Usare Windows Hello for BusinessUse Windows Hello for Business

Si applica a: Intune in AzureApplies to: Intune on Azure
Serve documentazione su Intune nella console classica?Looking for documentation about Intune in the classic console? Fare clic qui.Go to here.

Microsoft Intune si integra con Windows Hello for Business (precedentemente noto come Microsoft Passport for Work), un metodo di accesso alternativo che usa Active Directory o un account Azure Active Directory per sostituire una password, una smart card o una smart card virtuale.Microsoft Intune integrates with Windows Hello for Business (formerly Microsoft Passport for Work), an alternative sign-in method that uses Active Directory or an Azure Active Directory account to replace a password, smart card, or a virtual smart card.

Hello for Business consente di eseguire l'accesso usando un movimento dell'utente invece di una password.Hello for Business lets you use a user gesture to sign in, instead of a password. Un movimento dell'utente può essere un PIN semplice, l'autenticazione biometrica come Windows Hello o un dispositivo esterno come un lettore di impronte digitali.A user gesture might be a simple PIN, biometric authentication such as Windows Hello, or an external device such as a fingerprint reader.

Intune si integra con Hello for Business in due modi:Intune integrates with Hello for Business in two ways:

  • È possibile usare i criteri di Intune per controllare i movimenti che gli utenti possono usare o meno per l'accesso.You can use an Intune policy to control which gestures users can and cannot use to sign in.
Importante

Nelle versioni di Windows 10 Desktop e Mobile precedenti all'aggiornamento dell'anniversario era possibile impostare due diversi PIN da usare per l'autenticazione alle risorse:In Windows 10 desktop and mobile versions prior to the Anniversary Update, you could set two different PINS that could be used to authenticate to resources:

  • Il PIN dispositivo che poteva essere usato per sbloccare il dispositivo e connetterlo alle risorse cloud.The device PIN could be used to unlock the device and connect to cloud resources.
  • Il PIN per lavoro che veniva usato per accedere alle risorse di Azure AD nei dispositivi personali dell'utente (BYOD).The work PIN was used to access Azure AD resources on user’s personal devices (BYOD).

Nell'aggiornamento dell'anniversario questi due PIN sono stati uniti in un unico PIN dispositivo.In the Anniversary Update, these two PINS were merged into one single device PIN. Eventuali criteri di configurazione di Intune impostati per controllare il PIN del dispositivo ed eventuali criteri di Windows Hello for Business configurati, ora impostano questo nuovo valore di PIN.Any Intune configuration policies you set to control the device PIN, and additionally, any Windows Hello for Business policies you configured, now both set this new PIN value. Se entrambi i tipi di criteri sono stati impostati per controllare il PIN, i criteri di Windows Hello for Business verranno applicati ai dispositivi Windows 10 Desktop e Mobile.If you have set both policy types to control the PIN, the Windows Hello for Business policy will be applied on both Windows 10 desktop and mobile devices. Per assicurarsi che i conflitti dei criteri vengano risolti e che i criteri dei PIN vengano applicati correttamente, aggiornare i criteri di Windows Hello for Business in modo che corrispondano alle impostazioni nei criteri di configurazione e chiedere agli utenti di sincronizzare i propri dispositivi nell'app Portale aziendale.To ensure policy conflicts are resolved and that the PIN policy is applied correctly, update your Windows Hello for Business Policy to match the settings in your configuration policy, and ask your users to sync their devices in the Company Portal app.

Creare un criterio di Windows Hello for BusinessCreate a Windows Hello for Business policy

  1. Nel portale di Azure scegliere Altri servizi > Monitoraggio e gestione > Intune.In the Azure portal, choose More Services > Monitoring + Management > Intune.

  2. Nel pannello Intune scegliere Registra i dispositivi e quindi selezionare Gestisci > Windows Hello for Business.On the Intune blade, choose Enroll devices, and then choose Manage > Windows Hello for Business.

  3. Nel pannello visualizzato scegliere le impostazioni predefinite.On the blade that opens, choose the Default settings.

  4. Nel pannello Tutti gli utenti fare clic su Proprietà e immettere un nome e una descrizione facoltativa per le impostazioni di Windows Hello for Business.On the All Users blade, click Properties and then enter a Name and optional Description for the Windows Hello for Business settings.

  5. Nel pannello Tutti gli utenti fare clic su Impostazioni e quindi per Configura Windows Hello for Business scegliere tra le seguenti impostazioni:On the All Users blade, click Settings and then choose from the following for Configure Windows Hello for Business:

    • Disabilitato.Disabled. Selezionare questa impostazione se non si vuole usare Windows Hello for Business.If you don't want to use Windows Hello for Business, select this setting. Tutte le altre impostazioni nella schermata risultano non disponibili.All other settings on the screen are then unavailable.
    • Attivata.Enabled. Selezionare questa impostazione se si vuole configurare le impostazioni di Windows Hello for Business.Select this setting if you want to configure Windows Hello for Business settings.
    • Non configurato.Not configured. Selezionare questa impostazione se non si vuole usare Intune per controllare le impostazioni di Windows Hello for Business.Select this setting if you don't want to use Intune to control Windows Hello for Business settings. Eventuali impostazioni di Windows Hello for Business presenti nei dispositivi Windows 10 non verranno modificate.Any existing Windows Hello for Business settings on Windows 10 devices will not be changed. Tutte le altre impostazioni nel pannello non sono disponibili.All other settings on the blade are unavailable.
  6. Se si seleziona Abilitato nel passaggio precedente, configurare le impostazioni obbligatorie che verranno applicate a tutti i dispositivi Windows 10 e Windows 10 Mobile registrati.If you selected Enabled in the previous step, configure the required settings that will be applied to all enrolled Windows 10 and Windows 10 Mobile devices.

    • Usa un modulo TPM (Trusted Platform Module).Use a Trusted Platform Module (TPM). Un chip TPM (Trusted Platform Module) fornisce un livello aggiuntivo di sicurezza dei dati.A TPM chip provides an additional layer of data security.
      Scegliere uno dei valori seguenti:Choose one of the following values:

      • Obbligatorio (impostazione predefinita).Required (default). Solo i dispositivi con un modulo TPM accessibile possono eseguire il provisioning di Windows Hello for Business.Only devices with an accessible TPM can provision Windows Hello for Business.
      • Preferito.Preferred. I dispositivi provano a usare prima un modulo TPM.Devices first attempt to use a TPM. Se non è disponibile, possono usare la crittografia software.If this is not available, they can use software encryption.
    • Richiedi lunghezza minima del PIN/Richiedi lunghezza massima del PIN.Require minimum PIN length/Require maximum PIN length. Configura i dispositivi in modo che usino i valori massimo e minimo specificati per la lunghezza del PIN per garantire l'accesso protetto.Configures devices to use the minimum and maximum PIN lengths that you specify to help ensure secure sign-in. La lunghezza del PIN predefinita è 6 caratteri, ma è possibile applicare una lunghezza minima di 4 caratteri.The default PIN length is 6 characters, but you can enforce a minimum length of 4 characters. La lunghezza massima del PIN è 127 caratteri.The maximum PIN length is 127 characters.

    • Richiedi lettere minuscole nel PIN/Richiedi lettere maiuscole nel PIN/Caratteri speciali nel PIN.Require lowercase letters in PIN/Require uppercase letters in PIN/Require special characters in PIN. Per applicare un PIN più complesso, richiedere l'utilizzo di lettere maiuscole, lettere minuscole e caratteri speciali nel PIN.You can enforce a stronger PIN by requiring the use of uppercase letters, lowercase letters, and special characters in the PIN. È possibile scegliere tra:Choose from:

      • Consentito.Allowed. Gli utenti possono usare il tipo di carattere specificato nel proprio PIN, ma non è obbligatorio.Users can use the character type in their PIN, but it is not mandatory.

      • Obbligatorio.Required. Gli utenti devono includere almeno uno dei tipi di carattere specificati nel PIN.Users must include at least one of the character types in their PIN. Ad esempio, di solito si richiede almeno una lettera maiuscola e un carattere speciale.For example, it's common practice to require at least one uppercase letter and one special character.

      • Non consentito (impostazione predefinita).Not allowed (default). Gli utenti non devono usare questi tipi di carattere nel PIN.Users must not use these character types in their PIN. Se l'opzione non è configurata, questa è l'impostazione predefinita.(This is also the behavior if the setting is not configured.)
        I caratteri speciali includono: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~Special characters include: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

    • Scadenza PIN (giorni).PIN expiration (days). Si consiglia di specificare un periodo di scadenza dopo il quale gli utenti finali devono modificare il PIN.It's a good practice to specify an expiration period for a PIN, after which users must change it. L'impostazione predefinita è 41 giorni.The default is 41 days.

    • Ricorda cronologia PIN.Remember PIN history. Limita il riutilizzo di PIN usati in precedenza.Restricts the reuse of previously used PINs. Per impostazione predefinita, non è possibile riutilizzare gli ultimi 5 PIN.By default, the last 5 PINs cannot be reused.

    • Consenti autenticazione biometrica.Allow biometric authentication. Abilita l'autenticazione biometrica, ad esempio il riconoscimento facciale o delle impronte digitali, come alternativa a un PIN di Windows Hello for Business.Enables biometric authentication, such as facial recognition or fingerprint, as an alternative to a PIN for Windows Hello for Business. Gli utenti devono comunque configurare un PIN aziendale in caso di errore dell'autenticazione biometrica.Users must still configure a work PIN in case biometric authentication fails. È possibile scegliere tra:Choose from:

      • .Yes. Windows Hello for Business consente l'autenticazione biometrica.Windows Hello for Business allows biometric authentication.
      • No.No. Windows Hello for Business impedisce l'autenticazione biometrica per tutti i tipi di account.Windows Hello for Business prevents biometric authentication (for all account types).
    • Usa anti-spoofing avanzato, se disponibile.Use enhanced anti-spoofing, when available. Consente di configurare se usare le funzionalità di anti-spoofing di Windows Hello nei dispositivi che lo supportano, ad esempio il rilevamento di una fotografia di un viso invece di un viso reale.Configures whether the anti-spoofing features of Windows Hello are used on devices that support it (for example, detecting a photograph of a face instead of a real face).
      Se impostato su , Windows richiede a tutti gli utenti di usare la funzionalità di anti-spoofing per le caratteristiche del viso, se supportata.If this is set to Yes, Windows requires all users to use anti-spoofing for facial features when that is supported.

    • Usare l'accesso tramite telefono.Use phone sign-in. Se questa opzione è impostata su , gli utenti possono usare Passport remoto come dispositivo portatile complementare per l'autenticazione del computer desktop.If this option is set to Yes, users can use a remote passport to serve as a portable companion device for desktop computer authentication. Il computer desktop deve essere aggiunto ad Azure Active Directory e il dispositivo complementare deve essere configurato con un PIN di Windows Hello for Business.The desktop computer must be Azure Active Directory joined, and the companion device must be configured with a Windows Hello for Business PIN.

Altre informazioniFurther information

Per altre informazioni su Microsoft Passport, vedere la guida nella documentazione di Windows 10.For more information about Microsoft Passport, see the guide in the Windows 10 documentation.

Per inviare commenti e suggerimenti sul prodotto, visita la pagina Intune Feedback