Este artigo de referência fornece uma lista abrangente de definições de política para o Windows Hello para Empresas. A lista de definições está ordenada alfabeticamente e organizada em quatro categorias:
Configure uma lista separada por vírgulas de GUIDs do fornecedor de credenciais, como GUIDs do fornecedor de impressões digitais e rostos, para serem utilizados como o primeiro e segundo fatores de desbloqueio. Se o fornecedor de sinal fidedigno for especificado como um dos fatores de desbloqueio, também deve configurar uma lista separada por vírgulas de regras de sinal sob a forma de xml para que cada tipo de sinal seja verificado.
Se ativar esta definição de política, o utilizador tem de utilizar um fator de cada lista para desbloquear com êxito. Se desativar ou não configurar esta definição de política, os utilizadores podem continuar a desbloquear com as opções existentes.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/
DeviceUnlock |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas |
Para obter mais informações, veja Desbloqueio multifator.
Configure uma lista separada por vírgulas de regras de sinal sob a forma de xml para cada tipo de sinal.
- Se ativar esta definição de política, as regras de sinal são avaliadas para detetar a ausência do utilizador e bloquear automaticamente o dispositivo
- Se desativar ou não configurar a definição, os utilizadores podem continuar a bloquear com as opções existentes
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/
DynamicLock |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas |
Usar um dispositivo de segurança de hardware
Um Trusted Platform Module (TPM) proporciona benefícios de segurança adicionais sobre o software, uma vez que os dados protegidos por ele não podem ser utilizados noutros dispositivos.
- Se ativar esta definição de política, o aprovisionamento do Windows Hello para Empresas só ocorre em dispositivos com TPMs utilizáveis de 1.2 ou 2.0. Opcionalmente, pode excluir os módulos de revisão 1.2 do TPM, o que impede o aprovisionamento do Windows Hello para Empresas nesses dispositivos
Dica
A especificação TPM 1.2 só permite a utilização de RSA e do algoritmo hash SHA-1. As implementações do TPM 1.2 variam nas definições de política, o que pode resultar em problemas de suporte, uma vez que as políticas de bloqueio variam. Recomenda-se excluir dispositivos TPM 1.2 do aprovisionamento do Windows Hello para Empresas.
-Se desativar ou não configurar esta definição de política, o TPM continua a ser preferido, mas todos os dispositivos podem aprovisionar o Windows Hello para Empresas através de software se o TPM não funcionar ou não estiver disponível.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
RequireSecurityDevice
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/
TPM12 |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas |
Usar o certificado para autenticação no local
Utilize esta definição de política para configurar o Windows Hello para Empresas para inscrever um certificado de início de sessão utilizado para autenticação no local.
- Se ativar esta definição de política, o Windows Hello para Empresas inscreve um certificado de início de sessão que é utilizado para autenticação no local
- Se desativar ou não configurar esta definição de política, o Windows Hello para Empresas utilizará uma chave ou um pedido Kerberos (dependendo de outras definições de política) para autenticação no local
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UseCertificateForOnPremAuth |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas
Configuração do> UtilizadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas |
Utilizar a confiança na cloud para autenticação no local
Utilize esta definição de política para configurar o Windows Hello para Empresas para utilizar o modelo de confiança Kerberos na cloud.
- Se ativar esta definição de política, o Windows Hello para Empresas utiliza um pedido Kerberos obtido da autenticação para o Microsoft Entra ID para autenticação no local
- Se desativar ou não configurar esta definição de política, o Windows Hello para Empresas utiliza uma chave ou certificado (dependendo de outras definições de política) para autenticação no local
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UseCloudTrustForOnPremAuth |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas |
Observação
A confiança do Kerberos na cloud é incompatível com a confiança do certificado. Se a definição da política de confiança do certificado estiver ativada, tem precedência sobre esta definição de política.
Usar o Windows Hello para Empresas
- Se ativar esta política, o dispositivo aprovisiona o Windows Hello para Empresas utilizando chaves ou certificados para todos os utilizadores
- Se desativar esta definição de política, o dispositivo não aprovisiona o Windows Hello para Empresas para qualquer utilizador
- Se não configurar esta definição de política, os utilizadores podem aprovisionar o Windows Hello para Empresas
Selecione a opção Não iniciar o aprovisionamento do Windows Hello após o início de sessão quando utilizar uma solução que não seja da Microsoft para aprovisionar o Windows Hello para Empresas:
- Se selecionar Não iniciar o aprovisionamento do Windows Hello após o início de sessão, o Windows Hello para Empresas não inicia automaticamente o aprovisionamento após o utilizador iniciar sessão
- Se não selecionar Não iniciar o aprovisionamento do Windows Hello após o início de sessão, o Windows Hello para Empresas inicia automaticamente o aprovisionamento após o utilizador iniciar sessão
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UsePassportForWork
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
DisablePostLogonProvisioning |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas
Configuração do> UtilizadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas |
Expiração
Esta definição especifica o período de tempo (em dias) em que um PIN pode ser utilizado antes de o sistema exigir que o utilizador o altere. O PIN pode ser definido para expirar após qualquer número de dias entre 1 e 730 ou os PINs podem ser definidos para nunca expirarem se a política estiver definida como 0.
O valor padrão é 0.
História
Esta definição especifica o número de PINs anteriores que podem ser associados a uma conta de utilizador que não pode ser reutilizada. Esta política melhora a segurança ao garantir que os PINs antigos não são reutilizados continuamente. O valor tem de estar entre 0 e 50 PINs. Se essa política for definida como 0, o armazenamento de PINs anteriores não será necessário.
O valor padrão é 0.
Observação
O histórico de PIN não é preservado através da reposição do PIN.
Comprimento máximo do PIN
O comprimento máximo do PIN configura o número máximo de carateres permitido para o PIN. O maior número que pode configurar para esta definição de política é 127. O número mais baixo que pode configurar tem de ser maior do que o número configurado na definição de política Comprimento mínimo do PIN ou número 4, o que for maior. Se configurar esta definição de política, o comprimento do PIN tem de ser menor ou igual a este número.
Se desativar ou não configurar esta definição de política, o comprimento do PIN tem de ser menor ou igual a 127.
Observação
Se as condições especificadas acima para o comprimento máximo do PIN não forem cumpridas, os valores predefinidos são utilizados para os comprimentos máximo e mínimo do PIN.
Comprimento mínimo do PIN
O comprimento mínimo do PIN configura o número mínimo de carateres necessários para o PIN. O número mais baixo que pode configurar para esta definição de política é 4. O maior número que pode configurar tem de ser menor do que o número configurado na definição de política Comprimento máximo do PIN ou número 127, o que for o mais baixo.
Se configurar esta definição de política, o comprimento do PIN tem de ser maior ou igual a este número.
Se desativar ou não configurar esta definição de política, o comprimento do PIN tem de ser maior ou igual a 6.
Observação
Se as condições especificadas acima para o comprimento mínimo do PIN não forem cumpridas, os valores predefinidos serão utilizados para os comprimentos máximo e mínimo do PIN.
