Como o Windows Hello para Empresas funciona

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

O Windows Hello para Empresas é um sistema distribuído que requer várias tecnologias para trabalhar em conjunto. Para simplificar a explicação de como funciona o Windows Hello para Empresas, vamos decompô-lo em cinco fases, que representam a ordem cronológica do processo de implementação.

Observação

Duas destas fases são necessárias apenas para determinados cenários de implementação.

Os cenários de implementação são descritos no artigo: Planear uma implementação do Windows Hello para Empresas.

Fase de registo de dispositivos

Nesta fase, o dispositivo regista a respetiva identidade no fornecedor de identidade (IdP), para que possa ser associado e autenticado no IdP.

Fase de aprovisionamento

Durante esta fase, o utilizador autentica-se através de uma forma de autenticação (normalmente, nome de utilizador/palavra-passe) para pedir uma nova credencial do Windows Hello para Empresas. O fluxo de aprovisionamento requer um segundo fator de autenticação antes de poder gerar um par de chaves públicas/privadas. A chave pública está registada no IdP, mapeada para a conta de utilizador.

Fase de sincronização de chaves

Nesta fase, exigida por algumas implementações híbridas, a chave pública do utilizador é sincronizada do Microsoft Entra ID para o Active Directory.

Fase de inscrição de certificados

Nesta fase, necessária apenas por implementações com certificados, é emitido um certificado para o utilizador através da infraestrutura de chaves públicas (PKI) da organização.

Fase de autenticação

Nesta última fase, o utilizador pode iniciar sessão no Windows com biometria ou um PIN. Independentemente do gesto utilizado, a autenticação ocorre com a parte privada da credencial do Windows Hello para Empresas. O IdP valida a identidade do utilizador ao mapear a conta de utilizador para a chave pública registada durante a fase de aprovisionamento.

As secções seguintes fornecem informações mais aprofundadas sobre cada uma destas fases.

Registro do dispositivo

Todos os dispositivos incluídos na implementação do Windows Hello para Empresas têm de passar por um processo chamado registo de dispositivos. O registo de dispositivos permite que os dispositivos sejam associados e a autenticação num IdP:

• Para implementações na cloud e híbridas, o fornecedor de identidade é o ID do Microsoft Entra e o dispositivo regista-se no Serviço de Registo de Dispositivos
• Para implementações no local, o fornecedor de identidade é os Serviços de Federação do Active Directory (AD FS) e o dispositivo é registado no Serviço de Registo de Dispositivos Empresariais alojado no AD FS

Quando um dispositivo é registado, o IdP fornece ao dispositivo uma identidade que é utilizada para autenticar o dispositivo quando um utilizador inicia sessão.

Existem diferentes tipos de registo, que são identificados como tipo de associação. Para obter mais informações, veja O que é uma identidade do dispositivo.

Para obter diagramas de sequência detalhados, veja como funciona o registo de dispositivos.

Provisionamento

O aprovisionamento do Windows Hello é acionado assim que o registo do dispositivo for concluído e depois de o dispositivo receber uma política que ativa o Windows Hello. Se todos os pré-requisitos forem cumpridos, é iniciada uma janela Do Anfitrião de EXperience da Cloud (CXH) para levar o utilizador através do fluxo de aprovisionamento.

Observação

Consoante o tipo de implementação, o aprovisionamento do Windows Hello para Empresas é iniciado apenas se:

• O dispositivo cumpre os requisitos de hardware do Windows Hello
• O dispositivo está associado ao Active Directory ou ao Microsoft Entra ID
• O utilizador inicia sessão com uma conta definida no Active Directory ou no Microsoft Entra ID
• A política do Windows Hello para Empresas está ativada
• O utilizador não está ligado ao computador através do Ambiente de Trabalho Remoto

São descritos pré-requisitos adicionais para tipos de implementação específicos no artigo Planear uma implementação do Windows Hello para Empresas.

Durante a fase de aprovisionamento, é criado um contentor do Windows Hello . Um contentor do Windows Hello é um agrupamento lógico de material de chave ou dados. O contentor contém as credenciais da organização apenas em dispositivos registados com o IdP da organização.

Observação

Não existem contentores físicos no disco, no registo ou noutro local. Os contêineres são unidades lógicas usadas para agrupar itens relacionados. As chaves, certificados e credenciais que o Windows Hello armazena estão protegidas sem a criação de contentores ou pastas reais.

Eis os passos envolvidos na fase de aprovisionamento:

1. Na janela CXH, é pedido ao utilizador que se autentique no IdP com mFA
2. Após a MFA com êxito, o utilizador tem de fornecer um gesto bio (se disponível) e um PIN
3. Após a confirmação do PIN, o contentor do Windows Hello é criado
4. É gerado um par de chaves públicas/privadas. O par de chaves está vinculado ao Trusted Platform Module (TPM), se disponível, ou no software
5. A chave privada é armazenada localmente e protegida pelo TPM e não pode ser exportada
6. A chave pública está registada no IdP, mapeada para a conta de utilizador
   1. O Serviço de Registo de Dispositivos escreve a chave no objeto de utilizador no ID do Microsoft Entra
   2. Para cenários no local, o AD FS escreve a chave no Active Directory

O vídeo seguinte mostra os passos de inscrição do Windows Hello para Empresas após iniciar sessão com uma palavra-passe:

Para obter mais informações e diagramas de sequência detalhados, veja como funciona o aprovisionamento.

Detalhes do contentor do Windows Hello

Durante a fase de aprovisionamento, o Windows Hello gera um novo par de chaves públicas/privadas no dispositivo. O TPM gera e protege a chave privada. Se o dispositivo não tiver um TPM, a chave privada é encriptada e armazenada no software. Esta chave inicial é referida como a chave de proteção. A chave de proteção está associada a um único gesto: se um utilizador registar um PIN, uma impressão digital e um rosto no mesmo dispositivo, cada um desses gestos tem uma chave de proteção exclusiva.

A chave de proteção molda a chave de autenticação de forma segura. A chave de autenticação é utilizada para desbloquear as chaves de ID de utilizador. O contêiner tem apenas uma chave de autenticação, mas pode haver várias cópias dessa chave encapsuladas com chaves protetoras exclusivas e diferentes.

Cada protetor encripta a sua própria cópia da chave de autenticação. A forma como a encriptação é executada depende do próprio protetor. Por exemplo, o protetor de PIN efetua uma operação de vedação TPM com o PIN como entropia ou, quando não existe nenhum TPM disponível, executa a encriptação simétrica da chave de autenticação com uma chave derivada do próprio PIN.

Importante

As chaves podem ser geradas em hardware (TPM 1.2 ou 2.0) ou software, com base na definição de política configurada. Para garantir que as chaves são geradas em hardware, tem de configurar uma definição de política. Para obter mais informações, veja Utilizar um dispositivo de segurança de hardware.

As contas Pessoais (conta Microsoft) e Escolar ou Profissional (Active Directory ou Microsoft Entra ID) utilizam um único contentor para chaves. Todas as chaves são separadas por domínios dos provedores de identidade para ajudar a garantir a privacidade do usuário.

O Windows Hello também gera uma chave administrativa. A chave administrativa pode ser utilizada para repor as credenciais quando necessário. Por exemplo, ao utilizar o serviço de reposição de PIN. Além da chave de protetor, os dispositivos compatíveis com o TPM geram um bloco de dados que contém atestados do TPM.

O acesso ao material de chave armazenado no contentor é ativado apenas pelo PIN ou gesto biométrico. A verificação de dois passos que ocorre durante o aprovisionamento cria uma relação fidedigna entre o IdP e o utilizador. Isto acontece quando a parte pública do par de chaves públicas/privadas é enviada para um fornecedor de identidade e associada à conta de utilizador. Quando um utilizador introduz o gesto no dispositivo, o fornecedor de identidade sabe que é uma identidade verificada devido à combinação de teclas e gestos do Windows Hello. Em seguida, fornece um token de autenticação que permite ao Windows aceder a recursos e serviços.

Um contentor pode conter vários tipos de material chave:

• Uma chave de autenticação, que é sempre um par de chaves públicas-privadas assimétricas. Esse par de chaves é gerado durante o registro. Tem de ser desbloqueado sempre que for acedido, utilizando o PIN do utilizador ou um gesto biométrico. A chave de autenticação existe até o utilizador repor o PIN, altura em que é gerada uma nova chave. Quando a nova chave é gerada, todo o material de chave que a chave antiga protegeu anteriormente tem de ser desencriptado e encriptado novamente com a nova chave
• Uma ou várias chaves de ID de utilizador. Estas chaves podem ser simétricas ou assimétricas, consoante o IdP que utilizar. Para o Windows Hello for Work baseado em certificado, quando o contentor é desbloqueado, as aplicações que necessitam de acesso à chave de ID de utilizador ou ao par de chaves podem pedir acesso. As chaves de ID de utilizador são utilizadas para assinar ou encriptar pedidos de autenticação ou tokens enviados deste dispositivo para o IdP. Normalmente, as chaves de ID de utilizador são de longa duração, mas podem ter uma duração mais curta do que a chave de autenticação. As contas Microsoft, as contas do Active Directory e as contas Microsoft Entra requerem a utilização de pares de chaves assimétricas. O dispositivo gera chaves públicas e privadas, regista a chave pública com o IdP (que a armazena para verificação posterior) e armazena a chave privada em segurança. Para as organizações, as chaves de ID de utilizador podem ser geradas de duas formas:
  • O par de chaves de ID de utilizador pode ser associado à Autoridade de Certificação (AC) de uma organização. Essa opção permite que as organizações que têm uma PKI existente continuem a usá-la quando apropriado. Dado que muitas aplicações, como soluções VPN, necessitam da utilização de certificados, quando implementa o Windows Hello neste modo, permite uma transição mais rápida para longe das palavras-passe de utilizador, preservando ainda a funcionalidade baseada em certificados. Esta opção também permite que a organização armazene outros certificados no contentor protegido. Por exemplo, certificados que permitem ao utilizador autenticar através de RDP
  • O IdP pode gerar o par de chaves de ID de utilizador diretamente, o que permite uma implementação rápida e inferior do Windows Hello em ambientes que não têm ou precisam de um PKI

As chaves de ID de utilizador são utilizadas para autenticar o utilizador num serviço. Por exemplo, ao assinar um nonce para provar a posse da chave privada, que corresponde a uma chave pública registada. Os utilizadores com uma conta Active Directory, Microsoft Entra ID ou Microsoft têm uma chave associada à respetiva conta. A chave pode ser utilizada para iniciar sessão no respetivo dispositivo Windows ao autenticar-se num controlador de domínio (cenário do Active Directory) ou na cloud (cenários do Microsoft Entra ID e MSA).

O Windows Hello também pode ser utilizado como um autenticador FIDO2 para autenticar em qualquer site que suporte WebAuthn. Os sites ou aplicação podem criar uma chave de ID de utilizador FIDO no contentor do Windows Hello do utilizador através de APIs. Nas visitas subsequentes, o utilizador pode autenticar-se no site ou na aplicação com o PIN ou gesto biométrico do Windows Hello.

Para saber mais sobre como o Windows utiliza o TPM para suportar o Windows Hello para Empresas, consulte Como o Windows utiliza o Módulo de Plataforma Fidedigna.

Armazenamento de dados biométricos

Os dados biométricos usados para dar suporte ao Windows Hello são armazenados apenas no dispositivo local. Não faz roaming e nunca é enviado para dispositivos ou servidores externos. Essa separação ajuda a parar invasores em potencial deixando de fornecer um ponto de coleção único que um invasor poderia comprometer para roubar dados biométricos. Mesmo que um atacante pudesse obter os dados biométricos de um dispositivo, não poderia ser convertido novamente numa amostra biométrica não processada reconhecível pelo sensor biométrico.

Cada sensor tem o seu próprio ficheiro de base de dados biométrica onde os dados do modelo são armazenados (caminho C:\WINDOWS\System32\WinBioDatabase). Cada ficheiro de base de dados tem uma chave exclusiva gerada aleatoriamente que é encriptada para o sistema. Os dados do modelo do sensor são encriptados com a chave por base de dados através de AES com o modo de encadeamento CBC. O hash é SHA256.

Observação

Alguns sensores de impressões digitais têm a capacidade de concluir a correspondência no módulo do sensor de impressões digitais em vez de no SO. Estes sensores armazenam dados biométricos no módulo de impressão digital em vez de no ficheiro da base de dados. Para obter mais informações, consulte Início de Sessão de Segurança Avançada (ESS) do Windows Hello.

Sincronização de chaves

A sincronização de chaves é necessária em ambientes híbridos. Depois de o utilizador aprovisionar uma credencial do Windows Hello para Empresas, a chave tem de ser sincronizada do ID do Microsoft Entra para o Active Directory.

A chave pública do utilizador é escrita no msDS-KeyCredentialLink atributo do objeto de utilizador no Active Directory. A sincronização é processada pelo Microsoft Entra Connect Sync.

Inscrição de certificados

Para implementações de certificados, depois de registar a chave, o cliente gera um pedido de certificado. O pedido é enviado para a Autoridade de Registo de Certificados (CRA). A CRA está no servidor dos Serviços de Federação do Active Directory (AD FS), que valida o pedido de certificado e o cumpre com a PKI empresarial.

Um certificado é inscrito no contentor Hello do utilizador, que é utilizado para autenticar em recursos no local.

Authentication

As credenciais do Windows Hello são baseadas em certificado ou par de chaves assimétricas. As credenciais do Windows Hello e o token obtido com essas credenciais estão vinculadas ao dispositivo.

A autenticação é a autenticação de dois fatores com a combinação de:

• Uma chave, ou certificado, associada a um dispositivo e
  • algo que a pessoa sabe (um PIN) ou
  • algo que a pessoa é (biometria)

A entrada de PIN e o gesto biométrico acionam o Windows para utilizar a chave privada para assinar criptograficamente os dados que são enviados para o fornecedor de identidade. O IdP verifica a identidade do utilizador e autentica o utilizador.

O PIN ou a parte privada das credenciais nunca são enviadas para o IdP e o PIN não é armazenado no dispositivo. O PIN e os gestos bio são entropia fornecida pelo utilizador ao realizar operações que utilizam a parte privada da credencial.

Quando um utilizador quer aceder a material de chave protegida, o processo de autenticação começa com o utilizador a introduzir um PIN ou gesto biométrico para desbloquear o dispositivo, um processo por vezes denominado libertar a chave. Pense nele como o uso de uma chave física para desbloquear uma porta: é necessário remover a chave do seu bolso ou bolsa. O PIN do usuário desbloqueia a chave de protetor do contêiner no dispositivo. Quando esse contentor é desbloqueado, as aplicações (e, portanto, o utilizador) podem utilizar as chaves de ID de Utilizador que residam no contentor.

Estas chaves são utilizadas para assinar pedidos que são enviados para o IdP, solicitando acesso a recursos especificados.

Importante

Embora as chaves estejam desbloqueadas, as aplicações não podem utilizá-las à vontade. Os aplicativos podem usar APIs específicas para operações de solicitação que exigem material de chave para determinadas ações (por exemplo, descriptografar uma mensagem de email ou entrar em um site). O acesso através destas APIs não requer validação explícita através de um gesto de utilizador e o material de chave não é exposto à aplicação requerente. Em vez disso, o aplicativo pede a autenticação, criptografia ou descriptografia, e a camada do Windows Hello lida com o trabalho real e retorna os resultados. Quando apropriado, um aplicativo pode solicitar uma autenticação forçada, até mesmo em um dispositivo desbloqueado. O Windows solicita que o usuário digite novamente o PIN ou realize um gesto de autenticação. Isso adiciona um nível extra de proteção para dados ou ações confidenciais. Por exemplo, pode configurar uma aplicação para exigir a autenticação nova sempre que uma operação específica for executada, mesmo que a mesma conta e PIN ou gesto já tenham sido utilizados para desbloquear o dispositivo.

Para obter mais informações e diagramas de sequência detalhados, veja como funciona a autenticação.

Token de atualização principal

O início de sessão único (SSO) baseia-se em tokens especiais obtidos para aceder a aplicações específicas. No caso de autenticação integrada tradicional do Windows com Kerberos, o token é um TGT Kerberos (permissão de concessão de permissão). Para aplicações Microsoft Entra ID e AD FS, este token é um token de atualização principal (PRT). É um Token Web JSON que contém afirmações sobre o utilizador e o dispositivo.

O PRT é inicialmente obtido durante o início de sessão ou o desbloqueio de forma semelhante à obtenção do TGT kerberos. Este comportamento aplica-se tanto aos dispositivos associados à Microsoft Entra como aos dispositivos associados híbridos do Microsoft Entra. Para dispositivos pessoais registados com o Microsoft Entra ID, o PRT é inicialmente obtido após Adicionar Conta Escolar ou Profissional. Para um dispositivo pessoal, a conta para desbloquear o dispositivo não é a conta profissional, mas sim uma conta de consumidor (conta Microsoft).

O PRT é necessário para o SSO. Sem isso, ser-lhes-iam pedidas credenciais aos utilizadores sempre que acedessem às aplicações. O PRT também contém informações sobre o dispositivo. Se tiver políticas de acesso condicional baseadas no dispositivo definidas numa aplicação, sem o acesso ao PRT é negado.

Dica

A chave do Windows Hello para Empresas cumpre os requisitos de autenticação multifator (MFA) do Microsoft Entra e reduz o número de pedidos de MFA que os utilizadores verão ao aceder aos recursos.

Para obter mais informações, veja O que é um Token de Atualização Primária.

Alterações ao Windows Hello para Empresas e palavra-passe

Alterar uma palavra-passe de conta de utilizador não afeta o início de sessão ou o desbloqueio, uma vez que o Windows Hello para Empresas utiliza uma chave ou certificado.

No entanto, quando os utilizadores têm de alterar a palavra-passe (por exemplo, devido a políticas de expiração de palavras-passe), não serão notificados do requisito de alteração de palavra-passe ao iniciar sessão com o Windows Hello. Isto pode causar falhas na autenticação em recursos protegidos pelo Active Directory. Para mitigar o problema, considere uma das seguintes opções:

• Desativar a expiração da palavra-passe para as contas de utilizador
• Como alternativa às políticas de expiração de palavras-passe, considere adotar políticas de expiração do PIN
• Se a expiração da palavra-passe for um requisito da organização, indique aos utilizadores para alterarem as palavras-passe regularmente ou quando receberem mensagens de falha de autenticação. Os utilizadores podem repor a palavra-passe ao:
  • Utilizar a opção Ctrl + Alt + Del>Alterar uma palavra-passe
  • Inicie sessão com a palavra-passe. Se a palavra-passe tiver de ser alterada, o Windows pede ao utilizador para a atualizar

Importante

Para alterar a palavra-passe de um utilizador, o dispositivo tem de conseguir comunicar com um controlador de domínio.

Próximas etapas

Para acomodar as inúmeras necessidades e requisitos das organizações, o Windows Hello para Empresas oferece diferentes opções de implementação. Para saber como planear uma implementação do Windows Hello para Empresas, consulte:

Planear uma Implementação do Windows Hello para Empresas