Configurare e registrare Windows Hello for Business in un modello di trust delle chiavi locale
Questo articolo descrive le funzionalità o gli scenari di Windows Hello for Business applicabili a:
-
Tipo di distribuzione:in locale
-
Tipo di attendibilità:con attendibilità delle chiavi
-
Tipo di join:dominio
Una volta soddisfatti i prerequisiti e convalidate le configurazioni PKI e AD FS, la distribuzione di Windows Hello for Business prevede i passaggi seguenti:
Configurare le impostazioni dei criteri per Windows Hello for Business
È necessaria un'impostazione di criteri per abilitare Windows Hello for Business in un modello di attendibilità chiave:
Un'altra impostazione facoltativa, ma consigliata, dei criteri è:
È possibile configurare l'impostazione dei criteri Usa Windows Hello for Business nel computer o nel nodo utente di un oggetto Criteri di gruppo:
- Distribuendo l'impostazione dei criteri del nodo del computer, tutti gli utenti che accedono ai dispositivi di destinazione tentano una registrazione di Windows Hello for Business
- Distribuendo l'impostazione dei criteri del nodo utente, vengono eseguiti solo gli utenti di destinazione per tentare una registrazione di Windows Hello for Business
Se si distribuiscono le impostazioni dei criteri sia per gli utenti che per i computer, l'impostazione per gli utenti ha la precedenza.
Per configurare un dispositivo con Criteri di gruppo, usare l'Editor Criteri di gruppo locali. Per configurare più dispositivi aggiunti ad Active Directory, creare o modificare un oggetto Criteri di gruppo e usare le impostazioni seguenti:
| Percorso criteri di gruppo | Impostazione di Criteri di gruppo | Value |
|---|---|---|
|
Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business or Configurazione utente\Modelli amministrativi\Componenti di Windows\Windows Hello for Business |
Usa Windows Hello for Business | Abilitato |
| Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business | Usa un dispositivo di sicurezza hardware | Abilitato |
I criteri di gruppo possono essere collegati a domini o unità organizzative, filtrati usando gruppi di sicurezza o filtrati tramite filtri WMI.
Suggerimento
Il modo migliore per distribuire l'oggetto Criteri di gruppo di Windows Hello for Business consiste nell'usare il filtro dei gruppi di sicurezza. Solo i membri del gruppo di sicurezza di destinazione eseguiranno il provisioning di Windows Hello for Business, abilitando un'implementazione in più fasi. Questa soluzione consente di collegare l'oggetto Criteri di gruppo al dominio, assicurando che l'ambito dell'oggetto Criteri di gruppo sia limitato a tutte le entità di sicurezza. Il filtro del gruppo di sicurezza garantisce che solo i membri del gruppo globale ricevano e applichino l'oggetto Criteri di gruppo, con conseguente provisioning di Windows Hello for Business.
È possibile configurare altre impostazioni dei criteri per controllare il comportamento di Windows Hello for Business. Per altre informazioni, vedere Impostazioni dei criteri di Windows Hello for Business.
Iscriversi a Windows Hello for Business
Il processo di provisioning di Windows Hello for Business inizia immediatamente dopo il caricamento del profilo utente e prima che l'utente riceva il desktop. Per avviare il processo di provisioning, tutti i controlli dei prerequisiti devono essere superati.
È possibile determinare lo stato dei controlli dei prerequisiti visualizzando il log di amministrazione registrazione dispositivi utente in Registri applicazioni e servizi > di Microsoft > Windows.
Queste informazioni sono disponibili anche usando il dsregcmd.exe /status comando da una console. Per altre informazioni, vedere dsregcmd.
Esperienza utente
Dopo l'accesso di un utente, inizia il processo di registrazione di Windows Hello for Business:
- Se il dispositivo supporta l'autenticazione biometrica, all'utente viene richiesto di configurare un movimento biometrico. Questo movimento può essere usato per sbloccare il dispositivo e eseguire l'autenticazione alle risorse che richiedono Windows Hello for Business. L'utente può ignorare questo passaggio se non vuole configurare un movimento biometrico
- All'utente viene richiesto di usare Windows Hello con l'account dell'organizzazione. L'utente seleziona OK
- Il flusso di provisioning procede alla parte di autenticazione a più fattori della registrazione. Il provisioning informa l'utente che sta tentando attivamente di contattare l'utente tramite la forma configurata di MFA. Il processo di provisioning non procede fino a quando l'autenticazione non riesce, non ha esito negativo o non si verifica un timeout. Un'autenticazione MFA non riuscita o timeout genera un errore e chiede all'utente di riprovare
- Dopo l'esito positivo dell'autenticazione a più fattori, il flusso di provisioning chiede all'utente di creare e convalidare un PIN. Questo PIN deve osservare eventuali criteri di complessità del PIN configurati nel dispositivo
- La parte restante del provisioning include la richiesta di Windows Hello for Business per una coppia di chiavi asimmetriche per l'utente, preferibilmente dal TPM (o obbligatorio se è impostato in modo esplicito tramite criteri). Dopo aver acquisito la coppia di chiavi, Windows comunica con l'IdP per registrare la chiave pubblica. Al termine della registrazione delle chiavi, il provisioning di Windows Hello for Business informa l'utente che può usare il PIN per accedere. L'utente può chiudere l'applicazione di provisioning e accedere al desktop
Il video seguente mostra i passaggi di registrazione di Windows Hello for Business dopo l'accesso con una password, usando un adattatore MFA personalizzato per AD FS.
Diagramma di sequenza
Per comprendere meglio i flussi di provisioning, esaminare il diagramma di sequenza seguente: