizio di ripristino del PIN crittografa un segreto di ripristino, archiviato nel dispositivo, e richiede sia il servizio di ripristino pin che il dispositivo per decrittografare.
Il ripristino del PIN richiede all'utente di eseguire l'autenticazione a più fattori in Microsoft Entra ID.
- Se si abilita questa impostazione di criterio, Windows Hello for Business usa il servizio di ripristino pin
- Se disabiliti o non configuri questa impostazione di criterio, Windows non crea o archivia il segreto di ripristino del PIN. Se l'utente dimentica il PIN, deve eliminare il PIN esistente e crearne uno nuovo e ripetere la registrazione con tutti i servizi a cui il PIN precedente ha fornito l'accesso
|
Percorso |
| CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/EnablePinRecovery |
| GPO |
Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business |
Per altre informazioni, vedere Reimpostazione del PIN.
Questa impostazione di criterio determina se l'anti-spoofing avanzato è necessario per l'autenticazione viso di Windows Hello.
- Se si abilita questa impostazione, Windows richiede l'uso dell'anti-spoofing avanzato per l'autenticazione viso
Importante
In questo modo viene disabilitata l'autenticazione viso nei dispositivi che non supportano l'anti-spoofing avanzato.
- Se disabiliti o non configuri questa impostazione, Windows non richiede anti-spoofing avanzato per l'autenticazione viso
|
Percorso |
| CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing |
| GPO |
Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business |
Abilitare ESS con le periferiche supportate
La sicurezza avanzata dell'accesso (ESS) aggiunge un livello di sicurezza ai dati biometrici usando componenti hardware e software specializzati, ad esempio Virtualization Based Security (VBS) e Trusted Platform Module 2.0.
Con ESS, i dati dei modelli biometrici (viso e impronta digitale) di Windows Hello e le operazioni di corrispondenza sono isolati in base all'hardware attendibile o alle aree di memoria specificate e il resto del sistema operativo non può accedervi o manometterle. Poiché anche il canale di comunicazione tra i sensori e l'algoritmo è protetto, è impossibile per il malware inserire o riprodurre dati per simulare l'accesso di un utente o bloccare un utente dal computer.
Se si abilita questo criterio, è possibile configurare i valori seguenti:
0: ESS è abilitato con sensori periferici o non ESS predefiniti. Le operazioni di autenticazione dei dispositivi periferici compatibili con Windows Hello sono consentite, in base alle limitazioni delle funzionalità correnti. ESS è abilitato nei dispositivi con una combinazione di dispositivi biometrici, ad esempio un lettore di impronte digitali con supporto per ESS e una fotocamera non compatibile con ESS. Pertanto, questa impostazione non è consigliata1: ESS è abilitato senza sensori periferici o non ESS predefiniti. Le operazioni di autenticazione di qualsiasi dispositivo biometrico periferico sono bloccate e non disponibili per Windows Hello. Questa impostazione è consigliata per la massima sicurezza
Se si disabilita o non si configura questa impostazione, i sensori non ESS vengono bloccati nel dispositivo ESS.
|
Percorso |
| CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/EnableESSwithSupportedPeripherals |
| GPO |
Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business |
Per altre informazioni, vedere Come la sicurezza avanzata dell'accesso protegge i dati biometrici.
Usa biometria
Windows Hello for Business consente agli utenti di usare movimenti biometrici, ad esempio viso e impronte digitali, come alternativa al movimento PIN. Tuttavia, gli utenti devono comunque configurare un PIN da usare in caso di errori.
- Se abiliti o non configuri questa impostazione di criterio, Windows Hello for Business consente di usare i movimenti biometrici
- Se disabiliti questa impostazione di criterio, Windows Hello for Business impedisce l'uso di movimenti biometrici
Nota
La disabilitazione di questo criterio impedisce all'utente di movimenti biometrici nel dispositivo per tutti i tipi di account.
|
Percorso |
| CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics |
| GPO |
Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business |
Consenti l'enumerazione della smart card emulata per tutti gli utenti
Windows impedisce agli utenti nello stesso dispositivo di enumerare le credenziali di Windows Hello for Business di cui è stato effettuato il provisioning per altri utenti. Se abiliti questa impostazione di criterio, Windows consente a tutti gli utenti del dispositivo di enumerare tutte le credenziali di Windows Hello for Business, ma richiede comunque a ogni utente di fornire i propri fattori per l'autenticazione. Se disabiliti o non configuri questa impostazione di criterio, Windows non consente l'enumerazione delle credenziali di Windows Hello for Business di cui è stato effettuato il provisioning per altri utenti nello stesso dispositivo.
Questa impostazione di criterio è progettata per un singolo utente che registra account con privilegi e senza privilegi in un singolo dispositivo. L'utente possiede entrambe le credenziali, che consentono loro di accedere usando credenziali senza privilegi, ma può eseguire attività elevate senza disconnettersi. Questa impostazione di criterio non è compatibile con le credenziali di Windows Hello for Business di cui è stato effettuato il provisioning quando è abilitata l'impostazione di criterio Disattiva emulazione smart card .
|
Percorso |
| CSP |
Non disponibile |
| GPO |
Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business |
Disattivare l'emulazione delle smart card
Windows Hello for Business fornisce automaticamente l'emulazione delle smart card per la compatibilità con le applicazioni abilitate per le smart card.
- Se abiliti questa impostazione di criterio, Windows Hello for Business effettua il provisioning di credenziali di Windows Hello for Business non compatibili con le applicazioni smart card
- Se disabiliti o non configuri questa impostazione di criterio, Windows Hello for Business effettua il provisioning delle credenziali di Windows Hello for Business compatibili con le applicazioni smart card
Importante
Questo criterio influisce sulle credenziali di Windows Hello for Business al momento della creazione. Le credenziali create prima dell'applicazione di questo criterio continuano a fornire l'emulazione delle smart card. Per modificare una credenziale esistente, abilitare questa impostazione di criterio e selezionare Ho dimenticato il PIN da Impostazioni.
|
Percorso |
| CSP |
Non disponibile |
| GPO |
Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business |
Usare i certificati di Windows Hello for Business come certificati smart card
Questa impostazione di criterio è progettata per consentire la compatibilità con le applicazioni che si basano esclusivamente su certificati smart card.
- Se si abilita questa impostazione di criterio, le applicazioni usano i certificati di Windows Hello for Business come certificati smart card. I fattori biometrici non sono disponibili quando a un utente viene chiesto di autorizzare l'uso della chiave privata del certificato
- Se disabiliti o non configuri questa impostazione di criterio, le applicazioni non usano i certificati Windows Hello for Business come certificati smart card e sono disponibili fattori biometrici quando a un utente viene richiesto di autorizzare l'uso della chiave privata del certificato
Questa impostazione di criterio non è compatibile con le credenziali di Windows Hello for Business di cui è stato effettuato il provisioning quando è abilitata l'opzione Disattiva emulazione smart card .
Impostazioni delle funzionalità
Impostazioni PIN
Impostazioni biometriche
Impostazioni smart card