Windows Hello para Empresas configurações no Configuration Manager

Aplica-se a: Configuration Manager (branch atual)

Configuration Manager se integra ao Windows Hello para Empresas. (Esse recurso era anteriormente conhecido como Microsoft Passport for Work.) Windows Hello para Empresas é um método de entrada alternativo para dispositivos Windows 10. Ele usa o Active Directory ou uma conta Microsoft Entra para substituir uma senha, cartão inteligente ou cartão inteligente virtual. O Hello for Business permite que você use um gesto de usuário para entrar em vez de uma senha. Um gesto de usuário pode ser um PIN, autenticação biométrica ou um dispositivo externo, como um leitor de impressões digitais.

Importante

A partir da versão 2203, esse recurso de acesso a recursos da empresa não tem mais suporte. Para obter mais informações, consulte Perguntas frequentes sobre a preterição do acesso ao recurso.

Serviços de Federação do Active Directory (AD FS) implantação do ADFS RA (Autoridade de Registro) é mais simples, fornece uma melhor experiência do usuário e tem uma experiência de registro de certificado mais determinística. Use o ADFS RA para autenticação baseada em certificado com Windows Hello para Empresas.

Para obter mais informações, consulte Windows Hello para Empresas.

Observação

Configuration Manager não habilita esse recurso opcional por padrão. Você deve habilitar esse recurso antes de usá-lo. Para obter mais informações, confira Habilitar recursos opcionais de atualizações.

Configuration Manager se integra ao Windows Hello para Empresas das seguintes maneiras:

  • Controlar quais gestos os usuários podem ou não usar para entrar.

  • Armazene certificados de autenticação no KSP (provedor de armazenamento de chaves) Windows Hello para Empresas. Para obter mais informações, consulte Perfis de certificado.

  • Crie e implante um perfil Windows Hello para Empresas para controlar suas configurações em dispositivos de Windows 10 ingressados no domínio que executam o cliente Configuration Manager. A partir da versão 1910, você não pode usar autenticação baseada em certificado. Ao usar a autenticação baseada em chave, você não precisa implantar um perfil de certificado.

Configurar um perfil

  1. No console do Configuration Manager, vá até o workspace Ativos e Conformidade. Expanda Configurações de Conformidade, expanda Acesso a Recursos da Empresa e selecione o nó Perfis Windows Hello para Empresas.

  2. Na faixa de opções, selecione Criar Windows Hello para Empresas Perfil para iniciar o assistente de perfil.

  3. Na página Geral , especifique um nome e uma descrição opcional para este perfil.

  4. Na página Plataformas Com Suporte , selecione as versões do sistema operacional às quais esse perfil deve ser aplicado.

  5. Na página Configurações , configure as seguintes configurações:

    • Configurar Windows Hello para Empresas: especifique se esse perfil habilita, desabilita ou não configura o Hello for Business.

    • Usar um TPM (Módulo de Plataforma Confiável): um TPM fornece uma camada adicional de segurança de dados. Escolha um dos seguintes valores:

      • Obrigatório: somente dispositivos com um TPM acessível podem provisionar Windows Hello para Empresas.

      • Preferencial: os dispositivos primeiro tentam usar um TPM. Se não estiver disponível, eles poderão usar a criptografia de software.

    • Método de autenticação: defina essa opção como Não configurada ou baseada em chave.

      Observação

      A partir da versão 1910, não há suporte para autenticação baseada em certificado com configurações de Windows Hello para Empresas no Configuration Manager.

    • Configurar o comprimento mínimo do PIN: se você quiser exigir um comprimento mínimo para o PIN do usuário, habilite essa opção e especifique um valor. Quando habilitado, o valor padrão é 4.

    • Configurar o comprimento máximo do PIN: se você quiser exigir um comprimento máximo para o PIN do usuário, habilite essa opção e especifique um valor. Quando habilitado, o valor padrão é 127.

    • Exigir expiração de PIN (dias): especifica o número de dias antes que o usuário precise alterar o PIN do dispositivo.

    • Impedir a reutilização de PINs anteriores: não permita que os usuários usem PINs usados anteriormente.

    • Exigir letras maiúsculas no PIN: especifica se os usuários devem incluir letras maiúsculas no PIN Windows Hello para Empresas. Escolha entre:

      • Permitido: os usuários podem usar caracteres maiúsculas no PIN, mas não precisam.

      • Obrigatório: os usuários devem incluir pelo menos um caractere maiúscula em seu PIN.

      • Não é permitido: os usuários não podem usar caracteres maiúsculas no PIN.

    • Exigir letras de maiúsculas e minúsculas no PIN: especifica se os usuários devem incluir letras minúsculas no PIN Windows Hello para Empresas. Escolha entre:

      • Permitido: os usuários podem usar caracteres minúsculas em seu PIN, mas não precisam.

      • Necessário: os usuários devem incluir pelo menos um caractere minúscula em seu PIN.

      • Não permitido: os usuários não podem usar caracteres minúsculas em seu PIN.

    • Configurar caracteres especiais: especifica o uso de caracteres especiais no PIN. Escolha entre:

      Observação

      Os caracteres especiais incluem o seguinte conjunto:

      ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
      
      • Permitido: os usuários podem usar caracteres especiais em seu PIN, mas não precisam.

      • Obrigatório: os usuários devem incluir pelo menos um caractere especial em seu PIN.

      • Não permitido: os usuários não podem usar caracteres especiais em seu PIN. Esse comportamento também será se a configuração não estiver configurada.

    • Configurar o uso de dígitos no PIN: especifica o uso de números no PIN. Escolha entre:

      • Permitido: os usuários podem usar números em seu PIN, mas não precisam.

      • Necessário: os usuários devem incluir pelo menos um número em seu PIN.

      • Não permitido: os usuários não podem usar números em seu PIN.

    • Habilitar gestos biométricos: use a autenticação biométrica, como reconhecimento facial ou impressão digital. Esses modos são uma alternativa a um PIN para Windows Hello para Empresas. Os usuários ainda configuram um PIN caso a autenticação biométrica falhe.

      Se definido como Sim, Windows Hello para Empresas permitirá a autenticação biométrica. Se definido como Não, Windows Hello para Empresas impedirá a autenticação biométrica para todos os tipos de conta.

    • Use anti-falsificação aprimorada: configura anti-falsificação aprimorada em dispositivos que dão suporte a ele. Se definido como Sim, onde há suporte, o Windows exigirá que todos os usuários usem anti-falsificação para recursos faciais.

    • Usar a Entrada do Telefone: configura a autenticação de dois fatores com um telefone celular.

  6. Conclua o assistente.

A captura de tela a seguir é um exemplo de Windows Hello para Empresas configurações de perfil:

assistente Windows Hello para Empresas Política, mostrando a lista de configurações disponíveis

Configurar as permissões

  1. Como administrador de domínio ou credenciais equivalentes, entre em uma estação de trabalho administrativa e segura que tenha o seguinte recurso opcional instalado: RSAT: Active Directory Domain Services e Ferramentas de Serviços de Diretório Leve.

  2. Abra o console Usuários e Computadores do Active Directory.

  3. Selecione o domínio, vá para o Menu de Ação e selecione Propriedades.

  4. Alterne para a guia Segurança e selecione Avançado.

    Dica

    Se você não vir a guia Segurança , feche a janela de propriedades. Acesse o menu Exibir e selecione Recursos Avançados.

  5. Selecione Adicionar.

  6. Escolha Selecionar uma entidade de segurança e insira Key Admins.

  7. Na lista Aplica-se à lista, selecione Objetos de Usuário Descendente.

  8. Na parte inferior da página, selecione Limpar tudo.

  9. Na seção Propriedades , selecione Ler msDS-KeyCredentialLink.

  10. Selecione OK para salvar suas alterações e fechar todas as janelas.

Próximas etapas

Perfis de certificado