Autenticazione delle identità senza password con Windows Hello for BusinessAuthenticating identities without passwords through Windows Hello for Business

Gli attuali metodi di autenticazione basati solo su password non sono sufficienti a garantire la protezione degli utenti.The current methods of authentication with passwords alone are not sufficient to keep users safe. Gli utenti riutilizzano e dimenticano le password.Users reuse and forget passwords. Le password possono causare violazioni della protezione, phishing, oltre ad essere facilmente violabili.Passwords are breachable, phishable, prone to cracks, and guessable. Sono inoltre difficili da ricordare e più soggette ad attacchi di tipo "pass-the-hash".They also get difficult to remember and prone to attacks like “pass the hash”.

Informazioni su Windows Hello for BusinessAbout Windows Hello for Business

Windows Hello for Business è un approccio di autenticazione basato su certificato o su chiave privata/pubblica disponibile per organizzazioni e utenti grazie al quale non è più necessario usare password.Windows Hello for Business is a private/public key or certificate-based authentication approach for organizations and consumers that goes beyond passwords. Questo tipo di autenticazione si basa su credenziali a coppie di chiavi che possono sostituire le password e risultare efficaci in caso di violazioni, furti e phishing.This form of authentication relies on key pair credentials that can replace passwords and are resistant to breaches, thefts, and phishing.

Windows Hello for Business consente agli utenti di eseguire l'autenticazione a un account Microsoft, un account di Windows Server Active Directory, un account di Microsoft Azure Active Directory (Azure AD) o un servizio non Microsoft che supporta l'autenticazione FIDO (Fast IDentity Online).Windows Hello for Business lets a user authenticate to a Microsoft account, a Windows Server Active Directory account, a Microsoft Azure Active Directory (Azure AD) account, or a non-Microsoft service that supports Fast IDentity Online (FIDO) authentication. Dopo una verifica iniziale in due passaggi durante la registrazione di Windows Hello for Business, nel dispositivo dell'utente viene configurato Windows Hello for Business. L'utente deve quindi impostare un movimento, come Windows Hello o un PIN.After an initial two-step verification during Windows Hello for Business enrollment, Windows Hello for Business is set up on the user's device, and the user sets a gesture, which can be Windows Hello or a PIN. L'utente esegue il movimento per verificare la propria identità.The user provides the gesture to verify their identity. Windows usa quindi Windows Hello for Business per autenticare gli utenti e consentire loro di accedere a risorse e servizi protetti.Windows then uses Windows Hello for Business to authenticate the user and help them to access protected resources and services.

La chiave privata viene resa disponibile solo tramite un "movimento utente", come un PIN, un movimento biometrico o un dispositivo remoto, ad esempio una smart card usata per accedere al dispositivo.The private key is made available solely through a “user gesture” like a PIN, biometrics, or a remote device like a smart card that the user uses to sign in to the device. Queste informazioni vengono quindi collegate a un certificato o a una coppia di chiavi asimmetriche.This information is linked to a certificate or an asymmetrical key pair. La chiave privata viene attestata a livello hardware se il dispositivo è dotato di chip TPM (Trusted Platform Module).The private key is hardware attested if the device has a Trusted Platform Module (TPM) chip. La chiave privata è sempre associata al dispositivo.The private key never leaves the device.

La chiave pubblica viene registrata con Azure Active Directory e Windows Server Active Directory (per la configurazione locale).The public key is registered with Azure Active Directory and Windows Server Active Directory (for on-premises). I provider di identità (IDP) convalidano l'utente abbinando la chiave pubblica a quella privata e fornendo le informazioni di accesso tramite OTP (One Time Password), PhoneFactor o un altro meccanismo di notifica.Identity Providers (IDPs) validate the user by mapping the public key of the user to the private key, and provide sign-in information through One Time Password (OTP), PhoneFactor, or a different notification mechanism.

