Configurar Windows Hello para Empresas em dispositivos quando eles se registrarem no Intune

Com Microsoft Intune, você pode criar uma política em todo o locatário que configura o uso de Windows Hello para Empresas em dispositivos Windows 10 ou Windows 11 no momento em que esses dispositivos se registram no Intune. Essa política tem como destino toda a sua organização e dá suporte à OOBE (experiência fora de caixa) do Windows Autopilot.

Para dispositivos Windows 10/11, o uso do Windows Hello para Empresas substitui o uso de senhas por uma forte autenticação de dois fatores nos dispositivos. Esta autenticação consiste em uma credencial de usuário que está vinculada a um dispositivo e utiliza uma biometria ou PIN.

Após o registro do dispositivo ou quando você optar por não usar a política de registro em todo o locatário, o Intune dá suporte aos seguintes métodos para gerenciar Windows Hello em grupos discretos de dispositivos:

• Proteção de identidade – A política de configuração do dispositivo inclui o perfil de proteção de identidade, que você pode usar para configurar grupos de dispositivos para Windows Hello.

• Linhas de base de segurança: algumas configurações para Windows Hello podem ser gerenciadas por linhas de base de segurança, como as linhas de base para segurança Microsoft Defender para Ponto de Extremidade ou Linha de Base de Segurança para Windows 10 e posterior.

• Política de proteção da conta de segurança do ponto de extremidade: as políticas de proteção de conta incluem algumas das configurações usadas pelo Windows Hello.

Importante

Antes da Atualização de Aniversário (versão 1607 do Windows), você poderia definir dois PINS diferentes que poderiam ser usados para autenticar recursos:

• O PIN do dispositivo poderia ser usado para desbloquear o dispositivo e conectar-se aos recursos de nuvem.
• O PIN de trabalho foi usado para acessar Microsoft Entra recursos nos dispositivos pessoais do usuário (BYOD).

Na Atualização de Aniversário, esses dois PINs foram mesclados em um único PIN do dispositivo. Qualquer política de configuração do Intune definida para controlar o PIN do dispositivo e, além disso, qualquer política do Windows Hello para Empresas configurada; agora ambas definem esse novo valor do PIN. Se você tiver definido os dois tipos de política para controlar o PIN, a política do Windows Hello para Empresas será aplicada. Para garantir que os conflitos de política sejam resolvidos e que a política de PIN seja aplicada corretamente, atualize sua Política do Windows Hello para Empresas para que corresponda às configurações em sua política de configuração e solicite aos usuários que sincronizem seus dispositivos no aplicativo Portal da Empresa.

Controle de acesso baseado em função

Você deve ser um Administrador de Serviços do Intune para criar ou editar uma política de Windows Hello para Empresas no registro do Windows. Todas as outras funções do Intune têm acesso somente leitura. Para obter mais informações sobre o RBAC (controle de acesso baseado em função), consulte RBAC com Microsoft Intune.

Criar uma política do Windows Hello para Empresas

1. Entre no Centro de administração do Microsoft Intune.

2. Acesse Dispositivos>Registrar dispositivos>Registro do Windows>Windows Hello para Empresas. O painel do Windows Hello para Empresas é exibido.

3. Selecione uma das opções a seguir para Configurar o Windows Hello para Empresas:

   • Habilitada. Selecione essa configuração se você quiser configurar o Windows Hello para Empresas. Quando você seleciona Habilitado, outras configurações do Windows Hello ficam visíveis e podem ser configuradas para dispositivos.

   • Desabilitada. Se você não quiser habilitar o Windows Hello para Empresas durante o registro do dispositivo, selecione essa opção. Quando desabilitado, os usuários não podem provisionar o Windows Hello para Empresas. Quando essa configuração é definida como Desabilitada, você ainda poderá definir as configurações seguintes para o Windows Hello para Empresas, embora essa política não habilite o Windows Hello para Empresas.

   • Não configurado. Selecione essa configuração se você não quiser usar o Intune para controlar as configurações do Windows Hello para Empresas. As configurações existentes do Windows Hello para Empresas em dispositivos 10/11 não são alteradas. Nenhuma outra configuração no painel está disponível.

4. Se você selecionou Habilitado na etapa anterior, defina as configurações necessárias que serão aplicadas a todos os dispositivos Windows 10/11 registrados. Depois de definir essas configurações, selecione Salvar.

   • Usar um TPM (Trusted Platform Module):

     Um chip TPM fornece outra camada de segurança de dados. Escolha um dos seguintes valores:

     • Obrigatório (padrão). Somente dispositivos com um TPM acessível podem provisionar o Windows Hello para Empresas.
     • Preferencial. Primeira tentativa dos dispositivos para usar um TPM. Se essa opção não estiver disponível, eles poderão usar a criptografia de software.

   • Tamanho mínimo do PIN e Tamanho máximo do PIN:

     Configura os dispositivos para usar os tamanhos mínimo e máximo do PIN especificados para ajudar a garantir a entrada segura. O comprimento padrão do PIN é de seis caracteres, mas você pode impor um comprimento mínimo de quatro caracteres. O comprimento máximo do PIN é de 127 caracteres.

   • Letras minúsculas no PIN, Letras maiúsculas no PIN e Caracteres especiais no PIN.

     Você pode impor um PIN mais forte exigindo o uso de letras maiúsculas, letras minúsculas e caracteres especiais no PIN. Para cada um, selecione entre:

     • Permitido. Os usuários podem usar o tipo de caractere no PIN, mas isso não é obrigatório.

     • Obrigatório. Os usuários devem incluir pelo menos um dos tipos de caracteres em seu PIN. Por exemplo, é uma prática comum exigir pelo menos uma letra maiúscula e um caractere especial.

     • Não permitido (padrão). Os usuários não devem usar esses tipos de caractere no seu PIN. (Esse também será o comportamento se a configuração não estiver definida.)

       Os caracteres especiais incluem: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~

   • Expiração do PIN (dias):

     É uma boa prática especificar um período de expiração de um PIN após o qual os usuários devem alterá-lo. O padrão é 41 dias.

   • Lembrar histórico de PINs:

     Restringe a reutilização de PINs usados anteriormente. Por padrão, os últimos 5 PINs não podem ser reutilizados.

   • Permitir autenticação biométrica:

     Permite a autenticação biométrica, como reconhecimento facial ou impressão digital, como uma alternativa a um PIN do Windows Hello para Empresas. Os usuários ainda devem configurar um PIN de trabalho no caso de falha de autenticação biométrica. Escolha entre:

     • Sim. O Windows Hello para Empresas permite autenticação biométrica.
     • Não. O Windows Hello para Empresas impede a autenticação biométrica (para todos os tipos de conta).

   • Usar antifalsificação avançada, quando disponível:

     Configura se os recursos antifalsificação do Windows Hello são usados em dispositivos com suporte. Por exemplo, detectar uma fotografia de uma face em vez de uma face real.

     Ao definir como Sim, o Windows exige que todos os usuários usem a antifalsificação para recursos faciais quando houver suporte.

   • Permitir entrada por telefone:

     Se essa opção for definida como Sim, os usuários poderão usar um passaporte remoto para servir como um dispositivo portátil complementar para autenticação de computador desktop. O computador da área de trabalho deve ser Microsoft Entra ingressado e o dispositivo complementar deve ser configurado com um PIN Windows Hello para Empresas.

   • Habilitar a segurança de entrada aprimorada:

     Configure Windows Hello Segurança de Entrada Aprimorada em dispositivos com hardware capaz. Suas opções:

     • Padrão. A segurança de entrada aprimorada será habilitada em sistemas com hardware capaz. Os usuários do dispositivo não podem usar periféricos externos para entrar no dispositivo com Windows Hello.
     • A segurança de entrada aprimorada será desabilitada em todos os sistemas. Os usuários do dispositivo podem usar periféricos externos compatíveis com Windows Hello entrar em seu dispositivo.

   • Use as chaves de segurança para entrada:

     Quando definida como Habilitar, essa configuração permite Ativar/Desativar remotamente as Chaves de Segurança do Windows Hello de todos os computadores na organização do cliente.

Compatibilidade do Windows Holographic for Business

O Windows Holographic for Business dá suporte às seguintes configurações do Windows Hello para Empresas:

• Usar o Trusted Platform Module (TPM)
• Tamanho mínimo do PIN
• Tamanho máximo do PIN
• Letras minúsculas no PIN
• Letras maiúsculas no PIN
• Caracteres especiais no PIN
• Término do PIN (dias)
• Lembrar do histórico do PIN

Próximas etapas

Saiba mais sobre Windows Hello dos seguintes assuntos na documentação do Windows:

• Planejando uma implantação de Windows Hello para Empresas
• Visão geral do pré-requisito de implantação Windows Hello para Empresas