Configurar e inscrever-se no Windows Hello para Empresas num modelo de fidedignidade de chave híbrida

Este artigo descreve as funcionalidades ou cenários do Windows Hello para Empresas que se aplicam a:

Assim que os pré-requisitos forem cumpridos e a configuração PKI for validada, a implementação do Windows Hello para Empresas consiste nos seguintes passos:

Definir as configurações de política do Windows Hello para Empresas

Existe uma definição de política necessária para ativar o Windows Hello para Empresas num modelo de fidedignidade chave:

Outra definição de política opcional, mas recomendada, é:

As instruções seguintes descrevem como configurar os seus dispositivos com o Microsoft Intune ou a política de grupo (GPO).

Observação

Reveja o artigo Configurar o Windows Hello para Empresas com o Microsoft Intune para saber mais sobre as diferentes opções oferecidas pelo Microsoft Intune para configurar o Windows Hello para Empresas.

Se a política ao nível do inquilino do Intune estiver ativada e configurada de acordo com as suas necessidades, pode avançar para Inscrever no Windows Hello para Empresas.

Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria Nome da configuração Valor
Windows Hello para Empresas Utilizar o Passport For Work true
Windows Hello para Empresas Exigir Dispositivo de Segurança true

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Em alternativa, pode configurar dispositivos com uma política personalizada com o PassportForWork CSP.

Configuração
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork
- Tipo de dados:bool
- Valor:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice
- Tipo de dados:bool
- Valor:True

Se implementar a configuração do Windows Hello para Empresas com a Política de Grupo e o Intune, as definições da Política de Grupo têm precedência e as definições do Intune são ignoradas. Para obter mais informações sobre conflitos de políticas, veja Conflitos de políticas de várias origens de políticas

Outras definições de política podem ser configuradas para controlar o comportamento do Windows Hello para Empresas. Para obter mais informações, consulte Definições de política do Windows Hello para Empresas.

Inscrever-se no Windows Hello para Empresas

O processo de aprovisionamento do Windows Hello para Empresas começa imediatamente após o carregamento do perfil de utilizador e antes de o utilizador receber o respetivo ambiente de trabalho. Para que o processo de aprovisionamento seja iniciado, todas as verificações de pré-requisitos têm de ser aprovadas.

Pode determinar o estado das verificações de pré-requisitos ao visualizar o registo de administrador do Registo de Dispositivos do Utilizador em Aplicações e Registos de Serviços > do Microsoft > Windows.
Estas informações também estão disponíveis através do dsregcmd.exe /status comando de uma consola. Para obter mais informações, veja dsregcmd.

Detalhes sobre o ID do evento 358 que mostram que o dispositivo está pronto para ser inscrito no Windows Hello para Empresas.

Experiência do usuário

Depois de um utilizador iniciar sessão, o processo de inscrição do Windows Hello para Empresas começa:

  1. Se o dispositivo suportar a autenticação biométrica, é pedido ao utilizador que configure um gesto biométrico. Este gesto pode ser utilizado para desbloquear o dispositivo e autenticar-se em recursos que requerem o Windows Hello para Empresas. O utilizador pode ignorar este passo se não quiser configurar um gesto biométrico
  2. É pedido ao utilizador que utilize o Windows Hello com a conta da organização. O utilizador seleciona OK
  3. O fluxo de aprovisionamento avança para a parte da autenticação multifator da inscrição. O aprovisionamento informa o utilizador de que está a tentar contactar ativamente o utilizador através da forma configurada de MFA. O processo de aprovisionamento não continua até que a autenticação seja bem-sucedida, falhe ou exceda o tempo limite. Uma MFA com falha ou tempo limite resulta num erro e pede ao utilizador para tentar novamente
  4. Após um MFA bem-sucedido, o fluxo de provisionamento pede ao usuário para criar e validar um PIN. Este PIN tem de observar quaisquer políticas de complexidade de PIN configuradas no dispositivo
  5. O restante do provisionamento inclui o Windows Hello para Empresas, que solicita um par de chaves assimétricas para o usuário, preferencialmente do TPM (ou obrigatório se definido explicitamente por meio da política). Assim que o par de chaves for adquirido, o Windows comunica com o IdP para registar a chave pública. Quando o registo de chaves estiver concluído, o aprovisionamento do Windows Hello para Empresas informa o utilizador de que pode utilizar o PIN para iniciar sessão. O utilizador pode fechar a aplicação de aprovisionamento e aceder ao respetivo ambiente de trabalho

Após a inscrição, o Microsoft Entra Connect sincroniza a chave do utilizador do ID do Microsoft Entra para o Active Directory.

Importante

O tempo mínimo necessário para sincronizar a chave pública do utilizador do Microsoft Entra ID para o Active Directory no local é de 30 minutos. O agendador do Microsoft Entra Connect controla o intervalo de sincronização. Esta latência de sincronização atrasa a capacidade do utilizador de autenticar e utilizar recursos no local até que a chave pública do utilizador seja sincronizada com o Active Directory. Depois de sincronizado, o utilizador pode autenticar e aceder a recursos no local. Leia Microsoft Entra Connect Sync: Scheduler para ver e ajustar o ciclo de sincronização da sua organização.

Diagramas de sequência

Para compreender melhor os fluxos de aprovisionamento, reveja os seguintes diagramas de sequência com base no tipo de associação e autenticação do dispositivo:

Para compreender melhor os fluxos de autenticação, reveja o seguinte diagrama de sequência: