Ativar o teste de entrada na chave de segurança sem palavras-passe para Windows 10 dispositivos com o Azure Ative Directory

Este documento centra-se em permitir a autenticação sem palavras-passe baseada em chaves de segurança FIDO2 com dispositivos Windows 10. No final deste artigo, poderá inscrever-se tanto no seu Azure AD como no Azure AD híbrido juntou-se Windows 10 dispositivos com a sua conta Azure AD utilizando uma chave de segurança FIDO2.

Requisitos

Tipo de Dispositivo Azure AD associado associado ao Azure AD Híbrido
Multi-Factor Authentication do Azure AD X X
Registo combinado de informações de segurança X X
Chaves de segurança FIDO2 compatíveis X X
WebAuthN requer Windows 10 versão 1903 ou superior X X
Azure AD dispositivos associados requerem Windows 10 versão 1909 ou superior X
Dispositivos híbridos Azure AD associados requerem Windows 10 versão 2004 ou superior X
Controladores de domínio totalmente remendados Windows Server 2016/2019. X
Azure AD módulo de gestão de autenticação híbrida X
Microsoft Endpoint Manager (Opcional) X X
Pacote de provisionamento (Opcional) X X
Política de Grupo (Opcional) X

Cenários não suportados

Os seguintes cenários não são suportados:

  • Windows Server Ative Directory Serviços de Domínio (AD DS) de área unida (apenas dispositivos no local).
  • Cenários RDP, VDI e Citrix usando uma chave de segurança.
  • S/MIME utilizando uma chave de segurança.
  • "Corra como" usando uma chave de segurança.
  • Faça login num servidor usando uma chave de segurança.
  • Se não usou a sua chave de segurança para iniciar sôm no seu dispositivo enquanto está online, não pode usá-la para iniciar sôm ou desbloquear offline.
  • Iniciar ou desbloquear um dispositivo Windows 10 com uma chave de segurança contendo várias contas Azure AD. Este cenário utiliza a última conta adicionada à chave de segurança. A WebAuthN permite que os utilizadores escolham a conta que pretendem utilizar.
  • Desbloqueie um dispositivo em execução Windows 10 versão 1809. Para uma melhor experiência, use Windows 10 versão de 1903 ou superior.

Preparar dispositivos

Azure AD dispositivos associados devem funcionar Windows 10 versão 1909 ou superior.

Os dispositivos híbridos Azure AD aderidos devem funcionar Windows 10 versão de 2004 ou mais recente.

Ativar as chaves de segurança para o iniciar s-in do Windows

As organizações podem optar por utilizar um ou mais dos seguintes métodos para permitir a utilização de chaves de segurança para o sin-in do Windows com base nos requisitos da sua organização:

Importante

As organizações com dispositivos híbridos Azure AD associados devem também completar os passos do artigo, permitir a autenticação FIDO2 aos recursos no local antes Windows 10 trabalhos de autenticação da chave de segurança FIDO2.

As organizações com dispositivos Azure AD aderidos devem fazê-lo antes que os seus dispositivos possam autenticar recursos no local com chaves de segurança FIDO2.

Ativar com Endpoint Manager

Para permitir a utilização de chaves de segurança utilizando Endpoint Manager, complete os seguintes passos:

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.
  2. Navegue para dispositivosinscrever dispositivos>>A inscrição>do Windows Windows Hello para Empresas.
  3. Detiver as teclas de segurança para iniciar sôms emativação.

A configuração das chaves de segurança para o sing-in não depende da configuração Windows Hello para Empresas.

Implantação de Endpoint Manager direcionada

Para direcionar grupos de dispositivos específicos para permitir ao fornecedor de credenciais, utilize as seguintes definições personalizadas através de Endpoint Manager:

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.
  2. Navegue para dispositivos> perfis >de configuraçãodo Windows>Crie perfil.
  3. Configure o novo perfil com as seguintes definições:
    • Plataforma: Windows 10 e mais tarde
    • Tipo de perfil: Modelos personalizados >
    • Nome: Chaves de segurança para Sign-In windows
    • Descrição: Permite que as chaves de segurança DO FIDO sejam utilizadas durante o S.A. do Windows
  4. Clique em Next>Add e em Add Row, adicione as seguintes definições personalizadas de OMA-URI:
    • Nome: Ligue as chaves de segurança do FIDO para Sign-In Windows
    • Descrição: (Opcional)
    • OMA-URI: ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UseSecurityKeyForSignin
    • Tipo de dados: Inteiro
    • Valor: 1
  5. As restantes definições de política incluem a atribuição a utilizadores, dispositivos ou grupos específicos. Para obter mais informações, consulte atribuir perfis de utilizador e dispositivo na Microsoft Endpoint Manager.

