Microsoft 365 Modern Desktop Management – Configurare Windows Hello for Business su dispositivi Windows 10 con Microsoft Intune
Windows Hello for Business è una funzionalità che consente agli utenti di autenticarsi utilizzando un account di Active Directory o Azure Active Directory con la tecnologia biometrica o un PIN.
L’obbiettivo di Windows Hello è quello di sostituire il classico utilizzo delle password con l’autenticazione a due fattori (molto più sicuro) sui PC e dispositivi mobili.
Per maggiori informazioni sulla funzionalità, vi invito a leggere l’articolo Utilizzare Windows Hello for Business per l’accesso ad Active Directory ed Azure AD
In questa guida vedremo come abilitare Windows Hello for Business sui dispositivi Windows 10 con Microsoft Intune.
Configurazione del profilo su Microsoft Intune
Sul portale di Intune, procedete con la creazione di un nuovo profilo in Device Configuration.
Microsoft Intune -> Device configuration -> Profiles -> Create profile:
- Platform: Windows 10 and later;
-
Profile: Identity protection.
Figura 1 – Creazione profilo in Device Configuration
Indicate un nome al nuovo profilo:
Figura 2 – Nome profilo in Device Configuration
In Configuration settings troverete le altre impostazioni inerenti a Windows Hello for Business. Nel mio caso, ho applicato i seguenti criteri:
- Configure Windows Hello for Business: Enable;
- Minimum PIN length: 6;
- Maximum PIN length: 12;
- PIN expiration (days): 90;
- Remember PIN history: 5;
- Enable PIN recovery: Enable. Questa opzione offre la possibilità all’utente finale del recupero PIN;
- Use a Trusted Platform Module (TPM): Enable. Il processo di provisioning di Windows Hello crea una coppia di chiavi crittografica associata al TPM (Trusted Platform Module), se un dispositivo ha un TPM 2.0;
- Allow biometric authentication: Enable. Abilitando questa opzione, si offre all’utente la possibilità di autenticarsi non solo con il PIN ma anche con riconoscimento facciale o impronta digitale;
- Use enhanced anti-spoofing, when available: Enable;
- Certificate for on-premise recources: Enable. Abilitando questa opzione si offre la possibilità di autenticazione tramite certificati. Per l’utilizzo e la distribuzione di certificati con Microsoft Intune, vi invito a leggere l’articolo Microsoft 365 Modern Desktop Management – Distribuire i certificati su dispositivi mobili utilizzando Microsoft Intune ed il Simple Certificate Enrollment Protocol (SCEP);
- Use security keys for sign-in:
Enable. Per utilizzare questa funzionalità, vi invito a leggere l’articolo Abilitare il passwordless sign-in per Azure AD e per Microsoft 365 / Office 365 utilizzando una security key FIDO2
Figura 3 – Configurazione criteri Windows Hello for Business per dispositivi Windows 10
Una volta terminate le modifiche, assegnate il profilo ai dispositivi interessati.
Consiglio: Prima di assegnare il profilo a tutti i dispositivi, procedete con la creazione di un gruppo Pilot sul quale testare Windows Hello for Business.
Figura 4 – Assegnazione profilo WIndows Hello for Business sui dispositivi interessati
Su dispositivi Windows 10 joinati in modalità ibrida, la funzionalità Windows Hello for Business è disponibile dalla versione 1703 e successive.
Nel tab Applicability Rules avete la possibilità di specificare le versioni di Windows 10 che saranno coinvolte dalla policy.
Figura 5 – Applicability Rules in profilo Windows Hello for Business
Riepilogo delle configurazioni del profilo Windows Hello for Business:
Figura 6 – Riepilogo delle configurazioni del profilo Windows Hello for Business
Abilitazione Windows Hello su dispositivo Windows 10:
Per sincronizzare manualmente le nuove impostazioni con il device interessato, andate in Settings -> Accounts -> Access work or school -> Connected to (azienda) MDM -> Info -> Sync.
Al primo login utile dell’utente, gli verrà chiesto di creare un PIN o di registrare un gesto biometrico:
Figura 7 – Wizard di configurazione Windows Hello sul dispositivo Windows 10
Nel caso in cui utilizziate la Multi Factor Authentication, vi verrà richiesto di approvare la richiesta di autenticazione tramite l’Authenticator App.
Figura 8 – Approvazione richiesta di autenticazione tramite Authenticator App
Figura 9 – Creazione Pin per accesso al dispositivo Windows 10
Figura 10 – Login tramite Pin per accesso al dispositivo Windows 10
Conclusioni
Come abbiamo visto, Windows Hello for Business offre la possibilità di accedere con maggiore velocità, sicurezza e soprattutto senza dover digitare una password (soluzione molto gradita dagli utenti finali).
L’implementazione della funzionalità utilizzando Microsoft Intune è molto semplice e richiede pochissimi passaggi.
Per maggiori informazioni, vi invito a leggere la documentazione ufficiale https://docs.microsoft.com/en-us/mem/intune/protect/windows-hello