Perché alle aziende conviene scegliere Windows Hello for Business?Why enterprises should adopt Windows Hello for Business

L'abilitazione di Windows Hello for Business consente alle aziende di aumentare la protezione delle proprie risorse mediante:By enabling Windows Hello for Business, enterprises can make their resources even more secure by:

  • Configurazione di Windows Hello for Business con l'opzione preferita dall'hardware.Setting up Windows Hello for Business with a hardware-preferred option. Ciò significa che le chiavi verranno generate su TPM 1.2 o TPM 2.0, se disponibile.This means that keys will be generated on TPM 1.2 or TPM 2.0 when available. Quando TPM non è disponibile, la chiave verrà generata dal software.When TPM is not available, software will generate the key.
  • Definire la complessità e la lunghezza del PIN e scegliere se abilitare l'utilizzo di Hello nell'organizzazione.Defining the complexity and length of the PIN, and whether Hello usage is enabled in your organization.
  • Configurazione di Windows Hello for Business in modo da supportare scenari analoghi a quelli con smart card usando l'attendibilità basata su certificati.Configuring Windows Hello for Business to support smart card-like scenarios by using certificate-based trust.

Come funziona Windows Hello for BusinessHow Windows Hello for Business works

  1. Le chiavi vengono generate a livello hardware da TPM o dal software.Keys are generated on the hardware by TPM or software. Numerosi dispositivi sono dotati di chip TPM integrato che consente di proteggere l'hardware integrando chiavi di crittografia nei dispositivi.Many devices have a built-in TPM chip that secures the hardware by integrating cryptographic keys into devices. Tramite TPM 1.2 o TPM 2.0 vengono generate chiavi o certificati creati da chiavi generate.TPM 1.2 or TPM 2.0 generates keys or certificates that are created from the generated keys.
  2. Queste chiavi associate all'hardware vengono attestate da TPM.The TPM attests these hardware-bound keys.
  3. Un singolo movimento di sblocco consente di sbloccare il dispositivo.A single unlock gesture unlocks the device. Questo movimento consente di accedere a più risorse se il dispositivo è stato aggiunto al dominio o ad Azure AD.This gesture allows access to multiple resources if the device is domain-joined or Azure AD-joined.

Come funziona il ciclo di vita di Windows Hello for BusinessHow the Windows Hello for Business lifecycle works

Ciclo di vita di Windows Hello for Business

Il diagramma precedente illustra la coppia di chiavi privata/pubblica e il meccanismo di convalida eseguito dal provider di identità.The preceding diagram illustrates the private/public key pair and the validation by the identity provider. Ognuno di questi passaggi è illustrato in dettaglio di seguito:Each of these steps is explained in detail here:

  1. L'utente dimostra la propria identità usando diversi metodi integrati (movimenti, smart card fisiche, autenticazione a più fattori) e invia queste informazioni a un provider di identità (IDP), ad esempio Azure Active Directory o Active Directory locale.The user proves their identity through multiple built-in proofing methods (gestures, physical smart cards, multi-factor authentication) and sends this information to an Identity Provider (IDP) like Azure Active Directory or on-premises Active Directory.
  2. Il dispositivo crea quindi la chiave, la attesta, prende la parte pubblica della chiave, vi allega le istruzioni sulla postazione, esegue l'accesso e la invia al provider di identità in modo che venga registrata.The device then creates the key, attests the key, takes the public portion of this key, attaches it with station statements, signs in, and sends it to the IDP to register the key.
  3. Non appena la parte pubblica della chiave viene registrata nel provider di identità, questo richiede al dispositivo di autenticarsi eseguendo l'accesso con la parte privata della chiave.As soon as the IDP registers the public portion of the key, the IDP challenges the device to sign with the private portion of the key.
  4. Il provider di identità esegue quindi la convalida e rilascia il token di autenticazione che consente all'utente e al dispositivo di accedere alle risorse protette.The IDP then validates and issues the authentication token that lets the user and the device access the protected resources. Gli IdP possono scrivere app multipiattaforma o usare il supporto del browser tramite API JavaScript/Webcrypto per creare e usare credenziali di Windows Hello for Business per i propri utenti.IDPs can write cross-platform apps or use browser support (via JavaScript/Webcrypto APIs) to create and use Windows Hello for Business credentials for their users.

Requisiti di distribuzione per Windows Hello for BusinessThe deployment requirements for Windows Hello for Business

A livello aziendaleAt the enterprise level

  • L'azienda ha una sottoscrizione di Azure.The enterprise has an Azure subscription.

A livello dell'utenteAt the user level

  • Nel computer dell'utente viene eseguito Windows 10 Professional o Enterprise.The user's computer runs Windows 10 Professional or Enterprise.

Per istruzioni dettagliate sulla distribuzione, vedere Abilitare Windows Hello for Business all'interno dell'organizzazione.For detailed deployment instructions, see Enable Windows Hello for Business in the organization.

Informazioni aggiuntiveAdditional information