Configurar e inscrever-se no Windows Hello para Empresas num modelo de fidedignidade de chave no local
Este artigo descreve as funcionalidades ou cenários do Windows Hello para Empresas que se aplicam a:
-
Tipo de implementação:no local
-
Tipo de fidedignidade da chave de controladores de domínio
-
Tipo de associação:
Assim que os pré-requisitos forem cumpridos e as configurações do PKI e do AD FS forem validadas, a implementação do Windows Hello para Empresas consiste nos seguintes passos:
Definir as configurações de política do Windows Hello para Empresas
Existe uma definição de política necessária para ativar o Windows Hello para Empresas num modelo de fidedignidade chave:
Outra definição de política opcional, mas recomendada, é:
Pode configurar a definição de política Utilizar o Windows Hello para Empresas no computador ou nó de utilizador de um GPO:
- Implementar a definição de política do nó de computador resulta em todos os utilizadores que iniciam sessão nos dispositivos visados para tentar uma inscrição do Windows Hello para Empresas
- Implementar a definição de política do nó de utilizador resulta apenas nos utilizadores visados para tentarem uma inscrição do Windows Hello para Empresas
Se as configurações de política de computador e do usuário são implantadas, a configuração de política de usuário tem precedência.
Para configurar um dispositivo com a política de grupo, utilize o Editor de Políticas de Grupo Local. Para configurar vários dispositivos associados ao Active Directory, crie ou edite um objeto de política de grupo (GPO) e utilize as seguintes definições:
| Caminho da política de grupo | Definição de política de grupo | Valor |
|---|---|---|
|
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas or Configuração do Utilizador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas |
Usar o Windows Hello para Empresas | Habilitada |
| Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas | Usar um dispositivo de segurança de hardware | Habilitada |
As políticas de grupo podem ser ligadas a domínios ou unidades organizacionais, filtradas através de grupos de segurança ou filtradas através de filtros WMI.
Dica
A melhor forma de implementar o GPO do Windows Hello para Empresas é utilizar a filtragem de grupos de segurança. Apenas os membros do grupo de segurança de destino aprovisionarão o Windows Hello para Empresas, ativando uma implementação faseada. Esta solução permite ligar o GPO ao domínio, garantindo que o GPO está no âmbito de todos os principais de segurança. A filtragem do grupo de segurança garante que apenas os membros do grupo global recebem e aplicam o GPO, o que resulta no aprovisionamento do Windows Hello para Empresas.
Podem ser configuradas definições de política adicionais para controlar o comportamento do Windows Hello para Empresas. Para obter mais informações, consulte Definições de política do Windows Hello para Empresas.
Inscrever-se no Windows Hello para Empresas
O processo de aprovisionamento do Windows Hello para Empresas começa imediatamente após o carregamento do perfil de utilizador e antes de o utilizador receber o respetivo ambiente de trabalho. Para que o processo de aprovisionamento seja iniciado, todas as verificações de pré-requisitos têm de ser aprovadas.
Pode determinar o estado das verificações de pré-requisitos ao visualizar o registo de administrador do Registo de Dispositivos do Utilizador em Aplicações e Registos de Serviços > do Microsoft > Windows.
Estas informações também estão disponíveis através do dsregcmd.exe /status comando de uma consola. Para obter mais informações, veja dsregcmd.
Experiência do usuário
Depois de um utilizador iniciar sessão, o processo de inscrição do Windows Hello para Empresas começa:
- Se o dispositivo suportar a autenticação biométrica, é pedido ao utilizador que configure um gesto biométrico. Este gesto pode ser utilizado para desbloquear o dispositivo e autenticar-se em recursos que requerem o Windows Hello para Empresas. O utilizador pode ignorar este passo se não quiser configurar um gesto biométrico
- É pedido ao utilizador que utilize o Windows Hello com a conta da organização. O utilizador seleciona OK
- O fluxo de aprovisionamento avança para a parte da autenticação multifator da inscrição. O aprovisionamento informa o utilizador de que está a tentar contactar ativamente o utilizador através da forma configurada de MFA. O processo de aprovisionamento não continua até que a autenticação seja bem-sucedida, falhe ou exceda o tempo limite. Uma MFA com falha ou tempo limite resulta num erro e pede ao utilizador para tentar novamente
- Após um MFA bem-sucedido, o fluxo de provisionamento pede ao usuário para criar e validar um PIN. Este PIN tem de observar quaisquer políticas de complexidade de PIN configuradas no dispositivo
- O restante do provisionamento inclui o Windows Hello para Empresas, que solicita um par de chaves assimétricas para o usuário, preferencialmente do TPM (ou obrigatório se definido explicitamente por meio da política). Assim que o par de chaves for adquirido, o Windows comunica com o IdP para registar a chave pública. Quando o registo de chaves estiver concluído, o aprovisionamento do Windows Hello para Empresas informa o utilizador de que pode utilizar o PIN para iniciar sessão. O utilizador pode fechar a aplicação de aprovisionamento e aceder ao respetivo ambiente de trabalho
O vídeo seguinte mostra os passos de inscrição do Windows Hello para Empresas após iniciar sessão com uma palavra-passe, utilizando um adaptador MFA personalizado para o AD FS.
Diagrama de sequência
Para compreender melhor os fluxos de aprovisionamento, reveja o seguinte diagrama de sequência: