Compartilhar via


Configurar Windows Hello para Empresas em dispositivos quando estes se inscrevem no Intune

Com Microsoft Intune, pode criar uma política ao nível do inquilino que configure a utilização de Windows Hello para Empresas em dispositivos Windows 10 ou Windows 11 no momento em que esses dispositivos se inscrevem no Intune. Esta política destina-se a toda a organização e suporta a experiência inicial (OOBE) do Windows Autopilot.

Para dispositivos Windows 10/11, o uso do Windows Hello para Empresas substitui o uso de senhas por uma forte autenticação de dois fatores nos dispositivos. Esta autenticação consiste em uma credencial de usuário que está vinculada a um dispositivo e utiliza uma biometria ou PIN.

Após a inscrição de dispositivos ou quando opta por não utilizar a política de inscrição ao nível do inquilino, Intune suporta os seguintes métodos para gerir Windows Hello em grupos discretos de dispositivos:

  • Segurança do ponto final Política de proteção da conta: para gerir Windows Hello em dispositivos após terem sido inscritos no Intune, utilize o perfil de proteção de conta Intune, que faz parte da política de proteção da Conta de segurança de ponto final.

  • Linhas de base de segurança: algumas definições para Windows Hello podem ser geridas por linhas de base de segurança, como as linhas de base para segurança Microsoft Defender para Ponto de Extremidade ou Linha de Base de Segurança para Windows 10 e posteriores.

  • Catálogo de definições: as definições dos perfis de proteção da Conta de segurança do ponto final estão disponíveis no catálogo de definições de Intune.

Importante

Antes da Atualização de Aniversário (versão 1607 do Windows), poderia definir dois PINS diferentes que poderiam ser utilizados para autenticar os recursos:

  • O PIN do dispositivo poderia ser usado para desbloquear o dispositivo e conectar-se aos recursos de nuvem.
  • O PIN de trabalho foi utilizado para aceder Microsoft Entra recursos no dispositivo pessoal de um utilizador (BYOD).

Na Atualização de Aniversário, esses dois PINs foram mesclados em um único PIN do dispositivo. Qualquer política de configuração do Intune definida para controlar o PIN do dispositivo e, além disso, qualquer política do Windows Hello para Empresas configurada; agora ambas definem esse novo valor do PIN. Se você tiver definido os dois tipos de política para controlar o PIN, a política do Windows Hello para Empresas será aplicada. Para garantir que os conflitos de política sejam resolvidos e que a política de PIN seja aplicada corretamente, atualize sua Política do Windows Hello para Empresas para que corresponda às configurações em sua política de configuração e solicite aos usuários que sincronizem seus dispositivos no aplicativo Portal da Empresa.

Controle de acesso baseado em função

Tem de ser um Administrador de Serviços Intune para criar ou editar uma política de Windows Hello para Empresas na inscrição do Windows. Todas as outras funções Intune têm acesso só de leitura. Para obter mais informações sobre o controlo de acesso baseado em funções (RBAC), veja RBAC com Microsoft Intune.

Criar uma política de Windows Hello para Empresas para a inscrição de dispositivos

  1. Entre no Centro de administração do Microsoft Intune.

  2. Aceda aInscrição de Dispositivos>.

  3. No separador Windows, em Opções de inscrição, selecione Windows Hello para Empresas. Aguarde enquanto o painel Windows Hello para Empresas é aberto.

  4. Selecione uma das opções a seguir para Configurar o Windows Hello para Empresas:

    • Habilitada. Selecione essa configuração se você quiser configurar o Windows Hello para Empresas. Quando você seleciona Habilitado, outras configurações do Windows Hello ficam visíveis e podem ser configuradas para dispositivos.

    • Desabilitada. Se você não quiser habilitar o Windows Hello para Empresas durante o registro do dispositivo, selecione essa opção. Quando desabilitado, os usuários não podem provisionar o Windows Hello para Empresas. Quando essa configuração é definida como Desabilitada, você ainda poderá definir as configurações seguintes para o Windows Hello para Empresas, embora essa política não habilite o Windows Hello para Empresas.

    • Não configurado. Selecione essa configuração se você não quiser usar o Intune para controlar as configurações do Windows Hello para Empresas. As definições de Windows Hello para Empresas existentes em dispositivos Windows 10/11 não são alteradas. Nenhuma outra configuração no painel está disponível.

  5. Se você selecionou Habilitado na etapa anterior, defina as configurações necessárias que serão aplicadas a todos os dispositivos Windows 10/11 registrados. Depois de definir essas configurações, selecione Salvar.

    • Usar um TPM (Trusted Platform Module):

      Um chip TPM fornece outra camada de segurança de dados. Escolha um dos seguintes valores:

      • Obrigatório (padrão). Somente dispositivos com um TPM acessível podem provisionar o Windows Hello para Empresas.
      • Preferencial. Primeira tentativa dos dispositivos para usar um TPM. Se essa opção não estiver disponível, eles poderão usar a criptografia de software.
    • Tamanho mínimo do PIN e Tamanho máximo do PIN:

      Configura os dispositivos para usar os tamanhos mínimo e máximo do PIN especificados para ajudar a garantir a entrada segura. O comprimento padrão do PIN é de seis caracteres, mas você pode impor um comprimento mínimo de quatro caracteres. O comprimento máximo do PIN é de 127 caracteres.

    • Letras minúsculas no PIN, Letras maiúsculas no PIN e Caracteres especiais no PIN.

      Você pode impor um PIN mais forte exigindo o uso de letras maiúsculas, letras minúsculas e caracteres especiais no PIN. Para cada um, selecione entre:

      • Permitido: os utilizadores podem utilizar o tipo de caráter no PIN, mas não é obrigatório.

      • Obrigatório: os utilizadores têm de incluir, pelo menos, um dos tipos de carateres no PIN. Por exemplo, é uma prática comum exigir pelo menos uma letra maiúscula e um caractere especial.

      • Não permitido (predefinição): os utilizadores não podem utilizar estes tipos de carateres no PIN. (Esse também será o comportamento se a configuração não estiver definida.)

        Os carateres especiais incluem: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

    • Expiração do PIN (dias):

      É uma boa prática especificar um período de expiração de um PIN após o qual os usuários devem alterá-lo. O padrão é 41 dias.

    • Lembrar histórico de PINs:

      Restringe a reutilização de PINs usados anteriormente. Por padrão, os últimos 5 PINs não podem ser reutilizados.

    • Permitir autenticação biométrica:

      Permite a autenticação biométrica, como reconhecimento facial ou impressão digital, como uma alternativa a um PIN do Windows Hello para Empresas. Os usuários ainda devem configurar um PIN de trabalho no caso de falha de autenticação biométrica. Escolha entre:

      • Sim. O Windows Hello para Empresas permite autenticação biométrica.
      • Não. O Windows Hello para Empresas impede a autenticação biométrica (para todos os tipos de conta).
    • Usar antifalsificação avançada, quando disponível:

      Configura se os recursos antifalsificação do Windows Hello são usados em dispositivos com suporte. Por exemplo, detectar uma fotografia de uma face em vez de uma face real.

      Ao definir como Sim, o Windows exige que todos os usuários usem a antifalsificação para recursos faciais quando houver suporte.

    • Permitir entrada por telefone:

      Se essa opção for definida como Sim, os usuários poderão usar um passaporte remoto para servir como um dispositivo portátil complementar para autenticação de computador desktop. O computador de secretária tem de estar Microsoft Entra associado e o dispositivo complementar tem de ser configurado com um PIN Windows Hello para Empresas.

    • Ative a segurança de início de sessão melhorada:

      Configure Windows Hello Segurança de Início de Sessão Avançada em dispositivos com hardware compatível. Suas opções:

      • Segurança de início de sessão melhorada será ativada em sistemas com hardware compatível (predefinição): os utilizadores de dispositivos não podem utilizar periféricos externos para iniciar sessão no respetivo dispositivo com Windows Hello.
      • A segurança de início de sessão melhorada será desativada em todos os sistemas: os utilizadores do dispositivo podem utilizar periféricos externos compatíveis com Windows Hello para iniciar sessão no respetivo dispositivo.
    • Use as chaves de segurança para entrada:

      Quando definida como Ativada, esta definição fornece a capacidade para ativar/desativar remotamente Windows Hello Chaves de Segurança para todos os computadores na organização de um cliente.

Compatibilidade do Windows Holographic for Business

O Windows Holographic for Business dá suporte às seguintes configurações do Windows Hello para Empresas:

  • Usar o Trusted Platform Module (TPM)
  • Tamanho mínimo do PIN
  • Tamanho máximo do PIN
  • Letras minúsculas no PIN
  • Letras maiúsculas no PIN
  • Caracteres especiais no PIN
  • Término do PIN (dias)
  • Lembrar do histórico do PIN

Próximas etapas

Saiba mais sobre Windows Hello dos seguintes assuntos na documentação do Windows: