Windows Hello Active Directory: differenze tra le versioni

Da GibeWiki.
Jump to navigation Jump to search
(Creata pagina con "Link Originale: https://docs.microsoft.com/it-it/windows/security/identity-protection/hello-for-business/hello-cert-trust-policy-settings Configurare le impostazioni dei cr...")
 
(Pagina sostituita con 'Link Originale: https://docs.microsoft.com/it-it/windows/security/identity-protection/hello-for-business/hello-cert-trust-policy-settings https://docs.microsoft.com/it-...')
Etichetta: Sostituito
 
Riga 4: Riga 4:




Configurare le impostazioni dei criteri per Windows Hello for Business
https://docs.microsoft.com/it-it/windows/security/identity-protection/hello-for-business/hello-cert-trust-validate-ad-prereq
20/08/2018
10 minuti per la lettura


Si applica a
https://docs.microsoft.com/it-it/windows/security/identity-protection/hello-for-business/hello-cert-trust-validate-pki


Windows10 versione 1703 o successiva
https://docs.microsoft.com/it-it/windows/security/identity-protection/hello-for-business/hello-cert-trust-adfs
Distribuzione locale
 
Trust certificato
https://docs.microsoft.com/it-it/windows/security/identity-protection/hello-for-business/hello-cert-trust-validate-deploy-mfa
Occorre disporre di una workstation Windows 10, versione 1703 per eseguire la console Gestione Criteri di gruppo, nella quale sono disponibili le più recenti impostazioni di Criteri di gruppo Windows Hello for Business e Complessità PIN. Per eseguire la console Gestione Criteri di gruppo, è necessario installare Strumenti di amministrazione remota del server per Windows 10. Puoi scaricare questi strumenti dall'Area download Microsoft. Installa Strumenti di amministrazione remota del server per Windows 10 in un computer che esegue Windows 10, versione 1703.
Le distribuzioni basate su certificati locali di Windows Hello for Business devono avere tre impostazioni di Criteri di gruppo:
Abilita Windows Hello for Business
Usa certificato per l'autenticazione locale
Abilitare la registrazione automatica dei certificati
Abilitare i Criteri di gruppo per Windows Hello for Business
L'impostazione di criteri di gruppo determina se gli utenti sono consentiti e richiesti per la registrazione per Windows Hello for business. Può essere configurato per computer o utenti.
Se si configurano i criteri di gruppo per i computer, tutti gli utenti che eseguono l'accesso a tali computer saranno consentiti e verranno invitati a eseguire la registrazione per Windows Hello for business. Se si configurano i criteri di gruppo per gli utenti, solo gli utenti saranno consentiti e verranno invitati a eseguire la registrazione per Windows Hello for business.
Usa certificato per l'autenticazione locale
L'impostazione dei Criteri di gruppo Usa certificato per l'autenticazione locale determina se la distribuzione locale usa il modello di autenticazione locale di trust chiave o di trust certificato. È necessario configurare questa impostazione di Criteri di gruppo per configurare Windows in modo da registrare un certificato di autenticazione Windows Hello for Business. Se non si configura questa impostazione, Windows presuppone che venga usata l'autenticazione locale di trust chiave nella distribuzione, la quale richiede un numero sufficiente di controller di dominio Windows Server 2016 per gestire le richieste di autenticazione di trust chiave di Windows Hello for Business.
È possibile configurare questa impostazione di Criteri di gruppo per computer o utenti. La distribuzione di questa impostazione di criteri ai computer fa sì che TUTTI gli utenti richiedano un certificato di autenticazione di Windows Hello for Business. Quando si distribuisce questa impostazione di criteri a un utente, solo quell'utente richiederà un certificato di autenticazione di Windows Hello for Business. Inoltre, è possibile distribuire l'impostazione dei Criteri di gruppo a un gruppo di utenti in modo che solo questi utenti richiedano un certificato di autenticazione di Windows Hello for Business. Se si distribuiscono le impostazioni dei criteri sia per gli utenti che per i computer, l'impostazione per gli utenti ha la precedenza.
Abilitare la registrazione automatica dei certificati
Il provisioning di Windows Hello for Business esegue la registrazione iniziale del certificato di autenticazione di Windows Hello for Business. La durata di validità di questo certificato dipende dalla durata configurata nel modello di certificato di autenticazione di Windows Hello for Business. La registrazione automatica del certificato in Windows 10, versione 1703 è stata aggiornata per rinnovare questi certificati prima della scadenza, in modo da ridurre significativamente gli errori di autenticazione degli utenti dovuti a certificati utenti scaduti.
Il processo non richiede l'interazione dell'utente purché l'utente acceda usando Windows Hello for Business. Il certificato viene rinnovato in background prima della scadenza.
Creare l'oggetto Criteri di gruppo per Windows Hello for Business
L'oggetto Criteri di gruppo contiene le impostazioni di criteri necessarie per attivare il provisioning di Windows Hello for Business e garantire il rinnovo automatico dei certificati di Windows Hello for Business.
Avvia la Console Gestione Criteri di gruppo (gpmc.msc)
Nel riquadro di spostamento, espandi il dominio e seleziona il nodo Oggetto Criteri di gruppo.
Fai clic con il pulsante destro del mouse su Oggetto Criteri di gruppo e seleziona Nuovo.
Digita Abilita Windows Hello for Business nella casella del nome e fai clic su OK.
Nel riquadro del contenuto, fai clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Abilita Windows Hello for Business e fai clic su Modifica.
Nel riquadro di spostamento espandi Criteri in Configurazione User.
Espandi Modelli amministrativi > Componenti di Windows e seleziona Windows Hello for Business.
Nel riquadro del contenuto fai doppio clic su Usa Windows Hello for Business. Fai clic su Abilita e su OK.
Fai doppio clic su Usa certificato per l'autenticazione locale. Fai clic su Abilita e su OK. Chiudi l'editor Gestione Criteri di gruppo.
Configurare la registrazione automatica del certificato
Avvia la Console Gestione Criteri di gruppo (gpmc.msc).
Nel riquadro di spostamento, espandi il dominio e seleziona il nodo Oggetto Criteri di gruppo.
Fai clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Abilita Windows Hello for Business e fai clic su Modifica.
Nel riquadro di spostamento espandi Criteri in Configurazione User.
Espandi Impostazioni di Windows > Impostazioni di sicurezza e fai clic su Criteri di chiave pubblica.
Nel riquadro dei dettagli fai clic con il pulsante destro del mouse su Client Servizi certificati - registrazione automatica e seleziona Proprietà.
Nell'elenco Modello configurazione seleziona Abilitato.
Seleziona la casella di controllo Rinnova i certificati scaduti, aggiorna quelli in sospeso e rimuovi certificati revocati.
Seleziona la casella di controllo Aggiorna i certificati che utilizzano modelli di certificato.
Scegli OK. Chiudi l'editor Gestione Criteri di gruppo.
Configurare la sicurezza nell'oggetto Criteri di gruppo per Windows Hello for Business
Il modo migliore per distribuire l'oggetto Criteri di gruppo di Windows Hello for Business consiste nell'usare il filtro per i gruppi di sicurezza. Il filtro consente di gestire facilmente gli utenti che devono ricevere Windows Hello for Business semplicemente aggiungendoli a un gruppo. In questo modo è possibile distribuire Windows Hello for Business in più fasi.
Avvia la Console Gestione Criteri di gruppo (gpmc.msc)
Nel riquadro di spostamento, espandi il dominio e seleziona il nodo Oggetto Criteri di gruppo.
Fai doppio clic sull'oggetto Criteri di gruppo Abilita Windows Hello for Business.
Nella sezione Filtri di sicurezza della pagina di contenuto fai clic su Aggiungi. Digita Utenti di Windows Hello for Business o il nome del gruppo di sicurezza che ha precedentemente creato e fai clic su OK.
Fai clic sulla scheda Delega. Seleziona Authenticated Users e fai clic su Avanzate.
Nell'elenco Utenti e gruppi seleziona Authenticated Users. Nell'elenco relativo alle Autorizzazioni per Authenticated Users deseleziona la casella di controllo Consenti per l'autorizzazione Applica Criteri di gruppo. Fai clic su OK.
Distribuire l'oggetto Criteri di gruppo per Windows Hello for Business
L'applicazione dell'oggetto Criteri di gruppo di Windows Hello for Business usa il filtro per i gruppi di sicurezza. Ciò consente di collegare l'oggetto Criteri di gruppo nel dominio, assicurando così che l'oggetto Criteri di gruppo sia nell'ambito di tutti gli utenti. Il filtro del gruppo di sicurezza, tuttavia, assicura che solo gli utenti inclusi nel gruppo globale Utenti di Windows Hello for Business ricevano e applichino l'oggetto Criteri di gruppo, che risulta nel provisioning di Windows Hello for Business.
Avvia la Console Gestione Criteri di gruppo (gpmc.msc).
Nel riquadro di spostamento espandi il dominio e fai clic con il pulsante destro del mouse sul nodo con il nome del tuo dominio Active Directory e scegli Collega oggetto Criteri di gruppo esistente.
Nella finestra di dialogo Seleziona oggetto Criteri di gruppo seleziona Abilita Windows Hello for Business o il nome dell'oggetto Criteri di gruppo di Windows Hello for Business precedentemente creato e fai clic su OK.
Ricorda che il collegamento dell'oggetto Criteri di gruppo Windows Hello for Business al dominio garantisce che l'oggetto Criteri di gruppo sia nell'ambito di tutti gli utenti del dominio. Non a tutti gli utenti verranno comunque applicate le impostazioni dei criteri. Solo gli utenti che sono membri del gruppo Windows Hello for Business riceveranno le impostazioni dei criteri. Tutti gli altri utenti ignoreranno l'oggetto Criteri di gruppo.
Altre impostazioni correlate ai Criteri di gruppo
Windows Hello for Business
Esistono altre impostazioni di criteri di Windows Hello for Business che puoi configurare per gestire la distribuzione di Windows Hello for Business. Si tratta di impostazioni di criteri basate sui computer, pertanto sono applicabili a tutti gli utenti che accedono da un computer con queste impostazioni di criteri.
Usa un dispositivo di sicurezza hardware
La configurazione predefinita per Windows Hello for Business si basa sulla preferenza delle credenziali per protezione hardware. Non tutti i computer sono tuttavia in grado di creare credenziali per la protezione hardware. Quando la registrazione di Windows Hello for Business incontra un computer che non è in grado di creare una credenziale di protezione hardware, ne crea una basata sul software.
Puoi abilitare e distribuire l'impostazione di Criteri di gruppo Usa un dispositivo di sicurezza hardware per fare in modo che Windows Hello for Business crei solo credenziali di protezione hardware. Gli utenti che accedono da un computer che non è in grado di creare una credenziale di protezione hardware non si registrano a Windows Hello for Business.
Un'altra impostazione di criteri diventa disponibile quando si abilita l'impostazione di Criteri di gruppo Usa un dispositivo di sicurezza hardware che consente di impedire che la registrazione di Windows Hello for Business utilizzi i moduli TPM (Trusted Platform Module) versione 1.2. La versione 1,2 TPMs in genere esegue operazioni crittografiche più lente della versione 2,0 TPMs e non perdona durante le attività di blocco anti-martellamento e bloccaggio PIN. Alcune organizzazioni quindi potrebbero non volere ridurre le prestazioni di accesso e il sovraccarico di gestione associati ai moduli TPM versione 1.2. Per evitare che Windows Hello for Business usi i moduli TPM versione 1.2, basta selezionare la casella TPM 1.2 dopo avere abilitato l'oggetto Criteri di gruppo Usa un dispositivo di sicurezza hardware.
Usa biometria
Windows Hello for Business offre un'esperienza utente ottimale in combinazione con l'uso della biometria. Invece di specificare un PIN per l'accesso, un utente può usare il riconoscimento delle impronte digitali o facciale per effettuare l'accesso a Windows, senza compromettere la sicurezza.
L'impostazione predefinita di Windows Hello for Business consente agli utenti di registrare e usare la biometria. Alcune organizzazioni tuttavia potrebbero avere bisogno di più tempo prima di usare la biometria e quindi potrebbero volerla disabilitare fino a quando non sono pronte. Per non consentire agli utenti di usare la biometria, configura l'impostazione di Criteri di gruppo Usa biometria come disabilitata e applicala ai computer. L'impostazione dei criteri disabilitata per tutta la biometria. Windows non offre al momento un'impostazione di criteri granulare che consenta di disabilitare modalità specifiche della biometria, ad esempio consentire il riconoscimento facciale ma non quello delle impronte digitali.
Complessità PIN
I criteri Complessità PIN non sono specifici di Windows Hello for Business. Windows 10 consente agli utenti di utilizzare i codici PIN al di fuori di Windows Hello for Business. Le impostazioni di Criteri di gruppo Complessità PIN si applicano a tutti gli utilizzi del PIN, anche quando Windows Hello for Business non è distribuito.
Windows 10 offre otto impostazioni di Criteri di gruppo Complessità PIN che forniscono un controllo granulare sulla creazione e la gestione dei PIN. È possibile distribuire queste impostazioni dei criteri ai computer, influendo così su tutti gli utenti che creano PIN su quei computer, oppure è possibile distribuirle agli utenti. In questo caso le impostazioni si applicano agli utenti che creano PIN indipendentemente dai computer che usano. Se si distribuiscono impostazioni di Criteri di gruppo Complessità PIN sia agli utenti che ai computer, le impostazioni dei Criteri di gruppo per gli utenti hanno la precedenza su quelle per i computer. Inoltre, la risoluzione dei conflitti si basa su criteri più recenti applicati. Windows non unisce le impostazioni dei criteri automaticamente. È tuttavia possibile distribuire Criteri di gruppo per ottenere varie configurazioni. Le impostazioni di criteri incluse sono:
Richiedi numeri
Richiedi lettere minuscole
Lunghezza massima PIN
Lunghezza minima PIN
Scadenza
Cronologia
Richiedi caratteri speciali
Richiedi lettere maiuscole
In Windows 10, versione 1703, le impostazioni di Criteri di gruppo Complessità PIN sono state spostate in modo da evitare che si pensasse che erano esclusive di Windows Hello for Business. La nuova posizione di queste impostazioni di criteri di gruppo è in Configurazione computer\Modelli Templates\System\PIN per la complessità dell'Editor criteri di gruppo.
Revisione
Prima di continuare con la distribuzione, convalida lo stato della distribuzione rivedendo gli elementi seguenti:
Verificare che le impostazioni di criteri di gruppo siano state create usando i file ADMX/ADML più recenti (dalle edizioni di Windows 10 Creators)
Verifica di avere configurato Abilita Windows Hello for Business nell'ambito che corrisponde alla tua distribuzione (Computer o User)
Verificare di configurare la registrazione use certificate per l'impostazione dei criteri di autenticazione locale.
Verifica di avere configurato la registrazione automatica dei certificati nell'ambito che corrisponde alla tua distribuzione (Computer o User)
Verifica di avere configurato le impostazioni di sicurezza adeguate per l'oggetto Criteri di gruppo
Verifica di avere rimosso l'autorizzazione Consenti per Applica Criteri di gruppo per i Domain Users (Domain Users deve sempre disporre delle autorizzazioni di lettura)
Verifica di avere aggiunto il gruppo Utenti di Windows Hello for Business all'oggetto Criteri di gruppo e di avere assegnato al gruppo l'autorizzazione Consenti per Applica Criteri di gruppo
Verifica di avere collegato l'oggetto Criteri di gruppo ai percorsi corretti in Active Directory
La distribuzione di qualsiasi altra impostazione di Criteri di gruppo di Windows Hello for Business è un criterio separato da quello che la consente per gli utenti.
Aggiungere utenti al gruppo Utenti di Windows Hello for Business
Gli utenti devono ricevere le impostazioni di Criteri di gruppo Windows Hello for Business e disporre dell'autorizzazione adeguata per registrare il certificato di autenticazione WHFB. Puoi fornire agli utenti queste impostazioni e queste autorizzazioni aggiungendo il gruppo usato per sincronizzare gli utenti al gruppo Utenti di Windows Hello for Business. Gli utenti e i gruppi che non sono membri di questo gruppo non tenteranno di eseguire la registrazione di Windows Hello for Business.
Segui le istruzioni nella Guida alla distribuzione trust dei certificati locali di Windows Hello for Business
Convalidare i prerequisiti di Active Directory
Convalidare e configurare l'infrastruttura a chiave pubblica
Preparare e distribuire Windows Server 2016 Active Directory Federation Services
Convalidare e distribuire i servizi Multi-Factor Authentication (MFA)
Configurare le impostazioni dei Criteri per Windows Hello for Business (Posizione)

Versione attuale delle 23:30, 2 nov 2020

Link Originale:

https://docs.microsoft.com/it-it/windows/security/identity-protection/hello-for-business/hello-cert-trust-policy-settings


https://docs.microsoft.com/it-it/windows/security/identity-protection/hello-for-business/hello-cert-trust-validate-ad-prereq

https://docs.microsoft.com/it-it/windows/security/identity-protection/hello-for-business/hello-cert-trust-validate-pki

https://docs.microsoft.com/it-it/windows/security/identity-protection/hello-for-business/hello-cert-trust-adfs

https://docs.microsoft.com/it-it/windows/security/identity-protection/hello-for-business/hello-cert-trust-validate-deploy-mfa

Estratto da "http://sede.giberti.net/mediawiki/index.php?title=Windows_Hello_Active_Directory&oldid=8"