Exigir dígitos
Utilize esta definição de política para configurar a utilização de dígitos no PIN:
- Se ativar esta definição de política, o Windows requer que o utilizador inclua, pelo menos, um dígito no PIN
- Se desativar esta definição de política, o Windows não permite que o utilizador inclua dígitos nos respetivos PINs
- Se não configurar esta definição de política, o Windows permite, mas não requer, dígitos no PIN
Exigir letras minúsculas
Utilize esta definição de política para configurar a utilização de letras minúsculas no PIN:
- Se ativar esta definição de política, o Windows requer que o utilizador inclua, pelo menos, uma letra minúscula no PIN
- Se desativar esta definição de política, o Windows não permite que o utilizador inclua letras minúsculas no PIN
- Se não configurar esta definição de política, o Windows permite, mas não requer, letras minúsculas no PIN
Exigir caracteres especiais
Âmbito: Computador
Utilize esta definição de política para configurar a utilização de carateres especiais no PIN. Os carateres especiais incluem o seguinte conjunto:
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- Se ativar esta definição de política, o Windows requer que o utilizador inclua, pelo menos, um caráter especial no PIN
- Se desativar esta definição de política, o Windows não permite que o utilizador inclua carateres especiais no PIN
- Se não configurar esta definição de política, o Windows permite, mas não requer, carateres especiais no PIN
Exigir letras maiúsculas
Utilize esta definição de política para configurar a utilização de letras maiúsculas no PIN:
- Se ativar esta definição de política, o Windows requer que o utilizador inclua, pelo menos, uma letra maiúscula no PIN
- Se desativar esta definição de política, o Windows não permite que o utilizador inclua letras maiúsculas no PIN
- Se não configurar esta definição de política, o Windows permite, mas não requer, letras maiúsculas no PIN
Utilizar a recuperação do PIN
A Recuperação de PIN permite que um utilizador altere um PIN esquecido através do serviço de recuperação de PIN do Windows Hello para Empresas, sem perder quaisquer credenciais ou certificados associados, incluindo quaisquer chaves associadas às contas pessoais do utilizador no dispositivo.
Para tal, o serviço de recuperação do PIN encripta um segredo de recuperação, que é armazenado no dispositivo, e requer que o serviço de recuperação do PIN e o dispositivo desencriptem.
A recuperação do PIN requer que o utilizador efetue a autenticação multifator no Microsoft Entra ID.
- Se ativar esta definição de política, o Windows Hello para Empresas utiliza o serviço de recuperação de PIN
- Se desativar ou não configurar esta definição de política, o Windows não cria nem armazena o segredo de recuperação do PIN. Se o utilizador se esquecer do PIN, tem de eliminar o PIN existente e criar um novo e tem de voltar a registar-se em todos os serviços aos quais o PIN antigo forneceu acesso
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
EnablePinRecovery
./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
EnablePinRecovery |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas |
Para obter mais informações, veja Reposição do PIN.
Esta definição de política determina se é necessário um anti-spoofing melhorado para a autenticação facial do Windows Hello.
- Se ativar esta definição, o Windows necessita de utilizar anti-spoofing melhorado para a autenticação facial
Importante
Esta ação desativa a autenticação facial em dispositivos que não suportam anti-spoofing melhorado.
- Se desativar ou não configurar esta definição, o Windows não requer um anti-spoofing melhorado para a autenticação facial
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/
FacialFeaturesUseEnhancedAntiSpoofing |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas |
Ativar o ESS com periféricos suportados
A Segurança de Início de Sessão Avançada (ESS) adiciona uma camada de segurança aos dados biométricos através da utilização de componentes especializados de hardware e software, como, por exemplo, o Virtualization Based Security (VBS) e o Trusted Platform Module 2.0.
Com o ESS, os dados do modelo biométrico (rosto e impressão digital) do Windows Hello e as operações de correspondência são isolados para hardware fidedigno ou regiões de memória especificadas e o resto do sistema operativo não consegue aceder ou adulterar as mesmas. Uma vez que o canal de comunicação entre os sensores e o algoritmo também está protegido, é impossível que o software maligno injete ou reproduza dados para simular um utilizador que inicie sessão ou bloqueie um utilizador do computador.
Se ativar esta política, pode configurar os seguintes valores:
-
0: O ESS está ativado com sensores não ESS incorporados ou periféricos. São permitidas operações de autenticação de dispositivos periféricos compatíveis com o Windows Hello, sujeitos às limitações atuais das funcionalidades. O ESS é ativado em dispositivos com uma mistura de dispositivos biométricos, como um leitor de impressões digitais compatível com ESS e uma câmara não compatível com ESS. Por conseguinte, esta definição não é recomendada
-
1: O ESS está ativado sem sensores não ESS ou periféricos incorporados. As operações de autenticação de qualquer dispositivo biométrico periférico estão bloqueadas e não estão disponíveis para o Windows Hello. Esta definição é recomendada para maior segurança
Se desativar ou não configurar esta definição, os sensores não ESS serão bloqueados no dispositivo ESS.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/
EnableESSwithSupportedPeripherals |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas |
Para obter mais informações, veja Como é que a Segurança de Início de Sessão Avançada protege os dados biométricos.
Usar biometria
O Windows Hello para Empresas permite que os utilizadores utilizem gestos biométricos, como rostos e impressões digitais, como alternativa ao gesto de PIN. No entanto, os utilizadores ainda têm de configurar um PIN para utilizar em caso de falhas.
- Se ativar ou não configurar esta definição de política, o Windows Hello para Empresas permite a utilização de gestos biométricos
- Se desativar esta definição de política, o Windows Hello para Empresas impede a utilização de gestos biométricos
Observação
Desativar esta política impede o utilizador de gestos biométricos no dispositivo para todos os tipos de conta.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/
UseBiometrics |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas |
Permitir a enumeração de smart card emulado para todos os utilizadores
O Windows impede os utilizadores no mesmo dispositivo de enumerarem as credenciais aprovisionadas do Windows Hello para Empresas para outros utilizadores. Se ativar esta definição de política, o Windows permite que todos os utilizadores do dispositivo enumeram todas as credenciais do Windows Hello para Empresas, mas ainda assim exigem que cada utilizador forneça os seus próprios fatores para autenticação. Se desativar ou não configurar esta definição de política, o Windows não permite a enumeração de credenciais aprovisionadas do Windows Hello para Empresas para outros utilizadores no mesmo dispositivo.
Esta definição de política foi concebida para um único utilizador que inscreve contas privilegiadas e sem privilégios num único dispositivo. O utilizador possui ambas as credenciais, que permitem que iniciem sessão com credenciais nãoprivalegadas, mas pode realizar tarefas elevadas sem terminar sessão. Esta definição de política é incompatível com as credenciais do Windows Hello para Empresas aprovisionadas quando a definição de política de emulação Desativar smart card está ativada.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas |
Desativar a emulação de smart card
O Windows Hello para Empresas fornece automaticamente emulação de smart card para compatibilidade com aplicações com smart card ativado.
- Se ativar esta definição de política, o Windows Hello para Empresas aprovisiona credenciais do Windows Hello para Empresas que não são compatíveis com aplicações de smart card
- Se desativar ou não configurar esta definição de política, o Windows Hello para Empresas aprovisiona credenciais do Windows Hello para Empresas compatíveis com aplicações de smart card
Importante
Esta política afeta as credenciais do Windows Hello para Empresas no momento da criação. As credenciais criadas antes da aplicação desta política continuam a fornecer emulação de smart card. Para alterar uma credencial existente, ative esta definição de política e selecione Esqueci-me do PIN nas Definições.
|
Caminho |
|
CSP |
Indisponível |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas |
Utilizar certificados do Windows Hello para Empresas como certificados de smart card
Esta definição de política foi concebida para permitir a compatibilidade com aplicações que dependem exclusivamente de certificados de smart card.
- Se ativar esta definição de política, as aplicações utilizam certificados do Windows Hello para Empresas como certificados de smart card. Os fatores biométricos não estão disponíveis quando é pedido a um utilizador que autorize a utilização da chave privada do certificado
- Se desativar ou não configurar esta definição de política, as aplicações não utilizam certificados do Windows Hello para Empresas como certificados de smart card e os fatores biométricos estão disponíveis quando é pedido a um utilizador que autorize a utilização da chave privada do certificado
Esta definição de política é incompatível com as credenciais do Windows Hello para Empresas aprovisionadas quando a opção Desativar emulação de smart card está ativada.
|
Caminho |
|
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/
UseHelloCertificatesAsSmartCardCertificates |
|
GPO |
Configuração do> ComputadorModelos Administrativos>Componentes do> WindowsWindows Hello para Empresas |
Definições de funcionalidades
Definições de PIN
Definições biométricas
Definições de smart card