Windows Hello para Empresas

Visão geral

Windows Hello é uma tecnologia de autenticação que permite que os usuários entrem em seus dispositivos Windows usando dados biométricos ou um PIN, em vez de uma senha tradicional. Ele fornece segurança aprimorada por meio de autenticação de dois fatores resistente a phish e proteção de força bruta interna. Com FIDO/WebAuthn, Windows Hello também pode ser usado para entrar em sites com suporte, reduzindo a necessidade de lembrar várias senhas complexas.

Windows Hello para Empresas é uma extensão de Windows Hello que fornece recursos de segurança e gerenciamento de nível empresarial, incluindo atestado de dispositivo, autenticação baseada em certificado e políticas de acesso condicional. As configurações de política podem ser implantadas em dispositivos para garantir que eles estejam seguros e em conformidade com os requisitos organizacionais.

A tabela a seguir lista as diferenças de segurança e autenticação main entre Windows Hello e Windows Hello para empresas:

Windows Hello para Empresas Windows Hello
Authentication Os usuários podem autenticar para:
- Uma conta Microsoft Entra ID
- Uma conta do Active Directory
– Provedor de identidade (IdP) ou serviços de RP (parte confiável) que dão suporte à autenticação FIDO (Fast ID Online) v2.0 .
Os usuários podem autenticar para:
- Uma conta da Microsoft
– Provedor de identidade (IdP) ou serviços de RP (parte confiável) que dão suporte à autenticação FIDO (Fast ID Online) v2.0 .
Segurança Ele usa autenticação baseada em chave ou certificado . Não há nenhum segredo simétrico (senha) que possa ser roubado de um servidor ou phished de um usuário e usado remotamente.
A segurança aprimorada está disponível em dispositivos com um TPM (Módulo de Plataforma Confiável).
Os usuários podem criar um PIN ou um gesto biométrico em seus dispositivos pessoais para uma entrada conveniente. Esse uso de Windows Hello é exclusivo do dispositivo no qual ele está configurado, mas pode usar um hash de senha dependendo do tipo de conta. Essa configuração é conhecida como Windows Hello PIN de conveniência e não é apoiada por autenticação assimétrica (chave pública/privada) ou certificado.

Observação

A autenticação FIDO2 (Fast Identity Online) é um padrão aberto para autenticação sem senha. Ele permite que os usuários entrem em seus dispositivos e aplicativos usando autenticação biométrica ou uma chave de segurança física, sem a necessidade de uma senha tradicional. O suporte fido2 no Windows Hello para Empresas fornece uma camada adicional de segurança e conveniência para os usuários, ao mesmo tempo em que reduz o risco de ataques relacionados à senha.

Benefícios

Windows Hello para Empresas fornece muitos benefícios, incluindo:

  • Ajuda a fortalecer as proteções contra roubo de credencial. Um invasor deve ter o dispositivo e o biométrico ou PIN, tornando muito mais difícil obter acesso sem o conhecimento do usuário
  • Como nenhuma senha é usada, ela contorna ataques de phishing e força bruta. Mais importante, evita violações de servidor e ataques de reprodução porque as credenciais são assimétricas e geradas em ambientes isolados de TPMs
  • Os usuários obtêm um método de autenticação simples e conveniente (backup com um PIN) que está sempre com eles, portanto não há nada a perder. O uso de um PIN não compromete a segurança, uma vez que Windows Hello tem proteção de força bruta interna, e o PIN nunca sai do dispositivo
  • Você pode adicionar dispositivos biométricos como parte de uma distribuição coordenada ou a usuários específicos, conforme necessário

O vídeo a seguir mostra uma demonstração de Windows Hello para Empresas em ação, em que um usuário entra com uma impressão digital:

Windows Hello e autenticação de dois fatores

Windows Hello para Empresas usa um método de autenticação de dois fatores que combina uma credencial específica do dispositivo com um gesto biométrico ou PIN. Essa credencial está vinculada ao provedor de identidade, como Microsoft Entra ID ou Active Directory, e pode ser usada para acessar aplicativos de organização, sites e serviços.

Após uma verificação inicial em duas etapas do usuário durante o provisionamento, Windows Hello é configurado no dispositivo do usuário e o Windows pede que o usuário defina um gesto, que pode ser biométrico e um PIN. O usuário fornece o gesto para verificar sua identidade. Em seguida, o Windows usa o Windows Hello para autenticar os usuários.

Windows Hello para Empresas é considerada autenticação de dois fatores com base nos fatores de autenticação observados de: algo que você tem, algo que você sabe e algo que faz parte de você. O Windows Hello para Empresas incorpora dois desses fatores: algo que você tem (chave privada do usuário protegida pelo módulo de segurança do dispositivo) e algo que você conhece (seu PIN). Com o hardware adequado, você pode aprimorar a experiência do usuário com a biometria. Usando a biometria, você pode substituir o fator de autenticação algo que você conhece pelo fator que faz parte de você , com as garantias de que os usuários podem voltar ao fator que você conhece.

Entrada biométrica

O Windows Hello oferece uma autenticação biométrica confiável e totalmente integrada baseada no reconhecimento facial ou na comparação de impressões digitais. O Windows Hello usa uma combinação de software e câmeras com infravermelho (IV) para melhorar a precisão e proteger contra falsificação. Os principais fornecedores de hardware estão enviando dispositivos que integraram câmeras compatíveis com Windows Hello e leitores de impressões digitais.

Em dispositivos compatíveis com Windows Hello, um gesto biométrico fácil desbloqueia as credenciais dos usuários:

  • Reconhecimento facial: esse tipo de reconhecimento biométrico usa câmeras especiais que veem na luz IR, o que permite que elas informem de forma confiável a diferença entre uma fotografia ou uma verificação e uma pessoa viva. Vários fornecedores oferecem câmeras externas que incorporam essa tecnologia, e muitos fabricantes de laptops a incorporam em seus dispositivos
  • Reconhecimento de impressão digital: esse tipo de reconhecimento biométrico usa um sensor de impressão digital capacitiva para examinar sua impressão digital. A maioria dos leitores de impressões digitais existentes trabalha com o Windows, sejam eles externos ou integrados a laptops ou teclados USB
  • Reconhecimento de Íris: esse tipo de reconhecimento biométrico usa câmeras para executar a verificação de sua íris. HoloLens 2 é o primeiro dispositivo da Microsoft a introduzir um scanner iris

O Windows armazena dados biométricos que são usados para implementar esses gestos do Windows Hello com segurança somente no dispositivo local. Os dados biométricos não vagam e nunca são enviados para dispositivos ou servidores externos. Como Windows Hello armazena apenas dados de identificação biométrica no dispositivo, não há nenhum ponto de coleta que um invasor possa comprometer para roubar dados biométricos.

Edição do Windows e requisitos de licenciamento

A tabela a seguir lista as edições do Windows que dão suporte a Windows Hello para Empresas:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Sim Sim Sim Sim

Windows Hello para Empresas direitos de licença são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Sim Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Observação

Windows Hello para Empresas não funciona com Microsoft Entra Domain Services.

Requisitos de hardware

A Microsoft colabora com os fabricantes para ajudar a garantir que um alto nível de desempenho e proteção seja atendido por cada sensor e dispositivo, com base nos seguintes requisitos:

  • Taxa de Aceitação Falsa (FAR): representa a instância em que uma solução de identificação biométrica verifica uma pessoa não autorizada. Isso normalmente é representado como uma proporção de número de instâncias em um determinado tamanho populacional, por exemplo, 1 em 100.000. Isso também pode ser representado como uma porcentagem de ocorrência, por exemplo, 0,001%. Essa medida é considerada a mais importante em relação à segurança do algoritmo biométrico
  • Taxa de Rejeição Falsa (FRR): representa as instâncias em que uma solução de identificação biométrica falha ao verificar corretamente uma pessoa autorizada. Representada como um percentual, a soma da Taxa de Aceitação Verdadeira e taxa de rejeição falsa é 1. Pode ser com ou sem detecção anti-falsificação ou liveness

Requisitos do sensor de impressão digital

Para permitir a correspondência de impressões digitais, os dispositivos devem ter sensores de impressão digital e software. Os sensores de impressão digital podem ser sensores de toque (área grande ou pequena) ou sensores de dedo. Cada tipo de sensor tem seu próprio conjunto de requisitos detalhados que devem ser implementados pelo fabricante, mas todos os sensores devem incluir medidas anti-falsificação.

Intervalo de desempenho aceitável para sensores de toque de tamanho pequeno a grande:

  • Taxa de Aceitação Falsa (FAR): <0,001 – 0,002%
  • FRR efetivo, real, com antifalsificação ou detecção de atividade: <10%

Intervalo de desempenho aceitável para sensores de dedo:

  • Taxa de aceitação falsa (FAR): <0,002%
  • FRR efetivo, real, com antifalsificação ou detecção de atividade: <10%

Sensores de reconhecimento facial

Para permitir o reconhecimento facial, você deve ter dispositivos com softwares e sensores de infravermelho (IV) especiais integrados. Os sensores de reconhecimento facial usam câmeras especiais que veem na luz IR, permitindo que eles informem a diferença entre uma foto e uma pessoa viva enquanto verificam os recursos faciais de um funcionário. Esses sensores, como os sensores de impressão digital, também devem incluir medidas antifalsificação (obrigatórias) e uma maneira de configurá-las (opcional).

  • Taxa de Aceitação Falsa (FAR): <0,001%
  • Taxa de rejeição falsa (FRR) sem antifalsificação ou detecção de atividade: <5%
  • FRR efetivo, real, com antifalsificação ou detecção de atividade: <10%

Observação

Windows Hello autenticação facial não dá suporte ao uso de uma máscara durante o registro ou autenticação. Se o ambiente de trabalho não permitir que você remova uma máscara temporariamente, considere usar PIN ou impressão digital.

Requisitos do sensor de reconhecimento de íris

Para usar a autenticação iris, você precisa de um dispositivo HoloLens 2. Todas as edições HoloLens 2 são equipadas com os mesmos sensores. O Iris é implementado da mesma forma que outras tecnologias Windows Hello e alcança a segurança biométrica FAR de 1/100K.

Para obter mais informações sobre os requisitos de hardware para Windows Hello, consulte Windows Hello requisitos biométricos.

Próximas etapas