Definições do perfil de proteção de identidade no Intune para Windows Hello para Empresas
Importante
Em julho de 2024, os seguintes perfis de Intune para proteção de identidade e proteção de contas foram preteridos e substituídos por um novo perfil consolidado denominado Proteção de conta. Este perfil mais recente encontra-se no nó da política de proteção de contas da segurança do ponto final e é o único modelo de perfil que permanece disponível para criar novas instâncias de política para proteção de identidades e contas. As definições deste novo perfil também estão disponíveis através do catálogo de definições.
Todas as instâncias dos seguintes perfis mais antigos que criou permanecem disponíveis para utilização e edição:
- Proteção de identidade – anteriormente disponível a partir daConfiguração> de Dispositivos>Criar>Nova Política>Windows 10 e modelos posteriores>>Identity Protection
- Proteção de conta (Pré-visualização) – anteriormente disponível a partir daproteção> da Conta de Segurança > de Ponto FinalWindows 10 e posterior>Proteção de conta ( Pré-visualização)
Observação
Intune pode suportar mais definições do que as definições listadas neste artigo. Nem todas as definições estão documentadas e não serão documentadas. Para ver as definições que pode configurar, crie uma política de configuração de dispositivos e selecione Catálogo de Definições. Para obter mais informações, consulte Catálogo de Configurações.
Este artigo descreve Windows Hello para Empresas definições que pode gerir com um perfil de Proteção de identidade. Os perfis de proteção de identidade fazem parte da política de configuração do dispositivo no Microsoft Intune. No entanto, a partir de julho de 2024, os perfis de configuração de dispositivos para a Proteção de identidade são substituídos por perfis de segurança de ponto final para Proteção de contas. Embora possa continuar a utilizar perfis de proteção de identidade que criou anteriormente, Intune já não suporta a criação de novas instâncias. Em vez disso, para gerir as definições de proteção de identidade, utilize uma política de proteção de conta de segurança de ponto final.
Com um perfil de Proteção de identidade, pode configurar definições em grupos discretos de dispositivos Windows 10/11. Para configurar Windows Hello para Empresas inquilino em todo o inquilino, como parte da inscrição de dispositivos, veja Criar uma política de Windows Hello para Empresas em Integrar Windows Hello para Empresas com Microsoft Intune.
Este artigo descreve as definições da política de inscrição.
Pode encontrar informações adicionais sobre estas definições em Configurar definições de Política de Windows Hello para Empresas, na documentação do Windows Hello.
Windows Hello para Empresas
Os detalhes das definições seguintes aplicam-se apenas ao modelo de perfil de configuração do dispositivo para Proteção de identidade, que foi preterido em julho de 2024.
Configurar Windows Hello para Empresas:
Não configurado (predefinição) – selecione esta definição se não quiser utilizar Intune para controlar Windows Hello para Empresas definições. As definições de Windows Hello para Empresas existentes em dispositivos Windows 10/11 não são alteradas. Nenhuma outra configuração no painel está disponível.
Desativar – se não quiser utilizar Windows Hello para Empresas, selecione esta definição. Todas as outras definições no ecrã não estão disponíveis.
Ativar – selecione esta definição se pretender configurar Windows Hello para Empresas definições.
Quando definida como Ativar, estão disponíveis as seguintes definições:
Tamanho mínimo do PIN
Especifique um comprimento mínimo de PIN para dispositivos, de 4 a 127 carateres. Por predefinição, esta definição não está configurada.Tamanho máximo do PIN
Especifique um comprimento máximo de PIN para dispositivos, de quatro a 127 carateres. Por predefinição, esta definição não está configurada.Letras minúsculas no PIN
Se necessário, o PIN do utilizador tem de incluir, pelo menos, uma letra minúscula. Por predefinição, esta definição não está configurada.- Não permitido – impeça os utilizadores de utilizar letras minúsculas no PIN. Este comportamento também ocorre se a definição não estiver configurada.
- Permitido – permita que os utilizadores utilizem letras minúsculas no PIN, mas não é necessário.
- Obrigatório – os utilizadores têm de incluir, pelo menos, uma letra minúscula no PIN. Por exemplo, é uma prática comum exigir pelo menos uma letra maiúscula e um caractere especial.
Letras maiúsculas no PIN
Se necessário, o PIN do utilizador tem de incluir, pelo menos, uma letra em maiúscula. Por predefinição, esta definição não está configurada.- Não permitido – impeça os utilizadores de utilizarem letras maiúsculas no PIN. Este comportamento também ocorre se a definição não estiver configurada.
- Permitido – permita que os utilizadores utilizem letras maiúsculas no PIN, mas não é necessário.
- Obrigatório – os utilizadores têm de incluir, pelo menos, uma letra em maiúscula no PIN. Por exemplo, é uma prática comum exigir pelo menos uma letra maiúscula e um caractere especial.
Caracteres especiais no PIN
Se necessário, o PIN do utilizador tem de incluir, pelo menos, um caráter especial. Os carateres especiais incluem:! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- Não permitido (predefinição) – impeça os utilizadores de utilizar carateres especiais no PIN. Este comportamento também ocorre se a definição não estiver configurada.
- Permitido – permita que os utilizadores utilizem letras maiúsculas no PIN, mas não é necessário.
- Obrigatório – os utilizadores têm de incluir, pelo menos, uma letra em maiúscula no PIN. Por exemplo, é uma prática comum exigir pelo menos uma letra maiúscula e um caractere especial.
Término do PIN (dias)
Se estiver configurado, o utilizador será forçado a alterar o PIN após o número definido de dias. O utilizador ainda pode alterar proativamente o PIN antes da expiração. Por predefinição, esta definição não está configurada.Memorizar histórico de PIN
Se estiver configurado, o utilizador não poderá reutilizar este número de PINs anteriores. Por predefinição, esta definição não está configurada.Habilitar a recuperação de PIN
Permite que o utilizador utilize o serviço de recuperação de PIN Windows Hello para Empresas.- Ativar – o segredo de recuperação do PIN é armazenado no dispositivo e o utilizador pode alterar o PIN, se necessário.
- Não configurado (predefinição) – o segredo de recuperação não é criado ou armazenado.
Utilizar um Trusted Platform Module (TPM)
Um chip TPM fornece uma camada adicional de segurança de dados.- Ativar – apenas os dispositivos com um TPM acessível podem aprovisionar Windows Hello para Empresas.
- Não configurado (predefinição) – os dispositivos tentam primeiro utilizar um TPM. Se um TPM não estiver disponível, pode utilizar a encriptação de software.
Permitir autenticação biométrica
Se permitido, Windows Hello para Empresas pode autenticar através de gestos, como rosto e impressão digital. Os utilizadores ainda têm de configurar um PIN em caso de falha.- Ativar - Windows Hello para Empresas permite a autenticação biométrica.
- Não configurado (predefinição) – Windows Hello para Empresas impede a autenticação biométrica (para todos os tipos de conta).
Utilizar anti-spoofing melhorado, quando disponível
Se estiver ativada, os dispositivos utilizam anti-spoofing melhorado, quando disponíveis (por exemplo, detetar uma fotografia de um rosto em vez de um rosto real).- Ativar – o Windows requer que todos os utilizadores utilizem anti-spoofing para funcionalidades faciais quando são suportadas.
- Não configurado (predefinição) – o Windows honra as configurações anti-spoofing no dispositivo.
Certificado para recursos no local
- Ativar – permite que Windows Hello para Empresas utilizem certificados para autenticar em recursos no local.
- Não configurado (predefinição) – impede Windows Hello para Empresas de utilizar certificados para autenticar em recursos no local. Em vez disso, os dispositivos utilizam o comportamento predefinido da autenticação no local key-trust. Para obter mais informações, veja Certificado de utilizador para autenticação no local na documentação do Windows Hello.
Utilizar chaves de segurança para iniciar sessão
Esta definição está disponível para dispositivos com Windows 10 versão 1903 ou posterior ou Windows 11. Utilize-o para gerir o suporte para utilizar Windows Hello chaves de segurança para o início de sessão.- Ativar – os utilizadores podem utilizar uma chave de segurança Windows Hello como uma credencial de início de sessão para PCs visados por esta política.
- Não configurado – as chaves de segurança estão desativadas e os utilizadores não podem utilizá-las para iniciar sessão em PCs.