Partilhar via


Inscrição dupla

Este artigo descreve as funcionalidades ou cenários do Windows Hello para Empresas que se aplicam a:


Importante

A inscrição dupla não substitui nem fornece a mesma segurança que a funcionalidade Estações de Trabalho de Acesso Privilegiado. A Microsoft incentiva as organizações a utilizar as Estações de Trabalho de Acesso Privilegiado para os utilizadores com credenciais privilegiadas. As organizações podem considerar a inscrição dupla do Windows Hello para Empresas em situações em que a funcionalidade Acesso Privilegiado não pode ser utilizada. Para saber mais, veja Privileged Access Workstations (Estações de Trabalho de Acesso Privilegiado).

A inscrição dupla permite que os administradores executem funções administrativas elevadas ao inscrever as respetivas credenciais sem privilégios e sem privilégios no respetivo dispositivo.

Por predefinição, o Windows não enumera todos os utilizadores do Windows Hello para Empresas a partir da sessão de um utilizador. Ao utilizar a definição de política de grupo, Permitir a enumeração de smart card emulado para todos os utilizadores, pode configurar um dispositivo para enumerar todas as credenciais do Windows Hello para Empresas inscritas em dispositivos selecionados.

Com esta definição, os utilizadores administrativos podem iniciar sessão no Windows com as respetivas credenciais do Windows Hello sem privilégios para um fluxo de trabalho normal, como o e-mail, mas podem iniciar Consolas de Gestão da Microsoft (MMCs), clientes de Serviços de Ambiente de Trabalho Remoto e outras aplicações ao selecionar Executar como utilizador diferente ou Executar como administrador, selecionar a conta de utilizador com privilégios e fornecer o PIN. Os administradores também podem tirar partido desta funcionalidade com aplicações de linha de comandos através da combinação runas.exe com o /smartcard argumento . Isto permite que os administradores realizem as suas operações diárias sem precisarem de iniciar e terminar sessão ou utilizar a mudança rápida de utilizador ao alternar entre cargas de trabalho com privilégios e sem privilégios.

Importante

Tem de configurar um computador Windows para a inscrição dupla do Windows Hello para Empresas antes de um utilizador (com privilégios ou sem privilégios) aprovisionar o Windows Hello para Empresas. A inscrição dupla é uma definição especial configurada no contentor do Windows Hello durante a criação.

Configurar a inscrição dupla do Windows Hello para Empresas

Eis os passos para ativar a inscrição dupla:

  • Configurar o Active Directory para suportar a inscrição de Administrador de Domínio
  • Configurar a inscrição dupla com a Política de Grupo

Configurar o Active Directory para suportar a inscrição de Administrador de Domínio

A configuração do Windows Hello para Empresas concebida dá ao Key Admins grupo permissões de leitura e escrita para o msDS-KeyCredentialsLink atributo . Forneceu estas permissões na raiz do domínio e utilizou a herança de objetos para garantir que as permissões se aplicam a todos os utilizadores no domínio, independentemente da respetiva localização na hierarquia de domínio.

Os Serviços de Domínio do Active Directory utilizam AdminSDHolder para proteger utilizadores e grupos privilegiados contra modificações não intencionais ao comparar e substituir a segurança em utilizadores e grupos privilegiados para corresponder aos definidos no objeto AdminSDHolder num ciclo de hora a hora. Para o Windows Hello para Empresas, a sua conta de administrador de domínio pode receber as permissões, mas estas desaparecem do objeto de utilizador, a menos que atribua as AdminSDHolder permissões de leitura e escrita ao msDS-KeyCredential atributo.

Inicie sessão num controlador de domínio ou estação de trabalho de gestão com acesso equivalente ao administrador de domínio.

  1. Escreva o seguinte comando para adicionar as permissões de propriedade permitir leitura e escrita para o atributo msDS-KeyCredentialLink para o Key Admins grupo no AdminSDHolder objeto

    dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink
    

    em que DC=domain,DC=com é o caminho LDAP do seu domínio do Active Directory e domainName\keyAdminGroup é o nome NetBIOS do seu domínio e o nome do grupo que utiliza para conceder acesso a chaves com base na sua implementação. Por exemplo:

    dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink
    
  2. Para acionar a propagação do descritor de segurança, abra ldp.exe

  3. Selecione Ligação e selecione Ligar... Junto a Servidor, escreva o nome do controlador de domínio que contém a função PDC do domínio. Junto a Porta, escreva 389 e selecione OK

  4. Selecione Ligação e selecione Vincular... Selecione OK para vincular como o utilizador com sessão iniciada atualmente

  5. Selecione Browser e selecione Modificar. Deixe a caixa de texto DN em branco. Junto a Atributo, escreva RunProtectAdminGroupsTask. Junto a Valores, escreva 1. Selecione Enter para adicionar esta opção à Lista de Entradas

  6. Selecione Executar para iniciar a tarefa

  7. Fechar LDP

Configurar a inscrição dupla com a política de grupo

Configure o Windows para suportar a inscrição dupla com a parte de configuração do computador de um objeto de Política de Grupo:

  1. Com a Consola de Gestão de Políticas de Grupo (GPMC), crie um novo objeto de Política de Grupo baseado em domínio e ligue-o a uma Unidade organizacional que contenha objetos de computador do Active Directory utilizados por utilizadores com privilégios
  2. Editar o objeto Política de Grupo do passo 1
  3. Ative a definição de política Permitir enumeração de smart cards emulados para todos os utilizadores localizada em Configuração do Computador Modelos> Administrativos-Componentes> do Windows-Windows> Hello para Empresas
  4. Feche o Editor de Gestão de Políticas de Grupo para guardar o objeto Política de Grupo. Fechar o GPMC
  5. Reiniciar computadores visados por este objeto de Política de Grupo

O computador está pronto para a inscrição dupla. Inicie sessão como o utilizador com privilégios primeiro e inscreva-se no Windows Hello para Empresas. Depois de concluído, termine sessão e inicie sessão como utilizador nãoprivalegado e inscreva-se no Windows Hello para Empresas. Agora, pode utilizar a credencial privilegiada para realizar tarefas privilegiadas sem utilizar a palavra-passe e sem ter de mudar de utilizador.