Definições de política do Windows Hello para Empresas

Este artigo de referência fornece uma lista abrangente de definições de política para o Windows Hello para Empresas. A lista de definições está ordenada alfabeticamente e organizada em quatro categorias:

  • Definições de funcionalidades: utilizadas para ativar o Windows Hello para Empresas e configurar opções básicas
  • Definição do PIN: utilizada para configurar a autenticação do PIN, como a complexidade e a recuperação do PIN
  • Definição biométrica: utilizada para configurar a autenticação biométrica
  • Definições de smart card: utilizadas para configurar a autenticação de smart card utilizada em conjunto com o Windows Hello para Empresas

Para obter informações sobre como configurar estas definições, consulte Configurar o Windows Hello para Empresas.

Selecione um dos separadores para ver a lista de definições disponíveis:

Nome da Definição CSP GPO
Configurar fatores de desbloqueio do dispositivo
Configurar fatores de bloqueio dinâmicos
Usar um dispositivo de segurança de hardware
Usar o certificado para autenticação no local
Utilizar a confiança da cloud (Kerberos) para autenticação no local
Usar o Windows Hello para Empresas

Configurar fatores de desbloqueio do dispositivo

Configure uma lista separada por vírgulas de GUIDs do fornecedor de credenciais, como GUIDs do fornecedor de impressões digitais e rostos, para serem utilizados como o primeiro e segundo fatores de desbloqueio. Se o fornecedor de sinal fidedigno for especificado como um dos fatores de desbloqueio, também deve configurar uma lista separada por vírgulas de regras de sinal sob a forma de xml para que cada tipo de sinal seja verificado.

Se ativar esta definição de política, o utilizador tem de utilizar um fator de cada lista para desbloquear com êxito. Se desativar ou não configurar esta definição de política, os utilizadores podem continuar a desbloquear com as opções existentes.

Caminho
CSP ./Device/Vendor/MSFT/PassportForWork/ DeviceUnlock
GPO Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas

Para obter mais informações, veja Desbloqueio multifator.

Configurar fatores de bloqueio dinâmicos

Configure uma lista separada por vírgulas de regras de sinal sob a forma de xml para cada tipo de sinal.

  • Se ativar esta definição de política, as regras de sinal são avaliadas para detetar a ausência do utilizador e bloquear automaticamente o dispositivo
  • Se desativar ou não configurar a definição, os utilizadores podem continuar a bloquear com as opções existentes
Caminho
CSP ./Device/Vendor/MSFT/PassportForWork/DynamicLock/ DynamicLock
GPO Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas

Usar um dispositivo de segurança de hardware

Um Trusted Platform Module (TPM) proporciona benefícios de segurança adicionais sobre o software, uma vez que os dados protegidos por ele não podem ser utilizados noutros dispositivos.

  • Se ativar esta definição de política, o aprovisionamento do Windows Hello para Empresas só ocorre em dispositivos com TPMs utilizáveis de 1.2 ou 2.0. Opcionalmente, pode excluir os módulos de revisão 1.2 do TPM, o que impede o aprovisionamento do Windows Hello para Empresas nesses dispositivos

    Dica

    A especificação TPM 1.2 só permite a utilização de RSA e do algoritmo hash SHA-1. As implementações do TPM 1.2 variam nas definições de política, o que pode resultar em problemas de suporte, uma vez que as políticas de bloqueio variam. Recomenda-se excluir dispositivos TPM 1.2 do aprovisionamento do Windows Hello para Empresas. -Se desativar ou não configurar esta definição de política, o TPM continua a ser preferido, mas todos os dispositivos podem aprovisionar o Windows Hello para Empresas através de software se o TPM não funcionar ou não estiver disponível.

Caminho
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ RequireSecurityDevice

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/ TPM12
GPO Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas

Usar o certificado para autenticação no local

Utilize esta definição de política para configurar o Windows Hello para Empresas para inscrever um certificado de início de sessão utilizado para autenticação no local.

  • Se ativar esta definição de política, o Windows Hello para Empresas inscreve um certificado de início de sessão que é utilizado para autenticação no local
  • Se desativar ou não configurar esta definição de política, o Windows Hello para Empresas utilizará uma chave ou um pedido Kerberos (dependendo de outras definições de política) para autenticação no local
Caminho
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCertificateForOnPremAuth
GPO Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas

Configuração do> UtilizadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas

Utilizar a confiança na cloud para autenticação no local

Utilize esta definição de política para configurar o Windows Hello para Empresas para utilizar o modelo de confiança Kerberos na cloud.

  • Se ativar esta definição de política, o Windows Hello para Empresas utiliza um pedido Kerberos obtido da autenticação para o Microsoft Entra ID para autenticação no local
  • Se desativar ou não configurar esta definição de política, o Windows Hello para Empresas utiliza uma chave ou certificado (dependendo de outras definições de política) para autenticação no local
Caminho
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCloudTrustForOnPremAuth
GPO Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas

Observação

A confiança do Kerberos na cloud é incompatível com a confiança do certificado. Se a definição da política de confiança do certificado estiver ativada, tem precedência sobre esta definição de política.

Usar o Windows Hello para Empresas

  • Se ativar esta política, o dispositivo aprovisiona o Windows Hello para Empresas utilizando chaves ou certificados para todos os utilizadores
  • Se desativar esta definição de política, o dispositivo não aprovisiona o Windows Hello para Empresas para qualquer utilizador
  • Se não configurar esta definição de política, os utilizadores podem aprovisionar o Windows Hello para Empresas

Selecione a opção Não iniciar o aprovisionamento do Windows Hello após o início de sessão quando utilizar uma solução que não seja da Microsoft para aprovisionar o Windows Hello para Empresas:

  • Se selecionar Não iniciar o aprovisionamento do Windows Hello após o início de sessão, o Windows Hello para Empresas não inicia automaticamente o aprovisionamento após o utilizador iniciar sessão
  • Se não selecionar Não iniciar o aprovisionamento do Windows Hello após o início de sessão, o Windows Hello para Empresas inicia automaticamente o aprovisionamento após o utilizador iniciar sessão
Caminho
CSP ./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UsePassportForWork

./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ DisablePostLogonProvisioning
GPO Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas

Configuração do> UtilizadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas