Partilhar via


Definições do perfil de proteção de identidade no Intune para Windows Hello para Empresas

Importante

Em julho de 2024, os seguintes perfis do Intune para proteção de identidade e proteção de contas foram preteridos e substituídos por um novo perfil consolidado denominado Proteção de conta. Este perfil mais recente encontra-se no nó da política de proteção de contas da segurança do ponto final e é o único modelo de perfil que permanece disponível para criar novas instâncias de política para proteção de identidades e contas. As definições deste novo perfil também estão disponíveis através do catálogo de definições.

Todas as instâncias dos seguintes perfis mais antigos que criou permanecem disponíveis para utilização e edição:

  • Proteção de identidade – anteriormente disponível a partir daConfiguração> de Dispositivos>Criar>Nova Política>windows 10 e modelos posteriores>>Identity Protection
  • Proteção de conta (Pré-visualização) – anteriormente disponível a partir daproteção> da Conta de Segurança > de Ponto Finaldo Windows 10 e proteção de Conta posterior>( Pré-visualização)

Observação

O Intune pode suportar mais definições do que as definições listadas neste artigo. Nem todas as definições estão documentadas e não serão documentadas. Para ver as definições que pode configurar, crie uma política de configuração de dispositivos e selecione Catálogo de Definições. Para obter mais informações, consulte Catálogo de Configurações.

Este artigo descreve as definições do Windows Hello para Empresas que pode gerir com um perfil de Proteção de identidade. Os perfis de proteção de identidade fazem parte da política de configuração de dispositivos no Microsoft Intune. No entanto, a partir de julho de 2024, os perfis de configuração de dispositivos para a Proteção de identidade são substituídos por perfis de segurança de ponto final para Proteção de contas. Embora possa continuar a utilizar perfis de proteção de identidade que criou anteriormente, o Intune já não suporta a criação de novas instâncias. Em vez disso, para gerir as definições de proteção de identidade, utilize uma política de proteção de conta de segurança de ponto final.

Com um perfil de Proteção de identidade, pode configurar definições em grupos discretos de dispositivos Windows 10/11. Para configurar o Windows Hello para Empresas ao nível do inquilino, como parte da inscrição de dispositivos, consulte Criar uma política do Windows Hello para Empresas em Integrar o Windows Hello para Empresas com o Microsoft Intune.

Este artigo descreve as definições da política de inscrição.

Pode encontrar informações adicionais sobre estas definições em Configurar definições de Política do Windows Hello para Empresas, na documentação do Windows Hello.

Windows Hello para Empresas

Os detalhes das definições seguintes aplicam-se apenas ao modelo de perfil de configuração do dispositivo para Proteção de identidade, que foi preterido em julho de 2024.

  • Configurar o Windows Hello para Empresas:

    • Não configurado (predefinição) – selecione esta definição se não quiser utilizar o Intune para controlar as definições do Windows Hello para Empresas. As definições existentes do Windows Hello para Empresas em dispositivos Windows 10/11 não são alteradas. Nenhuma outra configuração no painel está disponível.

    • Desativar – se não quiser utilizar o Windows Hello para Empresas, selecione esta definição. Todas as outras definições no ecrã não estão disponíveis.

    • Ativar – selecione esta definição se pretender configurar as definições do Windows Hello para Empresas.

    Quando definida como Ativar, estão disponíveis as seguintes definições:

    • Tamanho mínimo do PIN
      Especifique um comprimento mínimo de PIN para dispositivos, de 4 a 127 carateres. Por predefinição, esta definição não está configurada.

    • Tamanho máximo do PIN
      Especifique um comprimento máximo de PIN para dispositivos, de quatro a 127 carateres. Por predefinição, esta definição não está configurada.

    • Letras minúsculas no PIN
      Se necessário, o PIN do utilizador tem de incluir, pelo menos, uma letra minúscula. Por predefinição, esta definição não está configurada.

      • Não permitido – impeça os utilizadores de utilizar letras minúsculas no PIN. Este comportamento também ocorre se a definição não estiver configurada.
      • Permitido – permita que os utilizadores utilizem letras minúsculas no PIN, mas não é necessário.
      • Obrigatório – os utilizadores têm de incluir, pelo menos, uma letra minúscula no PIN. Por exemplo, é uma prática comum exigir pelo menos uma letra maiúscula e um caractere especial.
    • Letras maiúsculas no PIN
      Se necessário, o PIN do utilizador tem de incluir, pelo menos, uma letra em maiúscula. Por predefinição, esta definição não está configurada.

      • Não permitido – impeça os utilizadores de utilizarem letras maiúsculas no PIN. Este comportamento também ocorre se a definição não estiver configurada.
      • Permitido – permita que os utilizadores utilizem letras maiúsculas no PIN, mas não é necessário.
      • Obrigatório – os utilizadores têm de incluir, pelo menos, uma letra em maiúscula no PIN. Por exemplo, é uma prática comum exigir pelo menos uma letra maiúscula e um caractere especial.
    • Caracteres especiais no PIN
      Se necessário, o PIN do utilizador tem de incluir, pelo menos, um caráter especial. Os carateres especiais incluem: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Não permitido (predefinição) – impeça os utilizadores de utilizar carateres especiais no PIN. Este comportamento também ocorre se a definição não estiver configurada.
      • Permitido – permita que os utilizadores utilizem letras maiúsculas no PIN, mas não é necessário.
      • Obrigatório – os utilizadores têm de incluir, pelo menos, uma letra em maiúscula no PIN. Por exemplo, é uma prática comum exigir pelo menos uma letra maiúscula e um caractere especial.
    • Término do PIN (dias)
      Se estiver configurado, o utilizador será forçado a alterar o PIN após o número definido de dias. O utilizador ainda pode alterar proativamente o PIN antes da expiração. Por predefinição, esta definição não está configurada.

    • Lembrar do histórico do PIN
      Se estiver configurado, o utilizador não poderá reutilizar este número de PINs anteriores. Por predefinição, esta definição não está configurada.

    • Habilitar a recuperação de PIN
      Permite que o utilizador utilize o serviço de recuperação de PIN do Windows Hello para Empresas.

      • Ativar – o segredo de recuperação do PIN é armazenado no dispositivo e o utilizador pode alterar o PIN, se necessário.
      • Não configurado (predefinição) – o segredo de recuperação não é criado ou armazenado.
    • Utilizar um Trusted Platform Module (TPM)
      Um chip TPM fornece uma camada adicional de segurança de dados.

      • Ativar – apenas os dispositivos com um TPM acessível podem aprovisionar o Windows Hello para Empresas.
      • Não configurado (predefinição) – os dispositivos tentam primeiro utilizar um TPM. Se um TPM não estiver disponível, pode utilizar a encriptação de software.
    • Permitir autenticação biométrica
      Se permitido, o Windows Hello para Empresas pode autenticar através de gestos, como rosto e impressão digital. Os utilizadores ainda têm de configurar um PIN em caso de falha.

      • Ativar – o Windows Hello para Empresas permite a autenticação biométrica.
      • Não configurado (predefinição) – o Windows Hello para Empresas impede a autenticação biométrica (para todos os tipos de conta).
    • Utilizar anti-spoofing melhorado, quando disponível
      Se estiver ativada, os dispositivos utilizam anti-spoofing melhorado, quando disponíveis (por exemplo, detetar uma fotografia de um rosto em vez de um rosto real).

      • Ativar – o Windows requer que todos os utilizadores utilizem anti-spoofing para funcionalidades faciais quando são suportadas.
      • Não configurado (predefinição) – o Windows honra as configurações anti-spoofing no dispositivo.
    • Certificado para recursos no local

      • Ativar – permite que o Windows Hello para Empresas utilize certificados para autenticar em recursos no local.
      • Não configurado (predefinição) – impede o Windows Hello para Empresas de utilizar certificados para autenticar em recursos no local. Em vez disso, os dispositivos utilizam o comportamento predefinido da autenticação no local key-trust. Para obter mais informações, veja Certificado de utilizador para autenticação no local na documentação do Windows Hello.
  • Utilizar chaves de segurança para iniciar sessão
    Esta definição está disponível para dispositivos com o Windows 10, versão 1903 ou posterior, ou o Windows 11. Utilize-o para gerir o suporte para utilizar chaves de segurança do Windows Hello para iniciar sessão.

    • Ativar – os utilizadores podem utilizar uma chave de segurança do Windows Hello como uma credencial de início de sessão para PCs visados com esta política.
    • Não configurado – as chaves de segurança estão desativadas e os utilizadores não podem utilizá-las para iniciar sessão em PCs.

Próximas etapas

Atribuir o perfil e monitorizar o respetivo estado