Windows Hello Active Directory
Link Originale:
Configurare le impostazioni dei criteri per Windows Hello for Business
20/08/2018
10 minuti per la lettura
Si applica a
Windows10 versione 1703 o successiva Distribuzione locale Trust certificato Occorre disporre di una workstation Windows 10, versione 1703 per eseguire la console Gestione Criteri di gruppo, nella quale sono disponibili le più recenti impostazioni di Criteri di gruppo Windows Hello for Business e Complessità PIN. Per eseguire la console Gestione Criteri di gruppo, è necessario installare Strumenti di amministrazione remota del server per Windows 10. Puoi scaricare questi strumenti dall'Area download Microsoft. Installa Strumenti di amministrazione remota del server per Windows 10 in un computer che esegue Windows 10, versione 1703. Le distribuzioni basate su certificati locali di Windows Hello for Business devono avere tre impostazioni di Criteri di gruppo: Abilita Windows Hello for Business Usa certificato per l'autenticazione locale Abilitare la registrazione automatica dei certificati Abilitare i Criteri di gruppo per Windows Hello for Business L'impostazione di criteri di gruppo determina se gli utenti sono consentiti e richiesti per la registrazione per Windows Hello for business. Può essere configurato per computer o utenti. Se si configurano i criteri di gruppo per i computer, tutti gli utenti che eseguono l'accesso a tali computer saranno consentiti e verranno invitati a eseguire la registrazione per Windows Hello for business. Se si configurano i criteri di gruppo per gli utenti, solo gli utenti saranno consentiti e verranno invitati a eseguire la registrazione per Windows Hello for business. Usa certificato per l'autenticazione locale L'impostazione dei Criteri di gruppo Usa certificato per l'autenticazione locale determina se la distribuzione locale usa il modello di autenticazione locale di trust chiave o di trust certificato. È necessario configurare questa impostazione di Criteri di gruppo per configurare Windows in modo da registrare un certificato di autenticazione Windows Hello for Business. Se non si configura questa impostazione, Windows presuppone che venga usata l'autenticazione locale di trust chiave nella distribuzione, la quale richiede un numero sufficiente di controller di dominio Windows Server 2016 per gestire le richieste di autenticazione di trust chiave di Windows Hello for Business. È possibile configurare questa impostazione di Criteri di gruppo per computer o utenti. La distribuzione di questa impostazione di criteri ai computer fa sì che TUTTI gli utenti richiedano un certificato di autenticazione di Windows Hello for Business. Quando si distribuisce questa impostazione di criteri a un utente, solo quell'utente richiederà un certificato di autenticazione di Windows Hello for Business. Inoltre, è possibile distribuire l'impostazione dei Criteri di gruppo a un gruppo di utenti in modo che solo questi utenti richiedano un certificato di autenticazione di Windows Hello for Business. Se si distribuiscono le impostazioni dei criteri sia per gli utenti che per i computer, l'impostazione per gli utenti ha la precedenza. Abilitare la registrazione automatica dei certificati Il provisioning di Windows Hello for Business esegue la registrazione iniziale del certificato di autenticazione di Windows Hello for Business. La durata di validità di questo certificato dipende dalla durata configurata nel modello di certificato di autenticazione di Windows Hello for Business. La registrazione automatica del certificato in Windows 10, versione 1703 è stata aggiornata per rinnovare questi certificati prima della scadenza, in modo da ridurre significativamente gli errori di autenticazione degli utenti dovuti a certificati utenti scaduti. Il processo non richiede l'interazione dell'utente purché l'utente acceda usando Windows Hello for Business. Il certificato viene rinnovato in background prima della scadenza. Creare l'oggetto Criteri di gruppo per Windows Hello for Business L'oggetto Criteri di gruppo contiene le impostazioni di criteri necessarie per attivare il provisioning di Windows Hello for Business e garantire il rinnovo automatico dei certificati di Windows Hello for Business. Avvia la Console Gestione Criteri di gruppo (gpmc.msc) Nel riquadro di spostamento, espandi il dominio e seleziona il nodo Oggetto Criteri di gruppo. Fai clic con il pulsante destro del mouse su Oggetto Criteri di gruppo e seleziona Nuovo. Digita Abilita Windows Hello for Business nella casella del nome e fai clic su OK. Nel riquadro del contenuto, fai clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Abilita Windows Hello for Business e fai clic su Modifica. Nel riquadro di spostamento espandi Criteri in Configurazione User. Espandi Modelli amministrativi > Componenti di Windows e seleziona Windows Hello for Business. Nel riquadro del contenuto fai doppio clic su Usa Windows Hello for Business. Fai clic su Abilita e su OK. Fai doppio clic su Usa certificato per l'autenticazione locale. Fai clic su Abilita e su OK. Chiudi l'editor Gestione Criteri di gruppo. Configurare la registrazione automatica del certificato Avvia la Console Gestione Criteri di gruppo (gpmc.msc). Nel riquadro di spostamento, espandi il dominio e seleziona il nodo Oggetto Criteri di gruppo. Fai clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Abilita Windows Hello for Business e fai clic su Modifica. Nel riquadro di spostamento espandi Criteri in Configurazione User. Espandi Impostazioni di Windows > Impostazioni di sicurezza e fai clic su Criteri di chiave pubblica. Nel riquadro dei dettagli fai clic con il pulsante destro del mouse su Client Servizi certificati - registrazione automatica e seleziona Proprietà. Nell'elenco Modello configurazione seleziona Abilitato. Seleziona la casella di controllo Rinnova i certificati scaduti, aggiorna quelli in sospeso e rimuovi certificati revocati. Seleziona la casella di controllo Aggiorna i certificati che utilizzano modelli di certificato. Scegli OK. Chiudi l'editor Gestione Criteri di gruppo. Configurare la sicurezza nell'oggetto Criteri di gruppo per Windows Hello for Business Il modo migliore per distribuire l'oggetto Criteri di gruppo di Windows Hello for Business consiste nell'usare il filtro per i gruppi di sicurezza. Il filtro consente di gestire facilmente gli utenti che devono ricevere Windows Hello for Business semplicemente aggiungendoli a un gruppo. In questo modo è possibile distribuire Windows Hello for Business in più fasi. Avvia la Console Gestione Criteri di gruppo (gpmc.msc) Nel riquadro di spostamento, espandi il dominio e seleziona il nodo Oggetto Criteri di gruppo. Fai doppio clic sull'oggetto Criteri di gruppo Abilita Windows Hello for Business. Nella sezione Filtri di sicurezza della pagina di contenuto fai clic su Aggiungi. Digita Utenti di Windows Hello for Business o il nome del gruppo di sicurezza che ha precedentemente creato e fai clic su OK. Fai clic sulla scheda Delega. Seleziona Authenticated Users e fai clic su Avanzate. Nell'elenco Utenti e gruppi seleziona Authenticated Users. Nell'elenco relativo alle Autorizzazioni per Authenticated Users deseleziona la casella di controllo Consenti per l'autorizzazione Applica Criteri di gruppo. Fai clic su OK. Distribuire l'oggetto Criteri di gruppo per Windows Hello for Business L'applicazione dell'oggetto Criteri di gruppo di Windows Hello for Business usa il filtro per i gruppi di sicurezza. Ciò consente di collegare l'oggetto Criteri di gruppo nel dominio, assicurando così che l'oggetto Criteri di gruppo sia nell'ambito di tutti gli utenti. Il filtro del gruppo di sicurezza, tuttavia, assicura che solo gli utenti inclusi nel gruppo globale Utenti di Windows Hello for Business ricevano e applichino l'oggetto Criteri di gruppo, che risulta nel provisioning di Windows Hello for Business. Avvia la Console Gestione Criteri di gruppo (gpmc.msc). Nel riquadro di spostamento espandi il dominio e fai clic con il pulsante destro del mouse sul nodo con il nome del tuo dominio Active Directory e scegli Collega oggetto Criteri di gruppo esistente. Nella finestra di dialogo Seleziona oggetto Criteri di gruppo seleziona Abilita Windows Hello for Business o il nome dell'oggetto Criteri di gruppo di Windows Hello for Business precedentemente creato e fai clic su OK. Ricorda che il collegamento dell'oggetto Criteri di gruppo Windows Hello for Business al dominio garantisce che l'oggetto Criteri di gruppo sia nell'ambito di tutti gli utenti del dominio. Non a tutti gli utenti verranno comunque applicate le impostazioni dei criteri. Solo gli utenti che sono membri del gruppo Windows Hello for Business riceveranno le impostazioni dei criteri. Tutti gli altri utenti ignoreranno l'oggetto Criteri di gruppo. Altre impostazioni correlate ai Criteri di gruppo Windows Hello for Business Esistono altre impostazioni di criteri di Windows Hello for Business che puoi configurare per gestire la distribuzione di Windows Hello for Business. Si tratta di impostazioni di criteri basate sui computer, pertanto sono applicabili a tutti gli utenti che accedono da un computer con queste impostazioni di criteri. Usa un dispositivo di sicurezza hardware La configurazione predefinita per Windows Hello for Business si basa sulla preferenza delle credenziali per protezione hardware. Non tutti i computer sono tuttavia in grado di creare credenziali per la protezione hardware. Quando la registrazione di Windows Hello for Business incontra un computer che non è in grado di creare una credenziale di protezione hardware, ne crea una basata sul software. Puoi abilitare e distribuire l'impostazione di Criteri di gruppo Usa un dispositivo di sicurezza hardware per fare in modo che Windows Hello for Business crei solo credenziali di protezione hardware. Gli utenti che accedono da un computer che non è in grado di creare una credenziale di protezione hardware non si registrano a Windows Hello for Business. Un'altra impostazione di criteri diventa disponibile quando si abilita l'impostazione di Criteri di gruppo Usa un dispositivo di sicurezza hardware che consente di impedire che la registrazione di Windows Hello for Business utilizzi i moduli TPM (Trusted Platform Module) versione 1.2. La versione 1,2 TPMs in genere esegue operazioni crittografiche più lente della versione 2,0 TPMs e non perdona durante le attività di blocco anti-martellamento e bloccaggio PIN. Alcune organizzazioni quindi potrebbero non volere ridurre le prestazioni di accesso e il sovraccarico di gestione associati ai moduli TPM versione 1.2. Per evitare che Windows Hello for Business usi i moduli TPM versione 1.2, basta selezionare la casella TPM 1.2 dopo avere abilitato l'oggetto Criteri di gruppo Usa un dispositivo di sicurezza hardware. Usa biometria Windows Hello for Business offre un'esperienza utente ottimale in combinazione con l'uso della biometria. Invece di specificare un PIN per l'accesso, un utente può usare il riconoscimento delle impronte digitali o facciale per effettuare l'accesso a Windows, senza compromettere la sicurezza. L'impostazione predefinita di Windows Hello for Business consente agli utenti di registrare e usare la biometria. Alcune organizzazioni tuttavia potrebbero avere bisogno di più tempo prima di usare la biometria e quindi potrebbero volerla disabilitare fino a quando non sono pronte. Per non consentire agli utenti di usare la biometria, configura l'impostazione di Criteri di gruppo Usa biometria come disabilitata e applicala ai computer. L'impostazione dei criteri disabilitata per tutta la biometria. Windows non offre al momento un'impostazione di criteri granulare che consenta di disabilitare modalità specifiche della biometria, ad esempio consentire il riconoscimento facciale ma non quello delle impronte digitali. Complessità PIN I criteri Complessità PIN non sono specifici di Windows Hello for Business. Windows 10 consente agli utenti di utilizzare i codici PIN al di fuori di Windows Hello for Business. Le impostazioni di Criteri di gruppo Complessità PIN si applicano a tutti gli utilizzi del PIN, anche quando Windows Hello for Business non è distribuito. Windows 10 offre otto impostazioni di Criteri di gruppo Complessità PIN che forniscono un controllo granulare sulla creazione e la gestione dei PIN. È possibile distribuire queste impostazioni dei criteri ai computer, influendo così su tutti gli utenti che creano PIN su quei computer, oppure è possibile distribuirle agli utenti. In questo caso le impostazioni si applicano agli utenti che creano PIN indipendentemente dai computer che usano. Se si distribuiscono impostazioni di Criteri di gruppo Complessità PIN sia agli utenti che ai computer, le impostazioni dei Criteri di gruppo per gli utenti hanno la precedenza su quelle per i computer. Inoltre, la risoluzione dei conflitti si basa su criteri più recenti applicati. Windows non unisce le impostazioni dei criteri automaticamente. È tuttavia possibile distribuire Criteri di gruppo per ottenere varie configurazioni. Le impostazioni di criteri incluse sono: Richiedi numeri Richiedi lettere minuscole Lunghezza massima PIN Lunghezza minima PIN Scadenza Cronologia Richiedi caratteri speciali Richiedi lettere maiuscole In Windows 10, versione 1703, le impostazioni di Criteri di gruppo Complessità PIN sono state spostate in modo da evitare che si pensasse che erano esclusive di Windows Hello for Business. La nuova posizione di queste impostazioni di criteri di gruppo è in Configurazione computer\Modelli Templates\System\PIN per la complessità dell'Editor criteri di gruppo. Revisione Prima di continuare con la distribuzione, convalida lo stato della distribuzione rivedendo gli elementi seguenti: Verificare che le impostazioni di criteri di gruppo siano state create usando i file ADMX/ADML più recenti (dalle edizioni di Windows 10 Creators) Verifica di avere configurato Abilita Windows Hello for Business nell'ambito che corrisponde alla tua distribuzione (Computer o User) Verificare di configurare la registrazione use certificate per l'impostazione dei criteri di autenticazione locale. Verifica di avere configurato la registrazione automatica dei certificati nell'ambito che corrisponde alla tua distribuzione (Computer o User) Verifica di avere configurato le impostazioni di sicurezza adeguate per l'oggetto Criteri di gruppo Verifica di avere rimosso l'autorizzazione Consenti per Applica Criteri di gruppo per i Domain Users (Domain Users deve sempre disporre delle autorizzazioni di lettura) Verifica di avere aggiunto il gruppo Utenti di Windows Hello for Business all'oggetto Criteri di gruppo e di avere assegnato al gruppo l'autorizzazione Consenti per Applica Criteri di gruppo Verifica di avere collegato l'oggetto Criteri di gruppo ai percorsi corretti in Active Directory La distribuzione di qualsiasi altra impostazione di Criteri di gruppo di Windows Hello for Business è un criterio separato da quello che la consente per gli utenti. Aggiungere utenti al gruppo Utenti di Windows Hello for Business Gli utenti devono ricevere le impostazioni di Criteri di gruppo Windows Hello for Business e disporre dell'autorizzazione adeguata per registrare il certificato di autenticazione WHFB. Puoi fornire agli utenti queste impostazioni e queste autorizzazioni aggiungendo il gruppo usato per sincronizzare gli utenti al gruppo Utenti di Windows Hello for Business. Gli utenti e i gruppi che non sono membri di questo gruppo non tenteranno di eseguire la registrazione di Windows Hello for Business. Segui le istruzioni nella Guida alla distribuzione trust dei certificati locali di Windows Hello for Business Convalidare i prerequisiti di Active Directory Convalidare e configurare l'infrastruttura a chiave pubblica Preparare e distribuire Windows Server 2016 Active Directory Federation Services Convalidare e distribuire i servizi Multi-Factor Authentication (MFA) Configurare le impostazioni dei Criteri per Windows Hello for Business (Posizione)