definições de Windows Hello para Empresas no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Configuration Manager integra-se com Windows Hello para Empresas. (Esta funcionalidade era anteriormente conhecida como Microsoft Passport for Work.) Windows Hello para Empresas é um método de início de sessão alternativo para dispositivos Windows 10. Utiliza o Active Directory ou uma conta de Microsoft Entra para substituir uma palavra-passe, card inteligente ou card inteligentes virtuais. O Hello para Empresas permite-lhe utilizar um gesto de utilizador para iniciar sessão em vez de uma palavra-passe. Um gesto de utilizador pode ser um PIN, autenticação biométrica ou um dispositivo externo, como um leitor de impressões digitais.
Importante
A partir da versão 2203, esta funcionalidade de acesso a recursos da empresa já não é suportada. Para obter mais informações, veja Perguntas mais frequentes sobre a descontinuação do acesso a recursos.
Serviços de Federação do Active Directory (AD FS) implementação da Autoridade de Registo (RA do ADFS) é mais simples, proporciona uma melhor experiência de utilizador e tem uma experiência de inscrição de certificados mais determinista. Utilize o RA do ADFS para autenticação baseada em certificados com Windows Hello para Empresas.
Para obter mais informações, consulte Windows Hello para Empresas.
Observação
Configuration Manager não ativa esta funcionalidade opcional por predefinição. Tem de ativar esta funcionalidade antes de a utilizar. Para obter mais informações, consulte Ativar funcionalidades opcionais a partir de atualizações.
Configuration Manager integra-se com Windows Hello para Empresas das seguintes formas:
Controlar os gestos que os utilizadores podem e não podem utilizar para iniciar sessão.
Armazene certificados de autenticação no fornecedor de armazenamento de chaves Windows Hello para Empresas (KSP). Para obter mais informações, veja Perfis de certificado.
Crie e implemente um perfil Windows Hello para Empresas para controlar as respetivas definições em dispositivos Windows 10 associados a um domínio que executam o cliente Configuration Manager. A partir da versão 1910, não pode utilizar a autenticação baseada em certificados. Ao utilizar a autenticação baseada em chaves, não precisa de implementar um perfil de certificado.
Configurar um perfil
No console do Configuration Manager, vá até o workspace Ativos e Conformidade. Expanda Definições de Compatibilidade, expanda Acesso a Recursos da Empresa e selecione o nó Windows Hello para Empresas Perfis.
No friso, selecione Criar Windows Hello para Empresas Perfil para iniciar o assistente de perfis.
Na página Geral , especifique um nome e uma descrição opcional para este perfil.
Na página Plataformas Suportadas , selecione as versões do SO às quais este perfil deve ser aplicado.
Na página Definições , configure as seguintes definições:
Configurar Windows Hello para Empresas: especifique se este perfil ativa, desativa ou não configura o Hello para Empresas.
Utilizar um Trusted Platform Module (TPM): um TPM fornece uma camada adicional de segurança de dados. Escolha um dos seguintes valores:
Obrigatório: apenas os dispositivos com um TPM acessível podem aprovisionar Windows Hello para Empresas.
Preferencial: os dispositivos tentam primeiro utilizar um TPM. Se não estiver disponível, podem utilizar a encriptação de software.
Método de autenticação: defina esta opção como Não configurado ou Baseado em chave.
Observação
A partir da versão 1910, a autenticação baseada em certificado com definições de Windows Hello para Empresas no Configuration Manager não é suportada.
Configurar o comprimento mínimo do PIN: se quiser exigir um comprimento mínimo para o PIN do utilizador, ative esta opção e especifique um valor. Quando ativado, o valor predefinido é
4.Configurar o comprimento máximo do PIN: se quiser exigir um comprimento máximo para o PIN do utilizador, ative esta opção e especifique um valor. Quando ativado, o valor predefinido é
127.Exigir expiração do PIN (dias): especifica o número de dias antes de o utilizador ter de alterar o PIN do dispositivo.
Impedir a reutilização de PINs anteriores: não permita que os utilizadores utilizem PINs que tenham utilizado anteriormente.
Exigir letras maiúsculas no PIN: especifica se os utilizadores têm de incluir letras maiúsculas no PIN Windows Hello para Empresas. Escolha entre:
Permitido: os utilizadores podem utilizar carateres em maiúsculas no PIN, mas não têm de o fazer.
Obrigatório: os utilizadores têm de incluir, pelo menos, um caráter em maiúscula no PIN.
Não permitido: os utilizadores não podem utilizar carateres em maiúsculas no PIN.
Exigir letras minúsculas no PIN: especifica se os utilizadores têm de incluir letras minúsculas no PIN Windows Hello para Empresas. Escolha entre:
Permitido: os utilizadores podem utilizar carateres em minúsculas no PIN, mas não têm de o fazer.
Obrigatório: os utilizadores têm de incluir, pelo menos, um caráter em minúsculas no PIN.
Não permitido: os utilizadores não podem utilizar carateres minúsculos no PIN.
Configurar carateres especiais: especifica a utilização de carateres especiais no PIN. Escolha entre:
Observação
Os carateres especiais incluem o seguinte conjunto:
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~Permitido: os utilizadores podem utilizar carateres especiais no PIN, mas não têm de o fazer.
Obrigatório: os utilizadores têm de incluir, pelo menos, um caráter especial no PIN.
Não permitido: os utilizadores não podem utilizar carateres especiais no PIN. Este comportamento é também se a definição não estiver configurada.
Configurar a utilização de dígitos no PIN: especifica a utilização de números no PIN. Escolha entre:
Permitido: os utilizadores podem utilizar números no PIN, mas não têm de o fazer.
Obrigatório: os utilizadores têm de incluir, pelo menos, um número no PIN.
Não permitido: os utilizadores não podem utilizar números no PIN.
Ativar gestos biométricos: utilize a autenticação biométrica, como reconhecimento facial ou impressão digital. Estes modos são uma alternativa a um PIN para Windows Hello para Empresas. Os utilizadores continuam a configurar um PIN caso a autenticação biométrica falhe.
Se estiver definido como Sim, Windows Hello para Empresas permite a autenticação biométrica. Se estiver definido como Não, Windows Hello para Empresas impede a autenticação biométrica para todos os tipos de conta.
Utilizar anti-spoofing melhorado: configura o anti-spoofing melhorado em dispositivos que o suportam. Se estiver definido como Sim, quando suportado, o Windows requer que todos os utilizadores utilizem anti-spoofing para funcionalidades faciais.
Utilizar o Início de Sessão no Telemóvel: configura a autenticação de dois fatores com um telemóvel.
Conclua o assistente.
A seguinte captura de ecrã é um exemplo de Windows Hello para Empresas definições de perfil:
Configurar as permissões
Como Administrador de Domínio ou credenciais equivalentes, inicie sessão numa estação de trabalho administrativa segura que tenha a seguinte funcionalidade opcional instalada: RSAT: Active Directory Domain Services e Ferramentas de Serviços de Diretório Leve.
Abra a consola Usuários e Computadores do Active Directory.
Selecione o domínio, aceda ao Menu de Ação e selecione Propriedades.
Mude para o separador Segurança e selecione Avançadas.
Dica
Se não vir o separador Segurança , feche a janela de propriedades. Aceda ao menu Ver e selecione Funcionalidades Avançadas.
Selecione Adicionar.
Selecione Selecionar um principal e introduza
Key Admins.Na lista Aplica-se a , selecione Objetos de Utilizador Descendente.
Na parte inferior da página, selecione Limpar tudo.
Na secção Propriedades , selecione Ler msDS-KeyCredentialLink.
Selecione OK para guardar as alterações e fechar todas as janelas.