Guia de implantação somente na nuvem

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Este artigo descreve Windows Hello para Empresas funcionalidades ou cenários que se aplicam a:

• Tipo de implantação:
• Tipo de junção: Microsoft Entra ingressar

---

Requisitos

Antes de iniciar a implantação, examine os requisitos descritos no artigo Planejar um Windows Hello para Empresas Implantação.

Verifique se os seguintes requisitos são atendidos antes de começar:

• Authentication
• Configuração do dispositivo
• Licenciamento para serviços de nuvem
• Preparar usuários para usar Windows Hello

Etapas de implantação

Depois que os pré-requisitos forem atendidos, a implantação de Windows Hello para Empresas consiste nas seguintes etapas:

• Definir as configurações de política do Windows Hello para Empresas
• Registrar-se em Windows Hello para Empresas

Definir as configurações de política do Windows Hello para Empresas

Quando você Microsoft Entra ingressar em um dispositivo, o sistema tenta registrá-lo automaticamente no Windows Hello para Empresas. Se você quiser usar Windows Hello para Empresas em um ambiente somente na nuvem com suas configurações padrão, não há nenhuma configuração extra necessária.

As implantações somente na nuvem usam Microsoft Entra MFA (autenticação multifator) durante Windows Hello para Empresas registro e não há nenhuma outra configuração de MFA necessária. Se você ainda não estiver registrado no MFA, será guiado pelo registro de MFA como parte do processo de registro Windows Hello para Empresas.

As configurações de política podem ser configuradas para controlar o comportamento de Windows Hello para Empresas, por meio do CSP (provedor de serviço de configuração) ou da política de grupo (GPO). Em implantações somente na nuvem, os dispositivos normalmente são configurados por meio de uma solução MDM como Microsoft Intune, usando o CSP PassportForWork.

Observação

Examine o artigo Configurar Windows Hello para Empresas usando Microsoft Intune para saber mais sobre as diferentes opções oferecidas pelo Microsoft Intune para configurar Windows Hello para Empresas.

Se a política Intune em todo o locatário estiver configurada para desabilitar Windows Hello para Empresas ou se os dispositivos forem implantados com Windows Hello desabilitados, você deverá configurar uma configuração de política para habilitar Windows Hello para Empresas:

• Usar o Windows Hello para Empresas

Outra configuração opcional, mas recomendada, de política é:

• Usar um dispositivo de segurança de hardware

Siga as instruções abaixo para configurar seus dispositivos usando Microsoft Intune ou GPO (política de grupo).

Intune/CSP

Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:

Categoria	Nome da configuração	Valor
Windows Hello para Empresas	Usar o Passport for Work	true
Windows Hello para Empresas	Exigir dispositivo de segurança	true

Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.

Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP PassportForWork.

Configuração
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/UsePassportForWork - Tipo de dados:bool - Valor:True
- OMA-URI:./Device/Vendor/MSFT/PassportForWork/{TenantId}/Policies/RequireSecurityDevice - Tipo de dados:bool - Valor:True

GPO

Para configurar um dispositivo com política de grupo, use a Política de Grupo Editor Local.

Caminho da política de grupo	Configuração de política de grupo	Valor
Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Hello para Empresas or Configuração do usuário\Modelos Administrativos\Componentes do Windows\Windows Hello para Empresas	Usar o Windows Hello para Empresas	Habilitado
Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Hello para Empresas	Usar um dispositivo de segurança de hardware	Habilitado

Dica

Se você estiver usando Microsoft Intune e não estiver usando a política em todo o locatário, habilite a ESP (Página de Status de Registro) para garantir que os dispositivos recebam as configurações da política de Windows Hello para Empresas antes que os usuários possam acessar sua área de trabalho. Para obter mais informações sobre o ESP, consulte Configurar a Página de Status de Registro.

Mais configurações de política podem ser configuradas para controlar o comportamento de Windows Hello para Empresas. Para obter mais informações, consulte Windows Hello para Empresas configurações de política.

Registrar-se em Windows Hello para Empresas

O processo de provisionamento Windows Hello para Empresas começa imediatamente após a entrada de um usuário, se determinadas verificações de pré-requisito forem passadas.

Experiência do usuário

Depois que um usuário entra, o processo de registro Windows Hello para Empresas começa:

1. Se o dispositivo der suporte à autenticação biométrica, o usuário será solicitado a configurar um gesto biométrico. Esse gesto pode ser usado para desbloquear o dispositivo e autenticar-se em recursos que exigem Windows Hello para Empresas. O usuário pode ignorar essa etapa se não quiser configurar um gesto biométrico
2. O usuário é solicitado a usar Windows Hello com a conta da organização. O usuário seleciona OK
3. O fluxo de provisionamento prossegue para a parte de autenticação multifator do registro. O provisionamento informa ao usuário que ele está ativamente tentando contatar o usuário por meio de sua forma configurada de MFA. O processo de provisionamento não prossegue até que a autenticação seja bem-sucedida, falhe ou tenha um tempo limite. Uma MFA com falha ou tempo limite resulta em um erro e pede que o usuário tente novamente
4. Após um MFA bem-sucedido, o fluxo de provisionamento pede ao usuário para criar e validar um PIN. Esse PIN deve observar quaisquer políticas de complexidade pin configuradas no dispositivo
5. O restante do provisionamento inclui o Windows Hello para Empresas, que solicita um par de chaves assimétricas para o usuário, preferencialmente do TPM (ou obrigatório se definido explicitamente por meio da política). Depois que o par de chaves é adquirido, o Windows se comunica com o IdP para registrar a chave pública. Quando o registro de chave é concluído, Windows Hello para Empresas provisionamento informa ao usuário que ele pode usar seu PIN para entrar. O usuário pode fechar o aplicativo de provisionamento e acessar sua área de trabalho

Diagramas de sequência

Para entender melhor os fluxos de provisionamento, examine os seguintes diagramas de sequência com base no tipo de autenticação:

• Provisionamento para dispositivos ingressados Microsoft Entra com autenticação gerenciada
• Provisionamento para dispositivos ingressados Microsoft Entra com autenticação federada

Para entender melhor os fluxos de autenticação, examine o seguinte diagrama de sequência:

• Microsoft Entra autenticação de junção ao Microsoft Entra ID

Desabilitar o registro automático

Se você quiser desabilitar o registro automático Windows Hello para Empresas, poderá configurar seus dispositivos com uma configuração de política ou chave de registro. Para obter mais informações, consulte Desabilitar Windows Hello para Empresas registro.

Observação

Durante o fluxo de OOBE (experiência fora de caixa) de um Microsoft Entra junção, você é orientado a se registrar em Windows Hello para Empresas quando não tiver Intune. Você pode cancelar a tela PIN e acessar a área de trabalho sem se registrar em Windows Hello para Empresas.