Windows Hello para configurações de negócios no Gestor de Configuração
Aplica-se a: Configuration Manager (ramo atual)
O Gestor de Configuração integra-se com Windows Hello para o Negócio. (Esta funcionalidade era anteriormente conhecida como Microsoft Passport for Work.) Windows Hello para o Negócios é um método alternativo de insinusamento para dispositivos Windows 10. Utiliza o Ative Directory ou uma conta de Azure Ative Directory (Azure AD) para substituir uma palavra-passe, um cartão inteligente ou um cartão inteligente virtual. O Hello for Business permite-lhe usar um gesto de utilizador para iniciar sinscrevi-lo em vez de uma palavra-passe. Um gesto do utilizador pode ser um PIN, uma autenticação biométrica ou um dispositivo externo, como um leitor de impressões digitais.
Importante
A partir da versão 2103 do Gestor de Configuração, esta funcionalidade de acesso a recursos da empresa é depreciada. Utilize Microsoft Intune para implementar perfis de acessoa recursos .
A partir da versão 1910, a autenticação baseada em certificados com Windows Hello para configurações de Negócios no Gestor de Configuração não é suportada. Para obter mais informações, consulte as funcionalidades preprecadas. A autenticação baseada em chaves ainda é válida.
A implantação da Ative Directory Federation Services Registration Authority (ADFS RA) é mais simples, proporciona uma melhor experiência de utilização e tem uma experiência de inscrição de certificados mais determinística. Utilize a ADFS RA para autenticação baseada em certificados com Windows Hello para Negócios.
Para mais informações, consulte Windows Hello para Negócios.
Nota
O Gestor de Configuração não ativa esta funcionalidade opcional por predefinição. Deve ativar esta função antes de a utilizar. Para mais informações, consulte Enable optional features from updates.
O Gestor de Configuração integra-se com Windows Hello para Negócios das seguintes formas:
Controle quais gestos os utilizadores podem e não podem usar para iniciar sinsuposições.
Armazenar certificados de autenticação no Windows Hello para o fornecedor de armazenamento de chaves de negócio (KSP). Para mais informações, consulte os perfis de Certificado.
Crie e implemente um Windows Hello para o perfil de Negócios para controlar as suas definições em dispositivos de Windows 10 unidos ao domínio que executam o cliente Gestor de Configuração. A partir da versão 1910, não pode utilizar a autenticação baseada em certificados. Ao utilizar a autenticação baseada em chaves, não precisa de implementar um perfil de certificado.
Configurar um perfil
Na consola 'Gestor de Configuração', aceda ao espaço de trabalho Ativos e Compliance. Expandir o Definições de Conformidade, expandir o Acesso a Recursos da Empresa, e selecionar o nó Windows Hello para perfis de negócio.
Na fita, selecione Criar Windows Hello para Perfil de Negócio para iniciar o assistente de perfil.
Na página Geral, especifique um nome e uma descrição opcional para este perfil.
Na página 'Plataformas Suportadas', selecione as versões OS às quais este perfil deve ser aplicado.
Na página Definições, configufique as seguintes definições:
Configure Windows Hello para o Negócios: Especifique se este perfil permite, desativa ou não configura a Hello for Business.
Utilize um Módulo de Plataforma Fidedigna (TPM): Um TPM fornece uma camada adicional de segurança de dados. Escolha um dos seguintes valores:
Requerido: Só os dispositivos com um TPM acessível podem Windows Hello para o Negócio.
Preferencial: Os dispositivos tentam primeiro utilizar um TPM. Se não estiver disponível, podem usar encriptação de software.
Método de autenticação: Desafie esta opção para não configurar ou basear-se em teclas.
Nota
A partir da versão 1910, a autenticação baseada em certificados com Windows Hello para configurações de Negócios no Gestor de Configuração não é suportada.
Configure o comprimento mínimo do PIN: Se pretender exigir um comprimento mínimo para o PIN do utilizador, ative esta opção e especifique um valor. Quando ativado, o valor predefinido é
4.Configure o comprimento máximo do PIN: Se pretender exigir um comprimento máximo para o PIN do utilizador, ative esta opção e especifique um valor. Quando ativado, o valor predefinido é
127.Exigir a expiração do PIN (dias): Especifica o número de dias antes de o utilizador alterar o dispositivo PIN.
Evitar a reutilização de PINs anteriores: Não permita que os utilizadores utilizem PINs que utilizaram anteriormente.
Requerer letras maiúsculas em PIN: Especifica se os utilizadores devem incluir letras maiúsculas no Windows Hello para PIN de negócio. Escolha entre:
Permitido: Os utilizadores podem usar caracteres maiúsculas no seu PIN, mas não têm de o fazer.
Requerido: Os utilizadores devem incluir pelo menos um carácter maiúscula no seu PIN.
Não é permitido: Os utilizadores não podem utilizar caracteres maiúsculas no seu PIN.
Requerer letras minúsculas em PIN: Especifica se os utilizadores devem incluir letras minúsculas no Windows Hello para PIN de negócio. Escolha entre:
Permitido: Os utilizadores podem utilizar caracteres minúsculos no seu PIN, mas não têm de o fazer.
Requerido: Os utilizadores devem incluir pelo menos um carácter minúsculo no seu PIN.
Não é permitido: Os utilizadores não podem utilizar caracteres minúsculos no seu PIN.
Configure caracteres especiais: Especifica a utilização de caracteres especiais no PIN. Escolha entre:
Nota
Os caracteres especiais incluem o seguinte conjunto:
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~Permitido: Os utilizadores podem usar caracteres especiais no seu PIN, mas não têm de o fazer.
Requerido: Os utilizadores devem incluir pelo menos um carácter especial no seu PIN.
Não é permitido: Os utilizadores não podem usar caracteres especiais no seu PIN. Este comportamento é também se a definição não estiver configurada.
Configure a utilização de dígitos em PIN: Especifica a utilização de números no PIN. Escolha entre:
Permitido: Os utilizadores podem usar números no seu PIN, mas não têm de o fazer.
Requerido: Os utilizadores devem incluir pelo menos um número no seu PIN.
Não é permitido: Os utilizadores não podem usar números no seu PIN.
Ativar gestos biométricos: Utilize a autenticação biométrica, como reconhecimento facial ou impressão digital. Estes modos são uma alternativa a um PIN para Windows Hello para o Negócio. Os utilizadores ainda configuram um PIN no caso de a autenticação biométrica falhar.
Se definido para Sim, Windows Hello para Negócios permite a autenticação biométrica. Se definido como Nº, Windows Hello para Negócios impede a autenticação biométrica para todos os tipos de conta.
Utilização anti-falsificação melhorada: Configuras anti-falsificação melhoradas em dispositivos que o suportam. Se definido para Sim, onde suportado, Windows requer que todos os utilizadores utilizem anti-falsificação para funcionalidades faciais.
Utilizar Telefone Iniciar sção: Configura a autenticação de dois fatores com um telemóvel.
Conclua o assistente.
A imagem a seguir é um exemplo de Windows Hello para definições de perfil de negócios:
Configurar permissões
Como Administrador de Domínio ou credenciais equivalentes, inscreva-se numa estação de trabalho administrativa segura que tenha a seguinte funcionalidade opcional instalada: RSAT: Ative Directory Domain Services e Lightweight Directory Services Tools.
Abra a consola Ative Directory Users and Computers.
Selecione o domínio, vá ao Menu de Ação e selecione Propriedades.
Mude para o separador Segurança e selecione Advanced.
Dica
Se não vir o separador Segurança, feche a janela das propriedades. Vá ao menu Ver e selecione Funcionalidades Avançadas.
Selecione Adicionar.
Escolha Selecionar um principal e inserir
Key Admins.A partir da lista Aplica-se à lista, selecione objetos de utilizador descendentes.
Na parte inferior da página, selecione Limpar tudo.
Na secção Propriedades, selecione Ler msDS-KeyCredentialLink.
Selecione OK para guardar as suas alterações e feche todas as janelas.