Configurar e inscrever-se no Windows Hello para Empresas num modelo de confiança de certificados no local
Este artigo descreve as funcionalidades ou cenários do Windows Hello para Empresas que se aplicam a:
-
Tipo de implementação:no local
-
Tipo de
-
Tipo de associação:
Assim que os pré-requisitos forem cumpridos e as configurações do PKI e do AD FS forem validadas, a implementação do Windows Hello para Empresas consiste nos seguintes passos:
Definir as configurações de política do Windows Hello para Empresas
Existem 2 definições de política necessárias para ativar o Windows Hello para Empresas num modelo de confiança de certificado:
Outra definição de política opcional, mas recomendada, é:
Siga as instruções abaixo para configurar os seus dispositivos com o Microsoft Intune ou a política de grupo (GPO).
Pode configurar a definição de política Utilizar o Windows Hello para Empresas no computador ou nó de utilizador de um GPO:
- Implementar a definição de política do nó de computador resulta em todos os utilizadores que iniciam sessão nos dispositivos visados para tentar uma inscrição do Windows Hello para Empresas
- Implementar a definição de política do nó de utilizador resulta apenas nos utilizadores visados para tentarem uma inscrição do Windows Hello para Empresas
Se as configurações de política de computador e do usuário são implantadas, a configuração de política de usuário tem precedência.
Dica
Utilize o mesmo grupo de segurança Utilizadores do Windows Hello para Empresas para atribuir permissões de modelo de certificado para garantir que os mesmos membros podem inscrever-se no certificado de autenticação do Windows Hello para Empresas.
Ativar a inscrição automática da definição de política do grupo de certificados
O provisionamento do Windows Hello para Empresas executa a inscrição inicial do certificado de autenticação do Windows Hello para Empresas. Este certificado expira com base na duração configurada no modelo de certificado de autenticação do Windows Hello para Empresas.
O processo não requer qualquer interação do utilizador, desde que o utilizador inicie sessão com o Windows Hello para Empresas. O certificado é renovado em segundo plano antes de expirar.
Para configurar um dispositivo com a política de grupo, utilize o Editor de Políticas de Grupo Local. Para configurar vários dispositivos associados ao Active Directory, crie ou edite um objeto de política de grupo (GPO) e utilize as seguintes definições:
| Caminho da política de grupo | Definição de política de grupo | Valor |
|---|---|---|
|
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas or Configuração do Utilizador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas |
Usar o Windows Hello para Empresas | Habilitada |
|
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas or Configuração do Utilizador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas |
Usar o certificado para autenticação no local | Habilitada |
|
Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas de Chave Pública or Configuração do Utilizador\Definições do Windows\Definições de Segurança\Políticas de Chave Pública |
Cliente dos Serviços de Certificados – Inscrição Automática | - Selecione Ativado no Modelo de Configuração - Selecione Renovar certificados expirados, atualize certificados pendentes e remova certificados revogados - Selecione Atualizar certificados que utilizam modelos de certificado |
| Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas | Usar um dispositivo de segurança de hardware | Habilitada |
Observação
A ativação da definição Utilizar uma política de dispositivos de segurança de hardware é opcional, mas recomendada.
As políticas de grupo podem ser ligadas a domínios ou unidades organizacionais, filtradas através de grupos de segurança ou filtradas através de filtros WMI.
Dica
A melhor forma de implementar o GPO do Windows Hello para Empresas é utilizar a filtragem de grupos de segurança. Apenas os membros do grupo de segurança de destino aprovisionarão o Windows Hello para Empresas, ativando uma implementação faseada. Esta solução permite ligar o GPO ao domínio, garantindo que o GPO está no âmbito de todos os principais de segurança. A filtragem do grupo de segurança garante que apenas os membros do grupo global recebem e aplicam o GPO, o que resulta no aprovisionamento do Windows Hello para Empresas.
Podem ser configuradas definições de política adicionais para controlar o comportamento do Windows Hello para Empresas. Para obter mais informações, consulte Definições de política do Windows Hello para Empresas.
Inscrever-se no Windows Hello para Empresas
O processo de aprovisionamento do Windows Hello para Empresas começa imediatamente após o carregamento do perfil de utilizador e antes de o utilizador receber o respetivo ambiente de trabalho. Para que o processo de aprovisionamento seja iniciado, todas as verificações de pré-requisitos têm de ser aprovadas.
Pode determinar o estado das verificações de pré-requisitos ao visualizar o registo de administrador do Registo de Dispositivos do Utilizador em Aplicações e Registos de Serviços > do Microsoft > Windows.
Estas informações também estão disponíveis através do dsregcmd.exe /status comando de uma consola. Para obter mais informações, veja dsregcmd.
Experiência do usuário
Depois de um utilizador iniciar sessão, o processo de inscrição do Windows Hello para Empresas começa:
- Se o dispositivo suportar a autenticação biométrica, é pedido ao utilizador que configure um gesto biométrico. Este gesto pode ser utilizado para desbloquear o dispositivo e autenticar-se em recursos que requerem o Windows Hello para Empresas. O utilizador pode ignorar este passo se não quiser configurar um gesto biométrico
- É pedido ao utilizador que utilize o Windows Hello com a conta da organização. O utilizador seleciona OK
- O fluxo de aprovisionamento avança para a parte da autenticação multifator da inscrição. O aprovisionamento informa o utilizador de que está a tentar contactar ativamente o utilizador através da forma configurada de MFA. O processo de aprovisionamento não continua até que a autenticação seja bem-sucedida, falhe ou exceda o tempo limite. Uma MFA com falha ou tempo limite resulta num erro e pede ao utilizador para tentar novamente
- Após um MFA bem-sucedido, o fluxo de provisionamento pede ao usuário para criar e validar um PIN. Este PIN tem de observar quaisquer políticas de complexidade de PIN configuradas no dispositivo
- O restante do provisionamento inclui o Windows Hello para Empresas, que solicita um par de chaves assimétricas para o usuário, preferencialmente do TPM (ou obrigatório se definido explicitamente por meio da política). Assim que o par de chaves for adquirido, o Windows comunica com o IdP para registar a chave pública. Quando o registo de chaves estiver concluído, o aprovisionamento do Windows Hello para Empresas informa o utilizador de que pode utilizar o PIN para iniciar sessão. O utilizador pode fechar a aplicação de aprovisionamento e aceder ao respetivo ambiente de trabalho
Depois de um registro de chave bem-sucedido, o Windows cria uma solicitação de certificado usando o mesmo par de chaves para solicitar um certificado. O Windows envia o pedido de certificado para o servidor do AD FS para inscrição de certificados.
A autoridade de registro do AD FS verifica se a chave usada na solicitação de certificado corresponde à chave registrada anteriormente. Em uma combinação com êxito, a autoridade de registro do AD FS verifica a solicitação de certificado usando o certificado do agente de registro e o envia para a autoridade de certificação.
A AC valida que o certificado é assinado pela autoridade de registo. Ao validar com êxito, emite um certificado com base no pedido e devolve o certificado à autoridade de registo do AD FS. A autoridade de registo devolve o certificado ao Windows onde, em seguida, instala o certificado no arquivo de certificados do utilizador atual.
O vídeo seguinte mostra os passos de inscrição do Windows Hello para Empresas após iniciar sessão com uma palavra-passe, utilizando um adaptador MFA personalizado para o AD FS.
Diagrama de sequência
Para compreender melhor os fluxos de aprovisionamento, reveja o seguinte diagrama de sequência: