Este artigo de referência fornece uma lista abrangente de configurações de política para Windows Hello para Empresas. A lista de configurações é classificada em ordem alfabética e organizada em quatro categorias:
Configure uma lista separada por vírgulas de GUIDs do provedor de credencial, como GUIDs do provedor de impressão facial e digital, para serem usados como os primeiros e segundo fatores de desbloqueio. Se o provedor de sinal confiável for especificado como um dos fatores de desbloqueio, você também deverá configurar uma lista separada por vírgulas de regras de sinal na forma de xml para cada tipo de sinal a ser verificado.
Se você habilitar essa configuração de política, o usuário deverá usar um fator de cada lista para desbloquear com êxito. Se você desabilitar ou não configurar essa configuração de política, os usuários poderão continuar a desbloquear com as opções existentes.
|
Caminho |
CSP |
./Device/Vendor/MSFT/PassportForWork/ DeviceUnlock |
GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsWindows Hello para Empresas |
Para obter mais informações, confira Desbloqueio multifator.
Configure uma lista separada por vírgulas de regras de sinal na forma de xml para cada tipo de sinal.
- Se você habilitar essa configuração de política, as regras de sinal serão avaliadas para detectar a ausência do usuário e bloquear automaticamente o dispositivo
- Se você desabilitar ou não configurar a configuração, os usuários poderão continuar a bloquear com as opções existentes
|
Caminho |
CSP |
./Device/Vendor/MSFT/PassportForWork/DynamicLock/ DynamicLock |
GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsWindows Hello para Empresas |
Usar um dispositivo de segurança de hardware
Um TPM (Trusted Platform Module) fornece benefícios adicionais de segurança em relação ao software porque os dados protegidos por ele não podem ser usados em outros dispositivos.
- Se você habilitar essa configuração de política, Windows Hello para Empresas provisionamento só ocorrerá em dispositivos com TPMs utilizáveis 1.2 ou 2.0. Opcionalmente, você pode excluir módulos de revisão 1.2 do TPM, o que impede Windows Hello para Empresas provisionamento nesses dispositivos
Dica
A especificação TPM 1.2 só permite o uso do RSA e do algoritmo de hash sha-1. As implementações do TPM 1.2 variam em configurações de política, o que pode resultar em problemas de suporte à medida que as políticas de bloqueio variam. É recomendável excluir dispositivos TPM 1.2 do provisionamento de Windows Hello para Empresas.
-Se você desabilitar ou não configurar essa configuração de política, o TPM ainda será preferencial, mas todos os dispositivos poderão provisionar Windows Hello para Empresas usando software se o TPM não estiver funcional ou indisponível.
|
Caminho |
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ RequireSecurityDevice
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ExcludeSecurityDevices/ TPM12 |
GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsWindows Hello para Empresas |
Usar o certificado para autenticação no local
Use essa configuração de política para configurar Windows Hello para Empresas para registrar um certificado de entrada usado para autenticação local.
- Se você habilitar essa configuração de política, Windows Hello para Empresas registrará um certificado de entrada usado para autenticação local
- Se você desabilitar ou não configurar essa configuração de política, Windows Hello para Empresas usará uma chave ou um tíquete Kerberos (dependendo de outras configurações de política) para autenticação local
|
Caminho |
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCertificateForOnPremAuth |
GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsWindows Hello para Empresas
Configuração> do usuárioModelos administrativos>Componentes do> WindowsWindows Hello para Empresas |
Usar a confiança na nuvem para autenticação local
Use essa configuração de política para configurar Windows Hello para Empresas para usar o modelo de confiança Kerberos na nuvem.
- Se você habilitar essa configuração de política, Windows Hello para Empresas usará um tíquete Kerberos recuperado da autenticação para Microsoft Entra ID para autenticação local
- Se você desabilitar ou não configurar essa configuração de política, Windows Hello para Empresas usará uma chave ou certificado (dependendo de outras configurações de política) para autenticação local
|
Caminho |
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseCloudTrustForOnPremAuth |
GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsWindows Hello para Empresas |
Observação
A confiança do Kerberos na nuvem é incompatível com a confiança do certificado. Se a configuração da política de confiança de certificado estiver habilitada, ela terá precedência sobre essa configuração de política.
Usar o Windows Hello para Empresas
- Se você habilitar essa política, o dispositivo provisiona Windows Hello para Empresas usando chaves ou certificados para todos os usuários
- Se você desabilitar essa configuração de política, o dispositivo não provisionará Windows Hello para Empresas para qualquer usuário
- Se você não configurar essa configuração de política, os usuários poderão provisionar Windows Hello para Empresas
Selecione a opção Não comece Windows Hello provisionamento após a entrada ao usar uma solução não Microsoft para provisionar Windows Hello para Empresas:
- Se você selecionar Não iniciar Windows Hello provisionamento após a entrada, Windows Hello para Empresas não iniciará o provisionamento automaticamente depois que o usuário entrar
- Se você não selecionar Não iniciar Windows Hello provisionamento após a entrada, Windows Hello para Empresas iniciará o provisionamento automaticamente depois que o usuário entrar
|
Caminho |
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UsePassportForWork
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ DisablePostLogonProvisioning |
GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsWindows Hello para Empresas
Configuração> do usuárioModelos administrativos>Componentes do> WindowsWindows Hello para Empresas |
Expiração
Essa configuração especifica o período de tempo (em dias) que um PIN pode ser usado antes que o sistema exija que o usuário o altere. O PIN pode ser definido como expirando após qualquer número de dias entre 1 e 730, ou PINs podem ser definidos como nunca expirando se a política estiver definida como 0.
O valor padrão é 0.
Histórico
Essa configuração especifica o número de PINs anteriores que podem ser associados a uma conta de usuário que não pode ser reutilizado. Essa política aprimora a segurança garantindo que PINs antigos não sejam reutilizados continuamente. O valor deve estar entre 0 e 50 PINs. Se essa política for definida como 0, o armazenamento de PINs anteriores não será necessário.
O valor padrão é 0.
Observação
O histórico de PIN não é preservado por meio da redefinição de PIN.
Comprimento máximo do PIN
O comprimento máximo do PIN configura o número máximo de caracteres permitido para o PIN. O maior número que você pode configurar para essa configuração de política é 127. O número mais baixo que você pode configurar deve ser maior do que o número configurado na configuração de política de comprimento mínimo do PIN ou no número 4, o que for maior. Se você configurar essa configuração de política, o comprimento do PIN deverá ser menor ou igual a esse número.
Se você desabilitar ou não configurar essa configuração de política, o comprimento do PIN deverá ser menor ou igual a 127.
Observação
Se as condições especificadas acima para o comprimento máximo do PIN não forem atendidas, os valores padrão serão usados para os comprimentos pin máximos e mínimos.
Comprimento mínimo do PIN
O comprimento mínimo do PIN configura o número mínimo de caracteres necessários para o PIN. O número mais baixo que você pode configurar para essa configuração de política é 4. O maior número que você pode configurar deve ser menor do que o número configurado na configuração de política de comprimento máximo do PIN ou no número 127, o que for o mais baixo.
Se você configurar essa configuração de política, o comprimento do PIN deverá ser maior ou igual a esse número.
Se você desabilitar ou não configurar essa configuração de política, o comprimento do PIN deverá ser maior ou igual a 6.
Observação
Se as condições especificadas acima para o comprimento mínimo do PIN não forem atendidas, os valores padrão serão usados para os comprimentos máximo e mínimo de PIN.
Exigir dígitos
Use essa configuração de política para configurar o uso de dígitos no PIN:
- Se você habilitar essa configuração de política, o Windows exigirá que o usuário inclua pelo menos um dígito em seu PIN
- Se você desabilitar essa configuração de política, o Windows não permitirá que o usuário inclua dígitos em seus PINs
- Se você não configurar essa configuração de política, o Windows permitirá, mas não requer, dígitos no PIN
Exigir letras minúsculas
Use essa configuração de política para configurar o uso de letras minúsculas no PIN:
- Se você habilitar essa configuração de política, o Windows exigirá que o usuário inclua pelo menos uma letra minúscula em seu PIN
- Se você desabilitar essa configuração de política, o Windows não permitirá que o usuário inclua letras minúsculas em seu PIN
- Se você não configurar essa configuração de política, o Windows permitirá, mas não requer, letras minúsculas no PIN
Exigir caracteres especiais
Escopo: Máquina
Use essa configuração de política para configurar o uso de caracteres especiais no PIN. Os caracteres especiais incluem o seguinte conjunto:
! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
- Se você habilitar essa configuração de política, o Windows exigirá que o usuário inclua pelo menos um caractere especial em seu PIN
- Se você desabilitar essa configuração de política, o Windows não permitirá que o usuário inclua caracteres especiais em seu PIN
- Se você não configurar essa configuração de política, o Windows permitirá, mas não requer caracteres especiais no PIN
Exigir letras maiúsculas
Use essa configuração de política para configurar o uso de letras maiúsculas no PIN:
- Se você habilitar essa configuração de política, o Windows exigirá que o usuário inclua pelo menos uma letra maiúscula em seu PIN
- Se você desabilitar essa configuração de política, o Windows não permitirá que o usuário inclua letras maiúsculas em seu PIN
- Se você não configurar essa configuração de política, o Windows permitirá, mas não requer, letras maiúsculas no PIN
Usar a recuperação de PIN
O PIN Recovery permite que um usuário altere um PIN esquecido usando o serviço de recuperação de PIN Windows Hello para Empresas, sem perder credenciais ou certificados associados, incluindo quaisquer chaves associadas às contas pessoais do usuário no dispositivo.
Para isso, o serviço de recuperação de PIN criptografa um segredo de recuperação, que é armazenado no dispositivo, e requer que o serviço de recuperação PIN e o dispositivo sejam descriptografado.
A recuperação de PIN exige que o usuário execute a autenticação multifator para Microsoft Entra ID.
- Se você habilitar essa configuração de política, Windows Hello para Empresas usará o serviço de recuperação de PIN
- Se você desabilitar ou não configurar essa configuração de política, o Windows não criará ou armazenará o segredo de recuperação do PIN. Se o usuário esquecer seu PIN, ele deverá excluir seu PIN existente e criar um novo, e ele deve se registrar novamente com quaisquer serviços aos quais o PIN antigo forneceu acesso
|
Caminho |
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ EnablePinRecovery ./User/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ EnablePinRecovery |
GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsWindows Hello para Empresas |
Para obter mais informações, confira Redefinição de PIN.
Essa configuração de política determina se a falsificação anti-falsificação aprimorada é necessária para Windows Hello autenticação facial.
- Se você habilitar essa configuração, o Windows precisará usar anti-falsificação aprimorada para autenticação facial
Importante
Isso desabilita a autenticação facial em dispositivos que não dão suporte a anti-falsificação aprimorada.
- Se você desabilitar ou não configurar essa configuração, o Windows não precisará de anti-falsificação aprimorada para autenticação facial
|
Caminho |
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/ FacialFeaturesUseEnhancedAntiSpoofing |
GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsWindows Hello para Empresas |
Habilitar o ESS com periféricos com suporte
A ESS (Segurança de Entrada Aprimorada) adiciona uma camada de segurança aos dados biométricos usando componentes especializados de hardware e software, por exemplo, VBS (Virtualization Based Security) e Trusted Platform Module 2.0.
Com o ESS, Windows Hello dados biométricos (face e impressão digital) e operações correspondentes são isolados para hardware confiável ou regiões de memória especificadas, e o restante do sistema operacional não pode acessá-los ou adulterar. Como o canal de comunicação entre os sensores e o algoritmo também é protegido, é impossível que o malware injete ou reproduza dados para simular a entrada de um usuário ou bloquear um usuário fora de seu computador.
Se você habilitar essa política, poderá configurar os seguintes valores:
0
: O ESS está habilitado com sensores não ESS periféricos ou internos. As operações de autenticação de dispositivos periféricos Windows Hello capazes são permitidas, sujeitas a limitações de recursos atuais. O ESS está habilitado em dispositivos com uma mistura de dispositivos biométricos, como um leitor de impressões digitais com capacidade para ESS e uma câmera não capaz de ESS. Portanto, essa configuração não é recomendada
1
: O ESS está habilitado sem sensores não ESS periféricos ou internos. As operações de autenticação de qualquer dispositivo biométrico periférico estão bloqueadas e não estão disponíveis para Windows Hello. Essa configuração é recomendada para maior segurança
Se você desabilitar ou não configurar essa configuração, os sensores não ESS serão bloqueados no dispositivo ESS.
|
Caminho |
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/ EnableESSwithSupportedPeripherals |
GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsWindows Hello para Empresas |
Para obter mais informações, confira Como a Segurança de Entrada Aprimorada protege os dados biométricos.
Usar biometria
Windows Hello para Empresas permite que os usuários usem gestos biométricos, como rosto e impressões digitais, como alternativa ao gesto PIN. No entanto, os usuários ainda devem configurar um PIN a ser usado em caso de falhas.
- Se você habilitar ou não configurar essa configuração de política, Windows Hello para Empresas permitirá o uso de gestos biométricos
- Se você desabilitar essa configuração de política, Windows Hello para Empresas impedirá o uso de gestos biométricos
Observação
Desabilitar essa política impede o usuário de gestos biométricos no dispositivo para todos os tipos de conta.
|
Caminho |
CSP |
./Device/Vendor/MSFT/PassportForWork/Biometrics/ UseBiometrics |
GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsWindows Hello para Empresas |
Permitir a enumeração de cartão inteligentes emulados para todos os usuários
O Windows impede que os usuários no mesmo dispositivo enumerem credenciais de Windows Hello para Empresas provisionadas para outros usuários. Se você habilitar essa configuração de política, o Windows permitirá que todos os usuários do dispositivo enumerem todas as credenciais Windows Hello para Empresas, mas ainda exigirão que cada usuário forneça seus próprios fatores para autenticação. Se você desabilitar ou não configurar essa configuração de política, o Windows não permitirá a enumeração de credenciais de Windows Hello para Empresas provisionadas para outros usuários no mesmo dispositivo.
Essa configuração de política foi projetada para um único usuário que registra contas privilegiadas e nãoprivilegiadas em um único dispositivo. O usuário possui ambas as credenciais, que permitem que eles entrem usando credenciais nãoprivilegiadas, mas podem executar tarefas elevadas sem a assinatura. Essa configuração de política é incompatível com Windows Hello para Empresas credenciais provisionadas quando a configuração Desativar a política de emulação de cartão inteligente está habilitada.
|
Caminho |
CSP |
Indisponível |
GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsWindows Hello para Empresas |
Desativar a emulação de cartão inteligente
Windows Hello para Empresas fornece automaticamente uma emulação de cartão inteligente para compatibilidade com aplicativos habilitados para cartão inteligentes.
- Se você habilitar essa configuração de política, Windows Hello para Empresas provisionará Windows Hello para Empresas credenciais que não são compatíveis com aplicativos de cartão inteligentes
- Se você desabilitar ou não configurar essa configuração de política, Windows Hello para Empresas provisionará Windows Hello para Empresas credenciais compatíveis com aplicativos de cartão inteligentes
Importante
Essa política afeta Windows Hello para Empresas credenciais no momento da criação. As credenciais criadas antes do aplicativo dessa política continuam fornecendo cartão emulação inteligente. Para alterar uma credencial existente, habilite essa configuração de política e selecione Esqueci meu PIN de Configurações.
|
Caminho |
CSP |
Indisponível |
GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsWindows Hello para Empresas |
Usar certificados Windows Hello para Empresas como certificados de cartão inteligentes
Essa configuração de política foi projetada para permitir a compatibilidade com aplicativos que dependem exclusivamente de certificados de cartão inteligentes.
- Se você habilitar essa configuração de política, os aplicativos usarão certificados Windows Hello para Empresas como certificados de cartão inteligentes. Fatores biométricos não estão disponíveis quando um usuário é solicitado a autorizar o uso da chave privada do certificado
- Se você desabilitar ou não configurar essa configuração de política, os aplicativos não usarão certificados Windows Hello para Empresas como certificados de cartão inteligentes e os fatores biométricos estarão disponíveis quando um usuário é solicitado a autorizar o uso da chave privada do certificado
Essa configuração de política é incompatível com Windows Hello para Empresas credenciais provisionadas quando Desativar a emulação de cartão inteligente está habilitada.
|
Caminho |
CSP |
./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/ UseHelloCertificatesAsSmartCardCertificates |
GPO |
Configuração> do computadorModelos administrativos>Componentes do> WindowsWindows Hello para Empresas |