Guia de implementação apenas na cloud

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:

• Tipo de implementação:MDM apenas na cloud
• Tipo de associação: Microsoft Entra aderir

---

Requisitos

Antes de iniciar a implementação, reveja os requisitos descritos no artigo Planear um Windows Hello para Empresas Implementação.

Certifique-se de que os seguintes requisitos são cumpridos antes de começar:

• Authentication
• Configuração do dispositivo
• Licenciamento para serviços cloud
• Preparar os utilizadores para utilizarem Windows Hello

Etapas de implantação

Assim que os pré-requisitos forem cumpridos, a implementação Windows Hello para Empresas consiste nos seguintes passos:

• Definir as configurações de política do Windows Hello para Empresas
• Inscrever-se no Windows Hello para Empresas

Definir as configurações de política do Windows Hello para Empresas

Quando Microsoft Entra adere a um dispositivo, o sistema tenta inscrevi-lo automaticamente no Windows Hello para Empresas. Se quiser utilizar Windows Hello para Empresas num ambiente apenas na cloud com as predefinições, não é necessária nenhuma configuração adicional.

As implementações apenas na cloud utilizam Microsoft Entra autenticação multifator (MFA) durante Windows Hello para Empresas inscrição e não é necessária outra configuração de MFA. Se ainda não estiver registado na MFA, será orientado através do registo da MFA como parte do processo de inscrição Windows Hello para Empresas.

As definições de política podem ser configuradas para controlar o comportamento do Windows Hello para Empresas, através do fornecedor de serviços de configuração (CSP) ou da política de grupo (GPO). Em implementações apenas na cloud, os dispositivos são normalmente configurados através de uma solução mdm, como Microsoft Intune, com o PassportForWork CSP.

Observação

Reveja o artigo Configurar Windows Hello para Empresas com Microsoft Intune para saber mais sobre as diferentes opções oferecidas pelo Microsoft Intune para configurar Windows Hello para Empresas.

Se a política Intune ao nível do inquilino estiver configurada para desativar Windows Hello para Empresas ou se os dispositivos forem implementados com Windows Hello desativado, tem de configurar uma definição de política para ativar Windows Hello para Empresas:

• Usar o Windows Hello para Empresas

Outra definição de política opcional, mas recomendada, é:

• Usar um dispositivo de segurança de hardware

Siga as instruções abaixo para configurar os seus dispositivos com Microsoft Intune ou política de grupo (GPO).

Intune/CSP

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria	Nome da configuração	Valor
Windows Hello para Empresas	Utilizar o Windows Hello Para Empresas	true
Windows Hello para Empresas	Exigir Dispositivo de Segurança	true

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Em alternativa, pode configurar dispositivos com uma política personalizada com o PassportForWork CSP.

Configuração
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Tipo de dados:bool - Valor:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Tipo de dados:bool - Valor:True

GPO

Para configurar um dispositivo com a política de grupo, utilize o Política de Grupo Editor Local.

Caminho da política de grupo	Definição de política de grupo	Valor
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas or Configuração do Utilizador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas	Usar o Windows Hello para Empresas	Habilitado
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas	Usar um dispositivo de segurança de hardware	Habilitado

Dica

Se estiver a utilizar Microsoft Intune e não estiver a utilizar a política ao nível do inquilino, ative a Página de Estado da Inscrição (ESP) para garantir que os dispositivos recebem as definições de política Windows Hello para Empresas antes de os utilizadores poderem aceder ao respetivo ambiente de trabalho. Para obter mais informações sobre o ESP, consulte Configurar a Página de Estado da Inscrição.

Podem ser configuradas mais definições de política para controlar o comportamento do Windows Hello para Empresas. Para obter mais informações, veja Windows Hello para Empresas definições de política.

Inscrever-se no Windows Hello para Empresas

O processo de aprovisionamento Windows Hello para Empresas começa imediatamente após o início de sessão de um utilizador, se determinadas verificações de pré-requisitos forem aprovadas.

Experiência do usuário

Depois de um utilizador iniciar sessão, o processo de inscrição Windows Hello para Empresas começa:

1. Se o dispositivo suportar a autenticação biométrica, é pedido ao utilizador que configure um gesto biométrico. Este gesto pode ser utilizado para desbloquear o dispositivo e autenticar-se em recursos que requerem Windows Hello para Empresas. O utilizador pode ignorar este passo se não quiser configurar um gesto biométrico
2. É pedido ao utilizador que utilize Windows Hello com a conta da organização. O utilizador seleciona OK
3. O fluxo de aprovisionamento avança para a parte da autenticação multifator da inscrição. O aprovisionamento informa o utilizador de que está a tentar contactar ativamente o utilizador através da forma configurada de MFA. O processo de aprovisionamento não continua até que a autenticação seja bem-sucedida, falhe ou exceda o tempo limite. Uma MFA com falha ou tempo limite resulta num erro e pede ao utilizador para tentar novamente
4. Após um MFA bem-sucedido, o fluxo de provisionamento pede ao usuário para criar e validar um PIN. Este PIN tem de observar quaisquer políticas de complexidade de PIN configuradas no dispositivo
5. O restante do provisionamento inclui o Windows Hello para Empresas, que solicita um par de chaves assimétricas para o usuário, preferencialmente do TPM (ou obrigatório se definido explicitamente por meio da política). Assim que o par de chaves for adquirido, o Windows comunica com o IdP para registar a chave pública. Quando o registo da chave estiver concluído, Windows Hello para Empresas aprovisionamento informa o utilizador de que pode utilizar o PIN para iniciar sessão. O utilizador pode fechar a aplicação de aprovisionamento e aceder ao respetivo ambiente de trabalho

Diagramas de sequência

Para compreender melhor os fluxos de aprovisionamento, reveja os seguintes diagramas de sequência com base no tipo de autenticação:

• Aprovisionamento de dispositivos associados Microsoft Entra com autenticação gerida
• Aprovisionamento de dispositivos associados Microsoft Entra com autenticação federada

Para compreender melhor os fluxos de autenticação, reveja o seguinte diagrama de sequência:

• Microsoft Entra associar a autenticação ao Microsoft Entra ID

Desativar a inscrição automática

Se quiser desativar a inscrição automática Windows Hello para Empresas, pode configurar os seus dispositivos com uma definição de política ou chave de registo. Para obter mais informações, veja Desativar Windows Hello para Empresas inscrição.

Observação

Durante o fluxo de experiência inicial (OOBE) de uma associação Microsoft Entra, é guiado para se inscrever no Windows Hello para Empresas quando não tiver Intune. Pode cancelar o ecrã do PIN e aceder ao ambiente de trabalho sem se inscrever no Windows Hello para Empresas.