Abilitare Microsoft Windows Hello for Business nell'organizzazione

Dopo aver connesso i dispositivi appartenenti a un dominio di Windows 10 ad Azure Active Directory, seguire questa procedura per abilitare Microsoft Windows Hello for Business nell'organizzazione:

  1. Distribuire System Center Configuration Manager
  2. Configurare le impostazioni dei criteri
  3. Configurare il profilo certificato

Distribuire System Center Configuration Manager

Per distribuire certificati utente in base alle chiavi di Windows Hello for Business, è necessario quanto segue:

Configurare le impostazioni dei criteri

Per configurare le impostazioni dei criteri di Microsoft Windows Hello for Business, sono disponibili due opzioni:

  • Criteri di gruppo in Active Directory
  • System Center Configuration Manager

Usare Criteri di gruppo in Active Directory è il metodo consigliato per configurare le impostazioni dei criteri di Microsoft Windows Hello for Business.

Usare System Center Configuration Manager è il metodo preferito quando lo si usa anche per distribuire i certificati. Questo scenario:

  • Assicura la compatibilità con gli scenari di distribuzione più recenti
  • Richiede Windows 10 versione 1607 o successiva sul lato client.

Configurare Microsoft Windows Hello for Business tramite Criteri di gruppo in Active Directory

Passaggi:

  1. Aprire Server Manager e passare a Strumenti > Gestione Criteri di gruppo.
  2. Da Gestione Criteri di gruppo passare al nodo corrispondente al dominio in cui abilitare la funzionalità di aggiunta ad Azure AD.
  3. Fare clic con il pulsante destro del mouse su Oggetti Criteri di gruppo e scegliere Nuovo. Assegnare un nome all'oggetto Criteri di gruppo, ad esempio Abilita Windows Hello for Business. Fare clic su OK.
  4. Fare clic con il pulsante destro del mouse sul nuovo oggetto Criteri di gruppo e scegliere Modifica.
  5. Passare a Configurazione computer > Criteri > Modelli amministrativi > Componenti di Windows > Windows Hello for Business.
  6. Fare doppio clic su Abilita Windows Hello for Business e selezionare Modifica.
  7. Selezionare il pulsante di opzione Abilitato e fare clic su Applica. Fare clic su OK.
  8. È ora possibile collegare l'oggetto Criteri di gruppo a una posizione di propria scelta. Per abilitare questo oggetto per tutti i dispositivi appartenenti a un dominio di Windows 10 nell'organizzazione, collegarlo al dominio. ad esempio:
    • Una specifica unità organizzativa in Active Directory in cui saranno posizionati i computer Windows 10 aggiunti a un dominio.
    • Uno specifico gruppo di sicurezza contenente i computer appartenenti a un dominio di Windows 10 che verranno registrati automaticamente in Azure AD.

Configurare Windows Hello for Business mediante System Center Configuration Manager

Passaggi:

  1. Aprire System Center Configuration Manager, passare ad Asset e conformità > Impostazioni di conformità > Accesso risorse aziendali > Profili Windows Hello for Business.

    Configurare Windows Hello for Business

  2. Nella barra degli strumenti nella parte superiore fare clic su Crea profilo Windows Hello for Business.

    Configurare Windows Hello for Business

  3. Nella finestra di dialogo Generale seguire questa procedura:

    Configurare Windows Hello for Business

    a. Nella casella di testo Nome digitare un nome per il profilo, ad esempio Il mio profilo WHfB.

    b. Fare clic su Avanti.

  4. Nella finestra di dialogo Piattaforme supportate selezionare le piattaforme che saranno fornite con questo profilo Windows Hello for Business e fare clic su Avanti.

    Configurare Windows Hello for Business

  5. Nella finestra di dialogo Impostazioni seguire questa procedura:

    Configurare Windows Hello for Business

    a. Per Configura Windows Hello for Business selezionare Attivato.

    b. Per Usa Trusted Platform Module (TPM) selezionare Richiesto.

    c. Per Metodo di autenticazione selezionare Basata su certificati.

    d. Fare clic su Avanti.

  6. Nella finestra di dialogo Riepilogo fare clic su Avanti.
  7. Nella finestra di dialogo Completamento fare clic su Chiudi.
  8. Nel barra degli strumenti in alto fare clic su Distribuisci.

    Configurare Windows Hello for Business

Configurare il profilo certificato

Se si usa l'autenticazione basata su certificato per l'autenticazione locale, è necessario configurare e distribuire un profilo del certificato. Questa attività richiede di configurare un server NDES e il ruolo del sito del punto di registrazione certificati in System Center Configuration Manager. Per altre informazioni, vedere Prerequisiti per i profili certificato in Configuration Manager.

  1. Aprire System Center Configuration Manager, quindi passare ad Asset e conformità > Impostazioni di conformità > Accesso risorse aziendali > Profili certificato.
  2. Selezionare un modello dotato di utilizzo chiavi avanzato (EKU) per l'accesso con smart card.

Nella pagina Registrazione SCEP del profilo certificato è necessario scegliere Installa in Passport for Work oppure genera errore come Provider di archiviazione chiavi.

Passaggi successivi