Permitir com um pacote de provisionamento

Para dispositivos não geridos pela Microsoft Endpoint Manager, pode ser instalado um pacote de provisionamento para ativar a funcionalidade. A aplicação Do Designer de Configuração do Windows pode ser instalada a partir da Microsoft Store. Preencha os seguintes passos para criar um pacote de provisionamento:

  1. Lançar o Designer de Configuração do Windows.
  2. Selecione onovo projeto de arquivo>.
  3. Dê um nome ao seu projeto e tome nota do caminho onde o seu projeto é criado e, em seguida, selecione Next.
  4. Deixe o pacote de Provisioning selecionado como o fluxo de trabalho do projeto selecionado e selecione Seguinte.
  5. Selecione todas as edições para desktop do Windows em Escolha quais as definições para visualizar e configurar e, em seguida, selecione Seguinte.
  6. Selecione Concluir.
  7. No seu projeto recém-criado, navegue para configurações de tempo de execução>WindowsHelloForBusiness>SecurityKeys>UseSecurityKeyForSignIn.
  8. Defina useSecurityKeyForSignIn para ativar.
  9. Selecione pacotede provisionamento de exportação>
  10. Deixe as predefinições na janela Build sob descrever o pacote de provisionamento e, em seguida, selecione Seguinte.
  11. Deixe as predefinições na janela Build sob os detalhes de segurança Selecione para o pacote de provisionamento e selecione Seguinte.
  12. Tome nota ou altere o caminho na janela Compilar em Selecionar onde guardar o pacote de aprovisionamento e selecione Seguinte.
  13. Selecione Construir na página de pacote de provisionamento .
  14. Guarde os dois ficheiros criados (ppkg e gato) para um local onde possa aplicá-los mais tarde às máquinas.
  15. Para aplicar o pacote de provisionamento que criou, consulte aplicar um pacote de provisionamento.

Nota

Os dispositivos em execução Windows 10 versão 1903 também devem ativar o modo pc partilhado (EnableSharedPCMode). Para obter mais informações sobre como ativar esta funcionalidade, consulte Configurar um PC partilhado ou convidado com Windows 10.

Ativar com Política de Grupo

Para dispositivos híbridos Azure AD aderidos, as organizações podem configurar a seguinte definição de Política de Grupo para permitir o sinal de insuflação da chave de segurança FIDO. A definição pode ser encontrada no início doinício de sposição>do sistema> demodelos administrativos> de configuração>do computador:

  • Definir esta política para Enabled permite que os utilizadores entrem com chaves de segurança.
  • A definição desta política para desativar ou não configurar impede que os utilizadores entrem com teclas de segurança.

Esta definição Política de Grupo requer uma versão atualizada do CredentialProviders.admx modelo Política de Grupo. Este novo modelo está disponível com a próxima versão do Windows Server e com Windows 10 20H1. Esta definição pode ser gerida com um dispositivo que executa uma destas versões mais recentes do Windows ou centralmente seguindo as orientações no tópico de suporte, Como criar e gerir a Loja Central para Política de Grupo Modelos Administrativos no Windows.

Inscreva-se com a chave de segurança FIDO2

No exemplo abaixo, um utilizador chamado Bala Sandhu já forrei a sua chave de segurança FIDO2 usando os passos no artigo anterior, Ativar o sinal de chave de segurança sem palavras-passe. Para dispositivos híbridos Azure AD ligados, certifique-se de que também ativou o acesso à chave de segurança sem palavras-passe para os recursos no local. A Bala pode escolher o fornecedor de credenciais chave de segurança do ecrã de bloqueio Windows 10 e inserir a chave de segurança para assinar no Windows.

Início de s indicado na chave de segurança no ecrã de bloqueio de Windows 10

Gerir a chave de segurança biométrica, PIN ou redefinir a chave de segurança

  • Windows 10 versão 1903 ou superior
    • Os utilizadores podem abrir as Definições do Windows nachave de segurançade contas> do dispositivo >
    • Os utilizadores podem alterar o pin, atualizar a biometria ou redefinir a sua chave de segurança

Resolução de problemas e feedback

Se quiser partilhar comentários ou encontrar problemas sobre esta funcionalidade, partilhe através da aplicação Hub de Comentários do Windows utilizando os seguintes passos:

  1. Lance o Feedback Hub e certifique-se de que está assinado.
  2. Enviar feedback ao abrigo da seguinte categorização:
    • Categoria: Segurança e Privacidade
    • Subcategoria: FIDO
  3. Para capturar registos, use a opção para recriar o meu problema.

Passos seguintes

Permitir o acesso aos recursos no local para dispositivos Azure AD e híbridos Azure AD ligados

Saiba mais sobre o registo do dispositivo

Saiba mais sobre Azure AD autenticação multi-factor