Configurar e registrar em Windows Hello para Empresas em um modelo de confiança de certificado local
Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:
- Tipo de implantação:
- Tipo de
- Tipo de junção:
Depois que os pré-requisitos forem atendidos e as configurações do PKI e do AD FS forem validadas, a implantação Windows Hello para Empresas consiste nas seguintes etapas:
Definir as configurações de política do Windows Hello para Empresas
Há duas configurações de política necessárias para habilitar Windows Hello para Empresas em um modelo de confiança de certificado:
Outra configuração opcional, mas recomendada, de política é:
Siga as instruções abaixo para configurar seus dispositivos usando Microsoft Intune ou GPO (política de grupo).
Você pode configurar a configuração Usar Windows Hello para Empresas política no computador ou no nó de usuário de um GPO:
- A implantação da configuração da política de nó do computador resulta em todos os usuários que entrarem nos dispositivos de destino para tentar um registro de Windows Hello para Empresas
- A implantação da configuração da política de nó de usuário resulta apenas nos usuários direcionados para tentar um registro de Windows Hello para Empresas
Se as configurações de política de computador e do usuário são implantadas, a configuração de política de usuário tem precedência.
Dica
Use o mesmo grupo de segurança Windows Hello para Empresas Usuários para atribuir permissões de modelo de certificado para garantir que os mesmos membros possam se registrar no certificado de autenticação Windows Hello para Empresas.
Habilitar o registro automático da configuração da política de grupo de certificados
O provisionamento do Windows Hello para Empresas executa a inscrição inicial do certificado de autenticação do Windows Hello para Empresas. Esse certificado expira com base na duração configurada no modelo de certificado de autenticação Windows Hello para Empresas.
O processo não requer nenhuma interação do usuário, desde que o usuário entre usando Windows Hello para Empresas. O certificado é renovado em segundo plano antes de expirar.
Para configurar um dispositivo com política de grupo, use a Política de Grupo Editor Local. Para configurar vários dispositivos ingressados no Active Directory, crie ou edite um GPO (objeto de política de grupo) e use as seguintes configurações:
| Caminho da política de grupo | Configuração de política de grupo | Valor |
|---|---|---|
| Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Hello para Empresas or Configuração do usuário\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas |
Usar o Windows Hello para Empresas | Habilitado |
| Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Hello para Empresas or Configuração do usuário\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas |
Usar o certificado para autenticação no local | Habilitado |
| Configuração do computador\Configurações do Windows\Configurações de Segurança\Políticas de Chave Pública or Configuração do usuário\Configurações do Windows\Configurações de Segurança\Políticas de Chave Pública |
Cliente dos Serviços de Certificado – Registro Automático | - Selecione Habilitado no Modelo de Configuração - Selecione os certificados renovados expirados, atualize certificados pendentes e remova certificados revogados – Selecione Atualizar certificados que usam modelos de certificado |
| Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Hello para Empresas | Usar um dispositivo de segurança de hardware | Habilitada |
Observação
A habilitação da configuração Usar uma política de dispositivo de segurança de hardware é opcional, mas recomendada.
As políticas de grupo podem ser vinculadas a domínios ou unidades organizacionais, filtradas usando grupos de segurança ou filtradas usando filtros WMI.
Dica
A melhor maneira de implantar o GPO Windows Hello para Empresas é usar a filtragem de grupo de segurança. Somente os membros do grupo de segurança de destino provisionarão Windows Hello para Empresas, habilitando uma distribuição em fases. Essa solução permite vincular o GPO ao domínio, garantindo que o GPO seja escopo para todas as entidades de segurança. A filtragem do grupo de segurança garante que apenas os membros do grupo global recebam e apliquem o GPO, o que resulta no provisionamento de Windows Hello para Empresas.
Configurações de política adicionais podem ser configuradas para controlar o comportamento de Windows Hello para Empresas. Para obter mais informações, consulte Windows Hello para Empresas configurações de política.
Registrar-se em Windows Hello para Empresas
O processo de provisionamento Windows Hello para Empresas começa imediatamente após o perfil de usuário ser carregado e antes que o usuário receba sua área de trabalho. Para que o processo de provisionamento seja iniciado, todas as verificações de pré-requisito devem ser aprovadas.
Você pode determinar o status das verificações de pré-requisito exibindo o log de administrador do Registro de Dispositivo de Usuário em Logs de Aplicativos e Serviços > Microsoft > Windows.
Essas informações também estão disponíveis usando o dsregcmd.exe /status comando de um console. Para obter mais informações, consulte dsregcmd.
Experiência do usuário
Depois que um usuário entra, o processo de registro Windows Hello para Empresas começa:
- Se o dispositivo der suporte à autenticação biométrica, o usuário será solicitado a configurar um gesto biométrico. Esse gesto pode ser usado para desbloquear o dispositivo e autenticar-se em recursos que exigem Windows Hello para Empresas. O usuário pode ignorar essa etapa se não quiser configurar um gesto biométrico
- O usuário é solicitado a usar Windows Hello com a conta da organização. O usuário seleciona OK
- O fluxo de provisionamento prossegue para a parte de autenticação multifator do registro. O provisionamento informa ao usuário que ele está ativamente tentando contatar o usuário por meio de sua forma configurada de MFA. O processo de provisionamento não prossegue até que a autenticação seja bem-sucedida, falhe ou tenha um tempo limite. Uma MFA com falha ou tempo limite resulta em um erro e pede que o usuário tente novamente
- Após um MFA bem-sucedido, o fluxo de provisionamento pede ao usuário para criar e validar um PIN. Esse PIN deve observar quaisquer políticas de complexidade pin configuradas no dispositivo
- O restante do provisionamento inclui o Windows Hello para Empresas, que solicita um par de chaves assimétricas para o usuário, preferencialmente do TPM (ou obrigatório se definido explicitamente por meio da política). Depois que o par de chaves é adquirido, o Windows se comunica com o IdP para registrar a chave pública. Quando o registro de chave é concluído, Windows Hello para Empresas provisionamento informa ao usuário que ele pode usar seu PIN para entrar. O usuário pode fechar o aplicativo de provisionamento e acessar sua área de trabalho
Depois de um registro de chave bem-sucedido, o Windows cria uma solicitação de certificado usando o mesmo par de chaves para solicitar um certificado. O Windows envia a solicitação de certificado para o servidor do AD FS para registro de certificado.
A autoridade de registro do AD FS verifica se a chave usada na solicitação de certificado corresponde à chave registrada anteriormente. Em uma combinação com êxito, a autoridade de registro do AD FS verifica a solicitação de certificado usando o certificado do agente de registro e o envia para a autoridade de certificação.
A AC valida que o certificado é assinado pela autoridade de registro. Em validação bem-sucedida, ele emite um certificado com base na solicitação e retorna o certificado à autoridade de registro do AD FS. A autoridade de registro retorna o certificado ao Windows, onde instala o certificado no repositório de certificados do usuário atual. Depois que esse processo é concluído, o fluxo de trabalho de provisionamento Windows Hello para Empresas informa ao usuário que ele pode usar seu PIN para entrar por meio da Central de Ações.
Diagrama de sequência
Para entender melhor os fluxos de provisionamento, examine o seguinte diagrama de sequência:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de