Come abilitare o disabilitare l’accesso con PIN per gli utenti di dominio su Windows 10

  • Ultimo aggiornamento
Come abilitare o disabilitare l'accesso con PIN per gli utenti di dominio su Windows 10 immagine banner
  • Ultimo aggiornamento

L’accesso con PIN è un modo comodo per autenticarti rapidamente e accedere al tuo PC Windows 10. Tuttavia, gli amministratori IT responsabili dei domini Windows potrebbero voler controllare se gli utenti possono accedere con il PIN su Windows 10 per motivi di sicurezza.

Questa guida illustra passo dopo passo come abilitare o disabilitare il login con PIN per gli utenti del dominio in Windows 10 utilizzando i criteri di gruppo. Spiega inoltre i vantaggi e le implicazioni per la sicurezza dell’accesso tramite PIN rispetto alle altre opzioni di accesso a Windows e come gestire al meglio le modalità di accesso degli utenti del dominio Windows in ambienti di livello enterprise.

Accesso con PIN di Windows 10 e Windows Hello for Business

Windows Hello for Business offre una serie di comodi modi per accedere a un dominio Windows senza password. Tra questi ci sono la biometria (utilizzando la scansione del volto o l’impronta digitale) e l’autenticazione tramite PIN per gli utenti di dominio Windows 10.

I PIN rappresentano un modo rapido per accedere a un dispositivo Windows senza dover inserire ogni volta una password. Il PIN è di default di 4 cifre, ma può essere più complesso per aumentare la sicurezza. L’autenticazione tramite Windows Hello è configurata per dispositivo e non viene memorizzata con le informazioni di accesso dell’utente sul controller di dominio Windows.

In modo un po’ controintuitivo, questo può rendere l’autenticazione tramite PIN più sicura di quella tramite password (anche se il PIN è più corto della password dell’utente): quando un PIN viene usato per accedere, la password dell’utente non viene inserita (quindi non può essere vista da qualcuno nelle vicinanze o catturata da keylogger), né viene trasmessa al controller di dominio. In questo modo, se un PIN viene compromesso, viene colpito solo il dispositivo in questione, mentre la password e gli eventuali account protetti con essa rimangono privati.

I dati utilizzati per i login di Windows Hello sono fortemente crittografati e memorizzati in modo sicuro tramite un trusted platform module (TPM) hardware, quindi sono difficili da decifrare e offrono una migliore protezione contro gli attacchi brute-force.

Motivi per abilitare o disabilitare l’accesso tramite PIN per gli utenti di dominio

I vantaggi dell’abilitazione dell’autenticazione tramite PIN e di Windows Hello per gli utenti di dominio in Windows 10 includono:

  • Maggiore sicurezza: Windows Hello utilizza l’autenticazione biometrica o un PIN, supportato da un TPM hardware, riducendo il rischio che le password vengano rubate e utilizzate su altri sistemi.
  • Comodità per l’utente: I PIN sono generalmente molto più brevi delle password e più facili da ricordare, il che significa che possono essere cambiati più spesso e che è molto meno probabile che vengano dimenticati.
  • Autenticazione a più fattori: Windows Hello, anche nella sua funzionalità legata all’uso del PIN, può essere combinato con altri metodi di autenticazione supportati da Active Directory o Windows Entra ID per una maggiore protezione multifattoriale, pur rimanendo comodo per gli utenti.

Sebbene tecnicamente Windows Hello offra una maggiore comodità e sicurezza rispetto al tradizionale login con password, ci sono ragioni giustificate per cui gli amministratori di dominio Windows possono scegliere di disabilitare il login con PIN:

  • Conformità: Normative o criteri interni potrebbero stabilire i metodi che gli utenti possono utilizzare per accedere, compresi dei parametri di complessità delle password che potrebbero quindi escludere la possibilità di usare un PIN.
  • Usabilità: Gli utenti abituati ai metodi di accesso tradizionali potrebbero avere difficoltà quando vengono fornite più opzioni di accesso e preferire che il login tramite PIN e altre funzioni di Windows Hello siano disattivate.
  • Supporto hardware: Sebbene Windows Hello (compresa l’autenticazione tramite PIN) non richieda un TPM per generare e memorizzare le chiavi di crittografia, gli amministratori di sistema potrebbero preferire disabilitare la funzione se un TPM (e la crittografia e la sicurezza avanzate che esso fornisce) non è disponibile in tutti i dispositivi di cui sono responsabili.
  • Controllo centralizzato: Un unico metodo di accesso basato su password può essere preferito dalle organizzazioni che vogliono limitare il numero di opzioni di accesso supportate per semplificare la risoluzione dei problemi.

Istruzioni passo per passo: Come abilitare o disabilitare l’accesso tramite PIN per gli utenti di dominio

Le seguenti istruzioni spiegano come abilitare o disabilitare il login con PIN per gli utenti del dominio in Windows 10 utilizzando criteri di gruppo in Active Directory. Dovrai accedere a un account di amministratore di dominio e avere accesso a un controller di dominio con Group Policy Management Console (GPMC). Inoltre, per utilizzare Windows Hello for Business dovrai utilizzare Windows Server 2016 o versioni successive.

Per abilitare l’accesso tramite PIN a Windows 10 per gli utenti di dominio, procedi come segue:

  • Assicurati di aver effettuato l’accesso a un controller di dominio con un account di amministratore
  • Clicca con il tasto destro del mouse sul pulsante Start e cerca Esegui
  • Digita gpmc.msc per aprire la console di gestione dei criteri di gruppo
  • Crea un oggetto criteri di gruppo (GPO) che abbia come target gli utenti, i gruppi o altre unità organizzative (OU) per cui vuoi configurare il login tramite PIN
  • Clicca con il tasto destro del mouse sul nuovo GPO creato e quindi su Modifica
  • Vai su Configurazione del computer/Modelli amministrativi/Sistema/Accesso nell’editor dei criteri di gruppo
  • Clicca con il tasto destro del mouse sull’impostazione denominata Attiva accesso con PIN , quindi clicca su Modifica
  • Seleziona Abilitato per abilitare l’accesso tramite PIN per gli utenti di dominio Windows 10, quindi clicca su OK
  • Riavvia i PC Windows che hanno come target i criteri di gruppo, oppure esegui gpupdate /force nel prompt dei comandi su ogni macchina per assicurarti che la modifica abbia avuto effetto

Per disabilitare l’accesso tramite PIN per gli utenti di dominio, segui la stessa procedura ma disabilita l’opzione corrispondente:

  • Dopo essere andato su Configurazione del computer, Modelli amministrativi, Sistema, Accesso nell’editor dei criteri di gruppo, clicca con il pulsante destro del mouse sull’impostazione Attiva l’accesso tramite PIN e quindi su Modifica
  • Seleziona Disabilitato o Non Configurato per disabilitare l’accesso tramite PIN per gli utenti di dominio su Windows 10, quindi clicca su OK
  • Riavvia i PC Windows che hanno come target i criteri di gruppo, oppure esegui gpupdate /force nel prompt dei comandi su ogni macchina per assicurarti che la modifica abbia avuto effetto

Se le modifiche apportate al modo in cui gli utenti del dominio Windows possono accedere non hanno effetto, assicurati che le OU siano quelle giuste e che non ci siano criteri in conflitto; in caso di conflitto, il criterio più restrittivo avrà sempre la precedenza.

Casi d’uso dell’autenticazione tramite PIN in ambienti di dominio

Gestire se gli utenti possono accedere con il PIN a Windows 10 utilizzando i criteri di gruppo è un modo comodo per gli amministratori di gestire centralmente le opzioni di accesso dei propri utenti. La natura granulare degli Oggetti dei criteri di gruppo permette di assegnarli alle OU e quindi influenzare solo utenti mirati.

Il PIN è di per sé comodo per gli utenti che condividono le postazioni di lavoro e devono essere in grado di accedere e uscire rapidamente, ad esempio in ambienti enterprise o scolastici. Poiché i PIN funzionano solo sul dispositivo specifico su cui sono configurati, offrono anche una protezione contro il phishing: anche se un utente rivela accidentalmente il proprio PIN, questo non può essere utilizzato per accedere al suo account sul dominio Windows da un altro computer o in remoto.

L’autenticazione con Windows Hello for Business è particolarmente utile anche negli scenari offline: Poiché i dati di Windows Hello sono memorizzati localmente, gli utenti possono autenticarsi anche in assenza di connessione a Internet o alla VPN di lavoro.

Confronto con altri metodi di autenticazione

Le opzioni di autenticazione offerte da Windows Hello for Business rappresentano un miglioramento della sicurezza rispetto alle password tradizionali. Sia il PIN che i login biometrici sono specifici per il dispositivo, ed evitano che la loro divulgazione comprometta altre parti dell’infrastruttura IT.

La biometria offre una maggiore sicurezza rispetto al PIN (dove è consentito utilizzarla), in quanto le credenziali biometriche sono incredibilmente difficili da rubare e non possono essere indovinate o forzate.

Gestire con facilità le configurazioni di sicurezza

La gestione della possibilità per gli utenti di accedere con il PIN a Windows 10 è solo una delle opzioni di configurazione che potresti voler distribuire a un sottoinsieme di utenti del dominio (per esempio, per semplificare il login) o a tutta l’organizzazione (per esempio, per soddisfare i requisiti normativi).

I domini di Windows semplificano notevolmente la gestione dei parchi dispositivi Windows e delle persone che li utilizzano. Tuttavia, nelle implementazioni su scala enterprise con centinaia o migliaia di dispositivi, è difficile mantenere la visibilità e garantire la sicurezza di ogni dispositivo soddisfacendo al tempo stesso i requisiti individuali degli utenti. Inoltre, sebbene l’utilizzo di Windows Hello presenti dei vantaggi in termini di sicurezza, i metodi di autenticazione disponibili su un determinato dispositivo non ne garantiscono la totale sicurezza.

Una soluzione end-to-end per la gestione dei dispositivi mobili (MDM) come quella offerta da NinjaOne fornisce una supervisione completa su tutta l’infrastruttura IT. Ti consente di gestire le configurazioni di sicurezza, monitorare le attività sospette e bloccare i dispositivi persi, rubati o compromessi, proteggendo i dati in essi contenuti, anche se le credenziali del proprietario sono state compromesse.

Passi successivi

La creazione di un team IT efficiente ed efficace richiede una soluzione centralizzata che funga da principale strumento per la fornitura di servizi. NinjaOne consente ai team IT di monitorare, gestire, proteggere e supportare tutti i dispositivi, ovunque essi si trovino, senza la necessità di una complessa infrastruttura locale.

Scopri di più su NinjaOne Endpoint Management, fai un tour dal vivoinizia la tua prova gratuita della piattaforma NinjaOne.

Inizia una prova gratuita

Ti potrebbe interessare anche

Trovare il numero di serie del tuo PC con CMD o con altri metodi

Come trovare il numero di serie del tuo PC Windows con CMD o usando altri metodi

Come nascondere dischi e unità specifiche in Windows

Come nascondere dischi e unità specifiche in Windows

Ripristinare versioni precedenti di file, cartelle e intere unità

Come ripristinare versioni precedenti di file, cartelle e unità in Windows 10

Applicare criteri di gruppo locali a utenti specifici

Come applicare criteri di gruppo locali a utenti specifici in Windows 11 e Windows 10

Assegnare o modificare le lettere delle unità in Windows 10

Come modificare e assegnare le lettere delle unità in Windows 10

Come chiudere tutte le attività che non rispondono nel menu contestuale di Windows 10 Immagine banner del blog

Come chiudere tutte le attività che non rispondono nel menu contestuale di Windows 10

Vuoi diventare un Ninja dell’IT?

Scopri come NinjaOne può aiutarti a semplificare le operazioni IT.
Prova NinjaOne gratuitamente
Guarda una demo
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.
Accetto