Microsoft Intune – Configurare Windows Hello for Business
Windows Hello for Business è una funzionalità di sicurezza avanzata integrata nei sistemi operativi Windows 10 e successivi. L’obiettivo principale di Windows Hello for Business è migliorare l’autenticazione degli utenti attraverso l’uso di metodi di accesso biometrici o PIN, riducendo così la dipendenza dalle tradizionali password. Ed io ho parlato a lungo dei vantaggi della passwordless authentication in questi ultimi anni.
Le principali caratteristiche di Windows Hello for Business includono:
- Biometria avanzata: Windows Hello for Business supporta l’uso di biometria avanzata, come il riconoscimento facciale o l’impronta digitale, per autenticare gli utenti. Ciò fornisce un livello di sicurezza superiore rispetto alle password tradizionali.
- PIN aziendale: Gli utenti possono utilizzare un Personal Identification Number (PIN) per accedere ai loro dispositivi Windows. Questo PIN è associato in modo univoco a ciascun utente e a ciascun dispositivo e offre un’opzione di autenticazione più sicura rispetto alle password convenzionali.
- Infrastruttura basata su certificati: Windows Hello for Business si basa su un’infrastruttura di certificati che consente la gestione centralizzata delle chiavi di autenticazione e dei certificati. Questo aiuta a proteggere l’intero processo di autenticazione.
- Integrazione con Active Directory: Windows Hello for Business si integra con l’Active Directory (on-premises)
L’utilizzo di Windows Hello for Business è particolarmente vantaggioso in un contesto aziendale, in quanto può contribuire a migliorare la sicurezza complessiva del sistema, riducendo al contempo la dipendenza dalle password che potrebbero essere vulnerabili a attacchi informatici.
Configurazione di Windows Hello for Business a livello tenant
Si può abilitare la funzionalità di Windows Hello for Business a livello di tenant (tenant-wide policy) configurando dal Microsoft Intune admin center la voce Devices > Enrollment > Windows Hello for Business. Come si può vedere dalla figura sotto, ho abilitato anche la possibilità di utilizzare un lettore di impronte digitali (fingerprint) e una security key FIDO2.
Le configurazioni scelte vengono applicate al momento della registrazione (enrollment) del dispositivo. Si applicano a tutti i dispositivi che vengono registrati in Intune. Per questo motivo, il criterio è in genere disabilitato e Windows Hello for Business è abilitato usando una policy destinata a un gruppo di sicurezza.
Figura 1: Abilitazione della funzionalità di Windows Hello for Business a livello di tenant
Configurazione di Windows Hello for Business tramite Account Protection Policy
In alternativa si può abilitare la funzionalità per singoli gruppi di utenti utilizzando:
- Settings catalog
- Security baselines
- Custom policy, via the PassportForWork CSP
- Account protection policy
- Identity protection policy template
Vi rimando alla lettura della pagina Configure Windows Hello for Business | Microsoft Learn per maggiori informazioni sulle configurazioni e sulla precedenza delle policy.
Io ho deciso di utilizzare una Account protection policy
Collegatevi al Microsoft Intune admin center e scegliete Endpoint security > Account protection > + Create Policy e scegliendo come Platform Windows 10 and later e come Profile Account protection.
Figura 2: Creazione di un nuovo profilo di Account Protection per la configurazione di Windows Hello for Business
Inserite il nome e la descrizione della policy di configurazione di Windows Hello for Business.
Figura 3: Nome e descrizione della policy di configurazione di Windows Hello for Business
Nella schermata successiva, in Configuration Settings, configurate i parametri per la configurazione di Windows Hello for Business sia lato computer che lato utente, nel caso vogliate configurare in maniera differente i due comportamenti.
Figura 4: Configuration settings di Windows Hello for Business
Inserite uno Scope tag per la vostra policy, se necessario.
Figura 5: Scope Tag della policy
Il vantaggio di questa modalità è quello di poter abilitare l’utilizzo di Windows Hello for Business solo per un gruppo di utenti ed è per questo che potete scegliere a quale gruppo applicare il profilo di configurazione nella schermata Assignment.
