Inscrição dupla
Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:
- Tipo de implementação: de Política de Grupo no local , híbrido
- Tipo de
- Tipo de associação:um domínio , Microsoft Entra associação híbrida
Importante
A inscrição dupla não substitui nem fornece a mesma segurança que a funcionalidade Estações de Trabalho de Acesso Privilegiado. A Microsoft incentiva as organizações a utilizar as Estações de Trabalho de Acesso Privilegiado para os utilizadores com credenciais privilegiadas. As organizações podem considerar Windows Hello para Empresas inscrição dupla em situações em que a funcionalidade Acesso Privilegiado não pode ser utilizada. Para saber mais, veja Privileged Access Workstations (Estações de Trabalho de Acesso Privilegiado).
A inscrição dupla permite que os administradores executem funções administrativas elevadas ao inscrever as respetivas credenciais sem privilégios e sem privilégios no respetivo dispositivo.
Por predefinição, o Windows não enumera todos os Windows Hello para Empresas utilizadores a partir da sessão de um utilizador. Ao utilizar a definição de política de grupo, Permitir enumeração de card inteligentes emulados para todos os utilizadores, pode configurar um dispositivo para enumerar todas as credenciais de Windows Hello para Empresas inscritos em dispositivos selecionados.
Com esta definição, os utilizadores administrativos podem iniciar sessão no Windows com as respetivas credenciais de Windows Hello sem privilégios para o fluxo de trabalho normal, como o e-mail, mas podem iniciar Consolas de Gestão da Microsoft (MMCs), clientes dos Serviços de Ambiente de Trabalho Remoto e outras aplicações ao selecionar Executar como utilizador diferente ou Executar como administrador, selecionar a conta de utilizador com privilégios e fornecer o PIN. Os administradores também podem tirar partido desta funcionalidade com aplicações de linha de comandos através da combinação runas.exe
com o /smartcard
argumento . Isto permite que os administradores realizem as suas operações diárias sem precisarem de iniciar e terminar sessão ou utilizar a mudança rápida de utilizador ao alternar entre cargas de trabalho com privilégios e sem privilégios.
Importante
Tem de configurar um computador Windows para Windows Hello para Empresas inscrição dupla antes de o utilizador (privilegiado ou não privilegiado) aprovisionar Windows Hello para Empresas. A inscrição dupla é uma definição especial configurada no contentor Windows Hello durante a criação.
Configurar Windows Hello para Empresas inscrição dupla
Eis os passos para ativar a inscrição dupla:
- Configurar o Active Directory para suportar a inscrição de Administrador de Domínio
- Configurar a inscrição dupla com Política de Grupo
Configurar o Active Directory para suportar a inscrição de Administrador de Domínio
A configuração de Windows Hello para Empresas concebida dá ao Key Admins
grupo permissões de leitura e escrita para o msDS-KeyCredentialsLink
atributo . Forneceu estas permissões na raiz do domínio e utilizou a herança de objetos para garantir que as permissões se aplicam a todos os utilizadores no domínio, independentemente da respetiva localização na hierarquia de domínio.
Active Directory Domain Services utiliza AdminSDHolder
para proteger utilizadores e grupos com privilégios contra modificações não intencionais ao comparar e substituir a segurança em utilizadores e grupos com privilégios para corresponder aos definidos no objeto AdminSDHolder num ciclo de hora a hora. Por Windows Hello para Empresas, a sua conta de administrador de domínio poderá receber as permissões, mas estas desaparecem do objeto de utilizador, a menos que atribua as AdminSDHolder
permissões de leitura e escrita ao msDS-KeyCredential
atributo.
Inicie sessão num controlador de domínio ou estação de trabalho de gestão com acesso equivalente ao administrador de domínio.
Escreva o seguinte comando para adicionar as permissões de propriedade permitir leitura e escrita para o atributo msDS-KeyCredentialLink para o
Key Admins
grupo noAdminSDHolder
objeto.dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink
em que
DC=domain,DC=com
é o caminho LDAP do seu domínio do Active Directory edomainName\keyAdminGroup
é o nome NetBIOS do seu domínio e o nome do grupo que utiliza para conceder acesso a chaves com base na sua implementação. Por exemplo:dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink
Para acionar a propagação do descritor de segurança, abra
ldp.exe
.Selecione Ligação e selecione Ligar... Junto a Servidor, escreva o nome do controlador de domínio que contém a função PDC do domínio. Junto a Porta, escreva 389 e selecione OK.
Selecione Ligação e selecione Vincular... Selecione OK para vincular como o utilizador com sessão iniciada atualmente.
Selecione Browser e selecione Modificar. Deixe a caixa de texto DN em branco. Junto a Atributo, escreva RunProtectAdminGroupsTask. Junto a Valores, escreva
1
. Selecione Enter para adicionar esta opção à Lista de Entradas.Selecione Executar para iniciar a tarefa.
Feche o LDP.
Configurar a inscrição dupla com a política de grupo
Configure o Windows para suportar a inscrição dupla com a parte de configuração do computador de um objeto Política de Grupo:
Com a Consola de Gestão de Política de Grupo (GPMC), crie um novo objeto de Política de Grupo baseado em domínio e ligue-o a uma Unidade organizacional que contenha objetos de computador do Active Directory utilizados por utilizadores com privilégios.
Edite o objeto Política de Grupo do passo 1.
Ative a definição de política Permitir enumeração de smart cards emulados para todos os utilizadores localizada em Configuração do Computador Modelos> Administrativos-Componentes> do Windows-Windows Hello para Empresas>
Feche o Editor de Gestão de Política de Grupo para guardar o objeto Política de Grupo. Feche o GPMC.
Reinicie os computadores visados por este objeto Política de Grupo.
O computador está pronto para a inscrição dupla. Inicie sessão como o utilizador com privilégios primeiro e inscreva-se no Windows Hello para Empresas. Depois de concluído, termine sessão e inicie sessão como o utilizador sem privilégios e inscreva-se no Windows Hello para Empresas. Agora, pode utilizar a credencial privilegiada para realizar tarefas privilegiadas sem utilizar a palavra-passe e sem ter de mudar de utilizador.