Windows Hello for Business è una funzionalità disponibile su dispositivi Windows 10 che consente di autenticare le identità utilizzando tecnologie biometriche, un PIN o una Security Key.

Windows Hello sostituisce l’utilizzo classico delle password con l’autenticazione passwordless. Inoltre, grazie al SSO (Single Sign On) gli utenti finali hanno la possibilità di accedere in modo sicuro e veloce alle risorse ed app aziendali integrate con Active Directory ed Azure Active Directory.

In questa guida vedremo come configurare ed accedere ad un dispositivi Windows 10 con Windows Hello for Business e grazie all’utilizzo di una security key FIDO2.

Grazie a Feitian ho avuto modo di testare la security key AllinPass Fido2 Plus K43 con le seguenti caratteristiche:

A picture containing graphical user interface

Description automatically generated

Per una overview di tutti i prodotti Feitian compatibili con protocollo FIDO2, vi suggerisco di visitare la pagina FIDO Security Keys | FEITIAN (ftsafe.com).

E’ possibile implementare Windows Hello for Business in scenari ibridi o full cloud. Vi suggerisco di visitare la pagina Passwordless security key sign-in Windows – Azure Active Directory | Microsoft Docs per ulteriori approfondimenti.

In questo articolo, lo scenario di riferimento è un full cloud.

Configurazione Azure Active Directory

In Azure Active Directory, spostatevi nella sezione Security -> Authentication methods -> Policies e selezionate la voce FIDO2 Security Key.

Graphical user interface, text, application, email

Description automatically generated

Procedete con l’abilitazione e assegnate la funzionalità agli utenti desiderati come da seguente immagine:

A screenshot of a computer

Description automatically generated

Nel tab Configure controllate che l’opzione Allow self-service set up sia abilitata.

Graphical user interface, text, application, Word

Description automatically generated

Configurazione Windows Hello for Business con Microsoft Endpoint Manager (Intune)

Essendo un ambiente full cloud, ho provveduto alla configurazione di Windows Hello for Business sui dispositivi Windows 10 con Intune.

Nulla vieta che, in scenari ibridi, si possano utilizzare le GPOs. Docs: https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key-windows#enable-with-group-policy

In Microsoft Endpoint Manager admin center spostatevi in Devices -> Configuration profiles e cliccate la voce Create profile.

Graphical user interface, text, application, email

Description automatically generated

Selezionate le seguenti voice:

  • Platform: Windows 10 and later;
  • Profile type: Templates;
  • Template name: Identity protection.

Cliccate il tasto Create.

A screenshot of a computer

Description automatically generated

Indicate un nome al nuovo profilo (Es. Windows Hello for Business).

Graphical user interface, application

Description automatically generated

Configurate i criteri per Windows Hello for Business ed abilitate la voce Use security keys for sign-in. Per approfondimenti sui criteri disponibili per Windows Hello for Business vi suggerisco la lettura dell’articolo Microsoft 365 Modern Desktop Management – Configurare Windows Hello for Business su dispositivi Windows 10 con Microsoft Intune – ICT Power

Graphical user interface, application

Description automatically generated

Infine, assegnate il nuovo profilo agli utenti/dispositivi interessati.

Graphical user interface, application

Description automatically generated

Configurazione della security key da parte dell’end user

Per aggiungere la security key come metodo di autenticazione, loggatevi con l’utenza interessata all’url aka.ms/mysecurityinfo .

Cliccate sulla voce Add method.

Graphical user interface, application

Description automatically generated

Selezionate la voce USB device e verrete reindirizzati in una nuova pagina.

Graphical user interface, application

Description automatically generated Graphical user interface

Description automatically generated

Inserite la security key nella porta usb e seguite il wizard di configurazione.

A picture containing text

Description automatically generated

Graphical user interface, application

Description automatically generated Graphical user interface

Description automatically generated Graphical user interface

Description automatically generated Graphical user interface, application

Description automatically generated Graphical user interface, application

Description automatically generated

Terminato il wizard al prossimo accesso utile potrete sfruttare la security key e relativo PIN per autenticarvi ai servizi Microsoft 365 e applicazioni di terze parti integrate con Azure AD.

Configurazione dell’impronta digitale per security key su Windows 10

Avendo a disposizione la security key Feitian K43 provvista di tecnologia biometrica e connessione bluetooth, di seguito vedremo come poter configurare e sfruttare al massimo queste funzionalità.

Recatevi nelle impostazioni relative all’accesso sul dispositivo Windows 10 interessato, selezionate la voce Security key e cliccate Manage.

Graphical user interface, application

Description automatically generated

 

Inserite la chiavetta in una porta USB disponibile e procedete con un tocco sulla stessa.

 

 

Cliccate su Set up nella sezione relativa all’impronta digitale.

 

Graphical user interface, text, application

Description automatically generated

Inserite il PIN configurato in precedenza ed aggiungete l’impronta digitale.

Graphical user interface, application

Description automatically generated

Text

Description automatically generated

Graphical user interface, text, application

Description automatically generated

Configurazione della connessione bluetooth per security key su Windows 10

Se il vostro dispositivo Windows 10 è provvisto di connessione bluetooth, procedete con i seguenti passaggi per la connesione con la security key.

N.B. Per fare in modo che la security key Feitian K43 sia disponibile per il collegamento, tenere premuto il tasto di accensione per 5 secondi. Operazione necessaria una tantum.

Graphical user interface, text, application

Description automatically generated

Text

Description automatically generated

Graphical user interface, text

Description automatically generated

Graphical user interface, text, application, Teams

Description automatically generated

Risultato finale su dispositivo Windows 10: autenticazione passwordless con security key FIDO2 con collegamento bluetooth e riconoscimento dell’impronta digitale

Link utili: