Perguntas comuns sobre Windows Hello para Empresas

Windows Hello é uma tecnologia de autenticação que permite que os utilizadores iniciem sessão nos respetivos dispositivos Windows com dados biométricos ou um PIN, em vez de uma palavra-passe tradicional.

Windows Hello para Empresas é uma extensão de Windows Hello que fornece capacidades de segurança e gestão de nível empresarial, incluindo atestado de dispositivo, autenticação baseada em certificados e políticas de acesso condicional. As definições de política podem ser implementadas nos dispositivos para garantir que estão seguras e em conformidade com os requisitos organizacionais.

Três razões main:

1. Um PIN está associado a um dispositivo: uma diferença importante entre uma palavra-passe online e um PIN Hello é que o PIN está associado ao dispositivo específico no qual está configurado. Esse PIN é inútil para qualquer pessoa sem esse hardware específico. Alguém que obtenha a sua palavra-passe online pode iniciar sessão na sua conta a partir de qualquer lugar, mas se obtiver o SEU PIN, também terá de aceder ao seu dispositivo. O PIN não pode ser utilizado em nenhum lugar, exceto nesse dispositivo específico. Se quiser iniciar sessão em vários dispositivos, tem de configurar Hello em cada dispositivo
2. Um PIN é local para o dispositivo: é transmitida uma palavra-passe online para o servidor. A palavra-passe pode ser interceptada na transmissão ou obtida a partir de um servidor. Um PIN é local para o dispositivo, nunca é transmitido em qualquer lugar e não é armazenado no servidor. Quando o PIN é criado, ele estabelece uma relação de confiança com o provedor de identidade e cria um par de chaves assimétricas usado na autenticação. Quando introduz o PIN, desbloqueia a chave de autenticação, que é utilizada para assinar o pedido que é enviado para o servidor de autenticação. Com Windows Hello para Empresas, o PIN é uma entropia fornecida pelo utilizador utilizada para carregar a chave privada no Trusted Platform Module (TPM). O servidor não tem uma cópia do PIN. Aliás, o cliente Windows também não tem uma cópia do PIN atual. O utilizador tem de fornecer a entropia, a chave protegida por TPM e o TPM que gerou essa chave para aceder com êxito à chave privada
3. Um PIN é apoiado por hardware: o PIN do Hello é apoiado por um chip TPM (Trusted Platform Module), que é um processador criptográfico seguro concebido para realizar operações criptográficas. O chip inclui vários mecanismos de segurança física para torná-lo resistente a adulterações nas funções de segurança do TPM por software mal-intencionado. O Windows não liga palavras-passe locais ao TPM, pelo que os PINs são considerados mais seguros do que as palavras-passe locais. O material da chave de utilizador é gerado e está disponível no TPM do dispositivo. O TPM protege o material chave dos atacantes que pretendem capturá-lo e reutilizá-lo. Uma vez que Hello utiliza pares de chaves assimétricas, as credenciais dos utilizadores não podem ser roubadas nos casos em que o fornecedor de identidade ou sites aos quais o utilizador acede foi comprometido. O TPM protege contra vários ataques conhecidos e potenciais, incluindo ataques de força bruta de PIN. Após demasiadas suposições incorretas, o dispositivo está bloqueado

A instrução Um PIN é mais forte do que uma palavra-passe não é direcionada para a força da entropia utilizada pelo PIN. Trata-se da diferença entre fornecer entropia versus continuar a utilização de uma chave simétrica (a palavra-passe). O TPM tem funcionalidades anti-marteladas que impedem ataques de PIN de força bruta (a tentativa contínua de um atacante de tentar toda a combinação de PINs). Algumas organizações podem preocupar-se com o surf no ombro. Para essas organizações, em vez de aumentar a complexidade do PIN, implemente a funcionalidade Desbloqueio Multifator .

Para comprometer uma credencial de Windows Hello protegida pelo TPM, um atacante tem de ter acesso ao dispositivo físico. Em seguida, o atacante tem de encontrar uma forma de falsificar a biometria do utilizador ou adivinhar o PIN. Todas estas ações têm de ser efetuadas antes de a proteção anti-martelar do TPM bloquear o dispositivo.

Windows Hello permite o início de sessão biométrico com impressão digital, íris ou reconhecimento facial. Quando configura Windows Hello, é-lhe pedido que crie um PIN após a configuração biométrica. O PIN permite-lhe iniciar sessão quando não consegue utilizar a biométrica preferida devido a uma lesão ou porque o sensor está indisponível ou não está a funcionar corretamente. Se tivesse apenas um início de sessão biométrico configurado e, por qualquer motivo, não tivesse conseguido utilizar esse método para iniciar sessão, teria de iniciar sessão com a sua conta e palavra-passe, o que não lhe fornece o mesmo nível de proteção que Hello.

Sempre que for gerado material de chave, tem de ser protegido contra ataques. A maneira mais robusta de fazer isso é por meio de hardware especializado. Existe um longo histórico de utilização de módulos de segurança de hardware (HSMs) para gerar, armazenar e processar chaves para aplicações críticas para a segurança. Os cartões inteligentes são um tipo especial de HSM, da mesma forma que os dispositivos compatíveis com o padrão TPM do Trusted Computing Group. Sempre que possível, a implementação do Windows Hello para Empresas tira partido do hardware TPM integrado para gerar e proteger chaves. Os administradores podem optar por permitir operações chave no software, mas recomenda-se a utilização de hardware TPM. O TPM protege contra diversos ataques conhecidos e possíveis, incluindo ataques de força bruta ao PIN. O TPM também fornece uma camada adicional de proteção após o bloqueio de uma conta. Quando o TPM tiver bloqueado o material da chave, o utilizador terá de repor o PIN (o que significa que o utilizador terá de utilizar a MFA para voltar a autenticar o IdP antes de o IdP permitir o novo registo). A redefinição do PIN significa que todas as chaves e certificados criptografados com o material de chave antigo serão removidos.

Windows Hello para Empresas fornece uma experiência de utilizador de colocação em cache de PIN através de um sistema de permissões. Em vez do armazenamento do PIN em cache, os processos armazenam em cache um tíquete que pode ser usado para solicitar operações de chave privadas. Microsoft Entra ID e as chaves de início de sessão do Active Directory são colocadas em cache sob bloqueio. Isto significa que as chaves permanecem disponíveis para utilização sem pedir, desde que o utilizador tenha sessão iniciada interativamente. As chaves de início de sessão da Conta Microsoft são chaves transacionais, o que significa que o utilizador é sempre solicitado quando acede à chave.

Windows Hello para Empresas utilizado como um card inteligente (emulação de card inteligente ativada por predefinição) fornece a mesma experiência de utilizador de colocação em cache de PIN inteligente card predefinida. Cada processo que pede uma operação de chave privada pede ao utilizador o PIN na primeira utilização. As operações de chave privada subsequentes não pedirão ao utilizador o PIN.

O recurso de emulação de cartão inteligente do Windows Hello para Empresas verifica o PIN e, em seguida, descarta o PIN em troca de um tíquete. O processo não recebe o PIN, mas sim o pedido de suporte que lhes concede operações de chaves privadas. Não existe uma definição de política para ajustar a colocação em cache.

Quando se inscreve no Windows Hello, é criada uma representação da biometria, denominada perfil de inscrição. Os dados biométricos do perfil de inscrição são específicos do dispositivo, são armazenados localmente no dispositivo e não saem do dispositivo nem circulam com o utilizador. Alguns sensores de impressões digitais externos armazenam dados biométricos no próprio módulo de impressão digital e não no dispositivo Windows. Mesmo neste caso, os dados biométricos são armazenados localmente nesses módulos, são específicos do dispositivo, não vagueiam, nunca saem do módulo e nunca são enviados para a cloud da Microsoft ou para o servidor externo. Para obter mais detalhes, veja Windows Hello biometria na empresa e Windows Hello autenticação facial.

Windows Hello dados biométricos são armazenados no dispositivo como uma base de dados de modelo encriptada. Os dados do sensor de biometria (como a câmara facial ou o leitor de impressões digitais) criam uma representação de dados (ou gráfico) que é depois encriptada antes de ser armazenada no dispositivo. Cada sensor de biometria no dispositivo utilizado pelo Windows Hello (rosto ou impressão digital) terá o seu próprio ficheiro de base de dados biométrica onde os dados do modelo são armazenados. Cada ficheiro de base de dados de biometria é encriptado com uma chave exclusiva gerada aleatoriamente que é encriptada para o sistema através da encriptação AES que produz um hash SHA256.

