Perguntas comuns sobre o Windows Hello para Empresas

O Windows Hello representa a arquitetura biométrica fornecida no Windows. O Windows Hello permite que os utilizadores utilizem biometria para iniciar sessão nos respetivos dispositivos ao armazenar em segurança o respetivo nome de utilizador e palavra-passe e lançá-lo para autenticação quando o utilizador se identificar com êxito através da biometria. O Windows Hello para Empresas usa chaves assimétricas protegidas pelo módulo de segurança do dispositivo que requer um gesto do usuário (PIN ou biometria) para autenticar.

Três motivos principais:

1. Um PIN está associado a um dispositivo: uma diferença importante entre uma palavra-passe online e um PIN do Hello é que o PIN está associado ao dispositivo específico no qual está configurado. Esse PIN é inútil para qualquer pessoa sem esse hardware específico. Alguém que obtenha a sua palavra-passe online pode iniciar sessão na sua conta a partir de qualquer lugar, mas se obtiver o SEU PIN, também terá de aceder ao seu dispositivo. O PIN não pode ser utilizado em nenhum lugar, exceto nesse dispositivo específico. Se quiser iniciar sessão em vários dispositivos, tem de configurar o Hello em cada dispositivo
2. Um PIN é local para o dispositivo: é transmitida uma palavra-passe online para o servidor. A palavra-passe pode ser interceptada na transmissão ou obtida a partir de um servidor. Um PIN é local para o dispositivo, nunca é transmitido em qualquer lugar e não é armazenado no servidor. Quando o PIN é criado, ele estabelece uma relação de confiança com o provedor de identidade e cria um par de chaves assimétricas usado na autenticação. Quando introduz o PIN, desbloqueia a chave de autenticação, que é utilizada para assinar o pedido que é enviado para o servidor de autenticação. Com o Windows Hello para Empresas, o PIN é uma entropia fornecida pelo utilizador utilizada para carregar a chave privada no Trusted Platform Module (TPM). O servidor não tem uma cópia do PIN. Aliás, o cliente Windows também não tem uma cópia do PIN atual. O utilizador tem de fornecer a entropia, a chave protegida por TPM e o TPM que gerou essa chave para aceder com êxito à chave privada
3. Um PIN é apoiado por hardware: o PIN hello é apoiado por um chip TPM (Trusted Platform Module), que é um processador criptográfico seguro concebido para realizar operações criptográficas. O chip inclui vários mecanismos de segurança física para torná-lo resistente a adulterações nas funções de segurança do TPM por software mal-intencionado. O Windows não liga palavras-passe locais ao TPM, pelo que os PINs são considerados mais seguros do que as palavras-passe locais. O material da chave de utilizador é gerado e está disponível no TPM do dispositivo. O TPM protege o material chave dos atacantes que pretendem capturá-lo e reutilizá-lo. Uma vez que a Hello utiliza pares de chaves assimétricas, as credenciais dos utilizadores não podem ser roubadas nos casos em que o fornecedor de identidade ou os sites aos quais os acessos do utilizador foram comprometidos. O TPM protege contra vários ataques conhecidos e potenciais, incluindo ataques de força bruta de PIN. Após demasiadas suposições incorretas, o dispositivo está bloqueado

A instrução Um PIN é mais forte do que uma palavra-passe não é direcionada para a força da entropia utilizada pelo PIN. Trata-se da diferença entre fornecer entropia versus continuar a utilização de uma chave simétrica (a palavra-passe). O TPM tem funcionalidades anti-marteladas que impedem ataques de PIN de força bruta (a tentativa contínua de um atacante de tentar toda a combinação de PINs). Algumas organizações podem preocupar-se com o surf no ombro. Para essas organizações, em vez de aumentar a complexidade do PIN, implemente a funcionalidade Desbloqueio Multifator .

Para comprometer uma credencial do Windows Hello que o TPM protege, um atacante tem de ter acesso ao dispositivo físico. Em seguida, o atacante tem de encontrar uma forma de falsificar a biometria do utilizador ou adivinhar o PIN. Todas estas ações têm de ser efetuadas antes de a proteção anti-martelar do TPM bloquear o dispositivo.

O Windows Hello permite o início de sessão biométrico com impressão digital, íris ou reconhecimento facial. Quando configurar o Windows Hello, ser-lhe-á pedido para criar um PIN após a configuração biométrica. O PIN permite-lhe iniciar sessão quando não consegue utilizar a biométrica preferida devido a uma lesão ou porque o sensor está indisponível ou não está a funcionar corretamente. Se tivesse apenas um início de sessão biométrico configurado e, por qualquer motivo, não tivesse conseguido utilizar esse método para iniciar sessão, teria de iniciar sessão com a sua conta e palavra-passe, o que não lhe fornece o mesmo nível de proteção que o Hello.

Sempre que for gerado material de chave, tem de ser protegido contra ataques. A maneira mais robusta de fazer isso é por meio de hardware especializado. Existe um longo histórico de utilização de módulos de segurança de hardware (HSMs) para gerar, armazenar e processar chaves para aplicações críticas para a segurança. Os cartões inteligentes são um tipo especial de HSM, da mesma forma que os dispositivos compatíveis com o padrão TPM do Trusted Computing Group. Sempre que possível, a implementação do Windows Hello para Empresas tira partido da integração do hardware TPM para gerar e proteger chaves. Os administradores podem optar por permitir operações chave no software, mas recomenda-se a utilização de hardware TPM. O TPM protege contra diversos ataques conhecidos e possíveis, incluindo ataques de força bruta ao PIN. O TPM também fornece uma camada adicional de proteção após o bloqueio de uma conta. Quando o TPM tiver bloqueado o material da chave, o utilizador terá de repor o PIN (o que significa que o utilizador terá de utilizar a MFA para voltar a autenticar o IdP antes de o IdP permitir o novo registo). A redefinição do PIN significa que todas as chaves e certificados criptografados com o material de chave antigo serão removidos.

O Windows Hello para Empresas proporciona uma experiência de utilizador de colocação em cache de PIN através de um sistema de permissões. Em vez do armazenamento do PIN em cache, os processos armazenam em cache um tíquete que pode ser usado para solicitar operações de chave privadas. As chaves de início de sessão do Microsoft Entra ID e do Active Directory são colocadas em cache sob bloqueio. Isto significa que as chaves permanecem disponíveis para utilização sem pedir, desde que o utilizador tenha sessão iniciada interativamente. As chaves de início de sessão da Conta Microsoft são chaves transacionais, o que significa que o utilizador é sempre solicitado quando acede à chave.

O Windows Hello para Empresas utilizado como smart card (emulação de smart card ativada por predefinição) proporciona a mesma experiência de utilizador de colocação em cache de PIN de smart card predefinida. Cada processo que pede uma operação de chave privada pede ao utilizador o PIN na primeira utilização. As operações de chave privada subsequentes não pedirão ao utilizador o PIN.

O recurso de emulação de cartão inteligente do Windows Hello para Empresas verifica o PIN e, em seguida, descarta o PIN em troca de um tíquete. O processo não recebe o PIN, mas sim o pedido de suporte que lhes concede operações de chaves privadas. Não existe uma definição de política para ajustar a colocação em cache.

Quando se inscreve no Windows Hello, é criada uma representação da sua biometria, denominada perfil de inscrição. Os dados biométricos do perfil de inscrição são específicos do dispositivo, são armazenados localmente no dispositivo e não saem do dispositivo nem circulam com o utilizador. Alguns sensores de impressões digitais externos armazenam dados biométricos no próprio módulo de impressão digital e não no dispositivo Windows. Mesmo neste caso, os dados biométricos são armazenados localmente nesses módulos, são específicos do dispositivo, não vagueiam, nunca saem do módulo e nunca são enviados para a cloud da Microsoft ou para o servidor externo. Para obter mais detalhes, consulte Biometria do Windows Hello na empresa e Autenticação facial do Windows Hello.

Os dados biométricos do Windows Hello são armazenados no dispositivo como uma base de dados de modelo encriptada. Os dados do sensor de biometria (como a câmara facial ou o leitor de impressões digitais) criam uma representação de dados (ou gráfico) que é depois encriptada antes de ser armazenada no dispositivo. Cada sensor de biometria no dispositivo que é utilizado pelo Windows Hello (rosto ou impressão digital) terá o seu próprio ficheiro de base de dados biométrica onde os dados do modelo são armazenados. Cada ficheiro de base de dados de biometria é encriptado com uma chave exclusiva gerada aleatoriamente que é encriptada para o sistema através da encriptação AES que produz um hash SHA256.

Uma vez que os dados biométricos do Windows Hello são armazenados em formato encriptado, nenhum utilizador ou qualquer processo que não seja o Windows Hello tem acesso aos mesmos.

O ficheiro de base de dados do modelo de biometria do Windows Hello é criado no dispositivo apenas quando um utilizador é inscrito na autenticação baseada em biometria do Windows Hello. Um administrador de TI pode configurar as definições de política, mas é sempre uma escolha do utilizador se quiser utilizar biometria ou PIN. Os utilizadores podem verificar a inscrição atual na biometria do Windows Hello ao aceder às opções de início de sessão nos respetivos dispositivos. Aceda a Iniciar > Definições Contas > Opções > de início de sessão. Se não vir o Windows Hello nas Opções de início de sessão, poderá não estar disponível para o seu dispositivo ou bloqueado pelo administrador através da política. Os administradores podem pedir aos utilizadores para se inscreverem no Windows Hello durante o Autopilot ou durante a configuração inicial do dispositivo. Os administradores podem não permitir que os utilizadores se inscrevam em biometria através das configurações de política do Windows Hello para Empresas. No entanto, quando permitido através de configurações de políticas, a inscrição na biometria do Windows Hello é sempre opcional para os utilizadores.

Para remover o Windows Hello e quaisquer dados de identificação biométrica associados do dispositivo, abra > as opções de Início de Sessão de Contas > de Definições>. Selecione o método de autenticação biométrica do Windows Hello que pretende remover e, em seguida, selecione Remover. A ação ancula a autenticação de biometria do Windows Hello e elimina o ficheiro de base de dados do modelo de biometria associado. Para obter mais detalhes, consulte Opções de início de sessão do Windows e proteção de conta (microsoft.com).

A partir do Configuration Manager, versão 2203, as implementações do Windows Hello para Empresas com o Configuration Manager já não são suportadas.

Pode eliminar o contentor do Windows Hello para Empresas ao executar o comando certutil.exe -deleteHelloContainer.

Se o utilizador conseguir iniciar sessão com uma palavra-passe, pode repor o PIN ao selecionar a ligação Esqueci-me do PIN na aplicação Definições ou no ecrã de bloqueio ao selecionar a ligação Esqueci-me do PIN no fornecedor de credenciais do PIN.

Para implementações no local, os dispositivos têm de estar ligados à respetiva rede no local (controladores de domínio e/ou autoridade de certificação) para repor os PINs. As implementações híbridas podem integrar o respetivo inquilino do Microsoft Entra para utilizar o serviço de reposição de PIN do Windows Hello para Empresas para repor os piNs. A reposição não destrutiva do PIN funciona sem acesso à rede empresarial. A reposição destrutiva do PIN requer acesso à rede empresarial. Para obter mais detalhes sobre a reposição destrutiva e não destrutiva do PIN, veja Reposição do PIN.

Sim. Nosso algoritmo de PIN simples procura e não permite qualquer PIN com um delta constante de um dígito para o próximo. O algoritmo conta o número de passos necessários para atingir o dígito seguinte, excedendo o limite de 10 ('zero'). Então, por exemplo:

• O PIN 1111 tem um delta constante de (0,0,0), pelo que não é permitido
• O PIN 1234 tem um delta constante de (1,1,1), pelo que não é permitido
• O PIN 1357 tem um delta constante de (2,2,2), pelo que não é permitido
• O PIN 9630 tem um delta constante de (7,7,7), pelo que não é permitido
• O PIN 1593 tem um delta constante de (4,4,4), pelo que não é permitido
• O PIN 7036 tem um delta constante de (3,3,3), pelo que não é permitido
• O PIN 1231 não tem um delta constante (1,1,2), pelo que é permitido
• O PIN 1872 não tem um delta constante (7,9,5), pelo que é permitido

Esta verificação impede a repetição de números, números sequenciais e padrões simples. Resulta sempre numa lista de 100 PINs não permitidos (independentemente do comprimento do PIN). Este algoritmo não se aplica a PINs alfanuméricos.

Para ajudar a Microsoft a manter o funcionamento correto, para ajudar a detetar e prevenir fraudes e continuar a melhorar o Windows Hello, são recolhidos dados de diagnóstico sobre como as pessoas utilizam o Windows Hello. Por exemplo:

• Dados sobre se as pessoas iniciam sessão com o rosto, íris, impressão digital ou PIN
• O número de vezes que o utilizam
• Quer funcione ou não Tudo isto é uma informação valiosa que ajuda a Microsoft a criar um produto melhor. Os dados são pseudonimizados, não incluem informações biométricas e são encriptados antes de serem transmitidos à Microsoft. Pode optar por parar de enviar dados de diagnóstico para a Microsoft em qualquer altura. Saiba mais sobre os dados de diagnóstico no Windows.

Não. A mudança das senhas é realizada gradualmente reduzindo o uso delas. Em situações em que não pode autenticar com biometria, precisa de um mecanismo de contingência que não seja uma palavra-passe. O PIN é o mecanismo de contingência. Desativar ou ocultar o fornecedor de credenciais de PIN irá desativar a utilização de biometria.

O utilizador não autorizado não poderá utilizar nenhuma opção biométrica e terá a única opção para introduzir um PIN.

Se o utilizador tentar desbloquear o dispositivo ao introduzir PINs aleatórios, após três tentativas falhadas, o fornecedor de credenciais apresentará a seguinte mensagem: Introduziu um PIN incorreto várias vezes. Para tentar novamente, introduza A1B2C3 abaixo. Ao introduzir a expressão de desafio A1B2C3, será concedida ao utilizador mais uma oportunidade para introduzir o PIN. Se não for bem-sucedido, o fornecedor será desativado, deixando o utilizador com a única opção para reiniciar o dispositivo. Após o reinício, o padrão acima mencionado repete-se.

Se as tentativas sem êxito continuarem, o dispositivo entrará num estado de bloqueio com duração de 1 minuto após o primeiro reinício, 2 minutos após o quarto reinício e 10 minutos após o quinto reinício. A duração de cada bloqueio aumenta em conformidade. Este comportamento é o resultado da funcionalidade anti-martelada do TPM 2.0. Para obter mais informações sobre a funcionalidade anti-martelada do TPM, consulte Anti-hammering TPM 2.0.

Sim. Pode utilizar a implementação do Windows Hello para Empresas no local e combiná-la com um fornecedor de MFA que não seja da Microsoft que não necessite de conectividade à Internet para alcançar uma implementação do Windows Hello para Empresas com disponibilidade aérea.

O número máximo de inscrições suportadas num único dispositivo é 10. Isto permite que 10 utilizadores inscrevam cada rosto e até 10 impressões digitais. Para dispositivos com mais de 10 utilizadores ou para utilizadores que iniciam sessão em muitos dispositivos (por exemplo, um técnico de suporte), recomenda-se a utilização de chaves de segurança FIDO2.

Não. Se a sua organização estiver a utilizar serviços cloud da Microsoft, tem de utilizar um modelo de implementação híbrida. As implementações no local são exclusivas de organizações que precisam de mais tempo antes de mudar para a cloud e utilizam exclusivamente o Active Directory.

Veja Microsoft Entra Connect Sync: Attributes synchronized to Microsoft Entra ID (Sincronização do Microsoft Entra Connect: atributos sincronizados com o Microsoft Entra ID ) para obter uma lista de atributos que são sincronizados com base em cenários. Os cenários base que incluem o Windows Hello para Empresas são o cenário do Windows 10 e o cenário de repetição de escrita de dispositivos . O seu ambiente pode incluir outros atributos.

Sim, se estiver a utilizar a implementação híbrida federada, pode utilizar qualquer outro que não seja da Microsoft que forneça um adaptador de MFA do AD FS. Pode encontrar uma lista de adaptadores de MFA que não sejam da Microsoft aqui.

O Windows Hello para Empresas funciona com quaisquer servidores de federação que não sejam da Microsoft que suportem os protocolos utilizados durante a experiência de aprovisionamento.

O Windows Hello para Empresas não foi concebido para funcionar com contas locais.

Leia Requisitos biométricos do Windows Hello para obter mais informações.

Usar uma máscara para se inscrever é uma preocupação de segurança porque outros utilizadores que usam uma máscara semelhante podem conseguir desbloquear o seu dispositivo. Remova uma máscara se estiver a usar uma quando se inscrever ou desbloquear com a autenticação facial do Windows Hello. Se o seu ambiente de trabalho não lhe permitir remover temporariamente uma máscara, considere anular a inscrição da autenticação facial e utilizar apenas PIN ou impressão digital.

Será pedido a um utilizador que configure uma chave do Windows Hello para Empresas num dispositivo registado no Microsoft Entra se a funcionalidade estiver ativada pela política. Se o utilizador tiver um contentor existente do Windows Hello, a chave do Windows Hello para Empresas será inscrita nesse contentor e será protegida através de gestos existentes.

Se um utilizador tiver iniciado sessão no respetivo dispositivo registado no Microsoft Entra com o Windows Hello, a respetiva chave do Windows Hello para Empresas será utilizada para autenticar a identidade de trabalho do utilizador quando tentar utilizar os recursos do Microsoft Entra. A chave do Windows Hello para Empresas cumpre os requisitos de autenticação multifator (MFA) do Microsoft Entra e reduz o número de pedidos de MFA que os utilizadores verão ao aceder aos recursos.

É possível que o Microsoft Entra registe um dispositivo associado a um domínio. Se o dispositivo associado ao domínio tiver um PIN de conveniência, iniciar sessão com o PIN de conveniência deixará de funcionar. Esta configuração não é suportada pelo Windows Hello para Empresas.

Para obter mais informações, consulte Dispositivos registados no Microsoft Entra.

O Windows Hello para Empresas é uma funcionalidade da plataforma Windows.

Não, o Microsoft Entra Domain Services é um ambiente gerido separadamente no Azure e o registo de dispositivos híbridos com o Microsoft Entra ID na cloud não está disponível para o mesmo através do Microsoft Entra Connect. Por conseguinte, o Windows Hello para Empresas não funciona com o Microsoft Entra Domain Services.

O Windows Hello para Empresas é a autenticação de dois fatores com base nos fatores de autenticação observados: algo que tem, algo que sabe e algo que faz parte de si. O Windows Hello para Empresas incorpora dois desses fatores: algo que você tem (chave privada do usuário protegida pelo módulo de segurança do dispositivo) e algo que você conhece (seu PIN). Com o hardware adequado, você pode aprimorar a experiência do usuário com a biometria. Ao utilizar a biometria, pode substituir o fator de autenticação "algo que sabe" pelo fator "algo que faz parte de si", com as garantias de que os utilizadores podem reverter para o "fator que sabe".

Ambos os tipos de autenticação fornecem a mesma segurança; um não é mais seguro do que o outro. Os modelos de confiança da sua implementação determinam como se autentica no Active Directory. Tanto a fidedignidade da chave como a confiança do certificado utilizam a mesma credencial de dois fatores suportada por hardware. A diferença entre os dois tipos de fidedignidade é a emissão de certificados de entidade final:

• O modelo de fidedignidade chave é autenticado no Active Directory com uma chave não processada. A fidedignidade da chave não requer um certificado emitido pela empresa, pelo que não precisa de emitir certificados para os utilizadores (ainda são necessários certificados de controlador de domínio)
• O modelo de fidedignidade do certificado é autenticado no Active Directory com um certificado. Por conseguinte, tem de emitir certificados para os utilizadores. O certificado utilizado na fidedignidade do certificado utiliza a chave privada protegida por TPM para pedir um certificado à AC emissora da sua empresa

O PIN de Conveniência fornece uma forma mais simples de iniciar sessão no Windows do que as palavras-passe, mas ainda utiliza uma palavra-passe para autenticação. Quando o PIN de conveniência correto é fornecido ao Windows, as informações da palavra-passe são carregadas a partir da respetiva cache e autenticam o utilizador. As organizações que utilizam PINs de conveniência devem mudar para o Windows Hello para Empresas. As novas implementações do Windows devem implementar o Windows Hello para Empresas e não piNs convenientes.

Não. Embora seja possível definir um PIN de conveniência em dispositivos associados ao Microsoft Entra e associados ao Microsoft Entra híbrido, o PIN de conveniência não é suportado para contas de utilizador do Microsoft Entra (incluindo identidades sincronizadas). O PIN de Conveniência só é suportado para utilizadores do Active Directory no local e utilizadores de conta local.

Windows Hello para Empresas é a autenticação moderna de dois fatores para Windows. Os clientes que usam cartões inteligentes virtuais são fortemente incentivados a migrar para o Windows Hello para Empresas.

Para obter uma lista dos URLs necessários, consulte Microsoft 365 Common e Office Online.

Se o seu ambiente utilizar o Microsoft Intune, veja Pontos finais de rede do Microsoft Intune.

Sim, pode utilizar uma câmara externa compatível com o Windows Hello se um dispositivo tiver uma câmara interna do Windows Hello. Quando ambas as câmaras estão presentes, a câmara externa é utilizada para autenticação facial. Para mais informações, veja Ferramentas de TI para suportar o Windows 10, versão 21H1. Se o ESS estiver ativado, consulte Segurança de Início de Sessão Avançada do Windows Hello.

Alguns portáteis e tablets com teclados que fecham podem não utilizar uma câmara externa compatível com o Windows Hello ou outro acessório compatível com o Windows Hello quando o computador está ancorado com a tampa fechada. O problema foi resolvido no Windows 11, versão 22H2.

As credenciais do Windows Hello para Empresas precisam de acesso ao estado do dispositivo, que não está disponível no modo de browser privado ou no modo incógnito. Por conseguinte, não pode ser utilizado no browser privado ou no modo Incógnito.

Pode utilizar o desbloqueio multifator para exigir que os utilizadores forneçam um fator adicional para desbloquear o respetivo dispositivo. A autenticação permanece de dois fatores, mas outro fator é exigido antes que o Windows permita que o usuário acesse a área de trabalho. Para saber mais, veja Desbloqueio Multifator.

A confiança kerberos na cloud do Windows Hello para Empresas é um modelo de confiança que permite a implementação do Windows Hello para Empresas através da infraestrutura introduzida para suportar o início de sessão de chave de segurança em dispositivos associados híbridos do Microsoft Entra e acesso a recursos no local em dispositivos associados ao Microsoft Entra. A confiança do Kerberos na cloud é o modelo de implementação preferencial se não precisar de suportar cenários de autenticação de certificados. Para obter mais informações, veja cloud Kerberos trust deployment (Implementação de confiança kerberos na cloud).

Esta funcionalidade não funciona num ambiente de serviços de domínio do AD no local puro.

A confiança kerberos na cloud do Windows Hello para Empresas procura um DC gravável para trocar o TGT parcial. Desde que tenha, pelo menos, um DC gravável por site, o início de sessão com a confiança kerberos na cloud funcionará.

A confiança kerberos na cloud do Windows Hello para Empresas requer uma linha de visão para um controlador de domínio quando:

• um utilizador inicia sessão pela primeira vez ou desbloqueia com o Windows Hello para Empresas após o aprovisionamento
• tentar aceder a recursos no local protegidos pelo Active Directory

A confiança kerberos na cloud do Windows Hello para Empresas não pode ser utilizada como uma credencial fornecida com RDP/VDI. Semelhante à fidedignidade da chave, a confiança kerberos na cloud pode ser utilizada para RDP se um certificado estiver inscrito no Windows Hello para Empresas para esta finalidade. Como alternativa, considere utilizar o Remote Credential Guard , que não requer a implementação de certificados.

Não, apenas o número necessário para processar a carga de todos os dispositivos de confiança Kerberos na cloud.

Numa implementação híbrida, a chave pública de um utilizador tem de ser sincronizada do Microsoft Entra ID com o Active Directory antes de poder ser utilizada para autenticar num controlador de domínio. Esta sincronização é processada pelo Microsoft Entra Connect e ocorrerá durante um ciclo de sincronização normal.

O Protocolo RDP (Remote Desktop Protocol) não suporta a utilização da autenticação baseada em chaves como credenciais fornecidas. No entanto, pode implementar certificados no modelo de fidedignidade da chave para ativar o RDP. Para obter mais informações, veja Deploying certificates to key trust users to enable RDP (Implementar certificados em utilizadores de confiança chave para ativar o RDP). Como alternativa, considere utilizar o Remote Credential Guard , que não requer a implementação de certificados.