Assim que os pré-requisitos forem cumpridos e as configurações do PKI e do AD FS forem validadas, a implementação do Windows Hello para Empresas consiste nos seguintes passos:
Implementar a definição de política do nó de computador resulta em todos os utilizadores que iniciam sessão nos dispositivos visados para tentar uma inscrição do Windows Hello para Empresas
Implementar a definição de política do nó de utilizador resulta apenas nos utilizadores visados para tentarem uma inscrição do Windows Hello para Empresas
Se as configurações de política de computador e do usuário são implantadas, a configuração de política de usuário tem precedência.
Para configurar um dispositivo com a política de grupo, utilize o Editor de Políticas de Grupo Local. Para configurar vários dispositivos associados ao Active Directory, crie ou edite um objeto de política de grupo (GPO) e utilize as seguintes definições:
Caminho da política de grupo
Definição de política de grupo
Valor
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas or Configuração do Utilizador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas
Usar o Windows Hello para Empresas
Habilitada
Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas
A melhor forma de implementar o GPO do Windows Hello para Empresas é utilizar a filtragem de grupos de segurança. Apenas os membros do grupo de segurança de destino aprovisionarão o Windows Hello para Empresas, ativando uma implementação faseada. Esta solução permite ligar o GPO ao domínio, garantindo que o GPO está no âmbito de todos os principais de segurança. A filtragem do grupo de segurança garante que apenas os membros do grupo global recebem e aplicam o GPO, o que resulta no aprovisionamento do Windows Hello para Empresas.
Podem ser configuradas definições de política adicionais para controlar o comportamento do Windows Hello para Empresas. Para obter mais informações, consulte Definições de política do Windows Hello para Empresas.
Inscrever-se no Windows Hello para Empresas
O processo de aprovisionamento do Windows Hello para Empresas começa imediatamente após o carregamento do perfil de utilizador e antes de o utilizador receber o respetivo ambiente de trabalho. Para que o processo de aprovisionamento seja iniciado, todas as verificações de pré-requisitos têm de ser aprovadas.
Pode determinar o estado das verificações de pré-requisitos ao visualizar o registo de administrador do Registo de Dispositivos do Utilizador em Aplicações e Registos de Serviços > do Microsoft > Windows.
Estas informações também estão disponíveis através do dsregcmd.exe /status comando de uma consola. Para obter mais informações, veja dsregcmd.
Experiência do usuário
Depois de um utilizador iniciar sessão, o processo de inscrição do Windows Hello para Empresas começa:
Se o dispositivo suportar a autenticação biométrica, é pedido ao utilizador que configure um gesto biométrico. Este gesto pode ser utilizado para desbloquear o dispositivo e autenticar-se em recursos que requerem o Windows Hello para Empresas. O utilizador pode ignorar este passo se não quiser configurar um gesto biométrico
É pedido ao utilizador que utilize o Windows Hello com a conta da organização. O utilizador seleciona OK
O fluxo de aprovisionamento avança para a parte da autenticação multifator da inscrição. O aprovisionamento informa o utilizador de que está a tentar contactar ativamente o utilizador através da forma configurada de MFA. O processo de aprovisionamento não continua até que a autenticação seja bem-sucedida, falhe ou exceda o tempo limite. Uma MFA com falha ou tempo limite resulta num erro e pede ao utilizador para tentar novamente
Após um MFA bem-sucedido, o fluxo de provisionamento pede ao usuário para criar e validar um PIN. Este PIN tem de observar quaisquer políticas de complexidade de PIN configuradas no dispositivo
O restante do provisionamento inclui o Windows Hello para Empresas, que solicita um par de chaves assimétricas para o usuário, preferencialmente do TPM (ou obrigatório se definido explicitamente por meio da política). Assim que o par de chaves for adquirido, o Windows comunica com o IdP para registar a chave pública. Quando o registo de chaves estiver concluído, o aprovisionamento do Windows Hello para Empresas informa o utilizador de que pode utilizar o PIN para iniciar sessão. O utilizador pode fechar a aplicação de aprovisionamento e aceder ao respetivo ambiente de trabalho
O vídeo seguinte mostra os passos de inscrição do Windows Hello para Empresas após iniciar sessão com uma palavra-passe, utilizando um adaptador MFA personalizado para o AD FS.
Diagrama de sequência
Para compreender melhor os fluxos de aprovisionamento, reveja o seguinte diagrama de sequência:
Demonstrar os recursos do Microsoft Entra ID para modernizar as soluções de identidade, implementar soluções híbridas e implementar a governança de identidade.
Configurar as definições de Política do Windows Hello para Empresas para o Windows Hello para Empresas num cenário de confiança de certificados no local
Descreve um problema que impede que os usuários da Atualização de Aniversário do Windows 10 definam um PIN de conveniência. Essa alteração envolve o Windows Hello para Empresas e o aumento da segurança que esse recurso oferece. Uma resolução é fornecida.
Saiba mais sobre a função de cada componente no Windows Hello para Empresas e como determinadas decisões de implementação afetam outros aspetos da sua infraestrutura.