Uma vez que Windows Hello dados biométricos são armazenados em formato encriptado, nenhum utilizador ou qualquer processo que não Windows Hello tem acesso aos mesmos.

Windows Hello ficheiro de base de dados de modelo de biometria é criado no dispositivo apenas quando um utilizador é inscrito na autenticação baseada em biometria Windows Hello. Um administrador de TI pode configurar as definições de política, mas é sempre uma escolha do utilizador se quiser utilizar biometria ou PIN. Os utilizadores podem marcar a inscrição atual na biometria Windows Hello ao aceder às opções de início de sessão no dispositivo. Aceda a Iniciar > Definições Contas > Opções > de início de sessão. Se não vir Windows Hello em Opções de início de sessão, poderá não estar disponível para o seu dispositivo ou bloqueado pelo administrador através da política. Os administradores podem pedir aos utilizadores para se inscreverem no Windows Hello durante o Autopilot ou durante a configuração inicial do dispositivo. Os administradores podem não permitir que os utilizadores se inscrevam em biometria através Windows Hello para Empresas configurações de política. No entanto, quando permitido através de configurações de políticas, a inscrição no Windows Hello biometria é sempre opcional para os utilizadores.

Para remover Windows Hello e quaisquer dados de identificação biométrica associados do dispositivo, abra > as opções de Início de Sessão de Contas > de Definições>. Selecione o Windows Hello método de autenticação biométrica que pretende remover e, em seguida, selecione Remover. A ação ancula a Windows Hello autenticação de biometria e elimina o ficheiro de base de dados do modelo de biometria associado. Para obter mais detalhes, consulte Opções de início de sessão do Windows e proteção de conta (microsoft.com).

A partir de Configuration Manager, versão 2203, Windows Hello para Empresas implementações com Configuration Manager já não são suportadas.

Pode eliminar o contentor Windows Hello para Empresas ao executar o comando certutil.exe -deleteHelloContainer.

Se o utilizador conseguir iniciar sessão com uma palavra-passe, pode repor o PIN ao selecionar a ligação Esqueci-me do PIN na aplicação Definições ou no ecrã de bloqueio ao selecionar a ligação Esqueci-me do PIN no fornecedor de credenciais do PIN.

Para implementações no local, os dispositivos têm de estar ligados à respetiva rede no local (controladores de domínio e/ou autoridade de certificação) para repor os PINs. As implementações híbridas podem integrar o respetivo inquilino Microsoft Entra para utilizar o serviço de reposição de PIN Windows Hello para Empresas para repor os PINs. A reposição não destrutiva do PIN funciona sem acesso à rede empresarial. A reposição destrutiva do PIN requer acesso à rede empresarial. Para obter mais detalhes sobre a reposição destrutiva e não destrutiva do PIN, veja Reposição do PIN.

Sim. Nosso algoritmo de PIN simples procura e não permite qualquer PIN com um delta constante de um dígito para o próximo. O algoritmo conta o número de passos necessários para atingir o dígito seguinte, excedendo o limite de 10 ('zero'). Então, por exemplo:

• O PIN 1111 tem um delta constante de (0,0,0), pelo que não é permitido
• O PIN 1234 tem um delta constante de (1,1,1), pelo que não é permitido
• O PIN 1357 tem um delta constante de (2,2,2), pelo que não é permitido
• O PIN 9630 tem um delta constante de (7,7,7), pelo que não é permitido
• O PIN 1593 tem um delta constante de (4,4,4), pelo que não é permitido
• O PIN 7036 tem um delta constante de (3,3,3), pelo que não é permitido
• O PIN 1231 não tem um delta constante (1,1,2), pelo que é permitido
• O PIN 1872 não tem um delta constante (7,9,5), pelo que é permitido

Este marcar impede a repetição de números, números sequenciais e padrões simples. Resulta sempre numa lista de 100 PINs não permitidos (independentemente do comprimento do PIN). Este algoritmo não se aplica a PINs alfanuméricos.

Para ajudar a Microsoft a manter o funcionamento correto, ajudar a detetar e prevenir fraudes e continuar a melhorar Windows Hello, são recolhidos dados de diagnóstico sobre a forma como as pessoas utilizam Windows Hello. Por exemplo:

• Dados sobre se as pessoas iniciam sessão com o rosto, íris, impressão digital ou PIN
• O número de vezes que o utilizam
• Quer funcione ou não Tudo isto é uma informação valiosa que ajuda a Microsoft a criar um produto melhor. Os dados são pseudonimizados, não incluem informações biométricas e são encriptados antes de serem transmitidos à Microsoft. Pode optar por parar de enviar dados de diagnóstico para a Microsoft em qualquer altura. Saiba mais sobre os dados de diagnóstico no Windows.

Não. A mudança das senhas é realizada gradualmente reduzindo o uso delas. Em situações em que não pode autenticar com biometria, precisa de um mecanismo de contingência que não seja uma palavra-passe. O PIN é o mecanismo de contingência. Desativar ou ocultar o fornecedor de credenciais de PIN irá desativar a utilização de biometria.

O utilizador não autorizado não poderá utilizar nenhuma opção biométrica e terá a única opção para introduzir um PIN.

Se o utilizador tentar desbloquear o dispositivo ao introduzir PINs aleatórios, após três tentativas falhadas, o fornecedor de credenciais apresentará a seguinte mensagem: Introduziu um PIN incorreto várias vezes. Para tentar novamente, introduza A1B2C3 abaixo. Ao introduzir a expressão de desafio A1B2C3, será concedida ao utilizador mais uma oportunidade para introduzir o PIN. Se não for bem-sucedido, o fornecedor será desativado, deixando o utilizador com a única opção para reiniciar o dispositivo. Após o reinício, o padrão acima mencionado repete-se.

Se as tentativas sem êxito continuarem, o dispositivo entrará num estado de bloqueio com duração de 1 minuto após o primeiro reinício, 2 minutos após o quarto reinício e 10 minutos após o quinto reinício. A duração de cada bloqueio aumenta em conformidade. Este comportamento é o resultado da funcionalidade anti-martelada do TPM 2.0. Para obter mais informações sobre a funcionalidade anti-martelada do TPM, consulte Anti-hammering TPM 2.0.

Sim. Pode utilizar a implementação do Windows Hello para Empresas no local e combiná-la com um fornecedor de MFA que não seja da Microsoft que não necessite de conectividade à Internet para alcançar uma implementação de Windows Hello para Empresas com acesso aéreo.

O número máximo de inscrições suportadas num único dispositivo é 10. Isto permite que 10 utilizadores inscrevam cada rosto e até 10 impressões digitais. Para dispositivos com mais de 10 utilizadores ou para utilizadores que iniciam sessão em muitos dispositivos (por exemplo, um técnico de suporte), recomenda-se a utilização de chaves de segurança FIDO2.

Não. Se a sua organização estiver a utilizar serviços cloud da Microsoft, tem de utilizar um modelo de implementação híbrida. As implementações no local são exclusivas de organizações que precisam de mais tempo antes de mudar para a cloud e utilizam exclusivamente o Active Directory.

Reveja Microsoft Entra Connect Sync: Attributes synchronized to Microsoft Entra ID (Atributos sincronizados com Microsoft Entra ID) para obter uma lista de atributos que são sincronizados com base em cenários. Os cenários base que incluem Windows Hello para Empresas são o cenário Windows 10 e o cenário de repetição de escrita de dispositivos. O seu ambiente pode incluir outros atributos.

Sim, se estiver a utilizar a implementação híbrida federada, pode utilizar qualquer outro que não seja da Microsoft que forneça um adaptador de MFA do AD FS. Pode encontrar uma lista de adaptadores de MFA que não sejam da Microsoft aqui.

Windows Hello para Empresas funciona com quaisquer servidores de federação que não sejam da Microsoft que suportem os protocolos utilizados durante a experiência de aprovisionamento.

Windows Hello para Empresas não foi concebido para funcionar com contas locais.

Leia Windows Hello requisitos biométricos para obter mais informações.

Usar uma máscara para se inscrever é uma preocupação de segurança porque outros utilizadores que usam uma máscara semelhante podem conseguir desbloquear o seu dispositivo. Remova uma máscara se estiver a utilizar uma quando se inscrever ou desbloquear com Windows Hello autenticação facial. Se o seu ambiente de trabalho não lhe permitir remover temporariamente uma máscara, considere anular a inscrição da autenticação facial e utilizar apenas PIN ou impressão digital.

Será pedido a um utilizador que configure uma chave de Windows Hello para Empresas num Microsoft Entra dispositivos registados se a funcionalidade estiver ativada pela política. Se o utilizador tiver um contentor de Windows Hello existente, a chave de Windows Hello para Empresas será inscrita nesse contentor e será protegida através de gestos existentes.

Se um utilizador tiver iniciado sessão no respetivo dispositivo Microsoft Entra registado com Windows Hello, a chave de Windows Hello para Empresas será utilizada para autenticar a identidade de trabalho do utilizador quando tentar utilizar Microsoft Entra recursos. A chave de Windows Hello para Empresas cumpre Microsoft Entra requisitos de autenticação multifator (MFA) e reduz o número de pedidos de MFA que os utilizadores verão ao aceder aos recursos.

É possível Microsoft Entra registar um dispositivo associado a um domínio. Se o dispositivo associado ao domínio tiver um PIN de conveniência, iniciar sessão com o PIN de conveniência deixará de funcionar. Esta configuração não é suportada por Windows Hello para Empresas.

Para obter mais informações, veja Microsoft Entra dispositivos registados.

Windows Hello para Empresas é uma funcionalidade da plataforma Windows.

Não, Microsoft Entra Domain Services é um ambiente gerido separadamente no Azure e o registo de dispositivos híbridos com a cloud Microsoft Entra ID não está disponível para o mesmo através do Microsoft Entra Connect. Assim, Windows Hello para Empresas não funciona com Microsoft Entra Domain Services.

Windows Hello para Empresas é a autenticação de dois fatores com base nos fatores de autenticação observados: algo que tem, algo que sabe e algo que faz parte de si. O Windows Hello para Empresas incorpora dois desses fatores: algo que você tem (chave privada do usuário protegida pelo módulo de segurança do dispositivo) e algo que você conhece (seu PIN). Com o hardware adequado, você pode aprimorar a experiência do usuário com a biometria. Ao utilizar a biometria, pode substituir o fator de autenticação "algo que sabe" pelo fator "algo que faz parte de si", com as garantias de que os utilizadores podem reverter para o "fator que sabe".

Ambos os tipos de autenticação fornecem a mesma segurança; um não é mais seguro do que o outro. Os modelos de confiança da sua implementação determinam como se autentica no Active Directory. Tanto a fidedignidade da chave como a confiança do certificado utilizam a mesma credencial de dois fatores suportada por hardware. A diferença entre os dois tipos de fidedignidade é a emissão de certificados de entidade final:

• O modelo de fidedignidade chave é autenticado no Active Directory com uma chave não processada. A fidedignidade da chave não requer um certificado emitido pela empresa, pelo que não precisa de emitir certificados para os utilizadores (ainda são necessários certificados de controlador de domínio)
• O modelo de fidedignidade do certificado é autenticado no Active Directory com um certificado. Por conseguinte, tem de emitir certificados para os utilizadores. O certificado utilizado na fidedignidade do certificado utiliza a chave privada protegida por TPM para pedir um certificado à AC emissora da sua empresa

O PIN de Conveniência fornece uma forma mais simples de iniciar sessão no Windows do que as palavras-passe, mas ainda utiliza uma palavra-passe para autenticação. Quando o PIN de conveniência correto é fornecido ao Windows, as informações da palavra-passe são carregadas a partir da respetiva cache e autenticam o utilizador. As organizações que utilizam PINs de conveniência devem mudar para Windows Hello para Empresas. As novas implementações do Windows devem implementar Windows Hello para Empresas e não piNs convenientes.

Não. Embora seja possível definir um PIN de conveniência em Microsoft Entra dispositivos associados e Microsoft Entra associados híbridos, o PIN de conveniência não é suportado para Microsoft Entra contas de utilizador (incluindo identidades sincronizadas). O PIN de Conveniência só é suportado para utilizadores Active Directory local e utilizadores de contas locais.

Windows Hello para Empresas é a autenticação moderna de dois fatores para Windows. Os clientes que usam cartões inteligentes virtuais são fortemente incentivados a migrar para o Windows Hello para Empresas.

Para obter uma lista dos URLs necessários, consulte Microsoft 365 Common e Office Online.

Se o seu ambiente utilizar Microsoft Intune, veja Pontos finais de rede para Microsoft Intune.

Sim, pode utilizar uma câmara externa Windows Hello compatível se um dispositivo tiver uma câmara de Windows Hello interna. Quando ambas as câmaras estão presentes, a câmara externa é utilizada para autenticação facial. Para mais informações, veja Ferramentas de TI para suportar o Windows 10, versão 21H1. Se o ESS estiver ativado, veja Windows Hello Segurança de Início de Sessão Avançada.

Alguns portáteis e tablets com teclados que fecham podem não utilizar uma câmara compatível com Windows Hello externa ou outro acessório compatível com Windows Hello quando o computador está ancorado com a tampa fechada. O problema foi resolvido no Windows 11, versão 22H2.

Windows Hello para Empresas credenciais precisam de acesso ao estado do dispositivo, que não está disponível no modo de browser privado ou no modo incógnito. Por conseguinte, não pode ser utilizado no browser privado ou no modo Incógnito.

Pode utilizar o desbloqueio multifator para exigir que os utilizadores forneçam um fator adicional para desbloquear o respetivo dispositivo. A autenticação permanece de dois fatores, mas outro fator é exigido antes que o Windows permita que o usuário acesse a área de trabalho. Para saber mais, veja Desbloqueio Multifator.

Windows Hello para Empresas a confiança kerberos na cloud é um modelo de confiança que permite a implementação Windows Hello para Empresas com a infraestrutura introduzida para suportar o início de sessão da chave de segurança no Microsoft Entra dispositivos associados híbridos e o acesso a recursos no local no Microsoft Entra dispositivos associados. A confiança do Kerberos na cloud é o modelo de implementação preferencial se não precisar de suportar cenários de autenticação de certificados. Para obter mais informações, veja cloud Kerberos trust deployment (Implementação de confiança kerberos na cloud).

Esta funcionalidade não funciona num ambiente de serviços de domínio do AD no local puro.

Windows Hello para Empresas fidedignidade kerberos na cloud procura um DC gravável para trocar o TGT parcial. Desde que tenha, pelo menos, um DC gravável por site, o início de sessão com a confiança kerberos na cloud funcionará.

Windows Hello para Empresas fidedignidade kerberos na cloud requer linha de visão para um controlador de domínio quando:

• um utilizador inicia sessão pela primeira vez ou desbloqueia com Windows Hello para Empresas após o aprovisionamento
• tentar aceder a recursos no local protegidos pelo Active Directory

Windows Hello para Empresas fidedignidade kerberos na cloud não pode ser utilizada como uma credencial fornecida com RDP/VDI. Semelhante à fidedignidade da chave, a confiança do Kerberos na cloud pode ser utilizada para RDP se um certificado estiver inscrito no Windows Hello para Empresas para esta finalidade. Como alternativa, considere utilizar o Remote Credential Guard , que não requer a implementação de certificados.

Não, apenas o número necessário para processar a carga de todos os dispositivos de confiança Kerberos na cloud.

Numa implementação híbrida, a chave pública de um utilizador tem de ser sincronizada do Microsoft Entra ID com o Active Directory antes de poder ser utilizada para autenticar num controlador de domínio. Esta sincronização é processada pelo Microsoft Entra Ligar e ocorrerá durante um ciclo de sincronização normal.

O Protocolo RDP (Remote Desktop Protocol) não suporta a utilização da autenticação baseada em chaves como credenciais fornecidas. No entanto, pode implementar certificados no modelo de fidedignidade da chave para ativar o RDP. Para obter mais informações, veja Deploying certificates to key trust users to enable RDP (Implementar certificados em utilizadores de confiança chave para ativar o RDP). Como alternativa, considere utilizar o Remote Credential Guard , que não requer a implementação de certificados.