Condividi tramite


Configura Windows Hello for Business

Questo articolo descrive le opzioni per configurare Windows Hello for Business in un'organizzazione e come implementarle.

Opzioni di configurazione

È possibile configurare Windows Hello for Business usando le opzioni seguenti:

  • Provider di servizi di configurazione (CSP): comunemente usato per i dispositivi gestiti da una soluzione MDM (Mobile Gestione dispositivi), ad esempio Microsoft Intune. I CSP possono anche essere configurati con pacchetti di provisioning, che vengono in genere usati in fase di distribuzione o per dispositivi non gestiti. Per configurare Windows Hello for Business, usare il CSP PassportForWork
  • Criteri di gruppo (GPO): usato per i dispositivi aggiunti ad Active Directory o Microsoft Entra aggiunti ibridi e non gestiti da una soluzione di gestione dei dispositivi

Precedenza dei criteri

Alcuni dei criteri di Windows Hello for Business sono disponibili sia per la configurazione del computer che per quella dell'utente. L'elenco seguente descrive la precedenza dei criteri per Windows Hello for Business:

  • I criteri utente hanno la precedenza sui criteri computer. Se è impostato un criterio utente, i criteri computer corrispondenti vengono ignorati. Se non è impostato un criterio utente, vengono usati i criteri del computer
  • Windows Hello for Business le impostazioni dei criteri vengono applicate usando la gerarchia seguente:
    • Utente - Oggetto Criteri di gruppo
    • Computer - Oggetto Criteri di gruppo
    • Utente - PassportForWork CSP
    • Provider di servizi di configurazione Device - PassportForWork
    • Exchange Active Sync - DeviceLock CSP

Importante

Se si configurano le impostazioni di lunghezza e complessità della password definite dal provider di servizi di configurazione DeviceLock e le impostazioni di lunghezza e complessità del PIN definite dal CSP PassportForWork, Windows applica i criteri più rigorosi al di fuori del set di criteri di governance.

DeviceLock CSP usa il motore Exchange ActiveSync Policy (EAS). Per altre informazioni, vedere Panoramica del motore dei criteri di Exchange ActiveSync.

Nota

Se un criterio non è configurato in modo esplicito per richiedere lettere o caratteri speciali, gli utenti possono impostare facoltativamente un PIN alfanumerico.

Recuperare l'ID tenant Microsoft Entra

La configurazione tramite CSP o registro di impostazioni di criteri di Windows Hello for Business diverse richiede di specificare l'ID tenant Microsoft Entra in cui è registrato il dispositivo.

Per cercare l'ID tenant, vedere Come trovare l'ID tenant Microsoft Entra o provare a eseguire le operazioni seguenti, assicurandosi di accedere con l'account dell'organizzazione:

GET https://graph.microsoft.com/v1.0/organization?$select=id

Ad esempio, la documentazione del provider di servizi di configurazione PassportForWork descrive come configurare le opzioni di Windows Hello for Business usando l'URI OMA:

./Device/Vendor/MSFT/PassportForWork/{TenantId}

Quando si configurano i dispositivi, sostituire TenantID con l'ID tenant Microsoft Entra. Ad esempio, se l'ID tenant Microsoft Entra è dcd219dd-bc68-4b9b-bf0b-4a33a796be35, l'URI OMA sarà:

./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}

Configurare Windows Hello for Business usando Microsoft Intune

Per Microsoft Entra dispositivi aggiunti e Microsoft Entra dispositivi aggiunti ibridi registrati in Intune, è possibile usare criteri di Intune per gestire Windows Hello for Business.

