Configurar o Windows Hello para Empresas
Este artigo descreve as opções para configurar o Windows Hello para Empresas numa organização e como implementá-los.
Opções de configuração
Pode configurar o Windows Hello para Empresas com as seguintes opções:
- Fornecedor de Serviços de Configuração (CSP): normalmente utilizado para dispositivos geridos por uma solução de Gestão de Dispositivos Móveis (MDM), como o Microsoft Intune. Os CSPs também podem ser configurados com pacotes de aprovisionamento, que normalmente são utilizados no momento da implementação ou para dispositivos não geridos. Para configurar o Windows Hello para Empresas, utilize o PassportForWork CSP
- Política de grupo (GPO): utilizada para dispositivos associados ao Active Directory ou associados ao Microsoft Entra híbrido e que não são geridos por uma solução de gestão de dispositivos
Precedência da política
Algumas das políticas do Windows Hello para Empresas estão disponíveis para configuração do computador e do utilizador. A lista seguinte descreve a precedência da política para o Windows Hello para Empresas:
- As políticas de utilizador têm precedência sobre as políticas de computador. Se estiver definida uma política de utilizador, a política de computador correspondente é ignorada. Se uma política de utilizador não estiver definida, é utilizada a política de computador
- As definições de política do Windows Hello para Empresas são impostas com a seguinte hierarquia:
- Utilizador - GPO
- Computador - GPO
- Utilizador - PassportForWork CSP
- Dispositivo - PassportForWork CSP
- Sincronização Ativa do Exchange - DeviceLock CSP
Importante
Se configurar as definições de complexidade e comprimento da palavra-passe definidas pelo CSP deviceLock e as definições de comprimento e complexidade do PIN definidas pelo PassportForWork CSP, o Windows impõe a política mais rigorosa fora do conjunto de políticas de governação.
O DeviceLock CSP utiliza o motor de Política do Exchange ActiveSync (EAS). Para obter mais informações, veja Descrição Geral do Motor de Política do Exchange ActiveSync.
Observação
Se uma política não estiver explicitamente configurada para exigir letras ou carateres especiais, os utilizadores podem, opcionalmente, definir um PIN alfanumérico.
Obter o ID de inquilino do Microsoft Entra
A configuração através do CSP ou do registo de diferentes definições de política do Windows Hello para Empresas exige que especifique o ID de inquilino do Microsoft Entra onde o dispositivo está registado.
Para procurar o ID do Inquilino, consulte Como encontrar o seu ID de inquilino do Microsoft Entra ou experimente o seguinte, garantindo que inicia sessão com a conta da sua organização:
GET https://graph.microsoft.com/v1.0/organization?$select=id
Por exemplo, a documentação do PassportForWork CSP descreve como configurar as opções do Windows Hello para Empresas com o OMA-URI:
./Device/Vendor/MSFT/PassportForWork/{TenantId}
Ao configurar dispositivos, substitua pelo TenantID seu ID de inquilino do Microsoft Entra. Por exemplo, se o seu ID de inquilino do Microsoft Entra for dcd219dd-bc68-4b9b-bf0b-4a33a796be35, o OMA-URI seria:
./Device/Vendor/MSFT/PassportForWork/{dcd219dd-bc68-4b9b-bf0b-4a33a796be35}
Configurar o Windows Hello para Empresas com o Microsoft Intune
Para dispositivos associados ao Microsoft Entra e dispositivos associados híbridos do Microsoft Entra inscritos no Intune, pode utilizar políticas do Intune para gerir o Windows Hello para Empresas.
Existem diferentes formas de ativar e configurar o Windows Hello para Empresas no Intune:
- Utilizar uma política aplicada ao nível do inquilino. A política de inquilino:
- Só é aplicada no momento da inscrição e as alterações à respetiva configuração não se aplicam aos dispositivos já inscritos no Intune
- Aplica-se a todos os dispositivos que estão a ser inscritos no Intune. Por este motivo, a política está normalmente desativada e o Windows Hello para Empresas é ativado através de uma política direcionada para um grupo de segurança
- Uma política de configuração de dispositivos que é aplicada após a inscrição de dispositivos. Quaisquer alterações à política são aplicadas aos dispositivos durante intervalos regulares de atualização de políticas. Existem diferentes tipos de política à escolha:
Verificar a política ao nível do inquilino
Para verificar as definições de política do Windows Hello para Empresas aplicadas no momento da inscrição:
- Iniciar sessão no centro de administração do Microsoft Intune
- Selecionar Dispositivos>Inscrição do Windows>
- Selecione Windows Hello para Empresas
- Verifique o estado de Configurar o Windows Hello para Empresas e quaisquer definições que possam estar configuradas
Conflitos de políticas de várias origens de políticas
O Windows Hello para Empresas pode ser configurado por GPO ou CSP, mas não uma combinação de ambos. Evite misturar as definições de política de GPO e CSP para o Windows Hello para Empresas, uma vez que pode originar resultados inesperados. Se misturar as definições de política de GPO e CSP, as definições CSP em conflito só são aplicadas quando as definições da política de grupo forem desmarcadas.
Importante
A definição de política MDMWinsOverGP não se aplica ao Windows Hello para Empresas. O MDMWinsOverGP aplica-se apenas a políticas no CSP de Políticas, enquanto as políticas do Windows Hello para Empresas estão no PassportForWork CSP.
Observação
Para obter mais informações sobre como implementar a configuração do Windows Hello para Empresas com o Microsoft Intune, consulte Definições de dispositivos Windows para ativar o Windows Hello para Empresas no Intune e PassportForWork CSP.
Desativar a inscrição no Windows Hello para Empresas
O Windows Hello para Empresas está ativado por predefinição para dispositivos associados ao Microsoft Entra. Se precisar de desativar a ativação automática, existem diferentes opções, incluindo:
- Desativar o Windows Hello com a política ao nível do inquilino
- Desative-a utilizando um dos tipos de política disponíveis no Intune, ao mesmo tempo que ativa a Página de Estado da Inscrição (ESP). O ESP pode ser configurado para impedir que um utilizador aceda ao ambiente de trabalho até que o dispositivo receba todas as políticas necessárias. Para obter mais informações, consulte Configurar a Página de Estado da Inscrição. A definição de política a configurar é Utilizar o Windows Hello para Empresas
- Aprovisione os dispositivos através de um pacote de aprovisionamento que desativa o Windows Hello para Empresas. Para obter mais informações, veja Provisioning packages for Windows (Aprovisionar pacotes para Windows)
- Soluções com script que podem modificar as definições do registo para desativar o Windows Hello para Empresas durante a implementação do SO
| Tipo de configuração | Detalhes |
|---|---|
| CSP (utilizador) |
Caminho da chave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\UserSid\PoliciesNome da chave: UsePassportForWorkTipo: REG_DWORDValor: 1 para ativar0 para desativar |
| CSP (dispositivo) |
Caminho da chave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Policies\PassportForWork\<Tenant-ID>\Device\PoliciesNome da chave: UsePassportForWorkTipo: REG_DWORDValor: 1 para ativar0 para desativar |
| GPO (utilizador) |
Caminho da chave: HKEY_USERS\<UserSID>\SOFTWARE\Policies\Microsoft\PassportForWorkNome da chave: EnabledTipo: REG_DWORDValor: 1 para ativar0 para desativar |
| GPO (utilizador) |
Caminho da chave: KEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\PassportForWorkNome da chave: EnabledTipo: REG_DWORDValor: 1 para ativar0 para desativar |
Observação
Se existir uma política de dispositivos e uma política de utilizador em conflito, a política de utilizador tem precedência. Não é recomendado criar definições de REGISTO ou GPO Local que possam entrar em conflito com uma política de MDM. Este conflito pode levar a resultados inesperados.
Próximas etapas
Para obter uma lista das definições de política do Windows Hello para Empresas, consulte Definições de política do Windows Hello para Empresas.
Para saber mais sobre as funcionalidades do Windows Hello para Empresas e como configurá-las, consulte: