Windows Hello for Business

In Windows10, Windows Hello for business sostituisce le password con l'autenticazione a due fattori forte nei PC e nei dispositivi mobili. Questa autenticazione è costituita da un nuovo tipo di credenziali utente associate a un dispositivo e utilizza una tecnologia biometrica o un PIN.
Windows Hello for Business consente all'utente di autenticarsi a un account di Active Directory o Azure Active Directory.

Windows Hello consente di risolvere i seguenti problemi associati alle password:

  • Le password complesse possono essere difficili da ricordare e gli utenti spesso usano una stessa password in più siti.
  • Violazioni dei server possono esporre le credenziali di rete simmetriche (password).
  • Le password sono soggette ad attacchi di tipo replay.
  • Gli utenti possono esporre involontariamente le proprie password ad attacchi di phishing.

Prerequisiti

Distribuzione solo cloud

  • Windows 10 versione 1511 o successiva
  • Account Microsoft Azure
  • Azure Active Directory
  • Autenticazione a più fattori di Azure
  • Gestione moderna (Intune o MDM di terze parti supportato), facoltativo
  • Sottoscrizione di Azure AD Premium - facoltativa, necessaria per la registrazione automatica in MDM quando il dispositivo viene aggiunto ad Azure Active Directory

Distribuzioni ibride

La tabella illustra i requisiti minimi per ogni distribuzione. Per l'attendibilità delle chiavi in una distribuzione multidominio/multiforestale, i requisiti seguenti sono applicabili per ogni dominio/foresta che ospita i componenti di Windows Hello for business o è coinvolto nel processo di riferimento Kerberos.

Trust chiave
Gestione da Criteri di gruppo
Trust certificato
Gestione in modalità mista
Trust chiave
Gestione moderna
Trust certificato
Gestione moderna
Windows 10 versione 1511 o successiva Aggiunti ad Azure AD ibridi
Minimo: Windows 10, versione 1703
Migliore esperienza: Windows 10, versione 1709 o versione successiva (supporta la registrazione certificato sincrona).
Aggiunti ad Azure AD:
Windows 10 versione 1511 o successiva
Windows 10 versione 1511 o successiva Windows 10 versione 1511 o successiva
Schema WindowsServer 2016 Schema WindowsServer 2016 Schema WindowsServer 2016 Schema WindowsServer 2016
Livello funzionale di dominio/foresta Windows Server 2008 R2 Livello funzionale di dominio/foresta Windows Server 2008 R2 Livello funzionale di dominio/foresta Windows Server 2008 R2 Livello funzionale di dominio/foresta Windows Server 2008 R2
Controller di dominio Windows Server 2016 o versioni successive Controller di dominio Windows Server 2008 R2 o versione successiva Controller di dominio Windows Server 2016 o versioni successive Controller di dominio Windows Server 2008 R2 o versione successiva
Windows Server 2012 o autorità di certificazione successiva Windows Server 2012 o autorità di certificazione successiva Windows Server 2012 o autorità di certificazione successiva Windows Server 2012 o autorità di certificazione successiva
N/D Windows Server 2016 AD FS con aggiornamento KB4088889 (client aggiunti a Azure AD ibrido),
e
Windows Server 2012 o Servizio Registrazione dispositivi di rete successivo (aggiunti ad Azure AD)
N/D Windows Server 2012 o Servizio Registrazione dispositivi di rete successivo
Tenant Azure MFA o
AD FS con scheda Azure MFA o
AD FS con scheda Server Azure MFA o
AD FS con scheda MFA di terze parti
Tenant Azure MFA o
AD FS con scheda Azure MFA o
AD FS con scheda Server Azure MFA o
AD FS con scheda MFA di terze parti
Tenant Azure MFA o
AD FS con scheda Azure MFA o
AD FS con scheda Server Azure MFA o
AD FS con scheda MFA di terze parti
Tenant Azure MFA o
AD FS con scheda Azure MFA o
AD FS con scheda Server Azure MFA o
AD FS con scheda MFA di terze parti
Account di Azure Account di Azure Account di Azure Account di Azure
Azure Active Directory Azure Active Directory Azure Active Directory Azure Active Directory
Azure AD Connect Azure AD Connect Azure AD Connect Azure AD Connect
Azure AD Premium, facoltativo Azure AD Premium, necessario per la scrittura del dispositivo Azure AD Premium, facoltativo per la registrazione automatica in MDM Azure AD Premium, facoltativo per la registrazione automatica in MDM

Distribuzioni locali

La tabella illustra i requisiti minimi per ogni distribuzione.

Trust chiave
Gestione da Criteri di gruppo
Trust certificato
Gestione da Criteri di gruppo
Windows 10 versione 1703 o successiva Windows 10 versione 1703 o successiva
Schema WindowsServer 2016 Schema WindowsServer 2016
Livello funzionale di dominio/foresta Windows Server 2008 R2 Livello funzionale di dominio/foresta Windows Server 2008 R2
Controller di dominio Windows Server 2016 o versioni successive Controller di dominio Windows Server 2008 R2 o versione successiva
Windows Server 2012 o autorità di certificazione successiva Windows Server 2012 o autorità di certificazione successiva
AD FS Windows Server 2016 con aggiornamento KB4088889 AD FS Windows Server 2016 con aggiornamento KB4088889
AD FS con server Azure MFA o
AD FS con scheda MFA di terze parti
AD FS con server Azure MFA o
AD FS con scheda MFA di terze parti
Account di Azure, facoltativo per la fatturazione di Azure MFA Account di Azure, facoltativo per la fatturazione di Azure MFA

Importante

Per la distribuzione di Windows Hello for business, se sono presenti diversi domini, è necessario almeno un controller di dominio di Windows Server 2016 per ogni dominio. Per altre informazioni, vedere la Guida alla pianificazione.