Configurar o Windows Hello para Empresas
Este artigo descreve as opções para configurar Windows Hello para Empresas numa organização e como implementá-las.
Opções de configuração
Pode configurar Windows Hello para Empresas com as seguintes opções:
- Fornecedor de Serviços de Configuração (CSP): normalmente utilizado para dispositivos geridos por uma solução de Gerenciamento de Dispositivos Móvel (MDM), como Microsoft Intune. Os CSPs também podem ser configurados com pacotes de aprovisionamento, que normalmente são utilizados no momento da implementação ou para dispositivos não geridos. Para configurar Windows Hello para Empresas, utilize o PassportForWork CSP
- Política de grupo (GPO): utilizada para dispositivos associados ao Active Directory ou Microsoft Entra associados híbridos e que não são geridos por uma solução de gestão de dispositivos
Precedência da política
Algumas das políticas de Windows Hello para Empresas estão disponíveis para configuração do computador e do utilizador. A lista seguinte descreve a precedência da política para Windows Hello para Empresas:
- As políticas de utilizador têm precedência sobre as políticas de computador. Se estiver definida uma política de utilizador, a política de computador correspondente é ignorada. Se uma política de utilizador não estiver definida, é utilizada a política de computador
- Windows Hello para Empresas definições de política são impostas com a seguinte hierarquia:
- Utilizador - GPO
- Computador - GPO
- Utilizador - PassportForWork CSP
- Dispositivo - PassportForWork CSP
- Sincronização Ativa do Exchange - DeviceLock CSP
Importante
Se configurar as definições de complexidade e comprimento da palavra-passe definidas pelo CSP deviceLock e as definições de comprimento e complexidade do PIN definidas pelo PassportForWork CSP, o Windows impõe a política mais rigorosa fora do conjunto de políticas de governação.
O DeviceLock CSP utiliza o motor do Exchange ActiveSync Policy (EAS). Para obter mais informações, veja Descrição Geral do Motor de Política Exchange ActiveSync.
Observação
Se uma política não estiver explicitamente configurada para exigir letras ou carateres especiais, os utilizadores podem, opcionalmente, definir um PIN alfanumérico.
Obter o ID do inquilino do Microsoft Entra
A configuração através do CSP ou do registo de diferentes definições de política de Windows Hello para Empresas requer que especifique o ID de inquilino Microsoft Entra onde o dispositivo está registado.
Para procurar o ID de Inquilino, consulte Como localizar o seu ID de inquilino Microsoft Entra ou experimente o seguinte, garantindo que inicia sessão com a conta da sua organização:
GET https://graph.microsoft.com/v1.0/organization?$select=id
Por exemplo, a documentação do PassportForWork CSP descreve como configurar opções de Windows Hello para Empresas com o OMA-URI:
./Device/Vendor/MSFT/PassportForWork/{TenantId}
Ao configurar dispositivos, substitua pelo TenantID seu ID de inquilino Microsoft Entra. Por exemplo, se o seu ID de inquilino Microsoft Entra for dcd219dd-bc68-4b9b-bf0b-4a33a796be35, o OMA-URI seria:
./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}
Configurar Windows Hello para Empresas com Microsoft Intune
Para Microsoft Entra dispositivos associados e Microsoft Entra dispositivos associados híbridos inscritos no Intune, pode utilizar políticas de Intune para gerir Windows Hello para Empresas.
Existem diferentes formas de ativar e configurar Windows Hello para Empresas no Intune:
- Utilizar uma política aplicada ao nível do inquilino. A política de inquilino:
- Só é aplicada no momento da inscrição e as alterações à respetiva configuração não se aplicam aos dispositivos já inscritos no Intune
- Aplica-se a todos os dispositivos que estão a ser inscritos no Intune. Por este motivo, a política é normalmente desativada e Windows Hello para Empresas é ativada através de uma política direcionada para um grupo de segurança
- Uma política de configuração de dispositivos que é aplicada após a inscrição de dispositivos. Quaisquer alterações à política são aplicadas aos dispositivos durante intervalos regulares de atualização de políticas. Existem diferentes tipos de política à escolha:
Verificar a política ao nível do inquilino
Para marcar as definições de política de Windows Hello para Empresas aplicadas no momento da inscrição:
Iniciar sessão no centro de administração do Microsoft Intune
Selecionar Dispositivos>Inscrição do Windows>
Selecionar Windows Hello para Empresas
Verifique a status de Configurar Windows Hello para Empresas e quaisquer definições que possam estar configuradas
Conflitos de políticas de várias origens de políticas
Windows Hello para Empresas pode ser configurado por GPO ou CSP, mas não uma combinação de ambos. Evite misturar as definições de política de GPO e CSP para Windows Hello para Empresas, uma vez que pode levar a resultados inesperados. Se misturar as definições de política de GPO e CSP, as definições CSP em conflito só são aplicadas quando as definições da política de grupo forem desmarcadas.
Importante
A definição de política MDMWinsOverGP não se aplica a Windows Hello para Empresas. O MDMWinsOverGP aplica-se apenas a políticas no CSP de Políticas, enquanto as políticas de Windows Hello para Empresas estão no PassportForWork CSP.
Observação
Para obter mais informações sobre como implementar Windows Hello para Empresas configuração com Microsoft Intune, consulte Definições de dispositivos Windows para ativar Windows Hello para Empresas no Intune e PassportForWork CSP.
Desativar Windows Hello para Empresas inscrição
Windows Hello para Empresas está ativada por predefinição para dispositivos Microsoft Entra associados. Se precisar de desativar a ativação automática, existem diferentes opções, incluindo:
- Desativar Windows Hello com a política ao nível do inquilino
- Desative-a utilizando um dos tipos de política disponíveis no Intune, ao mesmo tempo que ativa a Página de Estado da Inscrição (ESP). O ESP pode ser configurado para impedir que um utilizador aceda ao ambiente de trabalho até que o dispositivo receba todas as políticas necessárias. Para obter mais informações, consulte Configurar a Página de Estado da Inscrição. A definição de política a configurar é Utilizar Windows Hello para Empresas
- Aprovisione os dispositivos com um pacote de aprovisionamento que desativa Windows Hello para Empresas. Para obter mais informações, veja Provisioning packages for Windows (Aprovisionar pacotes para Windows)
- Soluções com script que podem modificar as definições do registo para desativar Windows Hello para Empresas durante a implementação do SO
| Tipo de configuração | Detalhes |
|---|---|
| CSP (utilizador) |
Caminho da chave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\PoliciesNome da chave: UsePassportForWorkTipo: REG_DWORDValor: 1 para ativar0 para desativar |
| CSP (dispositivo) |
Caminho da chave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\PoliciesNome da chave: UsePassportForWorkTipo: REG_DWORDValor: 1 para ativar0 para desativar |
| GPO (utilizador) |
Caminho da chave: HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWorkNome da chave: EnabledTipo: REG_DWORDValor: 1 para ativar0 para desativar |
| GPO (dispositivo) |
Caminho da chave: KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWorkNome da chave: EnabledTipo: REG_DWORDValor: 1 para ativar0 para desativar |
Observação
Se existir uma política de dispositivos e uma política de utilizador em conflito, a política de utilizador tem precedência. Não é recomendado criar definições de REGISTO ou GPO Local que possam entrar em conflito com uma política de MDM. Este conflito pode levar a resultados inesperados.
Próximas etapas
Para obter uma lista das definições de política Windows Hello para Empresas, consulte definições de política Windows Hello para Empresas.
Para saber mais sobre Windows Hello para Empresas funcionalidades e como configurá-las, consulte: