Configurar e registrar em Windows Hello para Empresas em um modelo de confiança de chave local
Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:
Depois que os pré-requisitos forem atendidos e as configurações do PKI e do AD FS forem validadas, a implantação Windows Hello para Empresas consiste nas seguintes etapas:
Definir as configurações de política do Windows Hello para Empresas
Há uma configuração de política necessária para habilitar Windows Hello para Empresas em um modelo de confiança chave:
Outra configuração opcional, mas recomendada, de política é:
Você pode configurar a configuração Usar Windows Hello para Empresas política no computador ou no nó de usuário de um GPO:
- A implantação da configuração da política de nó do computador resulta em todos os usuários que entrarem nos dispositivos de destino para tentar um registro de Windows Hello para Empresas
- A implantação da configuração da política de nó de usuário resulta apenas nos usuários direcionados para tentar um registro de Windows Hello para Empresas
Se as configurações de política de computador e do usuário são implantadas, a configuração de política de usuário tem precedência.
Para configurar um dispositivo com política de grupo, use a Política de Grupo Editor Local. Para configurar vários dispositivos ingressados no Active Directory, crie ou edite um GPO (objeto de política de grupo) e use as seguintes configurações:
Caminho da política de grupo | Configuração de política de grupo | Valor |
---|---|---|
Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Hello para Empresas or Configuração do usuário\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas |
Usar o Windows Hello para Empresas | Habilitada |
Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Hello para Empresas | Usar um dispositivo de segurança de hardware | Habilitado |
As políticas de grupo podem ser vinculadas a domínios ou unidades organizacionais, filtradas usando grupos de segurança ou filtradas usando filtros WMI.
Dica
A melhor maneira de implantar o GPO Windows Hello para Empresas é usar a filtragem de grupo de segurança. Somente os membros do grupo de segurança de destino provisionarão Windows Hello para Empresas, habilitando uma distribuição em fases. Essa solução permite vincular o GPO ao domínio, garantindo que o GPO seja escopo para todas as entidades de segurança. A filtragem do grupo de segurança garante que apenas os membros do grupo global recebam e apliquem o GPO, o que resulta no provisionamento de Windows Hello para Empresas.
Configurações de política adicionais podem ser configuradas para controlar o comportamento de Windows Hello para Empresas. Para obter mais informações, consulte Windows Hello para Empresas configurações de política.
Registrar-se em Windows Hello para Empresas
O processo de provisionamento Windows Hello para Empresas começa imediatamente após o perfil de usuário ser carregado e antes que o usuário receba sua área de trabalho. Para que o processo de provisionamento seja iniciado, todas as verificações de pré-requisito devem ser aprovadas.
Você pode determinar o status das verificações de pré-requisito exibindo o log de administrador do Registro de Dispositivo de Usuário em Logs de Aplicativos e Serviços > Microsoft > Windows.
Essas informações também estão disponíveis usando o dsregcmd.exe /status
comando de um console. Para obter mais informações, consulte dsregcmd.
Experiência do usuário
Depois que um usuário entra, o processo de registro Windows Hello para Empresas começa:
- Se o dispositivo der suporte à autenticação biométrica, o usuário será solicitado a configurar um gesto biométrico. Esse gesto pode ser usado para desbloquear o dispositivo e autenticar-se em recursos que exigem Windows Hello para Empresas. O usuário pode ignorar essa etapa se não quiser configurar um gesto biométrico
- O usuário é solicitado a usar Windows Hello com a conta da organização. O usuário seleciona OK
- O fluxo de provisionamento prossegue para a parte de autenticação multifator do registro. O provisionamento informa ao usuário que ele está ativamente tentando contatar o usuário por meio de sua forma configurada de MFA. O processo de provisionamento não prossegue até que a autenticação seja bem-sucedida, falhe ou tenha um tempo limite. Uma MFA com falha ou tempo limite resulta em um erro e pede que o usuário tente novamente
- Após um MFA bem-sucedido, o fluxo de provisionamento pede ao usuário para criar e validar um PIN. Esse PIN deve observar quaisquer políticas de complexidade pin configuradas no dispositivo
- O restante do provisionamento inclui o Windows Hello para Empresas, que solicita um par de chaves assimétricas para o usuário, preferencialmente do TPM (ou obrigatório se definido explicitamente por meio da política). Depois que o par de chaves é adquirido, o Windows se comunica com o IdP para registrar a chave pública. Quando o registro de chave é concluído, Windows Hello para Empresas provisionamento informa ao usuário que ele pode usar seu PIN para entrar. O usuário pode fechar o aplicativo de provisionamento e acessar sua área de trabalho
Diagrama de sequência
Para entender melhor os fluxos de provisionamento, examine o seguinte diagrama de sequência:
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de