Implementare Microsoft Passport nell'organizzazione
Puoi creare Criteri di gruppo o criteri di gestione dei dispositivi mobili (MDM) che consentono di implementare Microsoft Passport nei dispositivi che eseguono Windows 10.
Importante
L'impostazione di Criteri di gruppo Attiva accesso con PIN non si applica a Windows 10. Usa le impostazioni dei criteri Microsoft Passport for Work per la gestione dei PIN.
Impostazioni di Criteri di gruppo per Passport
La tabella seguente elenca le impostazioni di Criteri di gruppo che puoi configurare per l'uso di Passport nella rete aziendale. Queste impostazioni sono disponibili in Configurazione computer > Criteri > Modelli amministrativi > Componenti di Windows > Microsoft Passport for Work.
| Criterio | Opzioni | |
|---|---|---|
| Usa Microsoft Passport for Work |
Non configurato: gli utenti possono eseguire il provisioning di Passport for Work, che crittografa la password di dominio. Abilitato: il dispositivo esegue il provisioning di Passport for Work tramite chiavi o certificati per tutti gli utenti. Disabilitato: il dispositivo non esegue il provisioning di Passport for Work per alcun utente. | |
| Usa un dispositivo di sicurezza hardware |
Non configurato: il provisioning di Passport for Work verrà eseguito tramite TPM, se disponibile, e verrà eseguito tramite software se TPM non è disponibile. Abilitato: il provisioning di Passport for Work verrà eseguito solo tramite TPM. Disabilitato: il provisioning di Passport for Work verrà eseguito tramite TPM, se disponibile, e verrà eseguito tramite software se TPM non è disponibile. | |
| Usa biometria |
Non configurato: la biometria può essere usata come gesto al posto di un PIN. Abilitato: la biometria può essere usata come gesto al posto di un PIN. Disabilitato: solo un PIN può essere usato come gesto. | |
| Complessità PIN | Richiedi numeri |
Non configurato: gli utenti devono includere un numero nel PIN. Abilitato: gli utenti devono includere un numero nel PIN. Disabilitato: gli utenti non possono usare numeri nel PIN. |
| Richiedi lettere minuscole |
Non configurato: gli utenti non possono usare lettere minuscole nel PIN. Abilitato: gli utenti devono includere almeno una lettera minuscola nel PIN. Disabilitato: gli utenti non possono usare lettere minuscole nel PIN. | |
| Lunghezza massima PIN |
Non configurato: la lunghezza del PIN deve essere minore o uguale a 127. Abilitato: la lunghezza del PIN deve essere minore o uguale al numero specificato. Disabilitato: la lunghezza del PIN deve essere minore o uguale a 127. | |
| Lunghezza minima PIN |
Non configurato: la lunghezza del PIN deve essere maggiore o uguale a 4. Abilitato: la lunghezza del PIN deve essere maggiore o uguale al numero specificato. Disabilitato: la lunghezza del PIN deve essere maggiore o uguale a 4. | |
| Scadenza |
Non configurato: non è prevista alcuna scadenza per il PIN. Abilitato: il PIN può essere impostato per la scadenza dopo qualsiasi numero di giorni compreso tra 1 e 730 oppure in modo da non avere alcuna scadenza impostando il criterio su 0. Disabilitato: non è prevista alcuna scadenza per il PIN. | |
| Cronologia |
Non configurato: i PIN precedenti non sono memorizzati. Abilitato: specificare il numero di PIN precedenti associati a un account utente che non possono essere riutilizzati. Disabilitato: i PIN precedenti non sono memorizzati. Nota Il PIN corrente è incluso nella cronologia dei PIN. | |
| Richiedi caratteri speciali |
Non configurato: gli utenti non possono includere un carattere speciale nel PIN. Abilitato: gli utenti devono includere almeno un carattere speciale nel PIN. Disabilitato: gli utenti non possono includere un carattere speciale nel PIN. | |
| Richiedi lettere maiuscole |
Non configurato: gli utenti non possono includere una lettera maiuscola nel PIN. Abilitato: gli utenti devono includere almeno una lettera maiuscola nel PIN. Disabilitato: gli utenti non possono includere una lettera maiuscola nel PIN. | |
| Passport remoto |
Usa Passport remoto Nota Si applica solo ai desktop. L'accesso telefonico è attualmente limitato a partecipanti del programma TAP (Technology Adoption Program) selezionati. |
Non configurato: Passport remoto è disabilitato. Abilitato: gli utenti possono usare un dispositivo portatile registrato come dispositivo complementare per l'autenticazione desktop. Disabilitato: Passport remoto è disabilitato. |
Impostazioni dei criteri MDM per Passport
La tabella seguente elenca le impostazioni dei criteri MDM che puoi configurare per l'uso di Passport nella rete aziendale. Queste impostazioni dei criteri MDM usano il provider di servizi di configurazione PassportForWork.
| Criterio | Ambito | Impostazione predefinita | Opzioni | |
|---|---|---|---|---|
| UsePassportForWork | Dispositivo | True |
True: verrà effettuato il provisioning di Passport per tutti gli utenti del dispositivo. False: gli utenti non saranno in grado di eseguire il provisioning di Passport. Nota Se Passport è abilitato e in seguito il criterio viene impostato su False, gli utenti che hanno configurato Passport in precedenza possono continuare a usarlo, ma non potranno configurare Passport su altri dispositivi. | |
| RequireSecurityDevice | Dispositivo | False |
True: il provisioning di Passport verrà eseguito solo tramite TPM. False: il provisioning di Passport verrà eseguito tramite TPM, se disponibile, e verrà eseguito tramite software se TPM non è disponibile. | |
| Biometria |
UseBiometrics | Dispositivo | False |
True: la biometria può essere usata come gesto al posto di un PIN per l'accesso al dominio. False: solo un PIN può essere usato come gesto per l'accesso al dominio. |
|
FacialFeaturesUser EnhancedAntiSpoofing | Dispositivo | Non configurato |
Non configurato: gli utenti possono scegliere se attivare l'anti-spoofing avanzato. True: l'anti-spoofing avanzato è obbligatorio nei dispositivi che lo supportano. False: gli utenti non possono attivare l'anti-spoofing avanzato. | |
| PINComplexity | ||||
| Cifre | Dispositivo o utente | 2 |
1: i numeri non sono consentiti. 2: è obbligatorio almeno un numero. | |
| Lettere minuscole | Dispositivo o utente | 1 |
1: le lettere minuscole non sono consentite. 2: è obbligatoria almeno una lettera minuscola. | |
| Lunghezza massima PIN | Dispositivo o utente | 127 |
La lunghezza massima che può essere impostata è 127. La lunghezza massima non può essere minore dell'impostazione minima. | |
| Lunghezza minima PIN | Dispositivo o utente | 4 |
La lunghezza minima che può essere impostata è 4. La lunghezza minima non può essere maggiore dell'impostazione massima. | |
| Scadenza | Dispositivo o utente | 0 |
Valore intero che specifica il periodo di tempo (in giorni) per cui un PIN può essere usato prima che il sistema richieda all'utente di modificarlo. Il numero massimo che puoi configurare per questa impostazione è 730. Il numero minimo che puoi configurare per questa impostazione è 0. Se questo criterio è impostato su 0, il PIN dell'utente non avrà alcuna scadenza. | |
| Cronologia | Dispositivo o utente | 0 |
Valore intero che specifica il numero di PIN precedenti associati a un account utente che non possono essere riutilizzati. Il numero massimo che puoi configurare per questa impostazione è 50. Il numero minimo che puoi configurare per questa impostazione è 0. Se questo criterio è impostato su 0, la memorizzazione dei PIN precedenti non è obbligatoria. | |
| Caratteri speciali | Dispositivo o utente | 1 |
1: i caratteri speciali non sono consentiti 2: è obbligatorio almeno un carattere speciale | |
| Lettere maiuscole | Dispositivo o utente | 1 |
1: le lettere maiuscole non sono consentite 2: è obbligatoria almeno una lettera maiuscola | |
| Remoto |
UseRemotePassport Nota Si applica solo ai desktop. L'accesso telefonico è attualmente limitato a partecipanti del programma TAP (Technology Adoption Program) selezionati. | Dispositivo o utente | False |
True: Passport remoto è abilitato. False: Passport remoto è disabilitato. |
Nota
Se per i criteri non è configurato l'obbligo esplicito di usare lettere o caratteri speciali, gli utenti potranno creare solo PIN numerici.
Prerequisiti
Per impostare i criteri di Microsoft Passport nell'organizzazione è necessario questo software.
| Modalità Microsoft Passport | Azure AD | Active Directory (AD) locale (disponibile con la versione di produzione di Windows Server 2016 Technical Preview) | Azure AD/AD ibrida (disponibile con la versione di produzione di Windows Server 2016 Technical Preview) |
|---|---|---|---|
| Autenticazione basata su chiave | Sottoscrizione Azure AD |
|
|
| Autenticazione basata su certificati |
|
|
|
Configuration Manager e MDM offrono la possibilità di gestire i criteri di Passport e di distribuire e gestire i certificati protetti da Passport.
Azure AD consente di registrare i dispositivi con l'organizzazione e di eseguire il provisioning di Passport per gli account dell'organizzazione.
Active Directory offre la possibilità di autorizzare gli utenti e i dispositivi con chiavi protette da Passport se i controller di dominio eseguono Windows 10 e il servizio di provisioning Microsoft Passport in AD FS di Windows 10.
Passport per BYOD
Passport può essere gestito nei dispositivi personali usati dai dipendenti per scopi di lavoro con MDM. Nei dispositivi personali, gli utenti possono creare un PIN Passport personale per sbloccare il dispositivo e un PIN per il lavoro distinto per l'accesso alle risorse aziendali.
Il PIN per il lavoro viene gestito tramite gli stessi criteri Passport che puoi usare per gestire Passport nei dispositivi di proprietà dell'organizzazione. Il PIN personale viene gestito separatamente con criteri DeviceLock. I criteri DeviceLock possono essere usati per controllare i requisiti di lunghezza, complessità, cronologia e scadenza e possono essere configurati tramite il provider di servizi di configurazione dei criteri.
Argomenti correlati
La biometria di Windows Hello in ambiente aziendale
Perché il PIN è meglio di una password
Gestire la verifica dell'identità tramite Microsoft Passport
Preparare gli utenti a usare Microsoft Passport
Microsoft Passport e modifiche delle password