Configurar o Windows Hello para Empresas
Este artigo descreve as opções para configurar Windows Hello para Empresas em uma organização e como implementá-las.
Opções de configuração
Você pode configurar Windows Hello para Empresas usando as seguintes opções:
- CSP (Provedor de Serviços de Configuração): comumente usado para dispositivos gerenciados por uma solução MDM (Mobile Gerenciamento de Dispositivos), como Microsoft Intune. Os CSPs também podem ser configurados com pacotes de provisionamento, que geralmente são usados no momento da implantação ou para dispositivos não gerenciados. Para configurar Windows Hello para Empresas, use o CSP PassportForWork
- GPO (política de grupo): usada para dispositivos que são ingressados no Active Directory ou Microsoft Entra híbridos ingressados e não são gerenciados por uma solução de gerenciamento de dispositivo
Precedência de política
Algumas das políticas de Windows Hello para Empresas estão disponíveis para configuração de computador e usuário. A lista a seguir descreve a precedência da política para Windows Hello para Empresas:
- As políticas de usuário têm precedência sobre políticas de computador. Se uma política de usuário for definida, a política de computador correspondente será ignorada. Se uma política de usuário não estiver definida, a política do computador será usada
- Windows Hello para Empresas configurações de política são impostas usando a seguinte hierarquia:
- Usuário – GPO
- Computador – GPO
- Usuário – PassportForWork CSP
- Dispositivo – PassportForWork CSP
- Sincronização Ativa do Exchange – CSP do DeviceLock
Importante
Se você configurar configurações de comprimento e complexidade de senha definidas pelo CSP DeviceLock e configurações de comprimento e complexidade de PIN definidas pelo CSP PassportForWork, o Windows imporá a política mais rigorosa fora do conjunto de políticas de governança.
O CSP do DeviceLock utiliza o mecanismo EAS (Política de Exchange ActiveSync). Para obter mais informações, consulte Visão geral do Mecanismo de Política Exchange ActiveSync.
Observação
Se uma política não estiver configurada explicitamente para exigir letras ou caracteres especiais, os usuários poderão opcionalmente definir um PIN alfanumérico.
Recuperar a ID do locatário Microsoft Entra
A configuração por meio do CSP ou registro de diferentes configurações de política de Windows Hello para Empresas exige especificar a ID do locatário Microsoft Entra em que o dispositivo está registrado.
Para pesquisar sua ID do Locatário, consulte Como encontrar sua ID do locatário Microsoft Entra ou experimente o seguinte, garantindo entrar com a conta da sua organização:
GET https://graph.microsoft.com/v1.0/organization?$select=id
Por exemplo, a documentação do CSP passportForWork descreve como configurar Windows Hello para Empresas opções usando o OMA-URI:
./Device/Vendor/MSFT/PassportForWork/{TenantId}
Ao configurar dispositivos, substitua TenantID pela ID do locatário Microsoft Entra. Por exemplo, se a ID do locatário Microsoft Entra for dcd219dd-bc68-4b9b-bf0b-4a33a796be35, o OMA-URI será:
./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}
Configurar Windows Hello para Empresas usando Microsoft Intune
Para Microsoft Entra dispositivos ingressados e Microsoft Entra dispositivos híbridos ingressados no Intune, você pode usar Intune políticas para gerenciar Windows Hello para Empresas.
Há diferentes maneiras de habilitar e configurar Windows Hello para Empresas no Intune:
- Usando uma política aplicada no nível do locatário. A política de locatário:
- É aplicado apenas no momento do registro e qualquer alteração em sua configuração não se aplica a dispositivos já registrados no Intune
- Aplica-se a todos os dispositivos que estão sendo registrados no Intune. Por esse motivo, a política geralmente é desabilitada e Windows Hello para Empresas está habilitada usando uma política direcionada a um grupo de segurança
- Uma política de configuração de dispositivo que é aplicada após o registro do dispositivo. Todas as alterações na política são aplicadas aos dispositivos durante intervalos regulares de atualização de política. Há diferentes tipos de política para escolher:
Verificar a política em todo o locatário
Para marcar as configurações de política de Windows Hello para Empresas aplicadas no momento do registro:
- Entre no centro de administração do Microsoft Intune
- Selecionar Dispositivos>WindowsRegistro do Windows>
- Selecione Windows Hello para Empresas
- Verifique o status de Configurar Windows Hello para Empresas e quaisquer configurações que possam ser configuradas
Conflitos de política de várias fontes de política
Windows Hello para Empresas pode ser configurado por GPO ou CSP, mas não por uma combinação de ambos. Evite misturar configurações de política de GPO e CSP para Windows Hello para Empresas, pois pode levar a resultados inesperados. Se você misturar configurações de política de GPO e CSP, as configurações de CSP conflitantes não serão aplicadas até que as configurações da política de grupo sejam desmarcadas.
Importante
A configuração da política MDMWinsOverGP não se aplica a Windows Hello para Empresas. O MDMWinsOverGP só se aplica a políticas no CSP de Política, enquanto as políticas de Windows Hello para Empresas estão no CSP PassportForWork.
Observação
Para obter mais informações sobre como implantar Windows Hello para Empresas configuração usando Microsoft Intune, consulte Configurações do dispositivo Windows para habilitar Windows Hello para Empresas no Intune e no PassportForWork CSP.
Desabilitar Windows Hello para Empresas registro
Windows Hello para Empresas está habilitada por padrão para dispositivos que estão Microsoft Entra ingressados. Se você precisar desabilitar a habilitação automática, há opções diferentes, incluindo:
- Desabilitar Windows Hello usando a política em todo o locatário
- Desabilite-o usando um dos tipos de política disponíveis no Intune, ao habilitar a ESP (Página de Status de Registro). O ESP pode ser configurado para impedir que um usuário acesse a área de trabalho até que o dispositivo receba todas as políticas necessárias. Para obter mais informações, consulte Configurar a Página de Status de Registro. A configuração da política a ser configurada é Usar Windows Hello para Empresas
- Provisione os dispositivos usando um pacote de provisionamento que desabilita Windows Hello para Empresas. Para obter mais informações, confira Provisionamento de pacotes para Windows
- Soluções com script que podem modificar as configurações do registro para desabilitar Windows Hello para Empresas durante a implantação do sistema operacional
| Tipo de configuração | Detalhes |
|---|---|
| CSP (usuário) |
Caminho da chave: HHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\PoliciesNome da chave: UsePassportForWorkTipo: REG_DWORDValor: 1 para habilitar0 para desabilitar |
| CSP (dispositivo) |
Caminho da chave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\PoliciesNome da chave: UsePassportForWorkTipo: REG_DWORDValor: 1 para habilitar0 para desabilitar |
| GPO (usuário) |
Caminho da chave: HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWorkNome da chave: EnabledTipo: REG_DWORDValor: 1 para habilitar0 para desabilitar |
| GPO (usuário) |
Caminho da chave: KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWorkNome da chave: EnabledTipo: REG_DWORDValor: 1 para habilitar0 para desabilitar |
Observação
Se houver uma política de dispositivo conflitante e uma política de usuário, a política de usuário terá precedência. Não é recomendável criar configurações de GPO local ou registro que possam entrar em conflito com uma política de MDM. Esse conflito pode levar a resultados inesperados.
Próximas etapas
Para obter uma lista de Windows Hello para Empresas configurações de política, consulte Windows Hello para Empresas configurações de política.
Para saber mais sobre Windows Hello para Empresas recursos e como configurá-los, confira: