Registro duplo
Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:
- Tipo de implantação: ,
- Tipo de
- Tipo de junção: Microsoft Entra junção híbrida
Importante
O registro duplo não substitui nem fornece a mesma segurança que o recurso de Estações de Trabalho de Acesso Privilegiado. A Microsoft incentiva as organizações a usar as Estações de Trabalho de Acesso Privilegiado para seus usuários de credencial privilegiados. As organizações podem considerar Windows Hello para Empresas registro duplo em situações em que o recurso Privileged Access não pode ser usado. Para saber mais, confira Estações de Trabalho de Acesso Privilegiado.
O registro duplo permite que os administradores executem funções administrativas elevadas registrando suas credenciais nãoprivilegiadas e privilegiadas em seu dispositivo.
Por design, o Windows não enumera todos os usuários Windows Hello para Empresas de dentro da sessão de um usuário. Usando a configuração de política de grupo, permitir a enumeração de cartão inteligentes emulados para todos os usuários, você pode configurar um dispositivo para enumerar todas as credenciais de Windows Hello para Empresas registradas em dispositivos selecionados.
Com essa configuração, os usuários administrativos podem entrar no Windows usando suas credenciais de Windows Hello não desprivilegiadas para o fluxo de trabalho normal, como email, mas podem iniciar MMCs (Consoles de Gerenciamento da Microsoft), clientes dos Serviços de Área de Trabalho Remota e outros aplicativos selecionando Executar como usuário diferente ou Executar como administrador, selecionando a conta de usuário privilegiada e fornecendo seu PIN. Os administradores também podem aproveitar esse recurso com aplicativos de linha de comando usando runas.exe
combinado com o /smartcard
argumento. Isso permite que os administradores executem suas operações diárias sem precisar entrar e sair ou usar a troca rápida de usuário ao alternar entre cargas de trabalho privilegiadas e nãoprivilegiadas.
Importante
Você deve configurar um computador Windows para Windows Hello para Empresas registro duplo antes que provisionamentos de usuário (privilegiados ou não privilegiados) Windows Hello para Empresas. O registro duplo é uma configuração especial configurada no contêiner Windows Hello durante a criação.
Configurar Windows Hello para Empresas registro duplo
Aqui estão as etapas para habilitar o registro duplo:
- Configurar o Active Directory para dar suporte ao registro do Administrador de Domínio
- Configurar o registro duplo usando Política de Grupo
Configurar o Active Directory para dar suporte ao registro do Administrador de Domínio
A configuração de Windows Hello para Empresas projetada fornece ao Key Admins
grupo permissões de leitura e gravação para o msDS-KeyCredentialsLink
atributo. Você forneceu essas permissões na raiz do domínio e usa a herança de objeto para garantir que as permissões se apliquem a todos os usuários no domínio, independentemente de sua localização na hierarquia de domínio.
Active Directory Domain Services usa para proteger usuários e grupos privilegiados AdminSDHolder
de modificação não intencional comparando e substituindo a segurança em usuários e grupos privilegiados para corresponder aos definidos no objeto AdminSDHolder em um ciclo por hora. Para Windows Hello para Empresas, sua conta de administrador de domínio pode receber as permissões, mas elas desaparecem do objeto de usuário, a menos que você forneça as AdminSDHolder
permissões de leitura e gravação ao msDS-KeyCredential
atributo.
Entre em um controlador de domínio ou estação de trabalho de gerenciamento com acesso equivalente ao administrador de domínio.
Digite o comando a seguir para adicionar as permissões de propriedade permitir leitura e gravação para o atributo msDS-KeyCredentialLink para o
Key Admins
grupo noAdminSDHolder
objetodsacls "CN=AdminSDHolder,CN=System,DC=domain,DC=com" /g "[domainName\keyAdminGroup]":RPWP;msDS-KeyCredentialLink
onde
DC=domain,DC=com
é o caminho LDAP do domínio do Active Directory edomainName\keyAdminGroup
é o nome NetBIOS do seu domínio e o nome do grupo que você usa para dar acesso a chaves com base em sua implantação. Por exemplo:dsacls "CN=AdminSDHolder,CN=System,DC=corp,DC=mstepdemo,DC=net" /g "mstepdemo\Key Admins":RPWP;msDS-KeyCredentialLink
Para disparar a propagação do descritor de segurança, abra
ldp.exe
Selecione Conexão e selecione Conectar... Ao lado de Server, digite o nome do controlador de domínio que detém a função PDC para o domínio. Ao lado da Porta, digite 389 e selecione OK
Selecione Conexão e selecione Associar... Selecione OK para associar como o usuário conectado no momento
Selecione Navegador e selecione Modificar. Deixe a caixa de texto DN em branco. Ao lado de Attribute, digiteRunProtectAdminGroupsTask. Ao lado de Valores, digite
1
. Selecione Inserir para adicionar isso à Lista de EntradasSelecione Executar para iniciar a tarefa
Fechar LDP
Configurar o registro duplo com a política de grupo
Você configura o Windows para dar suporte ao registro duplo usando a parte de configuração do computador de um objeto Política de Grupo:
- Usando o GPMC (Console de Gerenciamento Política de Grupo), crie um novo objeto Política de Grupo baseado em domínio e vincule-o a uma Unidade organizacional que contém objetos de computador do Active Directory usados por usuários privilegiados
- Editar o objeto Política de Grupo da etapa 1
- Habilite a enumeração Permitir cartões inteligentes emulados para todas as configurações de política de usuários localizadas em Modelos Administrativos de Configuração do> Computador-Componentes> do Windows-Windows Hello para Empresas>
- Feche o Editor de Gerenciamento de Política de Grupo para salvar o objeto Política de Grupo. Fechar o GPMC
- Reiniciar computadores direcionados por este objeto Política de Grupo
O computador está pronto para registro duplo. Entre como o usuário privilegiado primeiro e registre-se para Windows Hello para Empresas. Depois de concluído, saia e entre como o usuário nãoprivilegiado e registre-se para Windows Hello para Empresas. Agora você pode usar sua credencial privilegiada para executar tarefas privilegiadas sem usar sua senha e sem a necessidade de alternar usuários.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários