Panoramica della distribuzione di Windows Hello for Business

Si applica a

  • Windows 10 versione 1703 o successiva
  • Windows 11

Windows Hello for Business è la chiave per un mondo senza password. Sostituisce l'accesso a Windows tramite nome utente e password con un metodo di autenticazione utente complesso basato su una coppia di chiavi asimmetriche.

Questa panoramica della distribuzione ti guiderà nella distribuzione di Windows Hello for Business. Il primo passaggio dovrebbe consistere nell'usare la Procedura guidata senza password nel interfaccia di amministrazione di Microsoft 365 o la guida pianificazione di un Windows Hello per la distribuzione aziendale per determinare il modello di distribuzione giusto per l'organizzazione.

Dopo aver scelto un modello di distribuzione, la guida alla distribuzione per tale modello fornirà le informazioni necessarie per distribuire correttamente Windows Hello for Business nell'ambiente. Leggere la Windows Hello panoramica dei prerequisiti per la distribuzione di Windows Hello per le aziende.

Presupposti

Questa guida presuppone l'esistenza di un'infrastruttura di base che soddisfa i requisiti per la distribuzione. Per le distribuzioni ibride o locali, sono previsti i seguenti requisiti:

  • Rete funzionante con buona connessione
  • Accesso a Internet
  • L'autenticazione a più fattori è necessaria durante il provisioning Windows Hello for Business
  • Risoluzione dei nomi corretta, sia per i nomi interni che i nomi esterni
  • Active Directory e un numero adeguato di controller di dominio per ogni sito per supportare l'autenticazione
  • Servizi certificati Active Directory 2012 o versioni successive (nota: i servizi certificati non sono necessari per le distribuzioni di trust cloud)
  • Uno o più computer workstation che eseguono Windows 10 versione 1703 o successiva

Se installi un ruolo server per la prima volta, assicurati che sia installato il sistema operativo server appropriato, che sia aggiornato con tutte le patch più recenti e che sia collegato a un dominio. Questo documento include le istruzioni per installare e configurare i ruoli specifici su quel server.

Non iniziare la distribuzione di fino a quando i server di hosting e l'infrastruttura (non i ruoli) identificati nel foglio di lavoro dei prerequisiti non sono configurati e in esecuzione.

Modelli di distribuzione e di trust

Windows Hello for Business include tre modelli di distribuzione: solo Azure AD cloud, ibrido e locale. L'ambiente ibrido include tre modelli di trust: trust chiave, attendibilità certificato e trust cloud. I modelli di distribuzione locali supportano solo attendibilità chiave e attendibilità certificato.

Le distribuzioni ibride sono per le aziende che usano Azure Active Directory. Le distribuzioni locali sono per le aziende che utilizzano esclusivamente Active Directory locale. Tieni presente che gli ambienti che usano Azure Active Directory devono usare il modello di distribuzione ibrida per tutti i domini nella foresta.

Il modello di attendibilità determina la modalità di autenticazione degli utenti nell'Active Directory locale:

  • Il modello di chiave attendibile è per le aziende che non vogliono rilasciare certificati di entità di fine agli utenti e che hanno un numero adeguato di controller di dominio 2016 in ogni sito per supportare l'autenticazione. Ciò richiede comunque Servizi certificati Active Directory per i certificati dei controller di dominio.
  • Il modello di trust cloud è anche per le aziende ibride che non desiderano rilasciare certificati dell'entità finale agli utenti e dispongono di un numero adeguato di controller di dominio 2016 in ogni sito per supportare l'autenticazione. Questo modello di attendibilità è più semplice da distribuire rispetto al trust chiave e non richiede Servizi certificati Active Directory. È consigliabile usare l'attendibilità cloud anziché l'attendibilità chiave se i client dell'organizzazione la supportano.
  • Il modello di attendibilità dei certificati è per ** le aziende che desiderano rilasciare certificati dell'entità finale agli utenti e che hanno i vantaggi della scadenza e del rinnovo dei certificati, in modo analogo al funzionamento delle smart card.
  • Il modello di certificato attendibile supporta anche le aziende che non sono pronte a distribuire controller di dominio Windows Server 2016.

Nota

RDP non supporta l'autenticazione con Windows Hello per le distribuzioni di trust chiave o cloud come credenziale fornita. RDP è supportato solo con distribuzioni di attendibilità certificato come credenziale fornita al momento. Windows Hello trust chiave business e trust cloud possono essere usati con Windows Defender Remote Credential Guard.

Di seguito sono riportate le varie guide e modelli di distribuzione inclusi in questo argomento:

Per Windows Hello per le distribuzioni di prerequisiti di attendibilità dei certificati ibridi e prerequisiti di attendibilità chiave, è necessario Azure Active Directory Connessione per sincronizzare gli account utente in Active Directory locale con Azure Active Directory. Per le distribuzioni locali, sia la chiave che l'attendibilità del certificato, usa il server Azure MFA in cui le credenziali non sono sincronizzate con Azure Active Directory. Informazioni su come distribuire Servizi di autenticazione a più fattori (MFA) per l'attendibilità delle chiavi e per le distribuzioni di attendibilità dei certificati.

Provisioning

Il provisioning di Windows Hello for Business inizia immediatamente dopo che l'utente ha effettuato l'accesso e dopo che il sistema ha caricato il profilo utente, ma prima che l'utente visualizzi il desktop. Windows avvia l'esperienza di provisioning solo se tutti i controlli dei prerequisiti vengono superati. Puoi determinare lo stato dei controlli dei prerequisiti visualizzando la registrazione del dispositivo utente nel Visualizzatore eventi in Registri applicazioni e servizi\Microsoft\Windows.

Tieni presente che devi consentire l'accesso all'URL account.microsoft.com avviare il provisioning Windows Hello for Business. Questo URL avvia i passaggi successivi del processo di provisioning ed è necessario per completare correttamente Windows Hello provisioning di Windows Hello for Business. Questo URL non richiede alcuna autenticazione e, di conseguenza, non raccoglie dati utente.