Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Warning
Windows Hello for Business e le chiavi di sicurezza FIDO2 sono metodi moderni di autenticazione a due fattori per Windows. I clienti che usano smart card virtuali sono invitati a passare a Windows Hello for Business o FIDO2. Per le nuove installazioni di Windows, è consigliabile Windows Hello for Business o le chiavi di sicurezza FIDO2.
Lo strumento da riga di comando Tpmvscmgr consente agli utenti con credenziali amministrative di creare ed eliminare smart card virtuali TPM in un computer. Per esempi su come usare questo comando, vedere Esempi.
Sintassi
Tpmvscmgr create [/quiet] /name <name> /AdminKey {DEFAULT | PROMPT | RANDOM} [/PIN {DEFAULT | PROMPT}] [/PUK {DEFAULT | PROMPT}] [/generate] [/machine <machine name>] [/pinpolicy [policy options]] [/attestation {AIK_AND_CERT | AIK_ONLY}] [/?]
Tpmvscmgr destroy [/quiet] [/instance <device instance ID>] [/machine <machine name>] [/?]
Parametri per il comando Create
Il comando Crea consente di configurare nuove smart card virtuali nel sistema dell'utente. Restituisce l'ID istanza della scheda appena creata per un riferimento successivo se è necessaria l'eliminazione. L'ID istanza è nel formato ROOT\SMARTCARDREADER\000n in cui n inizia da 0 e viene aumentato di 1 ogni volta che si crea una nuova smart card virtuale.
| Parametro | Descrizione |
|---|---|
| /Nome | Obbligatorio. Indica il nome della nuova smart card virtuale. |
| /AdminKey | Indica la chiave di amministratore desiderata che può essere usata per reimpostare il PIN della scheda se l'utente dimentica il PIN. PREDEFINITO Specifica il valore predefinito di 010203040506070801020304050607080102030405060708. PROMPT Richiede all'utente di immettere un valore per la chiave di amministratore. CASUALE Restituisce un'impostazione casuale per la chiave di amministratore per una scheda che non viene restituita all'utente. In questo modo viene creata una scheda che potrebbe non essere gestibile usando gli strumenti di gestione delle smart card. Quando viene generata con RANDOM, la chiave di amministratore viene impostata su 48 caratteri esadecimali. |
| /SPILLA | Indica il valore pin utente desiderato. PREDEFINITO Specifica il PIN predefinito di 12345678. PROMPT Richiede all'utente di immettere un PIN nella riga di comando. Il PIN deve contenere almeno otto caratteri e può contenere numeri, caratteri e caratteri speciali. |
| /PUK | Indica il valore PUK (PIN Unlock Key) desiderato. Il valore PUK deve essere di almeno otto caratteri e può contenere numeri, caratteri e caratteri speciali. Se il parametro viene omesso, la scheda viene creata senza PUK. PREDEFINITO Specifica il PUK predefinito di 12345678. PROMPT Richiede all'utente di immettere un PUK nella riga di comando. |
| /Generare | Genera i file nell'archiviazione necessari per il funzionamento della smart card virtuale. Se il parametro /generate viene omesso, equivale alla creazione di una scheda senza questo file system. Una scheda senza un file system può essere gestita solo da un sistema di gestione delle smart card, ad esempio Microsoft Configuration Manager. |
| /Macchina | Consente di specificare il nome di un computer remoto in cui è possibile creare la smart card virtuale. Può essere usato solo in un ambiente di dominio e si basa su DCOM. Affinché il comando riesca a creare una smart card virtuale in un computer diverso, l'utente che esegue questo comando deve essere un membro del gruppo administrators locale nel computer remoto. |
| /pinpolicy | Se si usa /pin prompt , /pinpolicy consente di specificare le opzioni dei criteri PIN seguenti: minlen<lunghezza minima PIN> Se non specificato, il valore predefinito è 8. Il limite inferiore è 4. maxlen<lunghezza massima PIN> Se non specificato, il valore predefinito è 127. Il limite superiore è 127. Maiuscolo Può essere ALLOWED, DISALLOWED o REQUIRED. Il valore predefinito è ALLOWED. Minuscolo Può essere ALLOWED, DISALLOWED o REQUIRED. Il valore predefinito è ALLOWED. Cifre Può essere ALLOWED, DISALLOWED o REQUIRED. Il valore predefinito è ALLOWED. specialchars Può essere ALLOWED, DISALLOWED o REQUIRED. Il valore predefinito è ALLOWED. Quando si usa /pinpolicy, i caratteri PIN devono essere caratteri ASCII stampabili. |
| /Attestazione | Configura l'attestazione (solo oggetto). Questa attestazione usa un certificato AIK (Attestation Identity Key) come ancoraggio di attendibilità per garantire che le chiavi e i certificati della smart card virtuale siano effettivamente associati all'hardware. I metodi di attestazione sono: AIK_AND_CERT Crea un AIK e ottiene un certificato AIK dall'autorità di certificazione cloud (CA) Microsoft. Ciò richiede che il dispositivo disponga di un TPM con un certificato EK. Se questa opzione è specificata e non è presente alcuna connettività di rete, è possibile che la creazione della smart card virtuale abbia esito negativo. AIK_ONLY Crea un AIK ma non ottiene un certificato AIK. |
| /? | Visualizza la Guida per questo comando. |
Parametri per il comando Destroy
Il comando Destroy elimina in modo sicuro una smart card virtuale da un computer.
Warning
Quando una smart card virtuale viene eliminata, non può essere ripristinata.
| Parametro | Descrizione |
|---|---|
| /Istanza | Specifica l'ID istanza della smart card virtuale da rimuovere. InstanceID è stato generato come output da Tpmvscmgr.exe al momento della creazione della scheda. Il parametro /instance è un campo obbligatorio per il comando Destroy. |
| /Macchina | Consente di specificare il nome di un computer remoto in cui verrà eliminata la smart card virtuale. Può essere usato solo in un ambiente di dominio e si basa su DCOM. Affinché il comando riesca a eliminare una smart card virtuale in un computer diverso, l'utente che esegue questo comando deve essere un membro del gruppo administrators locale nel computer remoto. |
| /? | Visualizza la Guida per questo comando. |
Osservazioni
L'appartenenza al gruppo Administrators (o equivalente) nel computer di destinazione è il minimo necessario per eseguire tutti i parametri di questo comando.
Per gli input alfanumerici, è consentito il set ASCII completo di 127 caratteri.
Esempi
Il comando seguente illustra come creare una smart card virtuale che può essere gestita in un secondo momento da uno strumento di gestione delle smart card avviato da un altro computer.
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey DEFAULT /PIN PROMPT
In alternativa, invece di usare una chiave di amministratore predefinita, è possibile creare una chiave di amministratore nella riga di comando. Il comando seguente illustra come creare una chiave di amministratore.
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey PROMPT /PIN PROMPT
Il comando seguente creerà la smart card virtuale non gestita che può essere usata per registrare i certificati.
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey RANDOM /PIN PROMPT /generate
Il comando precedente creerà una smart card virtuale con una chiave di amministratore casuale. La chiave viene eliminata automaticamente dopo la creazione della scheda. Ciò significa che se l'utente dimentica il PIN o vuole modificare il PIN, l'utente deve eliminare la scheda e crearla di nuovo. Per eliminare la scheda, l'utente può eseguire il comando seguente.
tpmvscmgr.exe destroy /instance <instance ID>
dove <ID> istanza è il valore stampato sullo schermo quando l'utente ha creato la scheda. In particolare, per la prima scheda creata, l'ID istanza è ROOT\SMARTCARDREADER\0000.
Il comando seguente creerà una smart card virtuale TPM con il valore predefinito per la chiave di amministratore e un criterio PIN e un metodo di attestazione specificati:
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /PIN PROMPT /pinpolicy minlen 4 maxlen 8 /AdminKey DEFAULT /attestation AIK_AND_CERT /generate