Abilitare Microsoft Windows Hello for Business nell'organizzazioneEnable Microsoft Windows Hello for Business in your organization

Dopo aver connesso i dispositivi appartenenti a un dominio di Windows 10 ad Azure Active Directory, seguire questa procedura per abilitare Microsoft Windows Hello for Business nell'organizzazione:After connecting Windows 10 domain-joined devices with Azure Active Directory, do the following to enable Microsoft Windows Hello for Business in your organization:

  1. Distribuire System Center Configuration ManagerDeploy System Center Configuration Manager
  2. Configurare le impostazioni dei criteriConfigure policy settings
  3. Configurare il profilo certificatoConfigure the certificate profile

Distribuire System Center Configuration ManagerDeploy System Center Configuration Manager

Per distribuire certificati utente in base alle chiavi di Windows Hello for Business, è necessario quanto segue:To deploy user certificates based on Windows Hello for Business keys, you need the following:

Configurare le impostazioni dei criteriConfigure policy settings

Per configurare le impostazioni dei criteri di Microsoft Windows Hello for Business, sono disponibili due opzioni:To configure the Microsoft Windows Hello for Business policy settings, you have two options:

  • Criteri di gruppo in Active DirectoryGroup Policy in Active Directory
  • System Center Configuration ManagerThe System Center Configuration Manager

Usare Criteri di gruppo in Active Directory è il metodo consigliato per configurare le impostazioni dei criteri di Microsoft Windows Hello for Business.Using Group Policy in Active Directory is the recommended method to configure Microsoft Windows Hello for Business policy settings.

Usare System Center Configuration Manager è il metodo preferito quando lo si usa anche per distribuire i certificati.Using System Center Configuration Manager is the preferred method when you also use it to deploy certificates. Questo scenario:This scenario:

  • Assicura la compatibilità con gli scenari di distribuzione più recentiEnsures compatibility with the newer deployment scenarios
  • Richiede Windows 10 versione 1607 o successiva sul lato client.Requires on the client side Windows 10 Version 1607 or better.

Configurare Microsoft Windows Hello for Business tramite Criteri di gruppo in Active DirectoryConfigure Microsoft Windows Hello for Business via group policy in Active Directory

Passaggi:Steps:

  1. Aprire Server Manager e passare a Strumenti > Gestione Criteri di gruppo.Open Server Manager, and navigate to Tools > Group Policy Management.
  2. Da Gestione Criteri di gruppo passare al nodo corrispondente al dominio in cui abilitare la funzionalità di aggiunta ad Azure AD.From Group Policy Management, navigate to the domain node that corresponds to the domain in which you want to enable Azure AD Join.
  3. Fare clic con il pulsante destro del mouse su Oggetti Criteri di gruppo e scegliere Nuovo.Right-click Group Policy Objects, and select New. Assegnare un nome all'oggetto Criteri di gruppo, ad esempio Abilita Windows Hello for Business.Give your Group Policy Object a name, for example, Enable Windows Hello for Business. Fare clic su OK.Click OK.
  4. Fare clic con il pulsante destro del mouse sul nuovo oggetto Criteri di gruppo e scegliere Modifica.Right-click your new Group Policy Object, and then select Edit.
  5. Passare a Configurazione computer > Criteri > Modelli amministrativi > Componenti di Windows > Windows Hello for Business.Navigate to Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Hello for Business.
  6. Fare doppio clic su Abilita Windows Hello for Business e selezionare Modifica.Right-click Enable Windows Hello for Business, and then select Edit.
  7. Selezionare il pulsante di opzione Abilitato e fare clic su Applica.Select the Enabled option button, and then click Apply. Fare clic su OK.Click OK.
  8. È ora possibile collegare l'oggetto Criteri di gruppo a una posizione di propria scelta.You can now link the Group Policy Object to a location of your choice. Per abilitare questo oggetto per tutti i dispositivi appartenenti a un dominio di Windows 10 nell'organizzazione, collegarlo al dominio.To enable this policy for all of the domain-joined Windows 10 devices in your organization, link the Group Policy to the domain. Ad esempio: For example:
    • Una specifica unità organizzativa in Active Directory in cui saranno posizionati i computer Windows 10 aggiunti a un dominio.A specific organizational unit (OU) in Active Directory where Windows 10 domain-joined computers will be located
    • Uno specifico gruppo di sicurezza contenente i computer appartenenti a un dominio di Windows 10 che verranno registrati automaticamente in Azure AD.A specific security group that contains Windows 10 domain-joined computers that will be automatically registered with Azure AD

Configurare Windows Hello for Business mediante System Center Configuration ManagerConfigure Windows Hello for Business using System Center Configuration Manager

Passaggi:Steps:

  1. Aprire System Center Configuration Manager, passare ad Asset e conformità > Impostazioni di conformità > Accesso risorse aziendali > Profili Windows Hello for Business.Open the System Center Configuration Manager, and then navigate to Assets & Compliance > Compliance Settings > Company Resource Access > Windows Hello for Business Profiles.

    Configurare Windows Hello for Business

  2. Nella barra degli strumenti nella parte superiore fare clic su Crea profilo Windows Hello for Business.In the toolbar on the top, click Create Windows Hello for business Profile.

    Configurare Windows Hello for Business

  3. Nella finestra di dialogo Generale seguire questa procedura:On the General dialog, perform the following steps:

    Configurare Windows Hello for Business

    a.a. Nella casella di testo Nome digitare un nome per il profilo, ad esempio Il mio profilo WHfB.In the Name textbox, type a name for your profile, for example, My WHfB Profile.

    b.b. Fare clic su Avanti.Click Next.

  4. Nella finestra di dialogo Piattaforme supportate selezionare le piattaforme che saranno fornite con questo profilo Windows Hello for Business e fare clic su Avanti.On the Supported Platforms dialog, select the platforms that will be provisioned with this Windows Hello for business profile, and then click Next.

    Configurare Windows Hello for Business

  5. Nella finestra di dialogo Impostazioni seguire questa procedura:On the Settings dialog, perform the following steps:

    Configurare Windows Hello for Business

    a.a. Per Configura Windows Hello for Business selezionare Attivato.As Configure Windows Hello for Business, select Enabled.

    b.b. Per Usa Trusted Platform Module (TPM) selezionare Richiesto.As Use a Trusted Platform Module (TPM), select Required.

    c.c. Per Metodo di autenticazione selezionare Basata su certificati.As Authentication method, select Certificate-based.

    d.d. Fare clic su Avanti.Click Next.

  6. Nella finestra di dialogo Riepilogo fare clic su Avanti.On the Summary dialog, click Next.
  7. Nella finestra di dialogo Completamento fare clic su Chiudi.On the Completion dialog, click Close.
  8. Nel barra degli strumenti in alto fare clic su Distribuisci.In the toolbar on the top, click Deploy.

    Configurare Windows Hello for Business

Configurare il profilo certificatoConfigure the certificate profile

Se si usa l'autenticazione basata su certificato per l'autenticazione locale, è necessario configurare e distribuire un profilo del certificato.If you are using certificate-based authentication for on-premises authentication, you need to configure and deploy a certificate profile. Questa attività richiede di configurare un server NDES e il ruolo del sito del punto di registrazione certificati in System Center Configuration Manager.This task requires you to set up an NDES server and Certificate Registration Point site role in the System Center Configuration Manager. Per altre informazioni, vedere Prerequisiti per i profili certificato in Configuration Manager.For more details, see the Prerequisites for Certificate Profiles in Configuration Manager.

  1. Aprire System Center Configuration Manager, quindi passare ad Asset e conformità > Impostazioni di conformità > Accesso risorse aziendali > Profili certificato.Open the System Center Configuration Manager, and then navigate to Assets & Compliance > Compliance Settings > Company Resource Access > Certificate Profiles.
  2. Selezionare un modello dotato di utilizzo chiavi avanzato (EKU) per l'accesso con smart card.Select a template that has Smart Card sign-in extended key usage (EKU).

Nella pagina Registrazione SCEP del profilo certificato è necessario scegliere Installa in Passport for Work oppure genera errore come Provider di archiviazione chiavi.On the SCEP Enrollment page of the certificate profile, you need to choose Install to Passport for Work otherwise fail as the Key Storage Provider.

Passaggi successiviNext steps