Configurações de perfil de proteção de identidade no Intune para Windows Hello para Empresas

  • Artigo

Observação

O Intune pode dar suporte a mais configurações do que as configurações listadas neste artigo. Nem todas as configurações estão documentadas e não serão documentadas. Para ver as configurações que você pode configurar, crie uma política de configuração de dispositivo e selecione Catálogo de Configurações. Para obter mais informações, acesse Catálogo de configurações.

Este artigo descreve Windows Hello para Empresas configurações que você pode configurar em um perfil de proteção de identidade. Os perfis de proteção de identidade fazem parte da política de configuração do dispositivo no Microsoft Intune. Com um perfil de proteção de identidade, você pode configurar configurações em grupos discretos de dispositivos Windows 10/11. Para configurar Windows Hello para Empresas locatário em todo o locatário, como parte do registro do dispositivo, consulte a seção Criar uma política de Windows Hello para Empresas em Integrar Windows Hello para Empresas com Microsoft Intune. Esta seção descreve não apenas como criar uma política de configuração em todo o locatário, mas também descreve as configurações da política de registro.

Você pode encontrar informações adicionais sobre essas configurações em Configurar configurações de política de Windows Hello para Empresas, na documentação Windows Hello.

Para saber mais sobre perfis de proteção de identidade no Intune, consulte configurar a proteção de identidade.

Antes de começar

Crie um perfil de configuração.

Windows Hello para Empresas

  • Configurar Windows Hello para Empresas:

    • Não configurado (padrão) – selecione essa configuração se você não quiser usar o Intune para controlar Windows Hello para Empresas configurações. As configurações de Windows Hello para Empresas existentes em dispositivos Windows 10/11 não são alteradas. Nenhuma outra configuração no painel está disponível.

    • Desabilitar - Se você não quiser usar Windows Hello para Empresas, selecione essa configuração. Todas as outras configurações na tela não estão disponíveis.

    • Habilitar – selecione essa configuração se você quiser configurar Windows Hello para Empresas configurações.

    Quando definido como Habilitar, as seguintes configurações estão disponíveis:

    • Tamanho mínimo do PIN
      Especifique um comprimento mínimo de PIN para dispositivos, de 4 a 127 caracteres. Por padrão, essa configuração não está configurada.

    • Tamanho máximo do PIN
      Especifique um comprimento máximo de PIN para dispositivos, de quatro a 127 caracteres. Por padrão, essa configuração não está configurada.

    • Letras minúsculas no PIN
      Se necessário, o PIN do usuário deve incluir pelo menos uma letra minúscula. Por padrão, essa configuração não está configurada.

      • Não permitido – impedir que os usuários usem letras minúsculas no PIN. Esse comportamento também ocorrerá se a configuração não estiver configurada.
      • Permitido – permitir que os usuários usem letras minúsculas no PIN, mas isso não é necessário.
      • Obrigatório – os usuários devem incluir pelo menos uma letra minúscula no PIN. Por exemplo, é uma prática comum exigir pelo menos uma letra maiúscula e um caractere especial.

    • Letras maiúsculas no PIN
      Se necessário, o PIN do usuário deve incluir pelo menos uma letra maiúscula. Por padrão, essa configuração não está configurada.

      • Não permitido – bloqueie os usuários de usar letras maiúsculas no PIN. Esse comportamento também ocorrerá se a configuração não estiver configurada.
      • Permitido – permitir que os usuários usem letras maiúsculas no PIN, mas isso não é necessário.
      • Obrigatório – os usuários devem incluir pelo menos uma letra maiúscula no PIN. Por exemplo, é uma prática comum exigir pelo menos uma letra maiúscula e um caractere especial.

    • Caracteres especiais no PIN
      Se necessário, o PIN do usuário deve incluir pelo menos um caractere especial. Os caracteres especiais incluem: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~

      • Não permitido (padrão) – bloquear os usuários de usar caracteres especiais no PIN. Esse comportamento também ocorrerá se a configuração não estiver configurada.
      • Permitido – permitir que os usuários usem letras maiúsculas no PIN, mas isso não é necessário.
      • Obrigatório – os usuários devem incluir pelo menos uma letra maiúscula no PIN. Por exemplo, é uma prática comum exigir pelo menos uma letra maiúscula e um caractere especial.

    • Término do PIN (dias)
      Se configurado, o usuário será forçado a alterar seu PIN após o número definido de dias. O usuário ainda pode alterar proativamente seu PIN antes da expiração. Por padrão, essa configuração não está configurada.

    • Lembrar do histórico do PIN
      Se configurado, o usuário não poderá reutilizar esse número de PINs anteriores. Por padrão, essa configuração não está configurada.

    • Habilitar a recuperação de PIN
      Permite que o usuário use o serviço de recuperação de PIN Windows Hello para Empresas.

      • Habilitar – o segredo de recuperação de PIN é armazenado no dispositivo e o usuário pode alterar seu PIN, se necessário.
      • Não configurado (padrão) – O segredo de recuperação não é criado ou armazenado.

    • Usar um TPM (Módulo de Plataforma Confiável)
      Um chip TPM fornece uma camada adicional de segurança de dados.

      • Habilitar – somente dispositivos com um TPM acessível podem provisionar Windows Hello para Empresas.
      • Não configurado (padrão) – os dispositivos primeiro tentam usar um TPM. Se um TPM não estiver disponível, ele poderá usar a criptografia de software.

    • Permitir autenticação biométrica
      Se permitido, Windows Hello para Empresas pode autenticar usando gestos, como rosto e impressão digital. Os usuários ainda devem configurar um PIN em caso de falha.

      • Habilitar - Windows Hello para Empresas permite a autenticação biométrica.
      • Não configurado (padrão) – Windows Hello para Empresas impede a autenticação biométrica (para todos os tipos de conta).

    • Usar anti-falsificação aprimorada quando disponível
      Se habilitados, os dispositivos usam anti-falsificação aprimorada quando disponíveis (por exemplo, detectando uma fotografia de um rosto em vez de um rosto real).

      • Habilitar – o Windows exige que todos os usuários usem anti-falsificação para recursos faciais quando há suporte.
      • Não configurado (padrão) – o Windows honra as configurações anti-falsificação no dispositivo.

    • Certificado para recursos locais

      • Habilitar – permite que Windows Hello para Empresas use certificados para se autenticar em recursos locais.
      • Não configurado (padrão) – impede que Windows Hello para Empresas use certificados para se autenticar em recursos locais. Em vez disso, os dispositivos usam o comportamento padrão da autenticação local de confiança de chave. Para obter mais informações, consulte Certificado de usuário para autenticação local na documentação Windows Hello.

  • Usar chaves de segurança para entrar
    Essa configuração está disponível para dispositivos que executam Windows 10 versão 1903 ou posterior ou Windows 11. Use-o para gerenciar o suporte para usar Windows Hello chaves de segurança para entrada.

    • Habilitar – os usuários podem usar uma chave de segurança Windows Hello como uma credencial de entrada para computadores direcionados a essa política.
    • Não configurado – as chaves de segurança estão desabilitadas e os usuários não podem usá-las para entrar em PCs.

Próximas etapas

Atribuir o perfil e monitorar seu status.