Windows Hello para EmpresasWindows Hello for Business Overview

Aplicável aoApplies to

  • Windows 10Windows10

No Windows10, o Windows Hello para empresas substitui senhas com autenticação de dois fatores fortes em computadores e dispositivos móveis.In Windows10, Windows Hello for Business replaces passwords with strong two-factor authentication on PCs and mobile devices. Essa autenticação consiste em um novo tipo de credencial de usuário vinculado a um dispositivo e usa biometria ou um PIN.This authentication consists of a new type of user credential that is tied to a device and uses a biometric or PIN.

Observação

No início, o Windows 10 incluía o Microsoft Passport e o Windows Hello, que funcionavam em conjunto para oferecer a autenticação multifator.When Windows 10 first shipped, it included Microsoft Passport and Windows Hello, which worked together to provide multi-factor authentication. Para simplificar a implantação e melhorar a capacidade de suporte, a Microsoft combinou essas tecnologias em uma única solução com o nome Windows Hello.To simplify deployment and improve supportability, Microsoft has combined these technologies into a single solution under the Windows Hello name. Os clientes que já implantaram essas tecnologias não perceberão nenhuma alteração na funcionalidade.Customers who have already deployed these technologies will not experience any change in functionality. Os clientes que ainda precisam avaliar o Windows Hello acharão mais fácil implantar devido à semântica, à documentação e às políticas simplificadas.Customers who have yet to evaluate Windows Hello will find it easier to deploy due to simplified policies, documentation, and semantics.

O Windows Hello aborda os seguintes problemas com senhas:Windows Hello addresses the following problems with passwords:

  • Senhas fortes podem ser difíceis de lembrar, e os usuários geralmente reutilizam senhas em vários sites.Strong passwords can be difficult to remember, and users often reuse passwords on multiple sites.
  • As violações de servidor podem expor as credenciais de rede simétricas (senhas).Server breaches can expose symmetric network credentials (passwords).
  • As senhas estão sujeitas a ataques de reprodução.Passwords are subject to replay attacks.
  • Os usuários podem inadvertidamente expor suas senhas devido a ataques de phishing.Users can inadvertently expose their passwords due to phishing attacks.

O Windows Hello permite que os usuários se autentiquem em:Windows Hello lets users authenticate to:

  • uma conta da Microsoft.a Microsoft account.
  • uma conta do Active Directory.an Active Directory account.
  • uma conta do Microsoft Azure Active Directory (Azure AD).a Microsoft Azure Active Directory (Azure AD) account.
  • Serviços de Provedor de Identidade ou Serviços de Terceiros Confiáveis que aceitam a autenticação Fast ID Online (FIDO) v2.0 (em andamento)Identity Provider Services or Relying Party Services that support Fast ID Online (FIDO) v2.0 authentication (in progress)

Após uma verificação inicial em duas etapas do usuário durante o registro, o Windows Hello é configurado no dispositivo do usuário, e o Windows solicita que o usuário defina um gesto, que pode ser um biométrico, como impressão digital, ou um PIN.After an initial two-step verification of the user during enrollment, Windows Hello is set up on the user's device and Windows asks the user to set a gesture, which can be a biometric, such as a fingerprint, or a PIN. O usuário fornece o gesto para verificar sua identidade.The user provides the gesture to verify their identity. Em seguida, o Windows usa o Windows Hello para autenticar os usuários.Windows then uses Windows Hello to authenticate users.

Como administrador de uma organização corporativa ou educacional, você pode criar políticas para gerenciar o uso do Windows Hello para empresas em dispositivos baseados em Windows10 que se conectam à sua organização.As an administrator in an enterprise or educational organization, you can create policies to manage Windows Hello for Business use on Windows10-based devices that connect to your organization.

Entrada biométricaBiometric sign-in

O Windows Hello oferece uma autenticação biométrica confiável e totalmente integrada baseada no reconhecimento facial ou na comparação de impressões digitais.Windows Hello provides reliable, fully integrated biometric authentication based on facial recognition or fingerprint matching. O Windows Hello usa uma combinação de software e câmeras com infravermelho (IV) para melhorar a precisão e proteger contra falsificação.Windows Hello uses a combination of special infrared (IR) cameras and software to increase accuracy and guard against spoofing. Os principais fornecedores de hardware estão disponibilizando dispositivos integraram câmeras compatíveis com o Windows Hello.Major hardware vendors are shipping devices that have integrated Windows Hello-compatible cameras. O hardware do leitor de impressão digital pode ser usado ou adicionado aos dispositivos que não têm atualmente.Fingerprint reader hardware can be used or added to devices that don't currently have it. Em dispositivos que dão suporte ao Windows Hello, um gesto de biometria fácil desbloqueia as credenciais dos usuários.On devices that support Windows Hello, an easy biometric gesture unlocks users' credentials.

  • Reconhecimento facial.Facial recognition. Esse tipo de reconhecimento biométrico usa câmeras especiais que usam a luz IV para enxergar, o que permite a diferenciação confiável entre uma fotografia ou digitalização e uma pessoa.This type of biometric recognition uses special cameras that see in IR light, which allows them to reliably tell the difference between a photograph or scan and a living person. Vários fornecedores fornecem câmeras externas com essa tecnologia, e os principais fabricantes de laptops também as estão incorporando em seus dispositivos.Several vendors are shipping external cameras that incorporate this technology, and major laptop manufacturers are incorporating it into their devices, as well.
  • Reconhecimento de impressão digital.Fingerprint recognition. Esse tipo de reconhecimento biométrico usa um sensor de impressão digital capacitivo para digitalizar sua impressão digital.This type of biometric recognition uses a capacitive fingerprint sensor to scan your fingerprint. Os leitores de impressão digital estão disponíveis para computadores Windows há anos, mas a geração atual de sensores é muito mais confiável e menos propensa a erros.Fingerprint readers have been available for Windows computers for years, but the current generation of sensors is significantly more reliable and less error-prone. A maioria dos leitores de impressão digital existente (externos ou integrados a laptops ou teclados USB) funcionam com o Windows 10.Most existing fingerprint readers (whether external or integrated into laptops or USB keyboards) work with Windows 10.

O Windows armazena dados biométricos que são usados para implementar esses gestos do Windows Hello com segurança somente no dispositivo local.Windows stores biometric data that is used to implement Windows Hello securely on the local device only. Os dados biométricos não são movidos e nunca são enviados para dispositivos ou servidores externos.The biometric data doesn't roam and is never sent to external devices or servers. Como o Windows Hello somente armazena dados de identificação biométricas no dispositivo, não há um único ponto de coleção que um invasor pode comprometer para roubar dados biométricos.Because Windows Hello only stores biometric identification data on the device, there's no single collection point an attacker can compromise to steal biometric data. Para obter mais informações sobre a autenticação biométrica com o Windows Hello para empresas, consulte biometria do Windows Hello na empresa.For more information about biometric authentication with Windows Hello for Business, see Windows Hello biometrics in the enterprise.

A diferença entre o Windows Hello e o Windows Hello para EmpresasThe difference between Windows Hello and Windows Hello for Business

  • Os indivíduos podem criar um PIN ou um gesto biométrico nos dispositivos pessoais para uma entrada prática.Individuals can create a PIN or biometric gesture on their personal devices for convenient sign-in. Esse uso do Windows Hello é exclusivo para o dispositivo no qual ele está configurado, mas pode usar um hash de senha simples, dependendo do tipo de conta de um indivíduo.This use of Windows Hello is unique to the device on which it is set up, but can use a simple password hash depending on an individual's account type. Essa configuração é chamada de PIN de conveniência do Windows Hello e não é apoiada pela autenticação assimétrica (chave pública/privada) ou pela autenticação baseada em certificado.This configuration is referred to as Windows Hello convenience PIN and it is not backed by asymmetric (public/private key) or certificate-based authentication.

  • O Windows Hello para empresas, que é configurado pela política de grupo ou pela política de gerenciamento de dispositivo móvel (MDM), sempre usa a autenticação baseada em certificados ou por chave.Windows Hello for Business, which is configured by Group Policy or mobile device management (MDM) policy, always uses key-based or certificate-based authentication. Isso torna muito mais seguro do que o PIN de conveniência do Windows Hello.This makes it much more secure than Windows Hello convenience PIN.

Benefícios do Windows HelloBenefits of Windows Hello

Denúncias de roubo de identidade e violação em larga escala são notícias frequentes.Reports of identity theft and large-scale hacking are frequent headlines. Ninguém quer ser notificado de que seu nome de usuário e senha foram expostos.Nobody wants to be notified that their user name and password have been exposed.

Você pode estar se perguntando como um PIN pode ajudar a proteger um dispositivo melhor do que uma senha.You may wonder how a PIN can help protect a device better than a password. As senhas são segredos compartilhados; elas são inseridas em um dispositivo e transmitidas pela rede ao servidor.Passwords are shared secrets; they are entered on a device and transmitted over the network to the server. Um nome de conta e senha interceptadas podem ser usados por qualquer pessoa, em qualquer lugar.An intercepted account name and password can be used by anyone, anywhere. Como eles estão armazenados no servidor, uma violação do servidor pode revelar as credenciais armazenadas.Because they're stored on the server, a server breach can reveal those stored credentials.

No Windows10, o Windows Hello substitui senhas.In Windows10, Windows Hello replaces passwords. Quando o provedor de identidade dá suporte a teclas, o processo de provisionamento do Windows Hello cria um par de chaves criptográficas associado ao Trusted Platform Module (TPM), se um dispositivo tiver um TPM 2,0 ou no software.When the identity provider supports keys, the Windows Hello provisioning process creates a cryptographic key pair bound to the Trusted Platform Module (TPM), if a device has a TPM 2.0, or in software. O acesso a essas chaves e a obtenção de uma assinatura para validar a posse do usuário da chave privada são permitidos apenas pelo PIN ou gesto biométrico.Access to these keys and obtaining a signature to validate user possession of the private key is enabled only by the PIN or biometric gesture. A verificação em duas etapas que ocorre durante o registro do Windows Hello cria uma relação de confiança entre o provedor de identidade e o usuário quando a parte pública do par de chaves pública/privada é enviada a um provedor de identidade e associada a uma conta de usuário.The two-step verification that takes place during Windows Hello enrollment creates a trusted relationship between the identity provider and the user when the public portion of the public/private key pair is sent to an identity provider and associated with a user account. Quando um usuário entra no gesto do dispositivo, o provedor de identidade sabe da combinação de teclas de saudação e gesto de que essa é uma identidade verificada e fornece um token de autenticação que permite que o Windows10 acesse recursos e serviços.When a user enters the gesture on the device, the identity provider knows from the combination of Hello keys and gesture that this is a verified identity and provides an authentication token that allows Windows10 to access resources and services.

Observação

O Windows Hello como uma entrada conveniente usa a autenticação de nome e senha de usuário normais, sem que o usuário insira a senha.Windows Hello as a convenience sign-in uses regular user name and password authentication, without the user entering the password.

Como a autenticação funciona no Windows Hello

Imagine que alguém esteja atrás de você lhe observando enquanto tira dinheiro de um caixa eletrônico e vê o PIN que você inseriu.Imagine that someone is looking over your shoulder as you get money from an ATM and sees the PIN that you enter. Ter esse PIN não ajudará a pessoa a acessar sua conta, porque ela não têm o cartão que você usou no caixa eletrônico.Having that PIN won't help them access your account because they don't have your ATM card. Da mesma forma, saber o PIN de seu dispositivo não permite que esse invasor acesse sua conta, pois o PIN é local em seu dispositivo específico e não permite qualquer tipo de autenticação de qualquer outro dispositivo.In the same way, learning your PIN for your device doesn't allow that attacker to access your account because the PIN is local to your specific device and doesn't enable any type of authentication from any other device.

O Windows Hello ajuda a proteger as identidades e as credenciais dos usuários.Windows Hello helps protect user identities and user credentials. Como o usuário não insere uma senha (exceto durante o provisionamento), isso ajuda a evitar ataques de força bruta e phishing.Because the user doesn't enter a password (except during provisioning), it helps circumvent phishing and brute force attacks. Ele também ajuda a evitar violações de servidor porque as credenciais do Windows Hello são um par de chaves assimétricas, o que ajuda a impedir ataques de repetição quando essas chaves são protegidas por TPMs.It also helps prevent server breaches because Windows Hello credentials are an asymmetric key pair, which helps prevent replay attacks when these keys are protected by TPMs.

 

Como o Windows Hello para Empresas funciona: pontos-chaveHow Windows Hello for Business works: key points

  • As credenciais do Windows Hello são baseadas em certificado ou par de chaves assimétricas.Windows Hello credentials are based on certificate or asymmetrical key pair. As credenciais do Windows Hello podem ser associadas ao dispositivo, e o token que é obtido usando a credencial também é associado ao dispositivo.Windows Hello credentials can be bound to the device, and the token that is obtained using the credential is also bound to the device.
  • O provedor de identidade (como uma conta do Active Directory, Azure AD ou Microsoft) valida a identidade do usuário e mapeia a chave pública do Windows Hello para a conta de usuário durante a etapa de registro.Identity provider (such as Active Directory, Azure AD, or a Microsoft account) validates user identity and maps the Windows Hello public key to a user account during the registration step.
  • As chaves podem ser geradas em hardware (TPM 1.2 ou 2.0 para empresas, e TPM 2.0 para consumidores) ou em software, com base na política.Keys can be generated in hardware (TPM 1.2 or 2.0 for enterprises, and TPM 2.0 for consumers) or software, based on the policy.
  • Autenticação é a autenticação de dois fatores com a combinação de uma chave ou certificado ligada a um dispositivo e algo que a pessoa conhece (um pino) ou algo que a pessoa é (biometria).Authentication is the two-factor authentication with the combination of a key or certificate tied to a device and something that the person knows (a PIN) or something that the person is (biometrics). O gesto do Windows Hello não faz roaming entre dispositivos e não é compartilhado com o servidor.The Windows Hello gesture does not roam between devices and is not shared with the server. Os modelos de biometria são armazenados localmente em um dispositivo.Biometrics templates are stored locally on a device. O PIN nunca é armazenado ou compartilhado.The PIN is never stored or shared.
  • A chave privada nunca deixa um dispositivo ao usar o TPM.The private key never leaves a device when using TPM. O servidor de autenticação tem uma chave pública que é mapeada para a conta de usuário durante o processo de registro.The authenticating server has a public key that is mapped to the user account during the registration process.
  • Os gestos de entrada de pino e biométrica disparam Windows10 para usar a chave privada para assinar criptograficamente os dados enviados para o provedor de identidade.PIN entry and biometric gesture both trigger Windows10 to use the private key to cryptographically sign data that is sent to the identity provider. O provedor de identidade verifica a identidade do usuário e autentica o usuário.The identity provider verifies the user's identity and authenticates the user.
  • Contas pessoais (conta da Microsoft) e corporativas (Active Directory ou Azure AD) usam um único contêiner para chaves.Personal (Microsoft account) and corporate (Active Directory or Azure AD) accounts use a single container for keys. Todas as chaves são separadas por domínios dos provedores de identidade para ajudar a garantir a privacidade do usuário.All keys are separated by identity providers' domains to help ensure user privacy.
  • As chaves privadas do certificado podem ser protegidas pelo contêiner do Windows Hello e pelo gesto do Windows Hello.Certificate private keys can be protected by the Windows Hello container and the Windows Hello gesture.

Para obter detalhes, confira como o Windows Hello para Empresas funciona.For details, see How Windows Hello for Business works.

Comparação da autenticação com base em certificado e chaveComparing key-based and certificate-based authentication

O Windows Hello para Empresas pode usar chaves (hardware ou software) ou certificados em hardware ou software.Windows Hello for Business can use either keys (hardware or software) or certificates in hardware or software. As empresas que têm uma PKI (infraestrutura de chave pública) para emissão e gerenciamento de certificados de usuário final podem continuar a usar a PKI em combinação com o Windows Hello.Enterprises that have a public key infrastructure (PKI) for issuing and managing end user certificates can continue to use PKI in combination with Windows Hello. As empresas que não usam a PKI ou querem reduzir o esforço associado ao gerenciamento de certificados de usuário podem depender de credenciais baseadas em chaves para o Windows Hello, mas ainda usam certificados em seus controladores de domínio como uma raiz de confiança.Enterprises that do not use PKI or want to reduce the effort associated with managing user certificates can rely on key-based credentials for Windows Hello but still use certificates on their domain controllers as a root of trust.

O Windows Hello para empresas com uma chave não oferece suporte a credenciais fornecidas para RDP.Windows Hello for Business with a key does not support supplied credentials for RDP. O RDP não dá suporte à autenticação com uma chave ou um certificado auto-assinado.RDP does not support authentication with a key or a self signed certificate. O RDP com o Windows Hello para empresas tem suporte com implantações baseadas em certificado como uma credencial fornecida.RDP with Windows Hello for Business is supported with certificate based deployments as a supplied credential. A confiança da chave do Windows Hello para empresas pode ser usada com o Windows Defender Remote Credential Guard.Windows Hello for Business key trust can be used with Windows Defender Remote Credential Guard.

Saiba maisLearn more

Implementando a autenticação de usuário forte com o Windows Hello para empresasImplementing strong user authentication with Windows Hello for Business

Implementando o Windows Hello para Empresas na MicrosoftImplementing Windows Hello for Business at Microsoft

Introdução ao Windows Hello, apresentação em vídeo sobre a Microsoft Virtual AcademyIntroduction to Windows Hello, video presentation on Microsoft Virtual Academy

Autenticação por face Windows HelloWindows Hello face authentication

Windows 10: Acabando com o transtorno das ameaças cibernéticas com uma segurança inovadora!Windows 10: Disrupting the Revolution of Cyber-Threats with Revolutionary Security!

Windows 10: o fim das senhas e do roubo de credenciais?Windows 10: The End Game for Passwords and Credential Theft?

Tópicos relacionadosRelated topics