Configurar e inscrever no Windows Hello para Empresas num modelo de confiança de certificado híbrido

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Este artigo descreve as funcionalidades ou cenários do Windows Hello para Empresas que se aplicam a:

• Tipo de implementação:híbrido
• Tipo de
• Tipo de associação:associados híbridos ao Microsoft Entra

---

Assim que os pré-requisitos forem cumpridos e as configurações do PKI e do AD FS forem validadas, a implementação do Windows Hello para Empresas consiste nos seguintes passos:

• Definir as configurações de política do Windows Hello para Empresas
• Inscrever-se no Windows Hello para Empresas

Definir as configurações de política do Windows Hello para Empresas

Existem duas definições de política necessárias para ativar o Windows Hello para Empresas num modelo de confiança de certificado:

• Usar o Windows Hello para Empresas
• Usar o certificado para autenticação no local

Outra definição de política opcional, mas recomendada, é:

• Usar um dispositivo de segurança de hardware

Utilize as seguintes instruções para configurar os seus dispositivos com o Microsoft Intune ou a política de grupo (GPO).

GPO

Pode configurar a definição de política Utilizar o Windows Hello para Empresas no computador ou nó de utilizador de um GPO:

• Implementar a definição de política do nó de computador resulta em todos os utilizadores que iniciam sessão nos dispositivos visados para tentar uma inscrição do Windows Hello para Empresas
• Implementar a definição de política do nó de utilizador resulta apenas nos utilizadores visados para tentarem uma inscrição do Windows Hello para Empresas

Se as configurações de política de computador e do usuário são implantadas, a configuração de política de usuário tem precedência.

Dica

Utilize o mesmo grupo de segurança Utilizadores do Windows Hello para Empresas para atribuir permissões de modelo de certificado para garantir que os mesmos membros podem inscrever-se no certificado de autenticação do Windows Hello para Empresas.

O provisionamento do Windows Hello para Empresas executa a inscrição inicial do certificado de autenticação do Windows Hello para Empresas. Este certificado expira com base na duração configurada no modelo de certificado de autenticação do Windows Hello para Empresas.

O processo não requer qualquer interação do utilizador, desde que o utilizador inicie sessão com o Windows Hello para Empresas. O certificado é renovado em segundo plano antes de expirar.

Para configurar um dispositivo com a política de grupo, utilize o Editor de Políticas de Grupo Local. Para configurar vários dispositivos associados ao Active Directory, crie ou edite um objeto de política de grupo (GPO) e utilize as seguintes definições:

Caminho da política de grupo	Definição de política de grupo	Valor
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas or Configuração do Utilizador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas	Usar o Windows Hello para Empresas	Habilitada
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas or Configuração do Utilizador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas	Usar o certificado para autenticação no local	Habilitada
Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas de Chave Pública or Configuração do Utilizador\Definições do Windows\Definições de Segurança\Políticas de Chave Pública	Cliente dos Serviços de Certificados – Inscrição Automática	- Selecione Ativado no Modelo de Configuração - Selecione Renovar certificados expirados, atualize certificados pendentes e remova certificados revogados - Selecione Atualizar certificados que utilizam modelos de certificado
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas	Usar um dispositivo de segurança de hardware	Habilitada

Observação

A ativação da definição Utilizar uma política de dispositivos de segurança de hardware é opcional, mas recomendada.

As políticas de grupo podem ser ligadas a domínios ou unidades organizacionais, filtradas através de grupos de segurança ou filtradas através de filtros WMI.

Dica

A melhor forma de implementar o GPO do Windows Hello para Empresas é utilizar a filtragem de grupos de segurança. Apenas os membros do grupo de segurança de destino aprovisionarão o Windows Hello para Empresas, ativando uma implementação faseada. Esta solução permite ligar o GPO ao domínio, garantindo que o GPO está no âmbito de todos os principais de segurança. A filtragem do grupo de segurança garante que apenas os membros do grupo global recebem e aplicam o GPO, o que resulta no aprovisionamento do Windows Hello para Empresas.

Intune/CSP

Importante

As informações nesta secção aplicam-se a dispositivos associados ao Microsoft Entra geridos pelo Intune. Antes de continuar, certifique-se de que concluiu os passos descritos em:

• Configurar o início de sessão único para dispositivos associados ao Microsoft Entra
• Usar certificados para logon único local do AADJ

Observação

Reveja o artigo Configurar o Windows Hello para Empresas com o Microsoft Intune para saber mais sobre as diferentes opções oferecidas pelo Microsoft Intune para configurar o Windows Hello para Empresas.

Se a política ao nível do inquilino do Intune estiver ativada e configurada de acordo com as suas necessidades, pode avançar para Inscrever no Windows Hello para Empresas.

Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria	Nome da configuração	Valor
Windows Hello para Empresas	Utilizar o Passport For Work	true
Windows Hello para Empresas	Utilizar Certificado para Autenticação No Local	Habilitado
Windows Hello para Empresas	Exigir Dispositivo de Segurança	true

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Em alternativa, pode configurar dispositivos com uma política personalizada com o PassportForWork CSP.

Configuração
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Tipo de dados:bool - Valor:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UseCertificateForOnPremAuth - Tipo de dados:bool - Valor:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Tipo de dados:bool - Valor:True

Para obter mais informações sobre a política de confiança de certificados, consulte Definições de política do Windows Hello para Empresas.

Se implementar a configuração do Windows Hello para Empresas com a Política de Grupo e o Intune, as definições da Política de Grupo têm precedência e as definições do Intune são ignoradas. Para obter mais informações sobre conflitos de políticas, veja Conflitos de políticas de várias origens de políticas

Pode configurar mais definições de política para controlar o comportamento do Windows Hello para Empresas. Para obter mais informações, consulte Definições de política do Windows Hello para Empresas.

Inscrever-se no Windows Hello para Empresas

O processo de aprovisionamento do Windows Hello para Empresas começa imediatamente após o carregamento do perfil de utilizador e antes de o utilizador receber o respetivo ambiente de trabalho. Para que o processo de aprovisionamento seja iniciado, todas as verificações de pré-requisitos têm de ser aprovadas.

Pode determinar o estado das verificações de pré-requisitos ao visualizar o registo de administrador do Registo de Dispositivos do Utilizador em Aplicações e Registos de Serviços > do Microsoft > Windows.
Estas informações também estão disponíveis através do dsregcmd.exe /status comando de uma consola. Para obter mais informações, veja dsregcmd.

Experiência do usuário

Depois de um utilizador iniciar sessão, o processo de inscrição do Windows Hello para Empresas começa:

1. Se o dispositivo suportar a autenticação biométrica, é pedido ao utilizador que configure um gesto biométrico. Este gesto pode ser utilizado para desbloquear o dispositivo e autenticar-se em recursos que requerem o Windows Hello para Empresas. O utilizador pode ignorar este passo se não quiser configurar um gesto biométrico
2. É pedido ao utilizador que utilize o Windows Hello com a conta da organização. O utilizador seleciona OK
3. O fluxo de aprovisionamento avança para a parte da autenticação multifator da inscrição. O aprovisionamento informa o utilizador de que está a tentar contactar ativamente o utilizador através da forma configurada de MFA. O processo de aprovisionamento não continua até que a autenticação seja bem-sucedida, falhe ou exceda o tempo limite. Uma MFA com falha ou tempo limite resulta num erro e pede ao utilizador para tentar novamente
4. Após um MFA bem-sucedido, o fluxo de provisionamento pede ao usuário para criar e validar um PIN. Este PIN tem de observar quaisquer políticas de complexidade de PIN configuradas no dispositivo
5. O restante do provisionamento inclui o Windows Hello para Empresas, que solicita um par de chaves assimétricas para o usuário, preferencialmente do TPM (ou obrigatório se definido explicitamente por meio da política). Assim que o par de chaves for adquirido, o Windows comunica com o IdP para registar a chave pública. Quando o registo de chaves estiver concluído, o aprovisionamento do Windows Hello para Empresas informa o utilizador de que pode utilizar o PIN para iniciar sessão. O utilizador pode fechar a aplicação de aprovisionamento e aceder ao respetivo ambiente de trabalho

Depois de um registro de chave bem-sucedido, o Windows cria uma solicitação de certificado usando o mesmo par de chaves para solicitar um certificado. O Windows envia o pedido de certificado para o servidor do AD FS para inscrição de certificados.

A autoridade de registro do AD FS verifica se a chave usada na solicitação de certificado corresponde à chave registrada anteriormente. Em uma combinação com êxito, a autoridade de registro do AD FS verifica a solicitação de certificado usando o certificado do agente de registro e o envia para a autoridade de certificação.

Observação

Para que o AD FS verifique a chave utilizada no pedido de certificado, tem de conseguir aceder ao https://enterpriseregistration.windows.net ponto final.

A AC valida que o certificado é assinado pela autoridade de registo. Ao validar com êxito, emite um certificado com base no pedido e devolve o certificado à autoridade de registo do AD FS. A autoridade de registo devolve o certificado ao Windows onde, em seguida, instala o certificado no arquivo de certificados do utilizador atual. Após a conclusão deste processo, o fluxo de trabalho de aprovisionamento do Windows Hello para Empresas informa o utilizador de que pode utilizar o PIN para iniciar sessão através do Centro de Ação.

Observação

A atualização do Windows Server 2016 KB4088889 (14393.2155) fornece um registro de certificado síncrono durante o provisionamento de confiança de certificado híbrida. Com esta atualização, os utilizadores não precisam de esperar que o Microsoft Entra Connect sincronize a respetiva chave pública no local. Os utilizadores inscrevem o certificado durante o aprovisionamento e podem utilizar o certificado para iniciar sessão imediatamente após concluir o aprovisionamento. A atualização tem de ser instalada nos servidores de federação.

Diagramas de sequência

Para compreender melhor os fluxos de aprovisionamento, reveja os seguintes diagramas de sequência com base no tipo de associação e autenticação do dispositivo:

• Aprovisionamento de dispositivos associados ao Microsoft Entra com autenticação gerida
• Aprovisionamento de dispositivos associados ao Microsoft Entra com autenticação federada
• Aprovisionamento num modelo de implementação de fidedignidade de certificado híbrido com autenticação federada

Para compreender melhor os fluxos de autenticação, reveja o seguinte diagrama de sequência:

• Microsoft Entra associa autenticação ao Active Directory com um certificado
• Autenticação de associação híbrida do Microsoft Entra com um certificado