Desbloqueio multifator

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

O Windows Hello para Empresas suporta a utilização de uma única credencial (PIN e biometria) para desbloquear um dispositivo. Portanto, se qualquer uma dessas credenciais for comprometida (shoulder surfing), um invasor pode obter acesso ao sistema.

O Windows Hello para Empresas pode ser configurado com o desbloqueio multifator ao expandir o Windows Hello com sinais fidedignos. Os administradores podem configurar dispositivos para pedir uma combinação de fatores e sinais fidedignos para desbloqueá-los.

O desbloqueio multifator é ideal para organizações que:

• Expressou que os PINs por si só não satisfazem as suas necessidades de segurança
• Quer impedir que os Técnicos de Informação partilhem credenciais
• Pretende que as suas organizações cumpram a política de autenticação de dois fatores regulamentar
• Pretende manter a experiência familiar do utilizador de início de sessão do Windows e não se contentar com uma solução personalizada

Como funciona

O primeiro fornecedor de credenciais do fator de desbloqueio e o fornecedor de credenciais de segundo desbloqueio são responsáveis pela maior parte da configuração. Cada um destes componentes contém um identificador exclusivo global (GUID) que representa um fornecedor de credenciais do Windows diferente. Com a definição de política ativada, os utilizadores desbloqueiam o dispositivo com, pelo menos, um fornecedor de credenciais de cada categoria antes de o Windows permitir que o utilizador avance para o ambiente de trabalho.

A configuração de política tem três componentes:

• Provedor de credenciais do primeiro fator de desbloqueio
• Provedor de credenciais do segundo fator de desbloqueio
• Regras de sinal para desbloqueio de dispositivo

Configurar fatores de desbloqueio

Cuidado

Quando a política de segurança DontDisplayLastUserName está ativada, sabe-se que interfere com a capacidade de utilizar o desbloqueio multifator.

As partes Provedores de credenciais do primeiro fator de desbloqueio e Provedores de credenciais do segundo fator de desbloqueio da política de configuração contêm uma lista separada por vírgulas de provedores de credenciais.

Os provedores de credenciais com suporte incluem:

Provedor de credenciais	GUID
PIN	{D6886603-9D2F-4EB2-B667-1971041FA96B}
Impressão digital	{BEC09223-B018-416D-A0AC-523971B639F5}
Reconhecimento facial	{8AF662BF-65A0-4D0A-A540-A338A999D36F}
Sinal confiável (Proximidade de telefone, Localização de rede)	{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD}

Observação

O desbloqueio multifator não suporta fornecedores de credenciais ou fornecedores de credenciais não Microsoft listados na tabela acima.

Os provedores de credenciais padrão para o Provedor de credenciais do primeiro fator de desbloqueio incluem:

• PIN
• Impressão digital
• Reconhecimento facial

Os provedores de credenciais padrão para o Provedor de credenciais do segundo fator de desbloqueio incluem:

• Sinal confiável
• PIN

Configure uma lista separada por vírgulas de GUIDs de provedor de credenciais que você deseja usar como o primeiro e o segundo fatores de desbloqueio. Embora um fornecedor de credenciais possa aparecer em ambas as listas, uma credencial suportada por esse fornecedor só pode satisfazer um dos fatores de desbloqueio. Os fornecedores de credenciais listados não precisam de estar numa ordem específica.

Por exemplo, se você incluir o PIN e os provedores de credenciais de impressão digital em ambas as listas de primeiro e segundo fator, um usuário poderá usar sua impressão digital ou PIN como o primeiro fator de desbloqueio. Qualquer fator que utilize para satisfazer o primeiro fator de desbloqueio não pode ser utilizado para satisfazer o segundo fator de desbloqueio. Cada fator pode, portanto, ser usado exatamente uma vez. O provedor de Sinal Confiável só pode ser especificado como parte da lista de provedores de credenciais de segundo fator de bloqueio.

Configurar regras de sinal para o provedor de credenciais de sinal confiável

A configuração Regras de sinal para desbloqueio de dispositivo contém as regras que o provedor de credenciais de sinal confiável usa para satisfazer o desbloqueio do dispositivo.

Elemento de regra

Você representa as regras de sinal no XML. Cada regra de sinal tem um elemento inicial e final rule que contém o atributo e o schemaVersion valor. A versão de esquema suportada atual é 1.0.

Exemplo

<rule schemaVersion="1.0">
</rule>

Elemento signal

Cada elemento de regra tem um signal elemento. Todos os elementos de sinal têm um type elemento e value. Os valores suportados são:

• bluetooth
• ipConfig
• wifi

Bluetooth

Define o sinal bluetooth com mais atributos no elemento de sinal. A configuração bluetooth não utiliza outros elementos. Pode terminar o elemento de sinal com a etiqueta />de fim curto .

Atributo	Valor	Necessário
tipo	bluetooth	sim
cenário	Authentication	sim
classOfDevice	"número"	não
rssiMin	"número"	não
rssiMaxDelta	"número"	não

Por exemplo:

<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

O atributo classofDevice é predefinido para Phone e utiliza os valores da seguinte tabela:

Descrição	Valor
Diversos	0
Computador	256
Telefone	512
Ponto de acesso à rede/LAN	768
Áudio/Vídeo	1024
Periférico	1280
Imagens	1536
Wearable	1792
Toy	2048
Integridade	2304
Não categorizado	7936

O valor de atributo rssiMin indica a intensidade de sinal necessária para o dispositivo ser considerado "no alcance". O valor padrão de -10 permite que um usuário se mova por um escritório de tamanho médio ou cubículo sem fazer com que o Windows bloqueie o dispositivo. O rssiMaxDelta tem um valor predefinido de -10, que instrui o Windows a bloquear o dispositivo assim que a força do sinal enfraquecer em mais do que a medição de 10.

As medições RSSI são relativas e inferiores à medida que os sinais bluetooth entre os dois dispositivos emparelhados reduzem. Uma medição de 0 é mais forte do que -10. Uma medição de -10 é mais forte do que -60 e indica que os dispositivos estão a afastar-se um do outro.

Importante

A Microsoft recomenda a utilização dos valores predefinidos para esta definição de política. As medidas são relativas com base nas diferentes condições de cada ambiente. Portanto, os mesmos valores podem gerar resultados diferentes. Teste as configurações de política em cada ambiente antes de implantar amplamente a configuração. Use os valores rssiMIN e rssiMaxDelta do arquivo XML criado pelo Editor de Gerenciamento de Política de Grupo ou remova os dois atributos para usar os valores padrão.

Configuração IP

Você define sinais de configuração de IP usando um ou mais elementos ipConfiguration. Cada elemento tem um valor de cadeia de caracteres. Os elementos IpConfiguration não têm atributos ou elementos aninhados.

IPv4Prefix

O prefixo de rede IPv4 representado em notação de ponto decimal padrão da Internet. Um prefixo de rede que usa a notação CIDR (Roteamento Entre Domínios Sem Classe) é necessário como parte da cadeia de caracteres de rede. Uma porta de rede não deve estar presente na cadeia de caracteres de rede. Um elemento signal só pode conter um elemento ipv4Prefix. Por exemplo:

<ipv4Prefix>192.168.100.0/24</ipv4Prefix>

Os endereços IPv4 atribuídos no intervalo de 192.168.100.1 para 192.168.100.254 correspondem a essa configuração de sinal.

IPv4Gateway

O gateway de rede IPv4 representado em notação de ponto decimal padrão da Internet. Uma porta de rede ou prefixo não deve estar presente na cadeia de caracteres de rede. Um elemento signal só pode conter um elemento ipv4Prefix. Por exemplo:

<ipv4Gateway>192.168.100.10</ipv4Gateway>

IPv4DhcpServer

O servidor DHCP IPv4 representado em notação de ponto decimal padrão da Internet. Uma porta de rede ou prefixo não deve estar presente na cadeia de caracteres de rede. Um elemento signal só pode conter um elemento ipv4DhcpServer. Por exemplo:

<ipv4DhcpServer>192.168.100.10</ipv4DhcpServer>

IPv4DnsServer

O servidor DNS IPv4 representado em notação de ponto decimal padrão da Internet. Uma porta de rede ou um prefixo não deve estar presente na cadeia de caracteres de rede. O elemento signal pode conter um ou mais elementos ipv4DnsServer.

Exemplo:

<ipv4DnsServer>192.168.100.10</ipv4DnsServer>

IPv6Prefix

O prefixo de rede IPv6 representado na rede IPv6 usando a codificação hexadecimal padrão da Internet. Um prefixo de rede na notação CIDR é necessário como parte da cadeia de caracteres de rede. Uma porta de rede ou ID de escopo não deve estar presente na cadeia de caracteres de rede. Um elemento signal só pode conter um elemento ipv6Prefix. Por exemplo:

<ipv6Prefix>21DA:D3::/48</ipv6Prefix>

IPv6Gateway

O gateway de rede IPv6 representado em codificação hexadecimal padrão da Internet. Uma ID de escopo IPv6 pode estar presente na cadeia de caracteres de rede. Uma porta de rede ou prefixo não deve estar presente na cadeia de caracteres de rede. Um elemento signal só pode conter um elemento ipv6Gateway. Por exemplo:

<ipv6Gateway>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6Gateway>

IPv6DhcpServer

O servidor DNS IPv6 representado em codificação hexadecimal padrão da Internet. Uma ID de escopo IPv6 pode estar presente na cadeia de caracteres de rede. Uma porta de rede ou prefixo não deve estar presente na cadeia de caracteres de rede. Um elemento signal só pode conter um elemento ipv6DhcpServer. Por exemplo:

<ipv6DhcpServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DhcpServer

IPv6DnsServer

O servidor DNS IPv6 representado em codificação hexadecimal padrão da Internet. Uma ID de escopo IPv6 pode estar presente na cadeia de caracteres de rede. Uma porta de rede ou prefixo não deve estar presente na cadeia de caracteres de rede. O elemento signal só pode conter um ou mais elementos ipv6DnsServer. Por exemplo:

<ipv6DnsServer>21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A%2</ipv6DnsServer>

dnsSuffix

O nome de domínio completamente qualificado do sufixo DNS interno da sua organização em que qualquer parte do nome de domínio completamente qualificado nesta definição existe no sufixo DNS principal do computador. O elemento signal só pode conter um ou mais elementos dnsSuffix. Por exemplo:

<dnsSuffix>corp.contoso.com</dnsSuffix>

Wi-Fi

Define Wi-Fi sinais através de um ou mais elementos wi-fi. Cada elemento tem um valor de cadeia de caracteres. Os elementos wi-fi não têm atributos ou elementos aninhados.

SSID

Contém o identificador do conjunto de serviços (SSID) de uma rede sem fios. O SSID é o nome da rede sem fios. O elemento SSID é necessário. Por exemplo:

<ssid>corpnetwifi</ssid>

BSSID

Contém o identificador do conjunto de serviços básico (BSSID) de um ponto de acesso sem fios. O BSSID é o endereço mac do ponto de acesso sem fios. O elemento BSSID é opcional. Por exemplo:

<bssid>12-ab-34-ff-e5-46</bssid>

Segurança

Contém o tipo de segurança que o cliente utiliza ao ligar à rede sem fios. O elemento de segurança é necessário e tem de conter um dos seguintes valores:

Valor	Descrição
Open	A rede sem fios é uma rede aberta que não requer qualquer autenticação ou encriptação.
WEP	A rede sem fios está protegida através da Privacidade Equivalente a Fios.
WPA-Personal	A rede sem fios está protegida com Wi-Fi Acesso Protegido.
WPA-Enterprise	A rede sem fios está protegida através do Wi-Fi Protected Access-Enterprise.
WPA2-Personal	A rede sem fios está protegida com Wi-Fi Acesso Protegido 2, que normalmente utiliza uma chave pré-partilhada.
WPA2-Enterprise	A rede sem fios está protegida com Wi-Fi Acesso Protegido 2-Enterprise.

Por exemplo:

<security>WPA2-Enterprise</security>

TrustedRootCA

Contém o thumbprint do certificado de raiz fidedigna da rede sem fios. Pode utilizar qualquer certificado de raiz fidedigna válido. O valor é representado como cadeia hexadecimal, em que cada byte na cadeia é separado por um único espaço. O elemento é opcional. Por exemplo:

<trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>

Sig_quality

Contém um valor numérico entre 0 e 100 para representar a força de sinal da rede sem fios necessária para ser considerado um sinal fidedigno.

Por exemplo:

<sig_quality>80</sig_quality>

Configurações de Sinal Fidedigno de Exemplo

Importante

Esses exemplos são resumidos para facilitar a leitura. Depois de corretamente formatado, todo o conteúdo XML deve ser uma única linha.

Exemplo 1

O exemplo seguinte configura um tipo de sinal IPConfig com elementos Ipv4Prefix, Ipv4DnsServer e DnsSuffix .

<rule schemaVersion="1.0">
    <signal type="ipConfig">
        <ipv4Prefix>10.10.10.0/24</ipv4Prefix>
        <ipv4DnsServer>10.10.0.1</ipv4DnsServer>
        <ipv4DnsServer>10.10.0.2</ipv4DnsServer>
        <dnsSuffix>corp.contoso.com</dnsSuffix>
    </signal>
</rule>

Exemplo 2

O exemplo seguinte configura um tipo de sinal IpConfig com um elemento dnsSuffix e um sinal bluetooth para telemóveis. O exemplo implica que a regra IpConfig ou Bluetooth tem de ser avaliada como verdadeira, para que a avaliação do sinal resultante seja verdadeira.

Observação

Separe cada elemento de regra usando uma vírgula.

<rule schemaVersion="1.0">
    <signal type="ipConfig">
        <dnsSuffix>corp.contoso.com</dnsSuffix>
    </signal>
</rule>,
<rule schemaVersion="1.0">
    <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</rule>

Exemplo 3

O exemplo seguinte configura o mesmo que o exemplo 2 com elementos compostos and . O exemplo implica que o IpConfig e a regra bluetooth têm de ser avaliados como verdadeiros, para que a avaliação do sinal resultante seja verdadeira.

<rule schemaVersion="1.0">
<and>
  <signal type="ipConfig">
   <dnsSuffix>corp.microsoft.com</dnsSuffix>
  </signal>
  <signal type="bluetooth" scenario="Authentication" classOfDevice="512" rssiMin="-10" rssiMaxDelta="-10"/>
</and>
</rule>

Exemplo 4

O exemplo seguinte configura o Wi-Fi como um sinal fidedigno.

<rule schemaVersion="1.0">
  <signal type="wifi">
    <ssid>contoso</ssid>
    <bssid>12-ab-34-ff-e5-46</bssid>
    <security>WPA2-Enterprise</security>
    <trustedRootCA>a2 91 34 aa 22 3a a2 3a 4a 78 a2 aa 75 a2 34 2a 3a 11 4a aa</trustedRootCA>
    <sig_quality>80</sig_quality>
  </signal>
</rule>

Configurar o desbloqueio multifator

Para configurar o desbloqueio multifator, pode utilizar:

• Microsoft Intune/CSP
• Política de grupo

Importante

• O PIN deve estar em pelo menos um dos grupos
• Os sinais confiáveis devem ser combinados com outro provedor de credenciais
• Não pode utilizar o mesmo fator de desbloqueio para satisfazer ambas as categorias. Por conseguinte, se incluir algum fornecedor de credenciais em ambas as categorias, significa que pode satisfazer qualquer uma das categorias, mas não ambas

As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.

Intune/CSP

Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:

Categoria	Nome da configuração
Modelos Administrativos>Windows Hello para Empresas	Plug-ins de Desbloqueio do Dispositivo

1. Configurar fatores de desbloqueio primeiro e segundo com as informações em Configurar Fatores de Desbloqueio
2. Se utilizar sinais fidedignos, configure os sinais fidedignos utilizados pelo fator de desbloqueio com as informações em Configurar Regras de Sinal para o Fornecedor de Credenciais de Sinal Fidedigno

Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.

Em alternativa, pode configurar dispositivos com uma política personalizada com o PassportForWork CSP.

Configuração
./Device/Vendor/MSFT/PassportForWork/DeviceUnlock

GPO

Para configurar um dispositivo com a política de grupo, utilize o Editor de Políticas de Grupo Local. Para configurar vários dispositivos associados ao Active Directory, crie ou edite um objeto de política de grupo (GPO) e utilize as seguintes definições:

Caminho da política de grupo	Definição de política de grupo	Valor
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas	Configurar fatores de desbloqueio do dispositivo	Habilitada

1. Configurar fatores de desbloqueio primeiro e segundo com as informações em Configurar Fatores de Desbloqueio
2. Se utilizar sinais fidedignos, configure os sinais fidedignos utilizados pelo fator de desbloqueio com as informações em Configurar Regras de Sinal para o Fornecedor de Credenciais de Sinal Fidedigno

As políticas de grupo podem ser ligadas a domínios ou unidades organizacionais, filtradas através de grupos de segurança ou filtradas através de filtros WMI.

Importante

Deve remover todos os fornecedores de credenciais que não sejam da Microsoft para garantir que os utilizadores não conseguem desbloquear os respetivos dispositivos se não tiverem os fatores necessários. As opções alternativas são o uso de senhas ou cartões inteligentes (ambos podem ser desabilitados conforme necessário).

Experiência do usuário

Eis um breve vídeo que mostra a experiência do utilizador quando o desbloqueio multifator está ativado:

1. O utilizador inicia sessão pela primeira vez com impressão digital + Telemóvel emparelhado com Bluetooth
2. Em seguida, o utilizador inicia sessão com impressão digital + PIN

Solução de problemas

O desbloqueio multifator escreve eventos no registo de eventos em Registos de Aplicações e Serviços\Microsoft\Windows\HelloForBusiness com o nome de categoria Desbloqueio do Dispositivo.

Eventos

ID do Evento	Detalhes
3520	Desbloquear tentativa iniciada
5520	Política de desbloqueio não configurada
6520	Evento de aviso
7520	Evento de erro
8520	Evento de êxito