Partilhar via

Integrar o Windows Hello para Empresas com o Microsoft Intune

  • Artigo

Pode integrar Windows Hello para Negócios com Microsoft Intune, durante a inscrição do dispositivo.

O Hello para Empresas é um método de início de sessão alternativo que utiliza o Active Directory ou uma conta do Azure Active Directory para substituir uma palavra-passe, um smart card ou um smart card virtual. Pode utilizar um gesto de utilizador para iniciar sessão, em vez de uma palavra-passe. Um gesto do utilizador pode ser um PIN, uma autenticação biométrica, como Windows Hello, ou um dispositivo externo, como um leitor de impressões digitais.

O Intune integra o Hello para Empresas de duas formas:

  • Inquilina ampla (este artigo): Uma política intune pode ser criada ao abrigo da inscrição do Dispositivo. Esta política destina-se a toda a organização (ao nível dos inquilinos). Suporta a experiência Windows AutopPilot fora da caixa (OOBE) e é aplicada quando um dispositivo se inscreve.
  • Grupos discretos: Para dispositivos que tenham se matriculado previamente com o Intune, utilize um perfil de proteção de identidade de configuração do dispositivo para configurar dispositivos para Windows Hello para o Negócio. Os perfis de proteção de identidade podem visar utilizadores ou dispositivos atribuídos e aplicar durante o check-in.

Além disso, a Intune suporta os seguintes tipos de política para gerir algumas configurações para Windows Hello para negócios:

O restante deste artigo centra-se na criação de um Windows Hello padrão para a política de negócios que visa toda a sua organização.

Importante

Antes da Atualização de Aniversário, pode definir dois PINS diferentes que poderiam ser usados para autenticar recursos:

  • O PIN do dispositivo podia ser utilizado para desbloquear o dispositivo e estabelecer ligação a recursos na cloud.
  • O PIN de trabalho foi utilizado para aceder aos recursos Azure AD nos dispositivos pessoais do utilizador (BYOD).

Na Atualização de Aniversário, estes dois PINs foram unidos num único PIN do dispositivo. Agora, tanto as políticas de configuração do Intune que definiu para controlar o PIN do dispositivo, e adicionalmente, quaisquer políticas do Windows Hello para Empresas que tenha configurado, definem este novo valor PIN. Se tiver definido ambos os tipos de política para controlar o PIN, aplica-se o Windows Hello para a política de Negócios. Para garantir que os conflitos de políticas são resolvidos e que a política de PIN é aplicada corretamente, atualize a sua Política do Windows Hello para Empresas para corresponder às definições na sua política de configuração e peça aos seus utilizadores para sincronizarem os seus dispositivos na aplicação Portal da Empresa.

Criar uma política do Windows Hello para Empresas

  1. Inicie sessão no centro de administração do Microsoft Endpoint Manager.

  2. Vá a Dispositivos > de Inscrição > De Dispositivos Windows Windows Hello de > inscrição para > Negócios. Abre o Windows Hello para o painel de negócios.

  3. Selecione entre as seguintes opções para configurar Windows Hello para Negócios:

    • Ativado. Selecione esta definição se pretender configurar as definições do Windows Hello para Empresas. Quando seleciona Ativado, as definições adicionais para Windows Hello são visíveis e podem ser configuradas para dispositivos.

    • Deficientes. Se não pretender ativar Windows Hello para Negócios durante a inscrição no dispositivo, selecione esta opção. Quando desativado, os utilizadores não podem providenciar Windows Hello para o Negócio. Quando definido para Desativado, ainda pode configurar as definições subsequentes para Windows Hello para Negócios, mesmo que esta política não permita Windows Hello para Negócios.

    • Não configurado. Selecione esta definição se não pretender utilizar o Intune para controlar as definições do Windows Hello para Empresas. Qualquer Windows Hello existente para configurações de Negócios em dispositivos Windows 10 não é alterado. Todas as outras definições no painel não estão disponíveis.

  4. Se selecionou Ativado na etapa anterior, configufique as definições necessárias que são aplicadas a todos os dispositivos Windows 10 matriculados. Depois de configurar estas definições, selecione Guardar.

    • Utilize um Módulo de Plataforma Fidedigna (TPM):

      Um chip TPM fornece uma camada adicional de segurança de dados. Escolha um dos seguintes valores:

      • Obrigatório (predefinição). Apenas os dispositivos com um TPM acessível podem aprovisionar o Windows Hello para Empresas.
      • Preferencial. Os dispositivos tentam utilizar primeiro um TPM. Se esta opção não estiver disponível, podem usar encriptação de software.

    • Comprimento mínimo de PIN e comprimento máximo do PIN:

      Configura os dispositivos para utilizar os comprimentos mínimo e máximo do PIN que especificar para ajudar a garantir o início de sessão seguro. O comprimento predefinido do PIN é de seis carateres, mas pode impor um comprimento mínimo de quatro carateres. O comprimento máximo do PIN é de 127 carateres.

    • Letras minúsculas em PIN, letras maiúsculas em PIN, e caracteres especiais em PIN.

      Pode impor um PIN mais forte ao exigir a utilização de letras maiúsculas, letras minúsculas e carateres especiais no PIN. Para cada um, selecione a partir de:

      • Permitido. Os utilizadores podem usar o tipo de caracteres no seu PIN, mas não é obrigatório.

      • Necessário . Os utilizadores têm de incluir, pelo menos, um dos tipos de caráter no PIN. Por exemplo, é prática comum exigir pelo menos uma letra maiúscula e um caráter especial.

      • Não permitido (predefinição). Os utilizadores não devem utilizar estes tipos de carateres no seu PIN. (Este é também o comportamento se a definição não estiver configurada.)

        Personagens especiais incluem: ! " # $ % & ' () * + , - / : ; < = > ? [ \ ] ^ _ ` { | } ~

    • Expiração do PIN (dias):

      É recomendável especificar um período de expiração para um PIN, após o qual os utilizadores têm de alterá-lo. A predefinição é de 41 dias.

    • Lembre-se da história do PIN:

      Restringe a reutilização de PINs utilizados anteriormente. Por padrão, os últimos 5 PINs não podem ser reutilizados.

    • Permitir a autenticação biométrica:

      Permite a autenticação biométrica, como reconhecimento facial ou impressão digital, como alternativa a um PIN, no Windows Hello para Empresas. Os utilizadores continuam a ter de configurar um PIN, para a eventualidade de a autenticação biométrica falhar. Escolha entre:

      • Sim. O Windows Hello para Empresas permite a autenticação biométrica.
      • Não. O Windows Hello para Empresas impede a autenticação biométrica (para todos os tipos de conta).

    • Utilize anti-falsificação melhorada, quando disponível:

      Configura se as características anti-falsificação de Windows Hello são utilizadas em dispositivos que o suportam. Por exemplo, detetar uma fotografia de um rosto em vez de um rosto real.

      Quando definido para Sim, Windows requer que todos os utilizadores utilizem anti-falsificação para funcionalidades faciais quando isso é suportado.

    • Permitir a inscrição no telefone:

      Se esta opção estiver definida como Sim, os utilizadores podem utilizar um passaporte remoto para servir de dispositivo complementar portátil para autenticação de computadores de secretária. O computador de secretária tem de estar associado ao Azure Active Directory e o dispositivo complementar tem de ser configurado com um PIN do Windows Hello para Empresas.

    • Utilize as chaves de segurança para iniciar s-in:

      Quando definido para Ativar, esta definição fornece a capacidade de ligar/desligar remotamente Windows Hello Chaves de Segurança para todos os computadores da organização de um cliente.

Suporte do Windows Holographic for Business

Windows Holographic for Business suporta as seguintes configurações para Windows Hello para negócios:

  • Utilizar um Trusted Platform Module (TPM)
  • Comprimento mínimo do PIN
  • Comprimento máximo do PIN
  • Letras em minúsculas no PIN
  • Letras em maiúsculas no PIN
  • Carateres especiais no PIN
  • Expiração do PIN (dias)
  • Memorizar histórico de PIN

Passos seguintes

Para mais informações sobre Windows Hello para Negócios, consulte o guia na documentação Windows 10.