Não há mais suporte para esse navegador.
Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes.
O Windows Hello para Empresas suporta a utilização de uma única credencial (PIN e biometria) para desbloquear um dispositivo. Portanto, se qualquer uma dessas credenciais for comprometida (shoulder surfing), um invasor pode obter acesso ao sistema.
O Windows Hello para Empresas pode ser configurado com o desbloqueio multifator ao expandir o Windows Hello com sinais fidedignos. Os administradores podem configurar dispositivos para pedir uma combinação de fatores e sinais fidedignos para desbloqueá-los.
O desbloqueio multifator é ideal para organizações que:
O primeiro fornecedor de credenciais do fator de desbloqueio e o fornecedor de credenciais de segundo desbloqueio são responsáveis pela maior parte da configuração. Cada um destes componentes contém um identificador exclusivo global (GUID) que representa um fornecedor de credenciais do Windows diferente. Com a definição de política ativada, os utilizadores desbloqueiam o dispositivo com, pelo menos, um fornecedor de credenciais de cada categoria antes de o Windows permitir que o utilizador avance para o ambiente de trabalho.
A configuração de política tem três componentes:
Cuidado
Quando a política de segurança DontDisplayLastUserName está ativada, sabe-se que interfere com a capacidade de utilizar o desbloqueio multifator.
As partes Provedores de credenciais do primeiro fator de desbloqueio e Provedores de credenciais do segundo fator de desbloqueio da política de configuração contêm uma lista separada por vírgulas de provedores de credenciais.
Os provedores de credenciais com suporte incluem:
| Provedor de credenciais | GUID |
|---|---|
| PIN | {D6886603-9D2F-4EB2-B667-1971041FA96B} |
| Impressão digital | {BEC09223-B018-416D-A0AC-523971B639F5} |
| Reconhecimento facial | {8AF662BF-65A0-4D0A-A540-A338A999D36F} |
| Sinal confiável (Proximidade de telefone, Localização de rede) |
{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD} |
Observação
O desbloqueio multifator não suporta fornecedores de credenciais ou fornecedores de credenciais não Microsoft listados na tabela acima.
Os provedores de credenciais padrão para o Provedor de credenciais do primeiro fator de desbloqueio incluem:
Os provedores de credenciais padrão para o Provedor de credenciais do segundo fator de desbloqueio incluem:
Configure uma lista separada por vírgulas de GUIDs de provedor de credenciais que você deseja usar como o primeiro e o segundo fatores de desbloqueio. Embora um fornecedor de credenciais possa aparecer em ambas as listas, uma credencial suportada por esse fornecedor só pode satisfazer um dos fatores de desbloqueio. Os fornecedores de credenciais listados não precisam de estar numa ordem específica.
Por exemplo, se você incluir o PIN e os provedores de credenciais de impressão digital em ambas as listas de primeiro e segundo fator, um usuário poderá usar sua impressão digital ou PIN como o primeiro fator de desbloqueio. Qualquer fator que utilize para satisfazer o primeiro fator de desbloqueio não pode ser utilizado para satisfazer o segundo fator de desbloqueio. Cada fator pode, portanto, ser usado exatamente uma vez. O provedor de Sinal Confiável só pode ser especificado como parte da lista de provedores de credenciais de segundo fator de bloqueio.
A configuração Regras de sinal para desbloqueio de dispositivo contém as regras que o provedor de credenciais de sinal confiável usa para satisfazer o desbloqueio do dispositivo.
Você representa as regras de sinal no XML. Cada regra de sinal tem um elemento inicial e final rule que contém o atributo e o schemaVersion valor. A versão de esquema suportada atual é 1.0.
<rule schemaVersion="1.0">
</rule>
Cada elemento de regra tem um signal elemento. Todos os elementos de sinal têm um type elemento e value. Os valores suportados são:
Define o sinal bluetooth com mais atributos no elemento de sinal. A configuração bluetooth não utiliza outros elementos. Pode terminar o elemento de sinal com a etiqueta />de fim curto .
| Atributo | Valor | Necessário |
|---|---|---|
| tipo | bluetooth |
sim |
| cenário | Authentication |
sim |
| classOfDevice | "número" | não |
| rssiMin | "número" | não |
| rssiMaxDelta | "número" | não |
Por exemplo:
<rule schemaVersion="1.0">
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>
O atributo classofDevice é predefinido para Phone e utiliza os valores da seguinte tabela:
| Descrição | Valor |
|---|---|
| Diversos | 0 |
| Computador | 256 |
| Telefone | 512 |
| Ponto de acesso à rede/LAN | 768 |
| Áudio/Vídeo | 1024 |
| Periférico | 1280 |
| Imagens | 1536 |
| Wearable | 1792 |
| Toy | 2048 |
| Integridade | 2304 |
| Não categorizado | 7936 |
O valor de atributo rssiMin indica a intensidade de sinal necessária para o dispositivo ser considerado "no alcance". O valor padrão de -10 permite que um usuário se mova por um escritório de tamanho médio ou cubículo sem fazer com que o Windows bloqueie o dispositivo. O rssiMaxDelta tem um valor predefinido de -10, que instrui o Windows a bloquear o dispositivo assim que a força do sinal enfraquecer em mais do que a medição de 10.
As medições RSSI são relativas e inferiores à medida que os sinais bluetooth entre os dois dispositivos emparelhados reduzem. Uma medição de 0 é mais forte do que -10. Uma medição de -10 é mais forte do que -60 e indica que os dispositivos estão a afastar-se um do outro.
Importante
A Microsoft recomenda a utilização dos valores predefinidos para esta definição de política. As medidas são relativas com base nas diferentes condições de cada ambiente. Portanto, os mesmos valores podem gerar resultados diferentes. Teste as configurações de política em cada ambiente antes de implantar amplamente a configuração. Use os valores rssiMIN e rssiMaxDelta do arquivo XML criado pelo Editor de Gerenciamento de Política de Grupo ou remova os dois atributos para usar os valores padrão.
Você define sinais de configuração de IP usando um ou mais elementos ipConfiguration. Cada elemento tem um valor de cadeia de caracteres. Os elementos IpConfiguration não têm atributos ou elementos aninhados.
O prefixo de rede IPv4 representado em notação de ponto decimal padrão da Internet. Um prefixo de rede que usa a notação CIDR (Roteamento Entre Domínios Sem Classe) é necessário como parte da cadeia de caracteres de rede. Uma porta de rede não deve estar presente na cadeia de caracteres de rede. Um elemento signal só pode conter um elemento ipv4Prefix. Por exemplo:
<ipv4Prefix>192.168.100.0/24</ipv4Prefix>
Os endereços IPv4 atribuídos no intervalo de 192.168.100.1 para 192.168.100.254 correspondem a essa configuração de sinal.
O gateway de rede IPv4 representado em notação de ponto decimal padrão da Internet. Uma porta de rede ou prefixo não deve estar presente na cadeia de caracteres de rede. Um elemento signal só pode conter um elemento ipv4Prefix. Por exemplo:
<ipv4Gateway>192.168.100.10</ipv4Gateway>
O servidor DHCP IPv4 representado em notação de ponto decimal padrão da Internet. Uma porta de rede ou prefixo não deve estar presente na cadeia de caracteres de rede. Um elemento signal só pode conter um elemento ipv4DhcpServer. Por exemplo:
<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>
O servidor DNS IPv4 representado em notação de ponto decimal padrão da Internet. Uma porta de rede ou um prefixo não deve estar presente na cadeia de caracteres de rede. O elemento signal pode conter um ou mais elementos ipv4DnsServer.
Exemplo:
<ipv4DnsServer>192.168.100.10</ipv4DnsServer>
O prefixo de rede IPv6 representado na rede IPv6 usando a codificação hexadecimal padrão da Internet. Um prefixo de rede na notação CIDR é necessário como parte da cadeia de caracteres de rede. Uma porta de rede ou ID de escopo não deve estar presente na cadeia de caracteres de rede. Um elemento signal só pode conter um elemento ipv6Prefix. Por exemplo:
<ipv6Prefix>21DA:D3::/48</ipv6Prefix>
O gateway de rede IPv6 representado em codificação hexadecimal padrão da Internet. Uma ID de escopo IPv6 pode estar presente na cadeia de caracteres de rede. Uma porta de rede ou prefixo não deve estar presente na cadeia de caracteres de rede. Um elemento signal só pode conter um elemento ipv6Gateway. Por exemplo:
<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>
O servidor DNS IPv6 representado em codificação hexadecimal padrão da Internet. Uma ID de escopo IPv6 pode estar presente na cadeia de caracteres de rede. Uma porta de rede ou prefixo não deve estar presente na cadeia de caracteres de rede. Um elemento signal só pode conter um elemento ipv6DhcpServer. Por exemplo:
<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer
O servidor DNS IPv6 representado em codificação hexadecimal padrão da Internet. Uma ID de escopo IPv6 pode estar presente na cadeia de caracteres de rede. Uma porta de rede ou prefixo não deve estar presente na cadeia de caracteres de rede. O elemento signal só pode conter um ou mais elementos ipv6DnsServer. Por exemplo:
<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>
O nome de domínio completamente qualificado do sufixo DNS interno da sua organização em que qualquer parte do nome de domínio completamente qualificado nesta definição existe no sufixo DNS principal do computador. O elemento signal só pode conter um ou mais elementos dnsSuffix. Por exemplo:
<dnsSuffix>corp.contoso.com</dnsSuffix>
Define Wi-Fi sinais através de um ou mais elementos wi-fi. Cada elemento tem um valor de cadeia de caracteres. Os elementos wi-fi não têm atributos ou elementos aninhados.
Contém o identificador do conjunto de serviços (SSID) de uma rede sem fios. O SSID é o nome da rede sem fios. O elemento SSID é necessário. Por exemplo:
<ssid>corpnetwifi</ssid>
Contém o identificador do conjunto de serviços básico (BSSID) de um ponto de acesso sem fios. O BSSID é o endereço mac do ponto de acesso sem fios. O elemento BSSID é opcional. Por exemplo:
<bssid>12-ab-34-ff-e5-46</bssid>
Contém o tipo de segurança que o cliente utiliza ao ligar à rede sem fios. O elemento de segurança é necessário e tem de conter um dos seguintes valores:
| Valor | Descrição |
|---|---|
| Open | A rede sem fios é uma rede aberta que não requer qualquer autenticação ou encriptação. |
| WEP | A rede sem fios está protegida através da Privacidade Equivalente a Fios. |
| WPA-Personal | A rede sem fios está protegida com Wi-Fi Acesso Protegido. |
| WPA-Enterprise | A rede sem fios está protegida através do Wi-Fi Protected Access-Enterprise. |
| WPA2-Personal | A rede sem fios está protegida com Wi-Fi Acesso Protegido 2, que normalmente utiliza uma chave pré-partilhada. |
| WPA2-Enterprise | A rede sem fios está protegida com Wi-Fi Acesso Protegido 2-Enterprise. |
Por exemplo:
<security>WPA2-Enterprise</security>
Contém o thumbprint do certificado de raiz fidedigna da rede sem fios. Pode utilizar qualquer certificado de raiz fidedigna válido. O valor é representado como cadeia hexadecimal, em que cada byte na cadeia é separado por um único espaço. O elemento é opcional. Por exemplo:
<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
Contém um valor numérico entre 0 e 100 para representar a força de sinal da rede sem fios necessária para ser considerado um sinal fidedigno.
Por exemplo:
<sig_quality>80</sig_quality>
Importante
Esses exemplos são resumidos para facilitar a leitura. Depois de corretamente formatado, todo o conteúdo XML deve ser uma única linha.
O exemplo seguinte configura um tipo de sinal IPConfig com elementos Ipv4Prefix, Ipv4DnsServer e DnsSuffix .
<rule schemaVersion="1.0">
<signal type="ipConfig">
<ipv4Prefix>10.10.10.0/24</ipv4Prefix>
<ipv4DnsServer>10.10.0.1</ipv4DnsServer>
<ipv4DnsServer>10.10.0.2</ipv4DnsServer>
<dnsSuffix>corp.contoso.com</dnsSuffix>
</signal>
</rule>
O exemplo seguinte configura um tipo de sinal IpConfig com um elemento dnsSuffix e um sinal bluetooth para telemóveis. O exemplo implica que a regra IpConfig ou Bluetooth tem de ser avaliada como verdadeira, para que a avaliação do sinal resultante seja verdadeira.
Observação
Separe cada elemento de regra usando uma vírgula.
<rule schemaVersion="1.0">
<signal type="ipConfig">
<dnsSuffix>corp.contoso.com</dnsSuffix>
</signal>
</rule>,
<rule schemaVersion="1.0">
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>
O exemplo seguinte configura o mesmo que o exemplo 2 com elementos compostos and . O exemplo implica que o IpConfig e a regra bluetooth têm de ser avaliados como verdadeiros, para que a avaliação do sinal resultante seja verdadeira.
<rule schemaVersion="1.0">
<and>
<signal type="ipConfig">
<dnsSuffix>corp.microsoft.com</dnsSuffix>
</signal>
<signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</and>
</rule>
O exemplo seguinte configura o Wi-Fi como um sinal fidedigno.
<rule schemaVersion="1.0">
<signal type="wifi">
<ssid>contoso</ssid>
<bssid>12-ab-34-ff-e5-46</bssid>
<security>WPA2-Enterprise</security>
<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
<sig_quality>80</sig_quality>
</signal>
</rule>
Para configurar o desbloqueio multifator, pode utilizar:
Importante
As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.
Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:
| Categoria | Nome da configuração |
|---|---|
| Modelos Administrativos>Windows Hello para Empresas | Plug-ins de Desbloqueio do Dispositivo |
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Em alternativa, pode configurar dispositivos com uma política personalizada com o PassportForWork CSP.
| Configuração |
|---|
| ./Device/Vendor/MSFT/PassportForWork/DeviceUnlock |
Importante
Deve remover todos os fornecedores de credenciais que não sejam da Microsoft para garantir que os utilizadores não conseguem desbloquear os respetivos dispositivos se não tiverem os fatores necessários. As opções alternativas são o uso de senhas ou cartões inteligentes (ambos podem ser desabilitados conforme necessário).
Eis um breve vídeo que mostra a experiência do utilizador quando o desbloqueio multifator está ativado:
O desbloqueio multifator escreve eventos no registo de eventos em Registos de Aplicações e Serviços\Microsoft\Windows\HelloForBusiness com o nome de categoria Desbloqueio do Dispositivo.
| ID do Evento | Detalhes |
|---|---|
| 3520 | Desbloquear tentativa iniciada |
| 5520 | Política de desbloqueio não configurada |
| 6520 | Evento de aviso |
| 7520 | Evento de erro |
| 8520 | Evento de êxito |
Treinamento
Módulo
Proteger identidades no Microsoft Entra ID - Training
Este módulo apresenta aos alunos os vários métodos de autenticação utilizados para proteger as identidades.
Certificação
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
Planeje e execute uma estratégia de implantação de ponto de extremidade, usando elementos essenciais de gerenciamento moderno, abordagens de cogerenciamento e integração com o Microsoft Intune.
Documentação
Configurar o Windows Hello para Empresas
Saiba mais sobre as opções de configuração para Windows Hello para Empresas e como implementá-las na sua organização.
Saiba como configurar Windows Hello para Empresas inscrição dupla e como configurar o Active Directory para suportar a inscrição de Administrador de Domínio.
Visão geral do Windows Hello para Empresas
Saiba como Windows Hello para Empresas substitui palavras-passe por uma autenticação segura de dois fatores em dispositivos Windows.
Intune/CSP
GPO