Visão geral do Windows Hello para Empresas

Em Windows 10, Windows Hello para Empresas substitui senhas por autenticação forte de dois fatores em dispositivos. Essa autenticação consiste em um novo tipo de credencial de usuário vinculado a um dispositivo e usa biometria ou um PIN.

Observação

No início, o Windows 10 incluía o Microsoft Passport e o Windows Hello, que funcionavam em conjunto para oferecer a autenticação multifator. Para simplificar a implantação e melhorar a capacidade de suporte, a Microsoft combinou essas tecnologias em uma única solução com o nome Windows Hello. Os clientes que já implantaram essas tecnologias não perceberão nenhuma alteração na funcionalidade. Os clientes que ainda precisam avaliar o Windows Hello acharão mais fácil implantar devido à semântica, à documentação e às políticas simplificadas.

O Windows Hello aborda os seguintes problemas com senhas:

  • Senhas fortes podem ser difíceis de lembrar, e os usuários geralmente reutilizam senhas em vários sites.
  • As violações de servidor podem expor as credenciais de rede simétricas (senhas).
  • As senhas estão sujeitas a ataques de reprodução.
  • Os usuários podem inadvertidamente expor suas senhas devido a ataques de phishing.

O Windows Hello permite que os usuários se autentiquem em:

  • Uma conta da Microsoft.
  • Uma conta do Active Directory.
  • Uma conta Microsoft Azure Active Directory (Azure AD).
  • Serviços de Provedor de Identidade ou Serviços de Festa Confiáveis que dão suporte à autenticação FIDO (ID Online Rápida) v2.0 .

Após uma verificação inicial em duas etapas do usuário durante o registro, o Windows Hello é configurado no dispositivo do usuário, e o Windows solicita que o usuário defina um gesto, que pode ser um biométrico, como impressão digital, ou um PIN. O usuário fornece o gesto para verificar sua identidade. Em seguida, o Windows usa o Windows Hello para autenticar os usuários.

Como administrador de uma empresa ou organização educacional, você pode criar políticas para gerenciar o uso do Windows Hello para Empresas em dispositivos com Windows 10 que se conectam à sua organização.

Entrada biométrica

O Windows Hello oferece uma autenticação biométrica confiável e totalmente integrada baseada no reconhecimento facial ou na comparação de impressões digitais. O Windows Hello usa uma combinação de software e câmeras com infravermelho (IV) para melhorar a precisão e proteger contra falsificação. Os principais fornecedores de hardware estão disponibilizando dispositivos integraram câmeras compatíveis com o Windows Hello. O hardware do leitor de impressões digitais pode ser usado ou adicionado a dispositivos que não o têm no momento. Em dispositivos que dão suporte a Windows Hello, um gesto biométrico fácil desbloqueia as credenciais dos usuários.

  • Reconhecimento facial. Esse tipo de reconhecimento biométrico usa câmeras especiais que usam a luz IV para enxergar, o que permite a diferenciação confiável entre uma fotografia ou digitalização e uma pessoa. Vários fornecedores fornecem câmeras externas com essa tecnologia, e os principais fabricantes de laptops também as estão incorporando em seus dispositivos.
  • Reconhecimento de impressão digital. Esse tipo de reconhecimento biométrico usa um sensor de impressão digital capacitivo para digitalizar sua impressão digital. Leitores de impressões digitais estão disponíveis para computadores Windows há anos, mas a geração atual de sensores é mais confiável e menos propensa a erros. A maioria dos leitores de impressões digitais existentes trabalha com Windows 10 e Windows 11, sejam eles externos ou integrados a laptops ou teclados USB.
  • Reconhecimento de Íris. Esse tipo de reconhecimento biométrico usa câmeras para executar a verificação de sua íris. O HoloLens 2 é o primeiro dispositivo da Microsoft a introduzir um scanner Iris. Esses scanners de íris são os mesmos em todos os dispositivos HoloLens 2.

O Windows armazena dados biométricos que são usados para implementar esses gestos do Windows Hello com segurança somente no dispositivo local. Os dados biométricos não vagam e nunca são enviados para dispositivos ou servidores externos. Como Windows Hello armazena apenas dados de identificação biométrica no dispositivo, não há nenhum ponto de coleta que um invasor possa comprometer para roubar dados biométricos. Para obter mais informações sobre a autenticação biométrica com Windows Hello para Empresas, consulte Windows Hello biometria na empresa.

A diferença entre o Windows Hello e o Windows Hello para Empresas

  • Os indivíduos podem criar um PIN ou um gesto biométrico nos dispositivos pessoais para uma entrada prática. Esse uso de Windows Hello é exclusivo para o dispositivo no qual ele está configurado, mas pode usar um hash de senha dependendo do tipo de conta de um indivíduo. Essa configuração é conhecida como Windows Hello PIN de conveniência e não é apoiada por autenticação assimétrica (chave pública/privada) ou certificado.

  • Windows Hello para Empresas, que é configurada por política de grupo ou política de MDM (gerenciamento de dispositivo móvel), sempre usa autenticação baseada em chave ou certificado. Esse comportamento o torna mais seguro do que Windows Hello PIN de conveniência.

Benefícios do Windows Hello

Denúncias de roubo de identidade e violação em larga escala são notícias frequentes. Ninguém quer ser notificado de que seu nome de usuário e senha foram expostos.

Você pode estar se perguntando como um PIN pode ajudar a proteger um dispositivo melhor do que uma senha. Senhas são segredos compartilhados; eles são inseridos em um dispositivo e transmitidos pela rede para o servidor. Um nome de conta interceptado e uma senha podem ser usados por qualquer pessoa, em qualquer lugar. Como eles estão armazenados no servidor, uma violação do servidor pode revelar as credenciais armazenadas.

Em Windows 10 e posterior, Windows Hello substitui senhas. Quando um provedor de identidade dá suporte a chaves, o processo de provisionamento de Windows Hello cria um par de chaves criptográficas vinculado ao TPM (Trusted Platform Module), se um dispositivo tiver um TPM 2.0 ou em software. O acesso a essas chaves e a obtenção de uma assinatura para validar a posse do usuário da chave privada são permitidos apenas pelo PIN ou gesto biométrico. A verificação em duas etapas que ocorre durante o registro do Windows Hello cria uma relação de confiança entre o provedor de identidade e o usuário quando a parte pública do par de chaves pública/privada é enviada a um provedor de identidade e associada a uma conta de usuário. Quando um usuário insere o gesto no dispositivo, o provedor de identidade sabe que ele é uma identidade verificada, devido à combinação de Windows Hello chaves e gestos. Em seguida, ele fornece um token de autenticação que permite que o Windows acesse recursos e serviços.

Observação

Windows Hello como uma entrada de conveniência usa o nome de usuário regular e a autenticação de senha, sem que o usuário insira a senha.

Como a autenticação funciona no Windows Hello.

Imagine que alguém esteja atrás de você lhe observando enquanto tira dinheiro de um caixa eletrônico e vê o PIN que você inseriu. Ter esse PIN não ajudará a pessoa a acessar sua conta, porque ela não têm o cartão que você usou no caixa eletrônico. Da mesma forma, saber o PIN de seu dispositivo não permite que esse invasor acesse sua conta, pois o PIN é local em seu dispositivo específico e não permite qualquer tipo de autenticação de qualquer outro dispositivo.

O Windows Hello ajuda a proteger as identidades e as credenciais dos usuários. Como o usuário não insere uma senha (exceto durante o provisionamento), isso ajuda a evitar ataques de força bruta e phishing. Ele também ajuda a evitar violações de servidor porque as credenciais do Windows Hello são um par de chaves assimétricas, o que ajuda a impedir ataques de repetição quando essas chaves são protegidas por TPMs.

Como o Windows Hello para Empresas funciona: pontos-chave

  • As credenciais do Windows Hello são baseadas em certificado ou par de chaves assimétricas. As credenciais do Windows Hello podem ser associadas ao dispositivo, e o token que é obtido usando a credencial também é associado ao dispositivo.

  • Um provedor de identidade valida a identidade do usuário e mapeia o Windows Hello chave pública para uma conta de usuário durante a etapa de registro. Os provedores de exemplo são o Active Directory, Azure AD ou uma conta da Microsoft.

  • As chaves podem ser geradas em hardware (TPM 1.2 ou 2.0 para empresas, e TPM 2.0 para consumidores) ou em software, com base na política. Para garantir que as chaves sejam geradas no hardware, você deve definir a política.

  • A autenticação é a autenticação de dois fatores com a combinação de uma chave ou certificado vinculado a um dispositivo e algo que a pessoa conhece (um PIN) ou algo que a pessoa é (biometria). O gesto Windows Hello não percorre entre dispositivos e não é compartilhado com o servidor. Os modelos de biometria são armazenados localmente em um dispositivo. O PIN nunca é armazenado ou compartilhado.

  • A chave privada nunca sai de um dispositivo ao usar o TPM. O servidor de autenticação tem uma chave pública que é mapeada para a conta de usuário durante o processo de registro.

  • A entrada pin e o gesto biométrico disparam Windows 10 e posterior para usar a chave privada para assinar criptograficamente dados enviados ao provedor de identidade. O provedor de identidade verifica a identidade do usuário e autentica o usuário.

  • Contas pessoais (conta da Microsoft) e corporativas (Active Directory ou Azure AD) usam um único contêiner para chaves. Todas as chaves são separadas por domínios dos provedores de identidade para ajudar a garantir a privacidade do usuário.

  • As chaves privadas do certificado podem ser protegidas pelo contêiner do Windows Hello e pelo gesto do Windows Hello.

Para obter detalhes, confira como o Windows Hello para Empresas funciona.

Comparação da autenticação com base em certificado e chave

O Windows Hello para Empresas pode usar chaves (hardware ou software) ou certificados em hardware ou software. As empresas que têm uma PKI (infraestrutura de chave pública) para emitir e gerenciar certificados de usuário final podem continuar a usar o PKI em combinação com Windows Hello para Empresas. Empresas que não usam PKI ou querem reduzir o esforço associado ao gerenciamento de certificados de usuário podem contar com credenciais baseadas em chave para Windows Hello. Essa funcionalidade ainda usa certificados nos controladores de domínio como uma raiz de confiança. Começando com Windows 10 versão 21H2, há um recurso chamado confiança kerberos de nuvem para implantações híbridas, que usa Azure AD como a raiz da confiança. A confiança kerberos na nuvem usa credenciais baseadas em chave para Windows Hello mas não requer certificados no controlador de domínio.

Windows Hello para Empresas com uma chave, incluindo a confiança kerberos na nuvem, não dá suporte a credenciais fornecidas para RDP. O RDP não dá suporte à autenticação com uma chave ou um certificado autoassinado. O RDP com Windows Hello para Empresas tem suporte com implantações baseadas em certificado como uma credencial fornecida. Windows Hello para Empresas com uma credencial de chave pode ser usada com Windows Defender Remote Credential Guard.

Saiba mais

Implementando uma autenticação de usuário forte com Windows Hello para Empresas

Implementando o Windows Hello para Empresas na Microsoft

Windows Hello para Empresas: Autenticação: neste vídeo, saiba mais sobre Windows Hello para Empresas e como ele é usado para entrar e acessar recursos.

Autenticação por face Windows Hello

Artigos relacionados