Habilitar a entrada da chave de segurança FIDO2 em dispositivos Windows 10 e 11 com o Microsoft Entra ID

Este documento se concentra em habilitar a autenticação sem senha baseada em chave de segurança FIDO2 com dispositivos Windows 10 e 11. Depois de concluir as etapas deste artigo, você poderá entrar nos dispositivos Windows ingressados no Microsoft Entra ID e no Microsoft Entra híbrido com sua conta do Microsoft Entra usando uma chave de segurança FIDO2.

Requisitos

Tipo de dispositivo Ingressado no Microsoft Entra Ingressado no Microsoft Entra híbrido
Autenticação multifator do Microsoft Entra X X
registro de informações de segurança combinadas X X
Chaves de segurança FIDO2 compatíveis X X
WebAuthN requer o Windows 10 versão 1903 ou superior X X
Os dispositivos ingressados no Microsoft Entra necessitam do Windows 10 versão 1909 ou superior X
Os dispositivos ingressados no Microsoft Entra necessitam do Windows 10 versão 2004 ou superior X
Controladores de domínio do Windows Server 2016/2019 totalmente atualizados. X
Módulo Gerenciamento de Autenticação do Microsoft Entra Híbrido X
Microsoft Intune (opcional) X X
Pacote de provisionamento (opcional) X X
Política de Grupo (opcional) X

Cenários sem suporte

Ainda não há suporte para os cenários a seguir:

  • Conectar ou desbloquear um dispositivo Windows com uma chave de acesso no Microsoft Authenticator.
  • Implantação do AD DS (Windows Server Active Directory Domain Services) ingressado no domínio (dispositivos somente locais).
  • Cenários, como RDP, VDI e Citrix, que usam uma chave de segurança diferente do redirecionamento do webauthn.
  • S/MIME usando uma chave de segurança.
  • Executar como usando uma chave de segurança.
  • Conectar em um servidor usando uma chave de segurança.
  • Se você não estiver usando uma chave de segurança para entrar no dispositivo enquanto estiver online, não poderá usá-la para entrar ou desbloquear offline.
  • Entrar ou desbloquear um dispositivo Windows com uma chave de segurança contendo várias contas do Microsoft Entra. Esse cenário utiliza a última conta adicionada à chave de segurança. WebAuthN permite que os usuários escolham a conta que desejam usar.
  • Desbloqueio de um dispositivo executando o Windows 10 versão 1809. Para obter a melhor experiência, use o Windows 10 versão 1903 ou superior.

Preparar dispositivos

Os dispositivos ingressados no Microsoft Entra necessitam do Windows 10 versão 1909 ou superior.

Os dispositivos híbridos ingressados no Microsoft Entra precisam executar o Windows 10 versão 2004 ou mais recente.

Habilitar as chaves de segurança para a entrada do Windows

As organizações podem optar por usar um ou mais dos seguintes métodos para habilitar o uso de chaves de segurança para entrada no Windows com base nos requisitos da sua organização:

Importante

As organizações com dispositivos ingressados no Microsoft Entra híbrido precisarão também concluir as etapas no artigo Habilitar a autenticação FIDO2 para recursos locais para que a autenticação de chave de segurança do Windows 10 FIDO2 possa funcionar.

As organizações com dispositivos ingressados no Microsoft Entra precisam fazer isso antes que seus dispositivos possam se autenticar em recursos locais com chaves de segurança FIDO2.

Habilitar com o Microsoft Intune

Para habilitar o uso de chaves de segurança usando o Intune, siga as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Intune.
  2. Navegue até Dispositivos>Registrar Dispositivos>Registro do Windows>Windows Hello para Empresas.
  3. Defina Usar chaves de segurança para entrada como Habilitado.

A configuração de chaves de segurança para entrada não depende da configuração do Windows Hello para empresas.

Observação

Isso não habilita chaves de segurança nos dispositivos já provisionados. Nesse caso, use o próximo método (implantação do Intune Direcionado)

Implantação do Intune de destino

Para direcionar grupos de dispositivos específicos para habilitar o provedor de credenciais, use as seguintes configurações personalizadas por meio do Intune:

  1. Entre no Centro de administração do Microsoft Intune.
  2. Navegue até Dispositivos>Windows>Perfis de configuração>Criar perfil.
  3. Configure o novo perfil com as seguintes configurações:
    • Plataforma: Windows 10 e posterior
    • Tipo de perfil: Modelos > Personalizados
    • Nome: Chaves de Segurança para a entrada do Windows
    • Descrição: permite que as chaves de segurança FIDO sejam usadas durante a entrada do Windows
  4. Selecione Avançar>Adicionar e, em Adicionar Linha, adicione as seguintes configurações de OMA-URI personalizado:
    • Nome: ativar as chaves de segurança FIDO para a entrada do Windows
    • Descrição: (opcional)
    • OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
    • Tipo de dados: Integer
    • Valor: 1
  5. Atribua o restante das configurações de política, inclusive usuários, dispositivos ou grupos específicos. Mais informações, consulte Atribuir perfis de usuário e de dispositivo no Microsoft Intune.

Habilitar com um pacote de provisionamento

Para dispositivos não gerenciados pelo Intune, um pacote de provisionamento pode ser instalado para habilitar a funcionalidade. O aplicativo do Windows Configuration designer pode ser instalado por meio do Microsoft Store. Conclua as seguintes etapas para criar um pacote de provisionamento:

  1. Inicie o Designer de Configuração do Windows.
  2. Clique em Arquivo>Novo Projeto.
  3. Dê um nome ao projeto, anote o caminho em que o projeto foi criado e, em seguida, selecione Avançar.
  4. Deixe o pacote de provisionamento selecionado como fluxo de trabalho do projeto selecionado e selecione Avançar.
  5. Selecione todas as edições da área de trabalho do Windows em escolher quais configurações exibir e configurar e, em seguida, selecione Avançar.
  6. Selecione Concluir.
  7. Em seu projeto recém-criado, navegue até configurações de tempo de execução>WindowsHelloForBusiness>SecurityKeys>UseSecurityKeyForSignIn.
  8. Configure UseSecurityKeyForSignIn para Habilitado.
  9. Selecione Exportar>pacote de provisionamento
  10. Deixe os padrões na janela de compilação em descrever o pacote de provisionamentoe selecione Avançar.
  11. Deixe os padrões na janela de compilação em selecionar detalhes de segurança para o pacote de provisionamento e selecione Avançar.
  12. Anote ou altere o caminho nas janelas de Compilar em selecionar onde salvar o pacote de provisionamento e selecione Avançar.
  13. Selecione Compilar na página Compilar o pacote de provisionamento.
  14. Salve os dois arquivos criados (ppkg e Cat) em um local em que você possa aplicá-los aos computadores mais tarde.
  15. Para aplicar o pacote de provisionamento que você criou, consulte aplicar um pacote de provisionamento.

Observação

Os dispositivos que executam o Windows 10 versão 1903 também devem habilitar o modo de computador compartilhado (EnableSharedPCMode). Para obter mais informações sobre como habilitar essa funcionalidade, consulte configurar um PC compartilhado ou convidado com o Windows 10.

Conflitos com a Política de Grupo

No caso de dispositivos ingressados no Microsoft Entra híbrido, as organizações podem definir a configuração Política de Grupo a seguir para habilitar a entrada de chave de segurança do FIDO. A configuração pode ser encontrada em configuração do computador>modelos administrativos>Login>do sistema>Ativar entrada de chave de segurança:

  • Definir essa política como habilitada permite que os usuários entrem com chaves de segurança.
  • Definir essa política como desabilitada ou não configurada impede que os usuários entrem com chaves de segurança.

Essa configuração de Política de Grupo requer uma versão atualizada do CredentialProviders.admx modelo de política de grupo. Esse novo modelo está disponível na próxima versão do Windows Server e com o Windows 10 20H1. Essa configuração pode ser gerenciada com um dispositivo que esteja executando uma dessas versões mais recentes do Windows ou de forma centralizada, seguindo as diretrizes aqui: Como criar e gerenciar o Repositório Central de Modelos Administrativos de Política de Grupo no Windows.

Entrar com a chave de segurança do FIDO2

Neste exemplo, um usuário chamado Bala Sandhu já provisionou sua chave de segurança FIDO2 usando as etapas do artigo anterior, Habilitar a entrada com chave de segurança sem senha. Para dispositivos ingressados híbridos do Microsoft Entra, certifique-se de que você também habilitou a entrada com chave de segurança sem senha para recursos locais. Bala pode escolher o provedor de credenciais de chave de segurança na tela de bloqueio do Windows 10 e inserir a chave de segurança para entrar no Windows.

Entrada com a chave de segurança na tela de bloqueio do Windows 10

Gerenciar chave de segurança biométrica, PIN ou redefinição de chaves de segurança

  • Windows 10 versão 1903 ou superior
    • Os usuários podem abrir Configurações do Windows em seus dispositivos e, em seguida, >Contas>Chave de Segurança
    • Os usuários podem alterar seu PIN, atualizar a biometria ou redefinir sua chave de segurança

Solução de problemas e comentários

Se você quiser compartilhar comentários ou encontrar problemas com esse recurso, compartilhe por meio do aplicativo Hub de comentários do Windows usando as seguintes etapas:

  1. Inicie o Hub de comentários e certifique-se de que você está conectado.
  2. Envie os comentários usando a seguinte categorização:
    • Categoria: Segurança e Privacidade
    • Subcategoria: FIDO
  3. Para capturar os logs, use a opção para Recriar meu problema.

Próximas etapas

Habilitar o acesso a recursos locais para dispositivos ingressados no Microsoft Entra híbrido e para Microsoft Entra ID

Saiba mais sobre o registro de dispositivo

Saiba mais sobre a autenticação multifator do Microsoft Entra