Como o Windows Hello para Empresas funciona

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Windows Hello para Empresas é um sistema distribuído que requer várias tecnologias para trabalhar em conjunto. Para simplificar a explicação de como Windows Hello para Empresas funciona, vamos dividi-la em cinco fases, que representam a ordem cronológica do processo de implantação.

Observação

Duas dessas fases são necessárias apenas para determinados cenários de implantação.

Os cenários de implantação são descritos no artigo: Planejar uma implantação de Windows Hello para Empresas.

Fase de registro do dispositivo

Nesta fase, o dispositivo registra sua identidade com o provedor de identidade (IdP), para que ele possa ser associado e autenticado ao IdP.

Fase de provisionamento

Durante essa fase, o usuário autentica usando uma forma de autenticação (normalmente, nome de usuário/senha) para solicitar uma nova credencial Windows Hello para Empresas. O fluxo de provisionamento requer um segundo fator de autenticação antes que ele possa gerar um par de chaves público/privado. A chave pública é registrada com o IdP, mapeado para a conta de usuário.

Fase de sincronização de chaves

Nesta fase, exigida por algumas implantações híbridas, a chave pública do usuário é sincronizada de Microsoft Entra ID para o Active Directory.

Fase de registro de certificado

Nessa fase, exigida apenas por implantações usando certificados, um certificado é emitido para o usuário usando a PKI (infraestrutura de chave pública) da organização.

Fase de autenticação

Nesta última fase, o usuário pode entrar no Windows usando biometria ou um PIN. Independentemente do gesto usado, a autenticação ocorre usando a parte privada do Windows Hello para Empresas credencial. O IdP valida a identidade do usuário mapeando a conta do usuário para a chave pública registrada durante a fase de provisionamento.

As seções a seguir fornecem informações mais profundas sobre cada uma dessas fases.

Registro do dispositivo

Todos os dispositivos incluídos no Windows Hello para Empresas implantação devem passar por um processo chamado registro de dispositivo. O registro do dispositivo permite que os dispositivos sejam associados e se autentiquem a um IdP:

• Para implantações híbridas e de nuvem, o provedor de identidade é Microsoft Entra ID e o dispositivo se registra no Serviço de Registro de Dispositivo
• Para implantações locais, o provedor de identidade é Serviços de Federação do Active Directory (AD FS) (AD FS) e o dispositivo se registra com o Serviço de Registro de Dispositivo Empresarial hospedado no AD FS

Quando um dispositivo é registrado, o IdP fornece ao dispositivo uma identidade usada para autenticar o dispositivo quando um usuário entra.

Há diferentes tipos de registro, que são identificados como tipo de junção. Para obter mais informações, consulte O que é uma identidade de dispositivo.

Para diagramas de sequência detalhados, confira como funciona o registro do dispositivo.

Provisionamento

Windows Hello provisionamento é acionado assim que o registro do dispositivo for concluído e depois que o dispositivo receber uma política que habilita Windows Hello. Se todos os pré-requisitos forem atendidos, uma janela CXH (Host de eXperiência na Nuvem) será lançada para levar o usuário pelo fluxo de provisionamento.

Observação

Dependendo do tipo de implantação, Windows Hello para Empresas provisionamento será iniciado somente se:

• O dispositivo atende aos requisitos de hardware Windows Hello
• O dispositivo é ingressado no Active Directory ou Microsoft Entra ID
• O usuário entra com uma conta definida no Active Directory ou Microsoft Entra ID
• A política de Windows Hello para Empresas está habilitada
• O usuário não está conectado ao computador por meio da Área de Trabalho Remota

Pré-requisitos adicionais para tipos de implantação específicos são descritos no artigo Planejar uma implantação de Windows Hello para Empresas.

Durante a fase de provisionamento, um contêiner de Windows Hello é criado. Um contêiner Windows Hello é um agrupamento lógico de material chave ou dados. O contêiner contém as credenciais da organização apenas em dispositivos registrados com o IdP da organização.

Observação

Não há contêineres físicos no disco, no registro ou em outro lugar. Os contêineres são unidades lógicas usadas para agrupar itens relacionados. As chaves, certificados e credenciais que Windows Hello armazenam são protegidas sem a criação de contêineres ou pastas reais.

Aqui estão as etapas envolvidas com a fase de provisionamento:

1. Na janela CXH, o usuário é solicitado a autenticar-se no IdP com MFA
2. Após a MFA bem-sucedida, o usuário deve fornecer um gesto de bio (se disponível) e um PIN
3. Após a confirmação do PIN, o contêiner Windows Hello é criado
4. Um par de chaves público/privado é gerado. O par de chaves está associado ao TPM (Trusted Platform Module), se disponível ou no software
5. A chave privada é armazenada localmente e protegida pelo TPM e não pode ser exportada
6. A chave pública é registrada com o IdP, mapeado para a conta de usuário
   1. O Serviço de Registro de Dispositivo grava a chave no objeto do usuário no Microsoft Entra ID
   2. Para cenários locais, o AD FS grava a chave no Active Directory

O vídeo a seguir mostra as etapas de registro Windows Hello para Empresas depois de entrar com uma senha:

Para obter mais informações e diagramas de sequência detalhados, confira como o provisionamento funciona.

Windows Hello detalhes do contêiner

Durante a fase de provisionamento, Windows Hello gera um novo par de chaves públicas/privadas no dispositivo. O TPM gera e protege a chave privada. Se o dispositivo não tiver um TPM, a chave privada será criptografada e armazenada no software. Essa chave inicial é chamada de chave protetora. A chave protetora está associada a um único gesto: se um usuário registrar um PIN, uma impressão digital e um rosto no mesmo dispositivo, cada um desses gestos terá uma chave protetora exclusiva.

A chave protetora envolve com segurança a chave de autenticação. A chave de autenticação é usada para desbloquear as chaves de ID do usuário. O contêiner tem apenas uma chave de autenticação, mas pode haver várias cópias dessa chave encapsuladas com chaves protetoras exclusivas e diferentes.

Cada protetor criptografa sua própria cópia da chave de autenticação. A forma como a criptografia é executada cabe ao próprio protetor. Por exemplo, o protetor PIN executa uma operação de selo TPM usando o PIN como entropia ou, quando nenhum TPM está disponível, executa criptografia simétrica da chave de autenticação usando uma chave derivada do próprio PIN.

Importante

As chaves podem ser geradas em hardware (TPM 1.2 ou 2.0) ou software, com base na configuração de política configurada. Para garantir que as chaves sejam geradas no hardware, você deve configurar uma configuração de política. Para obter mais informações, consulte Usar um dispositivo de segurança de hardware.

Contas pessoais (conta Microsoft) e Work or School (Active Directory ou Microsoft Entra ID) usam um único contêiner para chaves. Todas as chaves são separadas por domínios dos provedores de identidade para ajudar a garantir a privacidade do usuário.

Windows Hello também gera uma chave administrativa. A chave administrativa pode ser usada para redefinir credenciais quando necessário. Por exemplo, ao usar o serviço de redefinição de PIN. Além da chave de protetor, os dispositivos compatíveis com o TPM geram um bloco de dados que contém atestados do TPM.

O acesso ao material de chave armazenado no contêiner é habilitado apenas pelo pin ou gesto biométrico. A verificação em duas etapas que ocorre durante o provisionamento cria uma relação confiável entre o IdP e o usuário. Isso acontece quando a parte pública do par de chaves público/privado é enviada a um provedor de identidade e associada à conta de usuário. Quando um usuário insere o gesto no dispositivo, o provedor de identidade sabe que ele é uma identidade verificada, devido à combinação de Windows Hello chaves e gestos. Em seguida, ele fornece um token de autenticação que permite que o Windows acesse recursos e serviços.

Um contêiner pode conter vários tipos de material de chave:

• Uma chave de autenticação, que é sempre um par de chaves público-privadas assimétricas. Esse par de chaves é gerado durante o registro. Ele deve ser desbloqueado sempre que for acessado, usando o PIN do usuário ou um gesto biométrico. A chave de autenticação existe até que o usuário redefina o PIN, momento em que uma nova chave é gerada. Quando a nova chave é gerada, todo o material chave que a chave antiga anteriormente protegia deve ser descriptografado e criptografado novamente usando a nova chave
• Uma ou várias chaves de ID do usuário. Essas chaves podem ser simétricas ou assimétricas, dependendo de qual IdP você usa. Para Windows Hello baseado em certificado para Trabalho, quando o contêiner é desbloqueado, aplicativos que exigem acesso à chave de ID do usuário ou par de chaves podem solicitar acesso. As chaves de ID do usuário são usadas para assinar ou criptografar solicitações de autenticação ou tokens enviados desse dispositivo para o IdP. As chaves de ID do usuário normalmente são de longa duração, mas podem ter um tempo de vida mais curto do que a chave de autenticação. Contas da Microsoft, contas do Active Directory e contas Microsoft Entra exigem o uso de pares de chaves assimétricas. O dispositivo gera chaves públicas e privadas, registra a chave pública com o IdP (que o armazena para verificação posterior) e armazena com segurança a chave privada. Para organizações, as chaves de ID do usuário podem ser geradas de duas maneiras:
  • O par de chaves de ID do usuário pode ser associado à Autoridade de Certificado (AC) de uma organização. Essa opção permite que as organizações que têm uma PKI existente continuem a usá-la quando apropriado. Dado que muitos aplicativos, como soluções VPN, exigem o uso de certificados, quando você implanta Windows Hello nesse modo, ele permite uma transição mais rápida das senhas do usuário, preservando a funcionalidade baseada em certificado. Essa opção também permite que a organização armazene outros certificados no contêiner protegido. Por exemplo, certificados que permitem que o usuário se autentique via RDP
  • O IdP pode gerar o par de chaves de ID do usuário diretamente, o que permite a implantação rápida e de sobrecarga inferior de Windows Hello em ambientes que não têm ou precisam de um PKI

As chaves de ID do usuário são usadas para autenticar o usuário em um serviço. Por exemplo, assinando um nó para provar a posse da chave privada, que corresponde a uma chave pública registrada. Usuários com uma conta do Active Directory, Microsoft Entra ID ou Microsoft têm uma chave associada à sua conta. A chave pode ser usada para entrar em seu dispositivo Windows autenticando-se em um controlador de domínio (cenário do Active Directory) ou na nuvem (cenários Microsoft Entra ID e MSA).

Windows Hello também pode ser usado como um autenticador FIDO2 para autenticar em qualquer site compatível com o WebAuthn. Sites ou aplicativos podem criar uma chave de ID do usuário FIDO no contêiner de Windows Hello do usuário usando APIs. Em visitas subsequentes, o usuário pode se autenticar no site ou aplicativo usando seu Windows Hello PIN ou gesto biométrico.

Para saber mais sobre como o Windows usa o TPM com suporte a Windows Hello para Empresas, confira Como o Windows usa o Módulo de Plataforma Confiável.

Armazenamento de dados biométricos

Os dados biométricos usados para dar suporte ao Windows Hello são armazenados apenas no dispositivo local. Ele não percorre e nunca é enviado para dispositivos ou servidores externos. Essa separação ajuda a parar invasores em potencial deixando de fornecer um ponto de coleção único que um invasor poderia comprometer para roubar dados biométricos. Mesmo que um invasor pudesse obter os dados biométricos de um dispositivo, ele não poderia ser convertido de volta em uma amostra biométrica bruta reconhecível pelo sensor biométrico.

Cada sensor tem seu próprio arquivo de banco de dados biométrico onde os dados do modelo são armazenados (caminho C:\WINDOWS\System32\WinBioDatabase). Cada arquivo de banco de dados tem uma chave exclusiva gerada aleatoriamente que é criptografada para o sistema. Os dados de modelo do sensor são criptografados com a chave por banco de dados usando o AES com o modo de encadeamento CBC. O hash é SHA256.

Observação

Alguns sensores de impressão digital têm a capacidade de concluir a correspondência no módulo do sensor de impressão digital em vez de no sistema operacional. Esses sensores armazenam dados biométricos no módulo de impressão digital em vez de no arquivo de banco de dados. Para obter mais informações, consulte Windows Hello ESS (Entrada de Segurança Aprimorada).

Sincronização de chaves

A sincronização de chaves é necessária em ambientes híbridos. Depois que o usuário provisiona uma credencial Windows Hello para Empresas, a chave deve ser sincronizada de Microsoft Entra ID para Active Directory.

A chave pública do usuário é escrita no msDS-KeyCredentialLink atributo do objeto de usuário no Active Directory. A sincronização é manipulada pelo Microsoft Entra Connect Sync.

Registro de certificado

Para implantações de certificado, depois de registrar a chave, o cliente gera uma solicitação de certificado. A solicitação é enviada para o CRA (Autoridade de Registro de Certificado). O CRA está no servidor Serviços de Federação do Active Directory (AD FS) (AD FS), que valida a solicitação de certificado e a atende usando o PKI da empresa.

Um certificado é registrado no contêiner Hello do usuário, que é usado para autenticar recursos locais.

Authentication

As credenciais do Windows Hello são baseadas em certificado ou par de chaves assimétricas. Windows Hello credenciais e o token obtido usando essas credenciais estão vinculados ao dispositivo.

A autenticação é a autenticação de dois fatores com a combinação de:

• Uma chave ou certificado vinculado a um dispositivo e
  • algo que a pessoa conhece (um PIN) ou
  • algo que a pessoa é (biometria)

A entrada pin e o gesto biométrico acionam o Windows para usar a chave privada para assinar criptograficamente dados enviados ao provedor de identidade. O IdP verifica a identidade do usuário e autentica o usuário.

O PIN ou a parte privada das credenciais nunca são enviados para o IdP e o PIN não é armazenado no dispositivo. Os gestos PIN e bio são uma entropia fornecida pelo usuário ao executar operações que usam a parte privada da credencial.

Quando um usuário deseja acessar o material de chave protegida, o processo de autenticação começa com o usuário inserindo um PIN ou gesto biométrico para desbloquear o dispositivo, um processo às vezes chamado de liberação da chave. Pense nele como o uso de uma chave física para desbloquear uma porta: é necessário remover a chave do seu bolso ou bolsa. O PIN do usuário desbloqueia a chave de protetor do contêiner no dispositivo. Quando esse contêiner é desbloqueado, os aplicativos (e, portanto, o usuário) podem usar todas as chaves de ID do usuário que residem dentro do contêiner.

Essas chaves são usadas para assinar solicitações enviadas para o IdP, solicitando acesso aos recursos especificados.

Importante

Embora as chaves estejam desbloqueadas, os aplicativos não podem usá-las à vontade. Os aplicativos podem usar APIs específicas para operações de solicitação que exigem material de chave para determinadas ações (por exemplo, descriptografar uma mensagem de email ou entrar em um site). O acesso por meio dessas APIs não requer validação explícita por meio de um gesto do usuário e o material de chave não é exposto ao aplicativo de solicitação. Em vez disso, o aplicativo pede a autenticação, criptografia ou descriptografia, e a camada do Windows Hello lida com o trabalho real e retorna os resultados. Quando apropriado, um aplicativo pode solicitar uma autenticação forçada, até mesmo em um dispositivo desbloqueado. O Windows solicita que o usuário digite novamente o PIN ou realize um gesto de autenticação. Isso adiciona um nível extra de proteção para dados ou ações confidenciais. Por exemplo, você pode configurar um aplicativo para exigir a autenticação novamente sempre que uma operação específica for executada, mesmo que a mesma conta e PIN ou gesto já tenham sido usados para desbloquear o dispositivo.

Para obter mais informações e diagramas de sequência detalhados, confira como a autenticação funciona.

Token de atualização primária

O SSO (logon único) depende de tokens especiais obtidos para acessar aplicativos específicos. No caso tradicional de autenticação integrada do Windows usando Kerberos, o token é um Kerberos TGT (tíquete de concessão de tíquetes). Para aplicativos Microsoft Entra ID e AD FS, esse token é um PRT (token de atualização primário). É um Token Web JSON que contém declarações sobre o usuário e o dispositivo.

O PRT é obtido inicialmente durante a entrada ou desbloqueio de forma semelhante à obtida pelo Kerberos TGT. Esse comportamento é verdadeiro para dispositivos ingressados Microsoft Entra e Microsoft Entra híbridos. Para dispositivos pessoais registrados com Microsoft Entra ID, o PRT é obtido inicialmente após Adicionar conta de trabalho ou de estudante. Para um dispositivo pessoal, a conta para desbloquear o dispositivo não é a conta de trabalho, mas uma conta de consumidor (conta microsoft).

O PRT é necessário para SSO. Sem ele, os usuários seriam solicitados a obter credenciais sempre que acessassem aplicativos. O PRT também contém informações sobre o dispositivo. Se você tiver políticas de acesso condicional baseadas em dispositivo definidas em um aplicativo, sem que o acesso PRT seja negado.

Dica

A chave Windows Hello para Empresas atende Microsoft Entra requisitos de MFA (autenticação multifator) e reduz o número de solicitações de MFA que os usuários verão ao acessar recursos.

Para obter mais informações, consulte O que é um token de atualização primária.

Windows Hello para Empresas e alterações de senha

A alteração de uma senha da conta de usuário não afeta a entrada ou o desbloqueio, pois Windows Hello para Empresas usa uma chave ou certificado.

Próximas etapas

Para acomodar a infinidade de necessidades e requisitos das organizações, Windows Hello para Empresas oferece diferentes opções de implantação. Para saber como planejar uma implantação de Windows Hello para Empresas, confira:

Planejar uma implantação de Windows Hello para Empresas