Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Warning
Windows Hello for Business e le chiavi di sicurezza FIDO2 sono metodi moderni di autenticazione a due fattori per Windows. I clienti che usano smart card virtuali sono invitati a passare a Windows Hello for Business o FIDO2. Per le nuove installazioni di Windows, è consigliabile Windows Hello for Business o le chiavi di sicurezza FIDO2.
Informazioni sui requisiti per le smart card virtuali, su come usarle e gestirle.
Requisiti, restrizioni e limitazioni
| Area | Requisiti e dettagli |
|---|---|
| TPM (Trusted Platform Module) supportato | Qualsiasi TPM conforme alle specifiche principali di TPM per la versione 1.2 o la versione 2.0 (come impostato dal gruppo trusted computing) è supportato per l'uso come smart card virtuale. Per altre informazioni, vedere la specifica principale TPM. |
| Smart card virtuali supportate per computer | Dieci smart card possono essere connesse a un computer o a un dispositivo contemporaneamente. Sono incluse le smart card fisiche e virtuali combinate. Nota È possibile creare più smart card virtuali; tuttavia, dopo aver creato più di quattro smart card virtuali, è possibile iniziare a notare una riduzione delle prestazioni. Poiché tutte le smart card vengono visualizzate come se fossero sempre inserite, se più di una persona condivide un computer o un dispositivo, ogni persona può visualizzare tutte le smart card virtuali create in tale computer o dispositivo. Se l'utente conosce i valori pin per tutte le smart card virtuali, sarà anche possibile usarli. |
| Numero supportato di certificati in una smart card virtuale | Una singola smart card virtuale TPM può contenere 30 certificati distinti con le chiavi private corrispondenti. Gli utenti possono continuare a rinnovare i certificati nella scheda fino a quando il numero totale di certificati in una scheda non supera i 90. Il motivo per cui il numero totale di certificati è diverso dal numero totale di chiavi private è che a volte il rinnovo può essere eseguito con la stessa chiave privata, nel qual caso non viene generata una nuova chiave privata. |
| Requisiti relativi a PIN, chiave di sblocco del PIN e chiave amministrativa | Il PIN e il PUK devono essere di almeno otto caratteri che possono includere numeri, caratteri alfabetici e caratteri speciali. La chiave amministrativa deve essere immessa come 48 caratteri esadecimali. Si tratta di un des triplo a 3 tasti con metodo di riempimento ISO/IEC 9797 2 in modalità concatenamento CBC. |
Uso di Tpmvscmgr.exe
Per creare ed eliminare smart card virtuali TPM per gli utenti finali, lo strumento da riga di comando Tpmvscmgr è incluso come strumento da riga di comando con il sistema operativo. È possibile usare i parametri Crea ed Elimina per gestire le smart card virtuali nei computer locali o remoti. Per informazioni sull'uso di questo strumento, vedere Tpmvscmgr.
Creare ed eliminare smart card virtuali a livello di codice
Le smart card virtuali possono anche essere create ed eliminate usando le API. Per altre informazioni, vedere le classi e le interfacce seguenti:
- TpmVirtualSmartCardManager
- RemoteTpmVirtualSmartCardManager
- ITpmVirtualSmartCardManager
- ITPMVirtualSmartCardManagerStatusCallBack
È possibile usare le API nello Windows.Device.SmartCards spazio dei nomi per creare app di Microsoft Store per gestire l'intero ciclo di vita delle smart card virtuali. Per informazioni su come creare un'app a tale scopo, vedere Autenticazione avanzata: creazione di app che sfruttano le smart card virtuali in ambienti aziendali, BYOD e consumer.
La tabella seguente descrive le funzionalità che possono essere sviluppate in un'app di Microsoft Store:
| Funzionalità | Smart card fisica | Smart card virtuale |
|---|---|---|
| Eseguire query e monitorare i lettori di smart card | Sì | Sì |
| Elencare le smart card disponibili in un lettore e recuperare il nome e l'ID della scheda | Sì | Sì |
| Verificare se la chiave amministrativa di una scheda è corretta | Sì | Sì |
| Effettuare il provisioning (o la riformattazione) di una scheda con un ID scheda specificato | Sì | Sì |
| Modificare il PIN immettendo il PIN precedente e specificando un nuovo PIN | Sì | Sì |
| Modificare la chiave amministrativa, reimpostare il PIN o sbloccare la smart card usando un metodo di richiesta/risposta | Sì | Sì |
| Creare una smart card virtuale | Non applicabile | Sì |
| Eliminare una smart card virtuale | Non applicabile | Sì |
| Impostare i criteri PIN | No | Sì |
Per altre informazioni su queste API di Windows, vedere:
- Spazio dei nomi Windows.Devices.SmartCards (Windows)
- Spazio dei nomi Windows.Security.Cryptography.Certificates (Windows)
Distinguere le smart card virtuali basate su TPM dalle smart card fisiche
Per consentire agli utenti di distinguere visivamente una smart card virtuale basata su Trusted Platform Module (TPM) dalle smart card fisiche, la smart card virtuale ha un'icona diversa. L'icona della smart card virtuale viene visualizzata durante l'accesso 
e in altre schermate che richiedono all'utente di immettere il PIN per una smart card virtuale.
Una smart card virtuale basata su TPM è denominata Dispositivo di sicurezza nell'interfaccia utente.
Modifica del PIN
Il PIN per una smart card virtuale può essere modificato seguendo questa procedura:
- Accedere con il PIN o la password precedente
- Premere CTRL+ALT+CANC e selezionare Modifica password
- Selezionare Opzioni di accesso
- Selezionare l'icona della smart card virtuale
- Immettere e confermare il nuovo PIN
Risoluzione dei problemi
TPM non sottoposto a provisioning
Per il corretto funzionamento di una smart card virtuale basata su TPM, nel computer deve essere disponibile un TPM di cui è stato effettuato il provisioning:
- Se il TPM è disabilitato nel BIOS o non viene effettuato il provisioning con la proprietà completa e la chiave radice di archiviazione, la creazione della smart card virtuale TPM ha esito negativo
- Se il TPM viene inizializzato dopo la creazione di una smart card virtuale, la scheda non funzionerà più e deve essere ricreata
- Se il sistema operativo viene reinstallato, le smart card virtuali TPM precedenti non sono più disponibili e devono essere ricreate
- Se il sistema operativo viene aggiornato, le smart card virtuali TPM precedenti sono disponibili per l'uso nel sistema operativo aggiornato
TPM in stato di blocco
A volte, a causa di frequenti tentativi di PIN non corretti da parte di un utente, il TPM può entrare nello stato di blocco. Per riprendere a usare la smart card virtuale TPM, è necessario reimpostare il blocco nel TPM usando la password del proprietario o attendere la scadenza del blocco. Lo sblocco del PIN utente non reimposta il blocco nel TPM. Quando il TPM è in blocco, la smart card virtuale TPM viene visualizzata come se fosse bloccata. Quando il TPM entra nello stato di blocco perché l'utente ha immesso un PIN errato troppe volte, potrebbe essere necessario reimpostare il PIN utente usando gli strumenti di gestione delle smart card virtuali, ad esempio lo strumento da riga di comando Tpmvscmgr.
Vedere anche
Per informazioni sui casi d'uso di autenticazione, riservatezza e integrità dei dati, vedere Panoramica delle smart card virtuali.