Windows Hello for Business è una funzionalità disponibile su dispositivi Windows 10 che consente di autenticare le identità utilizzando tecnologie biometriche, un PIN o una Security Key.
Windows Hello sostituisce l’utilizzo classico delle password con l’autenticazione passwordless. Inoltre, grazie al SSO (Single Sign On) gli utenti finali hanno la possibilità di accedere in modo sicuro e veloce alle risorse ed app aziendali integrate con Active Directory ed Azure Active Directory.
In questa guida vedremo come configurare ed accedere ad un dispositivi Windows 10 con Windows Hello for Business e grazie all’utilizzo di una security key FIDO2.
Grazie a Feitian ho avuto modo di testare la security key AllinPass Fido2 Plus K43 con le seguenti caratteristiche:
Per una overview di tutti i prodotti Feitian compatibili con protocollo FIDO2, vi suggerisco di visitare la pagina FIDO Security Keys | FEITIAN (ftsafe.com).
E’ possibile implementare Windows Hello for Business in scenari ibridi o full cloud. Vi suggerisco di visitare la pagina Passwordless security key sign-in Windows – Azure Active Directory | Microsoft Docs per ulteriori approfondimenti.
In questo articolo, lo scenario di riferimento è un full cloud.
Configurazione Azure Active Directory
In Azure Active Directory, spostatevi nella sezione Security -> Authentication methods -> Policies e selezionate la voce FIDO2 Security Key.
Procedete con l’abilitazione e assegnate la funzionalità agli utenti desiderati come da seguente immagine:
Nel tab Configure controllate che l’opzione Allow self-service set up sia abilitata.
Configurazione Windows Hello for Business con Microsoft Endpoint Manager (Intune)
Essendo un ambiente full cloud, ho provveduto alla configurazione di Windows Hello for Business sui dispositivi Windows 10 con Intune.
Nulla vieta che, in scenari ibridi, si possano utilizzare le GPOs. Docs: https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key-windows#enable-with-group-policy
In Microsoft Endpoint Manager admin center spostatevi in Devices -> Configuration profiles e cliccate la voce Create profile.
Selezionate le seguenti voice:
- Platform: Windows 10 and later;
- Profile type: Templates;
- Template name: Identity protection.
Cliccate il tasto Create.
Indicate un nome al nuovo profilo (Es. Windows Hello for Business).
Configurate i criteri per Windows Hello for Business ed abilitate la voce Use security keys for sign-in. Per approfondimenti sui criteri disponibili per Windows Hello for Business vi suggerisco la lettura dell’articolo Microsoft 365 Modern Desktop Management – Configurare Windows Hello for Business su dispositivi Windows 10 con Microsoft Intune – ICT Power
Infine, assegnate il nuovo profilo agli utenti/dispositivi interessati.
Configurazione della security key da parte dell’end user
Per aggiungere la security key come metodo di autenticazione, loggatevi con l’utenza interessata all’url aka.ms/mysecurityinfo .
Cliccate sulla voce Add method.
Selezionate la voce USB device e verrete reindirizzati in una nuova pagina.
Inserite la security key nella porta usb e seguite il wizard di configurazione.
Terminato il wizard al prossimo accesso utile potrete sfruttare la security key e relativo PIN per autenticarvi ai servizi Microsoft 365 e applicazioni di terze parti integrate con Azure AD.
Configurazione dell’impronta digitale per security key su Windows 10
Avendo a disposizione la security key Feitian K43 provvista di tecnologia biometrica e connessione bluetooth, di seguito vedremo come poter configurare e sfruttare al massimo queste funzionalità.
Recatevi nelle impostazioni relative all’accesso sul dispositivo Windows 10 interessato, selezionate la voce Security key e cliccate Manage.
Inserite la chiavetta in una porta USB disponibile e procedete con un tocco sulla stessa.
Cliccate su Set up nella sezione relativa all’impronta digitale.
Inserite il PIN configurato in precedenza ed aggiungete l’impronta digitale.
Configurazione della connessione bluetooth per security key su Windows 10
Se il vostro dispositivo Windows 10 è provvisto di connessione bluetooth, procedete con i seguenti passaggi per la connesione con la security key.
N.B. Per fare in modo che la security key Feitian K43 sia disponibile per il collegamento, tenere premuto il tasto di accensione per 5 secondi. Operazione necessaria una tantum.
Risultato finale su dispositivo Windows 10: autenticazione passwordless con security key FIDO2 con collegamento bluetooth e riconoscimento dell’impronta digitale
Link utili:
- Windows Hello for Business Deployment Prerequisite Overview – Windows security | Microsoft Docs
- Use passwordless authentication to improve security – Microsoft Security
- Microsoft | FEITIAN Passwordless Portal – FEITIAN Technologies US (ftsafe.us)
- Azure Active Directory passwordless sign-in | Microsoft Docs