Windows Hello for Business sostituisce l'accesso alla password con l'autenticazione avanzata, usando una coppia di chiavi asimmetriche. Questo articolo domande frequenti (FAQ) ha lo scopo di aiutare a ottenere altre informazioni sui Windows Hello for Business.
Concetti
Qual è la differenza tra Windows Hello e Windows Hello for Business?
Windows Hello è una tecnologia di autenticazione che consente agli utenti di accedere ai propri dispositivi Windows usando dati biometrici o un PIN anziché una password tradizionale.
Windows Hello for Business è un'estensione di Windows Hello che offre funzionalità di sicurezza e gestione di livello aziendale, tra cui l'attestazione del dispositivo, l'autenticazione basata su certificati e i criteri di accesso condizionale. Le impostazioni dei criteri possono essere distribuite ai dispositivi per assicurarsi che siano sicure e conformi ai requisiti dell'organizzazione.
Perché un PIN è migliore di una password online
Tre motivi principali:
- Un PIN è associato a un dispositivo: una differenza importante tra una password online e un PIN Hello è che il PIN è associato al dispositivo specifico in cui è configurato. Quel PIN sarà inutilizzabile senza quell'hardware specifico. Qualcuno che ottiene la password online può accedere al tuo account da qualsiasi luogo, ma se ottiene il PIN, dovrà accedere anche al tuo dispositivo. Il PIN non può essere usato da nessuna parte se non in quel dispositivo specifico. Se si vuole accedere a più dispositivi, è necessario configurare Hello in ogni dispositivo
- Un PIN è locale per il dispositivo: una password online viene trasmessa al server. La password può essere intercettata durante la trasmissione o ottenuta da un server. Un PIN è locale nel dispositivo, non viene mai trasmesso da nessuna parte e non viene archiviato nel server. Al momento della creazione, il PIN stabilisce una relazione attendibile con il provider identità e crea una coppia di chiavi asimmetriche che vengono usate per l'autenticazione. Quando si immette il PIN, si sblocca la chiave di autenticazione, usata per firmare la richiesta inviata al server di autenticazione. Con Windows Hello for Business, il PIN è l'entropia fornita dall'utente usata per caricare la chiave privata nel modulo TPM (Trusted Platform Module). Il server non dispone di una copia del PIN. In questo caso, il client Windows non ha nemmeno una copia del PIN corrente. L'utente deve fornire l'entropia, la chiave protetta da TPM e il TPM che ha generato tale chiave per accedere correttamente alla chiave privata
- Un PIN è supportato dall'hardware: il PIN Hello è supportato da un chip TPM (Trusted Platform Module), un processore di crittografia sicuro progettato per eseguire operazioni di crittografia. Il chip include più meccanismi di sicurezza fisica in grado di proteggerlo da manomissioni; il software dannoso non sarà pertanto in grado di manomettere le funzioni di sicurezza del TPM. Windows non collega le password locali al TPM, pertanto i PIN sono considerati più sicuri rispetto alle password locali. Il materiale della chiave utente viene generato e disponibile all'interno del TPM del dispositivo. Il TPM protegge il materiale chiave dagli utenti malintenzionati che vogliono acquisirlo e riutilizzarlo. Poiché Hello usa coppie di chiavi asimmetriche, le credenziali degli utenti non possono essere rubate nei casi in cui il provider di identità o i siti Web a cui l'utente accede sono stati compromessi. Il TPM protegge da vari attacchi noti e potenziali, inclusi gli attacchi di forza bruta del PIN. Dopo troppi tentativi errati, il dispositivo è bloccato
L'istruzione A PIN is stronger than a password is not directed at the strength of the entropy used by the PIN.The statement A PIN is stronger than a password is not directed at the strength of the entropy used by the PIN. Si tratta della differenza tra fornire entropia e continuare l'uso di una chiave simmetrica (la password). Il TPM ha funzionalità anti-martellamento che contrastano gli attacchi PIN di forza bruta (il tentativo continuo di un utente malintenzionato di provare tutte le combinazioni di PIN). Alcune organizzazioni potrebbero preoccuparsi del surf sulle spalle. Per queste organizzazioni, invece di aumentare la complessità del PIN, implementare la funzionalità Sblocco a più fattori .
E se qualcuno rubasse il dispositivo?
Per compromettere una Windows Hello credenziali protette da TPM, un utente malintenzionato deve avere accesso al dispositivo fisico. Quindi, l'utente malintenzionato deve trovare un modo per falsifiare la biometria dell'utente o indovinare il PIN. Tutte queste azioni devono essere eseguite prima che la protezione anti-martellamento TPM blocchi il dispositivo.
Perché è necessario un PIN per usare la biometria?
Windows Hello abilita l'accesso biometrico con impronta digitale, iris o riconoscimento facciale. Quando si configura Windows Hello, viene richiesto di creare un PIN dopo la configurazione biometrica. Il PIN consente di accedere quando non è possibile usare la biometria preferita a causa di un infortunio o perché il sensore non è disponibile o non funziona correttamente. Se è stato configurato solo un accesso biometrico e, per qualsiasi motivo, non è stato possibile usare tale metodo per accedere, è necessario accedere usando l'account e la password, che non offre lo stesso livello di protezione di Hello.
Come vengono protette le chiavi?
Ogni volta che viene generato il materiale della chiave, deve essere protetto dagli attacchi. Il modo più efficace per eseguire questa operazione consiste nell'usare hardware specializzato. Esiste una lunga cronologia di uso dei moduli di sicurezza hardware (HSM) per generare, archiviare ed elaborare le chiavi per le applicazioni critiche per la sicurezza. Le smart card sono un tipo speciale di modulo di protezione hardware, così come i dispositivi conformi allo standard TPM di Trusted Computing Group. Laddove possibile, l'implementazione Windows Hello for Business sfrutta l'hardware TPM di onboarding per generare e proteggere le chiavi. Gli amministratori possono scegliere di consentire operazioni chiave nel software, ma è consigliabile usare l'hardware TPM. Il TPM protegge da un'ampia gamma di attacchi noti e potenziali, inclusi gli attacchi di forza bruta per i PIN. Il TPM offre anche un ulteriore livello di protezione dopo un blocco di account. Quando il TPM ha bloccato il materiale della chiave, l'utente dovrà reimpostare il PIN (il che significa che l'utente dovrà usare MFA per autenticare nuovamente l'IdP prima che idP consenta la registrazione). La reimpostazione del PIN significa che verranno rimossi tutti i certificati e le chiavi crittografati con il materiale per le chiavi precedente.
Come lavora la memorizzazione dei PIN nella cache con Windows Hello for Business?
Windows Hello for Business offre un'esperienza utente di memorizzazione nella cache del PIN usando un sistema di ticketing. Invece di una memorizzazione dei PIN nella cache, i processi memorizzano nella cache un ticket che possono utilizzare per richiedere le operazioni con chiave privata. Microsoft Entra ID e le chiavi di accesso di Active Directory vengono memorizzate nella cache in blocco. Ciò significa che le chiavi rimangono disponibili per l'uso senza chiedere conferma, purché l'utente sia connesso in modo interattivo. Le chiavi di accesso all'account Microsoft sono chiavi transazionali, il che significa che all'utente viene sempre richiesto di accedere alla chiave.
Windows Hello for Business usato come smart card (emulazione di smart card abilitata per impostazione predefinita) offre la stessa esperienza utente della memorizzazione nella cache predefinita del PIN della smart card. Ogni processo che richiede un'operazione di chiave privata richiede all'utente il PIN al primo utilizzo. Le successive operazioni di chiave privata non richiederanno all'utente il PIN.
La funzionalità di emulazione smart card di Windows Hello for Business verifica il PIN e quindi elimina il PIN in cambio di un ticket. Il processo non riceve il PIN, ma piuttosto il ticket che concede loro operazioni di chiave privata. Non è disponibile un'impostazione di criteri per regolare la memorizzazione nella cache.
Dove vengono archiviati Windows Hello dati biometrici?
Quando si esegue la registrazione in Windows Hello, viene creata una rappresentazione della biometria, denominata profilo di registrazione. I dati biometrici del profilo di registrazione sono specifici del dispositivo, vengono archiviati localmente nel dispositivo e non lasciano il dispositivo o il roaming con l'utente. Alcuni sensori di impronte digitali esterni archiviano i dati biometrici nel modulo di impronta digitale stesso anziché nel dispositivo Windows. Anche in questo caso, i dati biometrici vengono archiviati in locale in tali moduli, sono specifici del dispositivo, non si spostano, non lasciano mai il modulo e non vengono mai inviati al cloud Microsoft o al server esterno. Per altri dettagli, vedere Windows Hello biometria nell'organizzazione e Windows Hello autenticazione viso.
Qual è il formato usato per archiviare Windows Hello dati biometrici nel dispositivo?
Windows Hello dati biometrici vengono archiviati nel dispositivo come database modello crittografato. I dati del sensore biometrico (ad esempio la fotocamera del viso o il lettore di impronte digitali) creano una rappresentazione dei dati, o grafo, che viene quindi crittografata prima che venga archiviata nel dispositivo. Ogni sensore biometrico nel dispositivo utilizzato da Windows Hello (viso o impronta digitale) avrà un proprio file di database biometrico in cui vengono archiviati i dati del modello. Ogni file di database biometrico viene crittografato con una chiave univoca generata in modo casuale crittografata nel sistema usando la crittografia AES che produce un hash SHA256.
Chi ha accesso ai dati biometrici Windows Hello?
Poiché Windows Hello dati biometrici vengono archiviati in formato crittografato, nessun utente o processo diverso da Windows Hello può accedervi.
Quando viene creato Windows Hello file di database biometrico? Come viene registrato un utente in Windows Hello autenticazione viso o impronta digitale?
Windows Hello file di database modello biometrico viene creato nel dispositivo solo quando un utente viene registrato in Windows Hello autenticazione basata sulla biometria. Un amministratore IT può configurare le impostazioni dei criteri, ma è sempre una scelta di un utente se vuole usare la biometria o il PIN. Gli utenti possono controllare la registrazione corrente in dati biometrici Windows Hello passando alle opzioni di accesso nel dispositivo. Passare alle opzioni Di avvio > impostazioni > Account > di accesso . Se non viene visualizzato Windows Hello nelle opzioni di accesso, potrebbe non essere disponibile per il dispositivo o bloccato dall'amministratore tramite criteri. Gli amministratori possono richiedere agli utenti di registrarsi a Windows Hello durante Autopilot o durante la configurazione iniziale del dispositivo. Gli amministratori possono impedire agli utenti di registrarsi alla biometria tramite configurazioni dei criteri di Windows Hello for Business. Tuttavia, se consentito tramite configurazioni di criteri, la registrazione in Windows Hello biometrica è sempre facoltativa per gli utenti.
Quando viene eliminato Windows Hello file di database biometrico? Come è possibile annullare la registrazione di un utente da Windows Hello autenticazione viso o impronta digitale?
Per rimuovere Windows Hello e tutti i dati di identificazione biometrica associati dal dispositivo, aprire Impostazioni di avvio > Opzioni > di accesso degli account>. Selezionare il Windows Hello metodo di autenticazione biometrica da rimuovere e quindi selezionare Rimuovi. L'azione annulla la registrazione dall Windows Hello autenzione biometrica ed elimina il file di database modello biometrico associato. Per altre informazioni, vedere Opzioni di accesso di Windows e protezione dell'account (microsoft.com).
Gestione e operazioni
È possibile distribuire e gestire Windows Hello for Business usando Microsoft Configuration Manager?
A partire da Configuration Manager versione 2203, le distribuzioni Windows Hello for Business che usano Configuration Manager non sono più supportate.
Ricerca per categorie eliminare un contenitore Windows Hello for Business in un dispositivo?
È possibile eliminare il contenitore Windows Hello for Business eseguendo il comando certutil.exe -deleteHelloContainer
.
Cosa accade quando un utente dimentica il PIN?
Se l'utente può accedere con una password, può reimpostare il PIN selezionando il collegamento HO dimenticato il PIN nell'app Impostazioni o dalla schermata di blocco, selezionando il collegamento Ho dimenticato il PIN nel provider di credenziali PIN.
Per le distribuzioni locali, i dispositivi devono essere connessi alla rete locale (controller di dominio e/o autorità di certificazione) per reimpostare i PIN. Le distribuzioni ibride possono eseguire l'onboarding del tenant Microsoft Entra per usare il servizio di reimpostazione del PIN Windows Hello for Business per reimpostare i PIN. La reimpostazione non distruttiva del PIN funziona senza accesso alla rete aziendale. La reimpostazione distruttiva del PIN richiede l'accesso alla rete aziendale. Per altre informazioni sulla reimpostazione distruttiva e non distruttiva del PIN, vedere Reimpostazione del PIN.
Windows Hello for Business impedisce l'uso di PIN semplici?
Sì. L'algoritmo PIN semplice cerca e disabilita qualsiasi PIN che abbia un delta costante da una cifra a quella successiva. L'algoritmo conta il numero di passaggi necessari per raggiungere la cifra successiva, traboccando a 10 ('zero'). Quindi ad esempio:
- Il PIN 1111 ha un delta costante di (0,0,0), quindi non è consentito
- Il PIN 1234 ha un delta costante di (1,1,1), quindi non è consentito
- Il PIN 1357 ha un delta costante di (2,2,2), quindi non è consentito
- Il PIN 9630 ha un delta costante di (7,7,7), quindi non è consentito
- Il PIN 1593 ha un delta costante di (4,4,4), quindi non è consentito
- Il PIN 7036 ha un delta costante di (3,3,3), quindi non è consentito
- Il PIN 1231 non ha un delta costante (1,1,2), quindi è consentito
- Il PIN 1872 non ha un delta costante (7,9,5), quindi è consentito
Questo controllo impedisce la ripetizione di numeri, numeri sequenziali e modelli semplici. Genera sempre un elenco di 100 PIN non consentiti (indipendentemente dalla lunghezza del PIN). Questo algoritmo non si applica ai PIN alfanumerici.
Quali dati di diagnostica vengono raccolti quando Windows Hello for Business è abilitato?
Per aiutare Microsoft a mantenere il funzionamento corretto, per rilevare e prevenire le frodi e per continuare a migliorare Windows Hello, vengono raccolti i dati diagnostici sul modo in cui le persone usano Windows Hello. Ad esempio:
- Dati relativi all'accesso delle persone con il viso, l'iride, l'impronta digitale o il PIN
- Il numero di volte in cui lo usano
- Che funzioni o meno, tutte queste sono informazioni preziose che consentono a Microsoft di creare un prodotto migliore. I dati sono pseudonimi, non includono informazioni biometriche e vengono crittografati prima che vengano trasmessi a Microsoft. È possibile scegliere di interrompere l'invio dei dati di diagnostica a Microsoft in qualsiasi momento. Altre informazioni sui dati di diagnostica in Windows.
È possibile disabilitare il PIN durante l'uso di Windows Hello for Business?
No. La dismissione dell'uso delle password viene eseguita riducendo gradualmente l'utilizzo della password. Nelle situazioni in cui non è possibile eseguire l'autenticazione usando la biometria, è necessario un meccanismo di fallback che non sia una password. Il PIN è il meccanismo di fallback. Se si disabilita o si nasconde il provider di credenziali PIN, viene disabilitato l'uso della biometria.
Cosa accade quando un utente non autorizzato acquisisce il possesso di un dispositivo registrato in Windows Hello for Business?
L'utente non autorizzato non sarà in grado di utilizzare alcuna opzione biometrica e avrà l'unica opzione per immettere un PIN.
Se l'utente tenta di sbloccare il dispositivo immettendo PIN casuali, dopo tre tentativi non riusciti il provider di credenziali visualizzerà il messaggio seguente: È stato immesso un PIN non corretto più volte. Per riprovare, immettere A1B2C3 di seguito. Dopo aver immesso la frase di verifica A1B2C3, all'utente verrà concessa un'altra opportunità per immettere il PIN. In caso di esito negativo, il provider verrà disabilitato, lasciando all'utente l'unica opzione per riavviare il dispositivo. Dopo il riavvio, il modello di cui sopra si ripete.
Se i tentativi non riusciti continuano, il dispositivo entrerà in uno stato di blocco, che dura 1 minuto dopo il primo riavvio, 2 minuti dopo il quarto riavvio e 10 minuti dopo il quinto riavvio. La durata di ogni blocco aumenta di conseguenza. Questo comportamento è il risultato della funzionalità anti-martellamento TPM 2.0. Per altre informazioni sulla funzionalità anti-martellamento TPM, vedere Anti-hammering TPM 2.0.
Progettazione e pianificazione
I Windows Hello for Business possono funzionare in ambienti con aria compressa?
Sì. È possibile usare la distribuzione di Windows Hello for Business locale e combinarla con un provider MFA non Microsoft che non richiede la connettività Internet per ottenere una distribuzione Windows Hello for Business air-gapped.
Quanti utenti possono registrarsi per Windows Hello for Business in un singolo dispositivo Windows?
Il numero massimo di registrazioni supportate in un singolo dispositivo è 10. Ciò consente a 10 utenti di registrare ogni viso e fino a 10 impronte digitali. Per i dispositivi con più di 10 utenti o per gli utenti che accedono a molti dispositivi (ad esempio, un tecnico del supporto), è consigliabile usare le chiavi di sicurezza FIDO2.
Ho esteso Active Directory a Microsoft Entra ID. È possibile usare il modello di distribuzione locale?
No. Se l'organizzazione usa servizi cloud Microsoft, è necessario usare un modello di distribuzione ibrida. Le distribuzioni locali sono esclusive per le organizzazioni che hanno bisogno di più tempo prima di passare al cloud e usano esclusivamente Active Directory.
Quali attributi vengono sincronizzati da Microsoft Entra Connettersi con Windows Hello for Business?
Esaminare Microsoft Entra Connect Sync: Attributes synchronized to Microsoft Entra ID per un elenco di attributi sincronizzati in base agli scenari. Gli scenari di base che includono Windows Hello for Business sono lo scenario di Windows 10 e lo scenario di writeback del dispositivo. L'ambiente può includere altri attributi.
È possibile usare provider MFA non Microsoft con Windows Hello for Business?
Sì, se si usa la distribuzione ibrida federata, è possibile usare qualsiasi scheda non Microsoft che fornisce un adattatore AD FS MFA. Un elenco di schede MFA non Microsoft è disponibile qui.
Windows Hello for Business funziona con server federativi non Microsoft?
Windows Hello for Business funziona con tutti i server federativi non Microsoft che supportano i protocolli usati durante l'esperienza di provisioning.
Protocollo | Descrizione |
---|---|
[MS-KPP]: Key Provisioning Protocol | Specifica il protocollo Key Provisioning, che definisce un meccanismo con cui un client può registrare un set di chiavi crittografiche in una coppia utente e dispositivo. |
[MS-OAPX]: estensioni del protocollo OAuth 2.0 | Specifica le estensioni del protocollo OAuth 2.0, che vengono utilizzate per estendere il framework di autorizzazione OAuth 2.0. Queste estensioni abilitano le funzionalità di autorizzazione, ad esempio la specifica delle risorse, gli identificatori di richiesta e gli hint di accesso. |
[MS-OAPXBC]: estensioni del protocollo OAuth 2.0 per i client gestore | Specifica le estensioni del protocollo OAuth 2.0 per i client Broker, estensioni per RFC6749 (framework di autorizzazione OAuth 2.0) che consentono a un client broker di ottenere token di accesso per conto dei client chiamanti. |
[MS-OIDCE]: estensioni del protocollo OpenID Connect 1.0 | Specifica le estensioni del protocollo OpenID Connect 1.0. Queste estensioni definiscono altre attestazioni per il trasporto di informazioni sull'utente, tra cui il nome dell'entità utente, un identificatore univoco locale, un'ora per la scadenza della password e un URL per la modifica della password. Queste estensioni definiscono anche più metadati del provider che consentono l'individuazione dell'autorità emittente di token di accesso e offrono informazioni aggiuntive sulle funzionalità del provider. |
È possibile registrare gli account di Windows locali in Windows Hello for Business?
Windows Hello for Business non è progettato per funzionare con gli account locali.
Quali sono i requisiti biometrici per Windows Hello for Business?
Per altre informazioni, vedere Windows Hello requisiti biometrici.
È possibile indossare una maschera per la registrazione o lo sblocco usando Windows Hello autenticazione viso?
Indossare una maschera per la registrazione è un problema di sicurezza perché altri utenti che indossano una maschera simile potrebbero essere in grado di sbloccare il dispositivo. Rimuovere una maschera se ne si indossa una quando si esegue la registrazione o lo sblocco con Windows Hello autenticazione viso. Se l'ambiente di lavoro non consente di rimuovere temporaneamente una maschera, è consigliabile annullare la registrazione dall'autenticazione viso e usare solo PIN o impronta digitale.
Come funziona Windows Hello for Business con Microsoft Entra dispositivi registrati?
A un utente verrà richiesto di configurare una chiave Windows Hello for Business in un Microsoft Entra dispositivi registrati se la funzionalità è abilitata dai criteri. Se l'utente dispone di un contenitore Windows Hello esistente, la chiave Windows Hello for Business verrà registrata in tale contenitore e verrà protetta usando movimenti esistenti.
Se un utente ha eseguito l'accesso al dispositivo registrato Microsoft Entra con Windows Hello, la chiave Windows Hello for Business verrà usata per autenticare l'identità aziendale dell'utente quando tenta di usare Microsoft Entra risorse. La chiave Windows Hello for Business soddisfa Microsoft Entra requisiti di autenticazione a più fattori (MFA) e riduce il numero di richieste di autenticazione a più fattori che gli utenti vedranno quando accedono alle risorse.
È possibile Microsoft Entra registrare un dispositivo aggiunto a un dominio. Se il dispositivo aggiunto al dominio ha un PIN pratico, l'accesso con il PIN pratico non funzionerà più. Questa configurazione non è supportata da Windows Hello for Business.
Per altre informazioni, vedere Microsoft Entra dispositivi registrati.
Windows Hello for Business funziona con sistemi operativi non Windows?
Windows Hello for Business è una funzionalità della piattaforma Windows.
Funziona Windows Hello for Business con i client Microsoft Entra Domain Services?
No, Microsoft Entra Domain Services è un ambiente gestito separatamente in Azure e la registrazione dei dispositivi ibridi con Microsoft Entra ID cloud non è disponibile tramite Microsoft Entra Connect. Di conseguenza, Windows Hello for Business non funziona con Microsoft Entra Domain Services.
Windows Hello for Business viene considerata l'autenticazione a più fattori?
Windows Hello for Business è l'autenticazione a due fattori basata sui fattori di autenticazione osservati: qualcosa che si ha, qualcosa che si conosce e qualcosa che fa parte dell'utente. Windows Hello for Business incorpora due di questi fattori: qualcosa che ti appartiene (chiave privata dell'utente protetta dal modulo di sicurezza del dispositivo) e qualcosa che conosci (PIN). Se disponi dell'hardware appropriato, puoi migliorare l'esperienza utente introducendo la biometria. Usando la biometria, è possibile sostituire il fattore di autenticazione "qualcosa che si conosce" con il fattore "qualcosa che fa parte di te", con le garanzie che gli utenti possono tornare al "fattore qualcosa che conosci".
Nota
La chiave Windows Hello for Business soddisfa Microsoft Entra requisiti di autenticazione a più fattori (MFA) e riduce il numero di richieste di autenticazione a più fattori che gli utenti vedranno quando accedono alle risorse. Per altre informazioni, vedere Che cos'è un token di aggiornamento primario.
Qual è una soluzione migliore o più sicura per l'autenticazione, la chiave o il certificato?
Entrambi i tipi di autenticazione offrono la stessa sicurezza; uno non è più sicuro dell'altro. I modelli di attendibilità della distribuzione determinano la modalità di autenticazione in Active Directory. Sia l'attendibilità chiave che l'attendibilità del certificato usano le stesse credenziali a due fattori supportate dall'hardware. La differenza tra i due tipi di trust è il rilascio di certificati di entità finale:
- Il modello di attendibilità delle chiavi esegue l'autenticazione in Active Directory usando una chiave non elaborata. L'attendibilità delle chiavi non richiede un certificato emesso dall'organizzazione, pertanto non è necessario rilasciare certificati agli utenti (i certificati del controller di dominio sono ancora necessari)
- Il modello di attendibilità del certificato esegue l'autenticazione in Active Directory usando un certificato. Pertanto, è necessario rilasciare certificati agli utenti. Il certificato usato nell'attendibilità del certificato usa la chiave privata protetta da TPM per richiedere un certificato alla CA emittente dell'organizzazione
Che cos'è il PIN pratico?
Il PIN pratico offre un modo più semplice per accedere a Windows rispetto alle password, ma usa comunque una password per l'autenticazione. Quando viene fornito il PIN pratico corretto a Windows, le informazioni sulla password vengono caricate dalla cache e autenticano l'utente. Le organizzazioni che usano PIN pratici devono passare a Windows Hello for Business. Le nuove distribuzioni di Windows devono distribuire Windows Hello for Business e non pin pratici.
È possibile usare un PIN pratico con Microsoft Entra ID?
No. Anche se è possibile impostare un PIN pratico in Microsoft Entra dispositivi aggiunti e Microsoft Entra aggiunti ibridi, il PIN pratico non è supportato per gli account utente Microsoft Entra (incluse le identità sincronizzate). Il PIN pratico è supportato solo per gli utenti Active Directory locale e gli utenti dell'account locale.
E le smart card virtuali?
Windows Hello for Business è l'autenticazione a due fattori moderna per Windows. I clienti che usano smart card virtuali sono fortemente invitati a passare a Windows Hello for Business.
Quali URL sono necessari per consentire una distribuzione ibrida?
Per un elenco degli URL necessari, vedere Microsoft 365 Common e Office Online.
Se l'ambiente usa Microsoft Intune, vedere Endpoint di rete per Microsoft Intune.
Funzionalità
È possibile usare una fotocamera esterna compatibile Windows Hello quando il computer dispone di una fotocamera integrata Windows Hello compatibile?
Sì, è possibile usare una fotocamera esterna compatibile Windows Hello se un dispositivo ha una fotocamera Windows Hello interna. Quando sono presenti entrambe le fotocamere, la fotocamera esterna viene usata per l'autenticazione viso. Per altre informazioni, vedere Strumenti IT per supportare Windows 10, versione 21H1. Se ESS è abilitato, vedere Windows Hello Sicurezza avanzata dell'accesso.
È possibile utilizzare una fotocamera esterna compatibile con Windows Hello o un altro accessorio compatibile con Windows Hello quando il coperchio del portatile è chiuso o ancorato?
Alcuni portatili e tablet con tastiere che si chiudono potrebbero non utilizzare una fotocamera esterna compatibile Windows Hello o altri accessori compatibili Windows Hello quando il computer è ancorato con il coperchio chiuso. Il problema è stato risolto in Windows 11 versione 22H2.
È possibile usare le credenziali Windows Hello for Business in modalità browser privato o in modalità "incognito"?
Windows Hello for Business credenziali devono accedere allo stato del dispositivo, che non è disponibile in modalità browser privato o in incognito. Di conseguenza, non può essere usato in modalità browser privato o in incognito.
È possibile usare un PIN e la biometria per sbloccare il dispositivo?
È possibile usare lo sblocco a più fattori per richiedere agli utenti di fornire un fattore aggiuntivo per sbloccare il dispositivo. L'autenticazione resta a due fattori, ma un altro fattore è necessario prima che Windows consenta all'utente di accedere al desktop. Per altre informazioni, vedere Sblocco a più fattori.
Trust Kerberos cloud
Che cos'è Windows Hello for Business trust Kerberos cloud?
Windows Hello for Business trust Kerberos cloud è un modello di trust che consente Windows Hello for Business distribuzione usando l'infrastruttura introdotta per supportare l'accesso con chiave di sicurezza Microsoft Entra dispositivi aggiunti ibridi e l'accesso alle risorse locali in Microsoft Entra dispositivi aggiunti. L'attendibilità Kerberos cloud è il modello di distribuzione preferito se non è necessario supportare scenari di autenticazione del certificato. Per altre informazioni, vedere Distribuzione dell'attendibilità Kerberos nel cloud.
L Windows Hello for Business trust Kerberos cloud funziona nell'ambiente locale?
Questa funzionalità non funziona in un ambiente di servizi di dominio AD locale puro.
L Windows Hello for Business trust Kerberos cloud funziona in un accesso a Windows con controller di dominio di sola lettura presente nell'ambiente ibrido?
Windows Hello for Business trust Kerberos cloud cerca un controller di dominio scrivibile per scambiare il TGT parziale. Se si dispone di almeno un controller di dominio scrivibile per sito, l'accesso con attendibilità Kerberos cloud funzionerà.
È necessaria una linea di visualizzazione per un controller di dominio per usare Windows Hello for Business trust Kerberos cloud?
Windows Hello for Business trust Kerberos cloud richiede una linea di visualizzazione per un controller di dominio quando:
- un utente accede per la prima volta o si sblocca con Windows Hello for Business dopo il provisioning
- tentativo di accesso alle risorse locali protette da Active Directory
È possibile usare RDP/VDI con Windows Hello for Business trust Kerberos cloud?
Windows Hello for Business trust Kerberos cloud non può essere usato come credenziale fornita con RDP/VDI. Analogamente all'attendibilità chiave, l'attendibilità Kerberos cloud può essere usata per RDP se un certificato viene registrato in Windows Hello for Business a questo scopo. In alternativa, è consigliabile usare Remote Credential Guard che non richiede la distribuzione di certificati.
È necessario applicare una patch completa a tutti i controller di dominio in base ai prerequisiti per poter usare Windows Hello for Business trust Kerberos cloud?
No, solo il numero necessario per gestire il carico da tutti i dispositivi di attendibilità Kerberos cloud.
Trust chiave
Perché l'autenticazione non riesce immediatamente dopo il provisioning dell'attendibilità della chiave ibrida?
In una distribuzione ibrida, la chiave pubblica di un utente deve essere sincronizzata da Microsoft Entra ID ad Active Directory prima di poter essere usata per l'autenticazione in un controller di dominio. Questa sincronizzazione viene gestita da Microsoft Entra Connect e verrà eseguita durante un normale ciclo di sincronizzazione.
È possibile usare Windows Hello for Business trust chiave e RDP?
Remote Desktop Protocol (RDP) non supporta l'uso dell'autenticazione basata su chiave come credenziali fornite. È tuttavia possibile distribuire i certificati nel modello di attendibilità delle chiavi per abilitare RDP. Per altre informazioni, vedere Distribuzione di certificati agli utenti con attendibilità chiave per abilitare RDP. In alternativa, è consigliabile usare Remote Credential Guard che non richiede la distribuzione di certificati.