Esistono diversi modi per abilitare e configurare Windows Hello for Business in Intune:

  • Uso di un criterio applicato a livello di tenant. I criteri del tenant:
    • Viene applicato solo al momento della registrazione e le eventuali modifiche alla configurazione non si applicano ai dispositivi già registrati in Intune
    • Si applica a tutti i dispositivi che vengono registrati in Intune. Per questo motivo, il criterio è in genere disabilitato e Windows Hello for Business è abilitato usando un criterio destinato a un gruppo di sicurezza
  • Criteri di configurazione del dispositivo applicati dopo la registrazione del dispositivo. Tutte le modifiche apportate ai criteri vengono applicate ai dispositivi durante i regolari intervalli di aggiornamento dei criteri. Esistono diversi tipi di criteri tra cui scegliere:

Verificare i criteri a livello di tenant

Per controllare le impostazioni dei criteri Windows Hello for Business applicate al momento della registrazione:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune

  2. Selezionare Dispositivi>Registrazione Windows>Windows

  3. Selezionare Windows Hello for Business

  4. Verificare lo stato di Configura Windows Hello for Business ed eventuali impostazioni che potrebbero essere configurate

    Disabilitazione di Windows Hello for Business dall'interfaccia di amministrazione Microsoft Intune.

Conflitti di criteri da più origini dei criteri

Windows Hello for Business possono essere configurati dall'oggetto Criteri di gruppo o da CSP, ma non una combinazione di entrambi. Evitare di combinare le impostazioni dei criteri di criteri di gruppo e CSP per Windows Hello for Business, perché può causare risultati imprevisti. Se si combinano le impostazioni dei criteri di gruppo e CSP, le impostazioni CSP in conflitto non vengono applicate fino a quando le impostazioni di Criteri di gruppo non vengono cancellate.

Importante

L'impostazione dei criteri MDMWinsOverGP non si applica a Windows Hello for Business. MDMWinsOverGP si applica solo ai criteri nel provider di servizi di configurazione criteri, mentre i criteri di Windows Hello for Business si trovano nel CSP PassportForWork.

Nota

Per altre informazioni sulla distribuzione di Windows Hello for Business configurazione tramite Microsoft Intune, vedere Impostazioni dei dispositivi Windows per abilitare Windows Hello for Business in Intune e PassportForWork CSP.

Disabilitare la registrazione Windows Hello for Business

Windows Hello for Business è abilitato per impostazione predefinita per i dispositivi Microsoft Entra aggiunti. Se è necessario disabilitare l'abilitazione automatica, sono disponibili diverse opzioni, tra cui:

  • Disabilitare Windows Hello usando i criteri a livello di tenant
  • Disabilitarla usando uno dei tipi di criteri disponibili in Intune, abilitando al tempo stesso la pagina stato registrazione (ESP). L'ESP può essere configurato per impedire a un utente di accedere al desktop fino a quando il dispositivo non riceve tutti i criteri necessari. Per altre informazioni, vedere Configurare la pagina Stato registrazione. L'impostazione dei criteri da configurare è Usa Windows Hello for Business
  • Effettuare il provisioning dei dispositivi usando un pacchetto di provisioning che disabilita Windows Hello for Business. Per altre informazioni, vedere Provisioning di pacchetti per Windows
  • Soluzioni con script che possono modificare le impostazioni del Registro di sistema per disabilitare Windows Hello for Business durante la distribuzione del sistema operativo
Tipo di configurazione Dettagli
CSP (utente) Percorso chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\Policies
Nome chiave: UsePassportForWork
Tipo: REG_DWORD
Valore:
1 per abilitare
0 per disabilitare
CSP (dispositivo) Percorso chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\Policies
Nome chiave: UsePassportForWork
Tipo: REG_DWORD
Valore:
1 per abilitare
0 per disabilitare
Oggetto Criteri di gruppo (utente) Percorso chiave: HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWork
Nome chiave: Enabled
Tipo: REG_DWORD
Valore:
1 per abilitare
0 per disabilitare
Oggetto Criteri di gruppo (dispositivo) Percorso chiave: KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWork
Nome chiave: Enabled
Tipo: REG_DWORD
Valore:
1 per abilitare
0 per disabilitare

Nota

Se sono presenti criteri per dispositivi e utenti in conflitto, i criteri utente hanno la precedenza. Non è consigliabile creare un oggetto Criteri di gruppo locale o impostazioni del Registro di sistema che potrebbero essere in conflitto con un criterio MDM. Questo conflitto potrebbe causare risultati imprevisti.

Passaggi successivi

Per un elenco delle impostazioni dei criteri di Windows Hello for Business, vedere impostazioni dei criteri di Windows Hello for Business.

Per altre informazioni sulle funzionalità di Windows Hello for Business e su come configurarle, vedere: