Registro duplo

Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:

Importante

O registro duplo não substitui nem fornece a mesma segurança que o recurso de Estações de Trabalho de Acesso Privilegiado. A Microsoft incentiva as organizações a usar as Estações de Trabalho de Acesso Privilegiado para seus usuários de credencial privilegiados. As organizações podem considerar Windows Hello para Empresas registro duplo em situações em que o recurso Privileged Access não pode ser usado. Para saber mais, confira Estações de Trabalho de Acesso Privilegiado.

O registro duplo permite que os administradores executem funções administrativas elevadas registrando suas credenciais nãoprivilegiadas e privilegiadas em seu dispositivo.

Por design, o Windows não enumera todos os usuários Windows Hello para Empresas de dentro da sessão de um usuário. Usando a configuração de política de grupo, permitir a enumeração de cartão inteligentes emulados para todos os usuários, você pode configurar um dispositivo para enumerar todas as credenciais de Windows Hello para Empresas registradas em dispositivos selecionados.

Com essa configuração, os usuários administrativos podem entrar no Windows usando suas credenciais de Windows Hello não desprivilegiadas para o fluxo de trabalho normal, como email, mas podem iniciar MMCs (Consoles de Gerenciamento da Microsoft), clientes dos Serviços de Área de Trabalho Remota e outros aplicativos selecionando Executar como usuário diferente ou Executar como administrador, selecionando a conta de usuário privilegiada e fornecendo seu PIN. Os administradores também podem aproveitar esse recurso com aplicativos de linha de comando usando runas.exe combinado com o /smartcard argumento. Isso permite que os administradores executem suas operações diárias sem precisar entrar e sair ou usar a troca rápida de usuário ao alternar entre cargas de trabalho privilegiadas e nãoprivilegiadas.

Importante

Você deve configurar um computador Windows para Windows Hello para Empresas registro duplo antes que provisionamentos de usuário (privilegiados ou não privilegiados) Windows Hello para Empresas. O registro duplo é uma configuração especial configurada no contêiner Windows Hello durante a criação.

Configurar Windows Hello para Empresas registro duplo

Aqui estão as etapas para habilitar o registro duplo:

  • Configurar o Active Directory para dar suporte ao registro do Administrador de Domínio
  • Configurar o registro duplo usando Política de Grupo

Configurar o Active Directory para dar suporte ao registro do Administrador de Domínio

A configuração de Windows Hello para Empresas projetada fornece ao Key Admins grupo permissões de leitura e gravação para o msDS-KeyCredentialsLink atributo. Você forneceu essas permissões na raiz do domínio e usa a herança de objeto para garantir que as permissões se apliquem a todos os usuários no domínio, independentemente de sua localização na hierarquia de domínio.

Active Directory Domain Services usa para proteger usuários e grupos privilegiados AdminSDHolder de modificação não intencional comparando e substituindo a segurança em usuários e grupos privilegiados para corresponder aos definidos no objeto AdminSDHolder em um ciclo por hora. Para Windows Hello para Empresas, sua conta de administrador de domínio pode receber as permissões, mas elas desaparecem do objeto de usuário, a menos que você forneça as AdminSDHolder permissões de leitura e gravação ao msDS-KeyCredential atributo.

Entre em um controlador de domínio ou estação de trabalho de gerenciamento com acesso equivalente ao administrador de domínio.

  1. Digite o comando a seguir para adicionar as permissões de propriedade permitir leitura e gravação para o atributo msDS-KeyCredentialLink para o Key Admins grupo no AdminSDHolder objeto

    dsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink

    onde DC=domain,DC=com é o caminho LDAP do domínio do Active Directory e domainName\keyAdminGroup é o nome NetBIOS do seu domínio e o nome do grupo que você usa para dar acesso a chaves com base em sua implantação. Por exemplo:

    dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink

  2. Para disparar a propagação do descritor de segurança, abra ldp.exe

  3. Selecione Conexão e selecione Conectar... Ao lado de Server, digite o nome do controlador de domínio que detém a função PDC para o domínio. Ao lado da Porta, digite 389 e selecione OK

  4. Selecione Conexão e selecione Associar... Selecione OK para associar como o usuário conectado no momento

  5. Selecione Navegador e selecione Modificar. Deixe a caixa de texto DN em branco. Ao lado de Attribute, digiteRunProtectAdminGroupsTask. Ao lado de Valores, digite 1. Selecione Inserir para adicionar isso à Lista de Entradas

  6. Selecione Executar para iniciar a tarefa

  7. Fechar LDP

Configurar o registro duplo com a política de grupo

Você configura o Windows para dar suporte ao registro duplo usando a parte de configuração do computador de um objeto Política de Grupo:

  1. Usando o GPMC (Console de Gerenciamento Política de Grupo), crie um novo objeto Política de Grupo baseado em domínio e vincule-o a uma Unidade organizacional que contém objetos de computador do Active Directory usados por usuários privilegiados
  2. Editar o objeto Política de Grupo da etapa 1
  3. Habilite a enumeração Permitir cartões inteligentes emulados para todas as configurações de política de usuários localizadas em Modelos Administrativos de Configuração do> Computador-Componentes> do Windows-Windows Hello para Empresas>
  4. Feche o Editor de Gerenciamento de Política de Grupo para salvar o objeto Política de Grupo. Fechar o GPMC
  5. Reiniciar computadores direcionados por este objeto Política de Grupo

O computador está pronto para registro duplo. Entre como o usuário privilegiado primeiro e registre-se para Windows Hello para Empresas. Depois de concluído, saia e entre como o usuário nãoprivilegiado e registre-se para Windows Hello para Empresas. Agora você pode usar sua credencial privilegiada para executar tarefas privilegiadas sem usar sua senha e sem a necessidade de alternar usuários.