Condividi tramite


Doppia registrazione

Questo articolo descrive le funzionalità o gli scenari Windows Hello for Business applicabili a:


Importante

La doppia registrazione non sostituisce o fornisce la stessa sicurezza della funzionalità Workstation con accesso con privilegi. Microsoft incoraggia le organizzazioni a usare le workstation con accesso con privilegi per gli utenti con credenziali con privilegi. Le organizzazioni possono prendere in considerazione Windows Hello for Business doppia registrazione in situazioni in cui non è possibile usare la funzionalità Accesso con privilegi. Per altre informazioni, vedere Workstation con accesso con privilegi.

La doppia registrazione consente agli amministratori di eseguire funzioni amministrative con privilegi elevati registrando le credenziali non privilegiate e non privilegiate nel dispositivo.

Per impostazione predefinita, Windows non enumera tutti gli utenti Windows Hello for Business dall'interno della sessione di un utente. Usando l'impostazione criteri di gruppo Consenti l'enumerazione della smart card emulata per tutti gli utenti, è possibile configurare un dispositivo per enumerare tutte le credenziali Windows Hello for Business registrate nei dispositivi selezionati.

Con questa impostazione, gli utenti amministratori possono accedere a Windows usando le credenziali di Windows Hello non privilegiate per il normale flusso di lavoro, ad esempio la posta elettronica, ma possono avviare Microsoft Management Console (MMC), client di Servizi Desktop remoto e altre applicazioni selezionando Esegui come utente diverso o Esegui come amministratore, selezionando l'account utente con privilegi e specificando il PIN. Gli amministratori possono anche sfruttare questa funzionalità con le applicazioni da riga di comando usando runas.exe in combinazione con l'argomento /smartcard . Ciò consente agli amministratori di eseguire le operazioni quotidiane senza dover eseguire l'accesso e l'uscita o usare il passaggio rapido dell'utente durante l'alternanza tra carichi di lavoro con privilegi e non privilegiati.

Importante

È necessario configurare un computer Windows per Windows Hello for Business doppia registrazione prima che l'utente (con privilegi o senza privilegi) eserciti il provisioning Windows Hello for Business. La doppia registrazione è un'impostazione speciale configurata nel contenitore Windows Hello durante la creazione.

Configurare Windows Hello for Business doppia registrazione

Ecco i passaggi per abilitare la doppia registrazione:

  • Configurare Active Directory per supportare la registrazione dell'amministratore di dominio
  • Configurare la doppia registrazione usando Criteri di gruppo

Configurare Active Directory per supportare la registrazione dell'amministratore di dominio

La configurazione di Windows Hello for Business progettata concede al Key Admins gruppo le autorizzazioni di lettura e scrittura per l'attributomsDS-KeyCredentialsLink. Queste autorizzazioni sono state specificate nella radice del dominio e si usa l'ereditarietà degli oggetti per garantire che le autorizzazioni si applichino a tutti gli utenti del dominio indipendentemente dalla posizione all'interno della gerarchia di dominio.

Active Directory Domain Services usa AdminSDHolder per proteggere utenti e gruppi con privilegi da modifiche non intenzionali confrontando e sostituendo la sicurezza su utenti e gruppi con privilegi in modo che corrisponda a quelli definiti nell'oggetto AdminSDHolder in un ciclo orario. Per Windows Hello for Business, l'account amministratore di dominio potrebbe ricevere le autorizzazioni, ma scompaiono dall'oggetto utente a meno che non si concedono AdminSDHolder le autorizzazioni di lettura e scrittura all'attributomsDS-KeyCredential.

Accedere a un controller di dominio o a una workstation di gestione con accesso equivalente all'amministratore di dominio.

  1. Digitare il comando seguente per aggiungere le autorizzazioni di proprietà consenti lettura e scrittura per l'attributo msDS-KeyCredentialLink per il Key Admins gruppo nell'oggetto.AdminSDHolder

    dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink
    

    dove DC=domain,DC=com è il percorso LDAP del dominio di Active Directory ed domainName\keyAdminGroup è il nome NetBIOS del dominio e il nome del gruppo usato per concedere l'accesso alle chiavi in base alla distribuzione. Ad esempio:

    dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink
    
  2. Per attivare la propagazione del descrittore di sicurezza, aprire ldp.exe.

  3. Selezionare Connessione e quindi Connetti... Accanto a Server digitare il nome del controller di dominio che contiene il ruolo PDC per il dominio. Accanto a Porta digitare 389 e selezionare OK.

  4. Selezionare Connessione e quindi Associa... Selezionare OK per eseguire il binding come utente attualmente connesso.

  5. Selezionare Browser e selezionare Modifica. Lasciare vuota la casella di testo DN . Accanto a Attributo digitare RunProtectAdminGroupsTask. Accanto a Valori digitare 1. Selezionare Invio per aggiungerlo all'elenco voci.

  6. Selezionare Esegui per avviare l'attività.

  7. Chiudere LDP.

Configurare la doppia registrazione con Criteri di gruppo

Si configura Windows per supportare la doppia registrazione usando la parte relativa alla configurazione del computer di un oggetto Criteri di gruppo:

  1. Usando Criteri di gruppo Management Console (GPMC), creare un nuovo oggetto Criteri di gruppo basato su dominio e collegarlo a un'unità organizzativa contenente gli oggetti computer di Active Directory usati dagli utenti con privilegi.

  2. Modificare l'oggetto Criteri di gruppo dal passaggio 1.

  3. Abilitare l'impostazione dei criteri Consenti l'enumerazione delle smart card emulate per tutti gli utenti in Configurazione computer-Modelli> amministrativi-Componenti> di Windows-Windows Hello for Business>

  4. Chiudere il Editor gestione Criteri di gruppo per salvare l'oggetto Criteri di gruppo. Chiudere la console Gestione Criteri di gruppo.

  5. Riavviare i computer di destinazione di questo oggetto Criteri di gruppo.

    Il computer è pronto per la doppia registrazione. Accedere prima come utente con privilegi e registrarsi per Windows Hello for Business. Al termine, disconnettersi e accedere come utente non privato e registrarsi per Windows Hello for Business. È ora possibile usare le credenziali con privilegi per eseguire attività con privilegi senza usare la password e senza dover cambiare utente.