Condividi tramite


Impostazioni dei criteri di Windows Hello for Business

Questo articolo di riferimento fornisce un elenco completo delle impostazioni dei criteri per Windows Hello for Business. L'elenco delle impostazioni è ordinato alfabeticamente e organizzato in quattro categorie:

  • Impostazioni delle funzionalità: usate per abilitare Windows Hello for Business e configurare le opzioni di base
  • Impostazione PIN: usata per configurare l'autenticazione pin, ad esempio la complessità e il ripristino del PIN
  • Impostazione biometrica: usata per configurare l'autenticazione biometrica
  • Impostazioni smart card: usate per configurare l'autenticazione della smart card usata in combinazione con Windows Hello for Business

Per informazioni su come configurare queste impostazioni, vedere Configurare Windows Hello for Business.

Selezionare una delle schede per visualizzare l'elenco delle impostazioni disponibili:

Nome impostazione CSP GPO
Configurare i fattori di sblocco del dispositivo
Configurare i fattori di blocco dinamico
Usa un dispositivo di sicurezza hardware
Usa certificato per l'autenticazione locale
Usare l'attendibilità cloud (Kerberos) per l'autenticazione locale
Usa Windows Hello for Business

Configurare i fattori di sblocco del dispositivo

Configurare un elenco delimitato da virgole di GUID del provider di credenziali, ad esempio i GUID del provider di impronte digitali e viso, da usare come primo e secondo fattore di sblocco. Se il provider di segnali attendibili viene specificato come uno dei fattori di sblocco, è anche necessario configurare un elenco delimitato da virgole di regole del segnale sotto forma di xml per ogni tipo di segnale da verificare.

Se si abilita questa impostazione di criterio, l'utente deve usare un fattore di ogni elenco per sbloccare correttamente. Se si disabilita o non si configura questa impostazione di criterio, gli utenti possono continuare a sbloccare con le opzioni esistenti.

Percorso
CSP ./Device/Vendor/MSFT/PassportForWork/ DeviceUnlock
GPO Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business

Per altre informazioni, vedere Sblocco a più fattori.

Configurare i fattori di blocco dinamico

Configurare un elenco delimitato da virgole di regole del segnale sotto forma di xml per ogni tipo di segnale.

  • Se si abilita questa impostazione di criterio, le regole del segnale vengono valutate per rilevare l'assenza dell'utente e bloccare automaticamente il dispositivo
  • Se si disabilita o non si configura l'impostazione, gli utenti possono continuare a bloccare con le opzioni esistenti
Percorso
CSP ./Device/Vendor/MSFT/PassportForWork/DynamicLock/ DynamicLock
GPO Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business

Usa un dispositivo di sicurezza hardware

Un modulo TPM (Trusted Platform Module) offre vantaggi aggiuntivi per la sicurezza rispetto al software perché i dati protetti da esso non possono essere usati in altri dispositivi.

  • Se abiliti questa impostazione di criterio, il provisioning di Windows Hello for Business si verifica solo nei dispositivi con TPM 1.2 o 2.0 utilizzabili. Facoltativamente, è possibile escludere i moduli di revisione 1.2 di TPM, impedendo il provisioning di Windows Hello for Business in tali dispositivi

    Suggerimento

    La specifica TPM 1.2 consente solo l'uso di RSA e dell'algoritmo hash SHA-1. Le implementazioni di TPM 1.2 variano nelle impostazioni dei criteri, il che può causare problemi di supporto man mano che i criteri di blocco variano. È consigliabile escludere i dispositivi TPM 1.2 dal provisioning di Windows Hello for Business. -Se disabiliti o non configuri questa impostazione di criterio, il TPM è ancora preferibile, ma tutti i dispositivi possono effettuare il provisioning di Windows Hello for Business usando il software se il TPM non è funzionale o non disponibile.

Percorso
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ RequireSecurityDevice

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/ TPM12
GPO Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business

Usa certificato per l'autenticazione locale

Usare questa impostazione di criterio per configurare Windows Hello for Business per registrare un certificato di accesso usato per l'autenticazione locale.

  • Se si abilita questa impostazione di criterio, Windows Hello for Business registra un certificato di accesso usato per l'autenticazione locale
  • Se disabiliti o non configuri questa impostazione di criterio, Windows Hello for Business userà una chiave o un ticket Kerberos (a seconda di altre impostazioni dei criteri) per l'autenticazione locale
Percorso
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCertificateForOnPremAuth
GPO Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business

Configurazione> utenteModelli> amministrativiComponenti di> WindowsWindows Hello for Business

Usare l'attendibilità cloud per l'autenticazione locale

Usare questa impostazione di criterio per configurare Windows Hello for Business per l'uso del modello di attendibilità Kerberos cloud.

  • Se si abilita questa impostazione di criterio, Windows Hello for Business usa un ticket Kerberos recuperato dall'autenticazione a Microsoft Entra ID per l'autenticazione locale
  • Se disabiliti o non configuri questa impostazione di criterio, Windows Hello for Business usa una chiave o un certificato (a seconda di altre impostazioni dei criteri) per l'autenticazione locale
Percorso
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCloudTrustForOnPremAuth
GPO Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business

Nota

L'attendibilità Kerberos cloud non è compatibile con l'attendibilità del certificato. Se l'impostazione dei criteri di attendibilità del certificato è abilitata, ha la precedenza su questa impostazione di criterio.

Usa Windows Hello for Business

  • Se abiliti questo criterio, il dispositivo effettua il provisioning di Windows Hello for Business usando chiavi o certificati per tutti gli utenti
  • Se disabiliti questa impostazione di criterio, il dispositivo non esegue il provisioning di Windows Hello for Business per nessun utente
  • Se non configuri questa impostazione di criterio, gli utenti possono effettuare il provisioning di Windows Hello for Business

Selezionare l'opzione Non avviare il provisioning di Windows Hello dopo l'accesso quando si usa una soluzione non Microsoft per effettuare il provisioning di Windows Hello for Business:

  • Se si seleziona Non avviare il provisioning di Windows Hello dopo l'accesso, Windows Hello for Business non avvia automaticamente il provisioning dopo l'accesso dell'utente
  • Se non si seleziona Non avviare il provisioning di Windows Hello dopo l'accesso, Windows Hello for Business avvia automaticamente il provisioning dopo l'accesso dell'utente
Percorso
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UsePassportForWork

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ DisablePostLogonProvisioning
GPO Configurazione> computerModelli> amministrativiComponenti di> WindowsWindows Hello for Business

Configurazione> utenteModelli> amministrativiComponenti di> WindowsWindows Hello for Business