Figura 6: Assegnazione della policy ad un gruppo di utenti o di dispositivi
Figura 7: Schermata di riepilogo della policy di configurazione di Windows Hello for Business
Figura 8: Policy di configurazione di Windows Hello for Business creata con successo
Configurazioni lato client
Una volta creata la policy, attendete il ciclo di rinnovo e riapplicazione delle configurazioni (circa 8 ore) oppure dal client forzate l’applicazione da Settings -> Accounts -> Access work or school -> Connected to (azienda) MDM -> Info -> Sync.
Questo non è certamente l’unico modo per effettuare il refresh. Avete già dato un’occhiata alla mia guida Microsoft Intune – Policy Sync e Config Refresh: differenze e configurazione – ICT Power?
Al login successivo verrà chiesto all’utente di impostare il PIN di Windows Hello for Business. Il processo di provisioning di Windows Hello for Business inizia immediatamente dopo il caricamento del profilo utente e prima che l’utente riceva il desktop.
In che modo un PIN può essere più sicuro di una password?
Quando si usa Windows Hello for Business il PIN serve per caricare la chiave privata per utilizzare la password di accesso all’interno del TPM. Il TPM ha funzionalità che contrastano gli attacchi di tipo Brute-Force (un tentativo di attacchi continuo di provare tutte le combinazioni di PIN).
Al successivo login, l’utente avrà la possibilità di scegliere se accedere con la password di Active Directory o di Entra ID oppure col PIN oppure con l’impronta digitale. Ricordatevi quindi di preparare gli utenti spiegando loro come usare Windows Hello for Business.
Figura 9: Processo di registrazione del PIN di Windows Hello for Business
Nella schermata successiva verrà chiesto all’utente di autenticarsi a Microsoft Entra (solo se la macchina è Entra Joined) e, se è stata configurata, di confermare la propria identità con la multi-factor authentication.
Figura 10: Autenticazione a Microsoft Entra da parte dell’utente
Dopo l’esito positivo dell’autenticazione a più fattori, il flusso di provisioning chiede all’utente di creare e convalidare un PIN. Questo PIN deve osservare eventuali criteri di complessità del PIN che avete configurato.
Figura 11: Creazione del PIN da utilizzare con Windows Hello for Business
Figura 12: Creazione del PIN da utilizzare con Windows Hello for Business completata
Potete verificare l’avvenuta configurazione di Windows Hello for Business aprendo un prompt dei comandi e digitato dsregcmd /status. Nell’area User State vedrete che la voce NgcSet sarà Yes (NGC = Next Generation Credentials).
Figura 13: Verifica dell’avvenuta configurazione di Windows Hello for Business
Al successivo login, l’utente avrà la possibilità di scegliere se accedere con la password di Active Directory o di Microsoft Entra (a seconda delle configurazioni del vostro computer) oppure col PIN.
Figura 14: L’accesso da parte dell’utente adesso è consentito utilizzando un PIN
NOTA: Sapete che potete usare anche le impronte digitali per effettuare l’accesso con Windows Hello for Business? Date un’occhiata alla mia guida Utilizzare Windows Hello for Business Biometric Fingeprint per la multi-factor authentication nei dispositivi Microsoft Entra hybrid joined – ICT Power
Conclusioni
La configurazione di Windows Hello for Business tramite Microsoft Intune rappresenta un passo importante verso un ambiente IT moderno, sicuro e user-friendly. Grazie a questa combinazione, le aziende possono sostituire le password tradizionali con metodi di autenticazione più sicuri, come PIN e biometria, migliorando la sicurezza e l’esperienza utente.
Windows Hello for Business utilizza tecnologie come il Trusted Platform Module (TPM) e chiavi crittografiche per garantire che i dati di autenticazione siano protetti contro accessi non autorizzati.
Microsoft Intune consente agli amministratori IT di creare e distribuire policy di sicurezza per Windows Hello for Business in modo centralizzato, riducendo la complessità nella gestione dei dispositivi.
La soluzione supporta ambienti ibridi (Microsoft Entra ID e Active Directory on-premises) e consente di adattarsi alle esigenze aziendali con configurazioni personalizzabili.