Unlock a più fattori

Si applica a:

  • Windows 10
  • Windows 11

Requisiti:

  • Distribuzione di Windows Hello for Business (ibrida o locale)
  • Azure AD, Azure AD ibrida o aggiunto a un dominio (distribuzioni cloud, ibride o locali)
  • Windows 10 versione 1709 o successiva o Windows 11
  • Bluetooth, Bluetooth in grado di supportare lo smartphone - facoltativo

Attualmente Windows in modo nativo supporta solo l'utilizzo di credenziali singole (password, PIN, impronta digitale, rilevamento del volto e così via) per sbloccare un dispositivo. Pertanto, se una qualsiasi di queste credenziali viene compromessa (shoulder surfing), un utente malintenzionato potrebbe ottenere l'accesso al sistema.

Windows 10 e Windows 11 offrono lo sblocco del dispositivo a più fattori estendendo Windows Hello con segnali attendibili. Gli amministratori possono configurare i Windows per richiedere una combinazione di fattori e segnali attendibili per sbloccare i dispositivi.

Quali organizzazioni possono sfruttare lo sblocco a più fattori? Quelle che:

  • Hanno espresso che i PIN da soli non soddisfano le loro esigenze di sicurezza.
  • Desiderano impedire agli Information Worker di condividere le credenziali.
  • Vogliono che le loro organizzazioni rispettino i criteri normativi di autenticazione a due fattori.
  • Si desidera mantenere l'esperienza Windows utente di accesso e non si accontenti di una soluzione personalizzata.

Puoi abilitare lo sblocco a più fattori usando Criteri di gruppo. Le impostazioni dei criteri Configura fattori di sblocco dispositivo sono disponibili in Configurazione computer\Modelli amministrativi\Componenti di Windows\Windows Hello for Business.

Nozioni di base: Come funziona

Il primo provider di credenziali a fattore di sblocco e il secondo provider di credenziali di sblocco sono responsabili della maggior parte della configurazione. Ognuno di questi componenti contiene un identificatore univoco globale (GUID) che rappresenta un provider di Windows credenziali diverso. Con l'impostazione dei criteri abilitata, gli utenti sbloccano il dispositivo utilizzando almeno un provider di credenziali da ogni categoria prima che Windows consenta all'utente di passare al desktop.

L'impostazione dei criteri include tre componenti:

  • Provider di credenziali del primo fattore di sblocco
  • Provider di credenziali del secondo fattore di sblocco
  • Regole di segnale per lo sblocco del dispositivo

Configurazione fattori di sblocco

La parte Provider di credenziali del primo fattore di sblocco e Provider di credenziali del secondo fattore di sblocco dell'impostazione dei criteri contiene ciascuna un elenco delimitato da virgole di provider di credenziali.

I provider di credenziali supportati includono:

Provider di credenziali GUID
PIN {D6886603-9D2F-4EB2-B667-1971041FA96B}
Impronta digitale {BEC09223-B018-416D-A0AC-523971B639F5}
Riconoscimento facciale {8AF662BF-65A0-4D0A-A540-A338A999D36F}
Segnale attendibile
(prossimità telefono, percorso di rete)
{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

Nota

Lo sblocco a più fattori non supporta i provider di credenziali di terze parti o provider di credenziali non elencati nella tabella precedente.

I provider di credenziali predefiniti per il provider di credenziali del primo fattore di sblocco includono:

  • PIN
  • Impronta digitale
  • Riconoscimento facciale

I provider di credenziali predefiniti per il provider di credenziali del secondo fattore di sblocco includono:

  • Segnale attendibile
  • PIN

Configura un elenco delimitato da virgole di GUID di provider di credenziali che desideri utilizzare come primo e secondo fattore di sblocco. Mentre un provider di credenziali può essere visualizzato in entrambi gli elenchi, tieni presente che una credenziale supportata da tale provider può soddisfare solo uno dei fattori di sblocco. I provider di credenziali elencati non devono essere necessariamente elencati in un ordine specifico.

Ad esempio, se includi il PIN e i provider di credenziali per impronte digitali gli entrambi gli elenchi di primo e secondo fattore, un utente può utilizzare l'impronta digitale o il PIN come primo fattore di sblocco. Tuttavia, qualsiasi fattore utilizzato per soddisfare il primo fattore di sblocco non può essere utilizzato per soddisfare il secondo fattore di sblocco. Ogni fattore può pertanto essere utilizzato una sola volta. Il provider di segnale attendibile può solo essere specificato come parte dell'elenco di provider di credenziali del secondo fattore sblocco.

Configurare regole del segnale per il provider di credenziali del segnale attendibile

L'impostazione regole del segnale per lo sblocco del dispositivo contiene le regole che il provider di credenziali del segnale attendibile utilizza per eseguire lo sblocco del dispositivo.

Elemento regola

Le regole del segnale devono essere rappresentate in formato XML. Ogni regola del segnale ha un elemento regola di inizio e di fine che contiene il valore e l'attributo schemaVersion. La versione corrente dello schema supportata è 1.0.

Esempio

<rule schemaVersion="1.0">
</rule>

Elemento segnale

Ogni elemento regola ha un elemento segnale. Tutti gli elementi segnale hanno un valore e un elemento tipo. Windows 10 versione 1709 o successiva supporta i valori di tipo ipConfig e bluetooth.

Attributo Valore
tipo "bluetooth" o "ipConfig" (Windows 10 versione 1709) o successiva
Tipo "wifi" (Windows 10 versione 1803 o successiva)

Bluetooth

Definisci il segnale bluetooth con attributi aggiuntivi nell'elemento del segnale. La configurazione bluetooth non utilizza altri elementi. È possibile terminare l'elemento segnale con un tag di fine breve "/>".

Attributo Valore Obbligatorio
tipo "bluetooth"
scenario "Autenticazione"
classOfDevice "numero" no
rssiMin "numero" no
rssiMaxDelta "numero" no

Esempio

<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

Per impostazione predefinita, l'attributo classofDevice Telefono e usa i valori della tabella seguente:

Descrizione Valore
Varie 0
Computer 256
Telefono 512
Punto di accesso alla rete/LAN 768
Audio/Video 1024
Periferica 1280
Creazione di immagini 1536
Dispositivo indossabile 1792
Giocattolo 2048
Integrità 2304
Non classificato 7936

La potenza del segnale del valore dell'attributo rssiMin indica la potenza necessaria per il dispositivo da considerare "nell'intervallo". Il valore predefinito di -10 consente all'utente di spostarsi in una postazione o ufficio di dimensioni medie senza attivare Windows per bloccare il dispositivo. RssiMaxDelta ha un valore predefinito di -10, che indica Windows bloccare il dispositivo quando la potenza del segnale si attenua di oltre 10.

Le misurazioni RSSI sono relative e inferiori quando si abbassano i segnali bluetooth tra i due dispositivi associati. Di conseguenza un valore pari a 0 è più forte di -10 che a sua volta è più forte di -60 che è l'indicatore che i dispositivi si stanno ulteriormente separando tra loro.

Importante

Microsoft consiglia di utilizzare i valori predefiniti per questa impostazione di criteri. Le misurazioni sono relative secondo le diverse condizioni di ciascun ambiente. Di conseguenza, gli stessi valori possono produrre risultati diversi. Verifica le impostazioni dei criteri in ogni ambiente prima della distribuzione dell'impostazione su larga scala. Utilizza i valori rssiMIN e rssiMaxDelta dal file XML creato dall'Editor Gestione Criteri di gruppo o rimuovi entrambi gli attributi per utilizzare i valori predefiniti.

Configurazione IP

È possibile definire i segnali di configurazione IP utilizzando uno o più elementi ipConfiguration. Ogni elemento ha un valore di stringa. Gli elementi IpConfiguration non dispongono di attributi o elementi annidati.

IPv4Prefix

Il prefisso di rete IPv4 rappresentato in notazione decimale puntata standard di Internet. Un prefisso di rete che usa la notazione Classless Inter-Domain Routing (CIDR) è necessario come parte della stringa di rete. Una porta di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv4Prefix.

Esempio

<ipv4Prefix>192.168.100.0/24</ipv4Prefix>

Gli indirizzi IPv4 assegnati nell'intervallo da 192.168.100.1 a 192.168.100.254 corrispondono a questa configurazione del segnale.

IPv4Gateway

Il gateway di rete IPv4 rappresentato in notazione decimale puntata standard di Internet. Una porta o prefisso di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv4Gateway.

Esempio

<ipv4Gateway>192.168.100.10</ipv4Gateway>
IPv4DhcpServer

Il server DHCP IPv4 rappresentato in notazione decimale puntata standard di Internet. Una porta o prefisso di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv4DhcpServer.

Esempio

<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>
IPv4DnsServer

Il server DNS IPv4 rappresentato in notazione decimale puntata standard di Internet. Una porta o prefisso di rete non deve essere presente nella stringa di rete. L'elemento segnale può contenere uno o più elementi ipv4DnsServer.

Esempio:

<ipv4DnsServer>192.168.100.10</ipv4DnsServer>
IPv6Prefix

Il prefisso di rete IPv6 rappresentato nella rete IPv6 tramite codifica esadecimale standard Internet. Un prefisso di rete in notazione CIDR è richiesto come parte della stringa di rete. Una porta di rete o ID ambito non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv6Prefix.

Esempio

<ipv6Prefix>21DA:D3::/48</ipv6Prefix>
IPv6Gateway

Il gateway di rete IPv6 rappresentato in codifica esadecimale standard di Internet. Un ID ambito IPv6 potrebbe essere presente nella stringa di rete. Una porta o prefisso di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv6Gateway.

Esempio

<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>
IPv6DhcpServer

Il server DNS IPv6 rappresentato in codifica esadecimale standard di Internet. Un ID ambito IPv6 potrebbe essere presente nella stringa di rete. Una porta o prefisso di rete non deve essere presente nella stringa di rete. Un elemento segnale può contenere solo un elemento ipv6DhcpServer.

Esempio

<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer
IPv6DnsServer

Il server DNS IPv6 rappresentato in codifica esadecimale standard di Internet. Un ID ambito IPv6 potrebbe essere presente nella stringa di rete. Una porta o prefisso di rete non deve essere presente nella stringa di rete. L'elemento segnale può contenere uno o più elementi ipv6DnsServer.

Esempio

<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>
dnsSuffix

Nome di dominio completo del suffisso DNS interno dell'organizzazione in cui qualsiasi parte del nome di dominio completo in questa impostazione è presente nel suffisso DNS primario del computer. L'elemento segnale può contenere uno o più elementi dnsSuffix.

Esempio

<dnsSuffix>corp.contoso.com</dnsSuffix>

Wi-Fi

Si applica a:

  • Windows 10 versione 1803 o successiva

Definisci i Wi-Fi usando uno o più elementi WiFi. Ogni elemento ha un valore di stringa. Gli elementi WiFi non dispongono di attributi o elementi annidati.

SSID

Contiene l'identificatore del set di servizi (SSID) di una rete wireless. SSID è il nome della rete wireless. L'elemento SSID è obbligatorio.

<ssid>corpnetwifi</ssid>

BSSID

Contiene l'identificatore del set di servizi di base (BSSID) di un punto di accesso wireless. BSSID è l'indirizzo Mac del punto di accesso wireless. L'elemento BSSID è facoltativo.

Esempio

<bssid>12-ab-34-ff-e5-46</bssid>

Sicurezza

Contiene il tipo di sicurezza utilizzato dal client per la connessione alla rete wireless. L'elemento security è obbligatorio e deve contenere uno dei valori seguenti:

Value Descrizione
Open La rete wireless è una rete aperta che non richiede alcuna autenticazione o crittografia.
WEP La rete wireless è protetta tramite Privacy equivalente cablata.
WPA-Personal La rete wireless è protetta tramite Wi-Fi accesso protetto.
WPA-Enterprise La rete wireless è protetta Wi-Fi accesso Enterprise.
WPA2-Personal La rete wireless è protetta Wi-Fi Protected Access 2, che in genere utilizza una chiave precondizione.
WPA2-Enterprise La rete wireless è protetta Wi-Fi accesso protetto 2 Enterprise.

Esempio

<security>WPA2-Enterprise</security> 

TrustedRootCA

Contiene l'identificazione personale del certificato radice attendibile della rete wireless. Può trattarsi di qualsiasi certificato radice attendibile valido. Il valore è rappresentato come stringa esadecimale in cui ogni byte della stringa è separato da un singolo spazio. Questo elemento è facoltativo.

Esempio

<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>

Sig_quality

Contiene un valore numerico compreso tra 0 e 100 per rappresentare la potenza del segnale della rete wireless che deve essere considerata un segnale attendibile.

Esempio

<sig_quality>80</sig_quality>

Configurazioni di segnale attendibili di esempio

Questi esempi sono disposti con il ritorno a capo per una migliore leggibilità. Una volta formattato correttamente, l'intero contenuto XML deve essere una singola riga.

Esempio 1

Questo esempio configura un tipo di segnale IPConfig mediante elementi Ipv4Prefix, Ipv4DnsServer e DnsSuffix.

<rule schemaVersion="1.0"> 
    <signal type="ipConfig"> 
        <ipv4Prefix>10.10.10.0/24</ipv4Prefix>
        <ipv4DnsServer>10.10.0.1</ipv4DnsServer>
        <ipv4DnsServer>10.10.0.2</ipv4DnsServer>
        <dnsSuffix>corp.contoso.com</dnsSuffix> 
    </signal> 
</rule>

Esempio 2

Questo esempio configura un tipo di segnale IpConfig usando un elemento dnsSuffix e un segnale bluetooth per i telefoni. Questa configurazione viene disposta con il ritorno a capo per una migliore leggibilità. Una volta formattato correttamente, l'intero contenuto XML deve essere una singola riga. Questo esempio implica che la regola ipconfig o Bluetooth deve restituire true, in modo che la valutazione del segnale risultante sia anch'essa impostata su true.

Nota

Separa ogni elemento della regola con una virgola.

<rule schemaVersion="1.0"> 
    <signal type="ipConfig"> 
        <dnsSuffix>corp.contoso.com</dnsSuffix> 
    </signal> 
</rule>,
<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

Esempio 3

Questo esempio applica la stessa configurazione dell'esempio 2 utilizzando elementi combinati con l'operatore And. Questo esempio implica che la regola ipconfig e Bluetooth devono restituire true, in modo che la valutazione del segnale risultante sia anch'essa impostata su true.

<rule schemaVersion="1.0">
<and>
  <signal type="ipConfig">
   <dnsSuffix>corp.microsoft.com</dnsSuffix>
  </signal> 
  <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</and>
</rule>

Esempio 4

Questo esempio configura Wi-Fi come segnale attendibile (Windows 10 versione 1803 o successiva)

<rule schemaVersion="1.0"> 
  <signal type="wifi"> 
    <ssid>contoso</ssid> 
    <bssid>12-ab-34-ff-e5-46</bssid> 
    <security>WPA2-Enterprise</security> 
    <trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA> 
    <sig_quality>80</sig_quality> 
  </signal> 
</rule> 

Distribuzione di Sblocco a più fattori

Importante

È necessario rimuovere tutti i provider di credenziali di terze parti per garantire che gli utenti non possano sbloccare i dispositivi se non dispongono dei fattori necessari. Le opzioni di fallback prevedono l'uso di password o smart card (che possono essere entrambe disabilitate in base alle necessità).

Come configurare le impostazioni dei criteri di Sblocco a più fattori

È necessaria almeno una workstation Windows 10 versione 1709 o successiva per eseguire console Gestione Criteri di gruppo, che fornisce le impostazioni più recenti di Criteri di gruppo di Windows Hello for Business, che include lo sblocco a più fattori. Per eseguire la Console Gestione Criteri di gruppo, è necessario installare strumenti di amministrazione remota del server per Windows. Puoi scaricare questi strumenti dall'Area download Microsoft. Installare strumenti di amministrazione remota del server Windows in un computer che esegue Windows 10 versione 1709 o successiva.

In alternativa, puoi creare una copia dei file con estensione ADMX e ADML da Windows 10, versione 1703 nella cartella dei rispettivi linguaggi in un computer Windows Server oppure puoi creare un archivio centrale dei Criteri di gruppo e copiarli nella cartella dei rispettivi linguaggi. Per altre informazioni, vedi Come creare e gestire l'archivio centrale per i modelli amministrativi di Criteri di gruppo in Windows.

Creare l'oggetto Criteri di gruppo di Sblocco a più fattori

L'oggetto Criteri di gruppo contiene le impostazioni di criteri necessarie per attivare il provisioning di Windows Hello for Business e garantire il rinnovo automatico dei certificati di Windows Hello for Business.

Importante

  • Il PIN deve essere in almeno uno dei gruppi
  • I segnali attendibili devono essere combinati con un altro provider di credenziali
  • Non è possibile utilizzare lo stesso fattore di sblocco per soddisfare entrambe le categorie. Pertanto, se includi un provider di credenziali in entrambe le categorie, significa che può soddisfare una delle due categorie, ma non entrambe.
  • La funzionalità di sblocco a più fattori è supportata anche tramite il CSP Passport for Work. Per ulteriori informazioni, vedere CSP Passport For Work.
  1. Avvia la Console Gestione Criteri di gruppo (gpmc.msc).

  2. Nel riquadro di spostamento, espandi il dominio e seleziona il nodo Oggetto Criteri di gruppo.

  3. Fai clic con il pulsante destro del mouse su Oggetto Criteri di gruppo e seleziona Nuovo.

  4. Digita Sblocco a più fattori nella casella del name e fai clic su OK.

  5. Nel riquadro del contenuto, fai clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Sblocco a più fattori e fai clic su Modifica.

  6. Nel riquadro di spostamento espandi Criteri in Configurazione computer.

  7. Espandi Modelli amministrativi > Componenti di Windows e seleziona Windows Hello for Business.

    Editor Criteri di gruppo.

  8. Nel riquadro del contenuto, fai doppio clic su Configura fattori di sblocco dispositivo. Fai clic su Abilita. La sezione Opzioni consente di popolare l'impostazione dei criteri con i valori predefiniti.

    Impostazione dei criteri a più fattori.

  9. Configurare i fattori di sblocco primo e secondo utilizzando le informazioni in Configure Unlock Factors.

  10. Se si utilizzano segnali attendibili, configurare i segnali attendibili utilizzati dal fattore di sblocco usando le informazioni in Configure Signal Rules for the Trusted Signal Credential Provider.

  11. Fare clic su OK per chiudere Editor Gestione Criteri di gruppo. Utilizza la Console Gestione criteri di gruppo per distribuire l'oggetto Criteri di gruppo appena creato nei computer dell'organizzazione.

Risoluzione dei problemi

Lo sblocco a più fattori scrive gli eventi nel registro eventi in Registri applicazioni e servizi\Microsoft\Windows\HelloForBusiness con il nome di categoria Sblocco dispositivo.

Eventi

ID evento Dettagli
3520 Tentativo di sblocco avviato
5520 Criteri di sblocco non configurati
6520 Evento di avviso
7520 Evento di errore
8520 Evento di operazione completata