Definições do Windows Hello para Empresas no System Center Configuration ManagerWindows Hello for Business settings in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

System Center Configuration Manager permite-lhe integrar com o Windows Hello para empresas (anteriormente Microsoft Passport para Windows), que é um método alternativo início de sessão para dispositivos Windows 10.System Center Configuration Manager lets you integrate with Windows Hello for Business (formerly Microsoft Passport for Windows), which is an alternative sign-in method for Windows 10 devices. O Hello para Empresas utiliza o Active Directory ou uma conta do Azure Active Directory para substituir uma palavra-passe, um smart card ou um smart card virtual.Hello for Business uses Active Directory, or an Azure Active Directory account to replace a password, smart card, or virtual smart card.

Com o Hello para Empresas, pode utilizar um gesto de utilizador para iniciar sessão, em vez de uma palavra-passe.Hello for Business lets you use a user gesture to login, instead of a password. Um gesto de utilizador pode ser um PIN simples, uma autenticação biométrica ou um dispositivo externo, como um leitor de impressões digitais.A user gesture might be a simple PIN, biometric authentication, or an external device such as a fingerprint reader.

Saiba mais sobre o Windows Hello para empresasFind out more about Windows Hello for Business

O Configuration Manager é integrada com o Windows Hello para empresas de duas formas:Configuration Manager integrates with Windows Hello for Business in two ways:

  • Pode utilizar o Configuration Manager para controlar que utilizadores de gestos podem e não podem utilizar para iniciar sessão.You can use Configuration Manager to control which gestures users can and cannot use to sign in.

  • Pode armazenar certificados de autenticação no fornecedor de armazenamento de chaves (KSP) do Windows Hello para Empresas.You can store authentication certificates in the Windows Hello for Business key storage provider (KSP). Para obter mais informações, consulte o artigo perfis de certificado.For more information, see Certificate profiles.

  • Pode implementar o Windows Hello para as políticas de negócio para dispositivos Windows 10 associados a um domínio, que executam o cliente do Configuration Manager.You can deploy Windows Hello for Business policies to domain-joined Windows 10 devices that run the Configuration Manager client. Esta configuração é descrita no configurar Windows Hello para empresas em dispositivos Windows 10 associados a domínios, abaixo.This configuration is described in Configure Windows Hello for Business on domain-joined Windows 10 devices, below. Quando estiver a utilizar o Configuration Manager com o Intune (híbrido), pode configurar estas definições em dispositivos Windows 10 Mobile e Windows 10, mas não no dispositivos associados a um domínio que executam o cliente do Configuration Manager.When you are using Configuration Manager with Intune (hybrid), you can configure these settings on Windows 10, and Windows 10 Mobile devices, but not on domain-joined devices that run the Configuration Manager client. Consulte o artigo configurar Windows Hello para empresas definições (híbrido) para obter mais informações.See Configure Windows Hello for Business settings (hybrid) for more information.

Configurar o Windows Hello para empresas no associados a um domínio dispositivos Windows 10Configure Windows Hello for Business on domain-joined Windows 10 devices

Pode controlar o Windows Hello para definições de negócios nos dispositivos Windows 10 associados a um domínio três formas:You can control Windows Hello for Business settings on domain-joined Windows 10 devices in three ways:

  • Pode criar e implementar um Windows Hello do perfil de negócio.You can create and deploy a Windows Hello for Business Profile. Esta é a abordagem recomendada.This is the recommended approach.
  • Pode utilizar a política de grupo.You can use group policy.
  • Pode utilizar um script do PowerShell.You can use a PowerShell script.

Tenha em atenção que, além desta configuração, tem também de implementar um perfil de certificado, conforme descrito em configurar um perfil de certificado.Note that in addition to this configuration, you must also deploy a certificate profile, as described in Configure a certificate profile.

Configurar um Windows Hello do perfil de negócioConfigure a Windows Hello for Business profile

Na consola do Configuration Manager, sob acesso a recursos da empresa, com o botão direito Windows Hello para perfis de empresas e escolha novo para iniciar o Assistente do perfil.In the Configuration Manager console, under Company Resource Access, right-click Windows Hello for Business Profiles and choose New to start the profile wizard. Forneça as definições do pedido pelo assistente, reveja e confirme as definições na última página e clique em fechar.Provide the settings requested by the wizard, review and confirm the settings on the last page, and click Close. Eis um exemplo de que as suas definições poderão ser semelhante a:Here's an example of what your settings might look like:

Definições do Windows Hello para Empresas

Configurar o Windows Hello para empresas com a política de grupo no Active DirectoryConfigure Windows Hello for Business with Group Policy in Active Directory

Pode utilizar uma política de grupo do Active Directory para configurar os dispositivos Windows 10 associados a um domínio para aprovisionar utilizador Olá para credenciais de negócio quando um utilizador iniciar sessão para o Windows:You can use an Active Directory Group Policy to configure your Windows 10 domain-joined devices to provision user Hello for Business credentials when a user logs to Windows:

  1. Num computador Windows Server, abra o Gestor de servidor e navegue para ferramentas > gestão de políticas de grupo.On a Windows Server computer, open Server Manager and navigate to Tools > Group Policy Management.

  2. No gestão de políticas de grupo diálogo caixa, expanda o domínio no qual pretende ativar automática associação.In the Group Policy Management dialog box, expand the domain in which you want to enable Automatic Workplace Join.

  3. Com o botão direito objetos de política de grupoe, em seguida, clique em novo.Right-click Group Policy Objects, and then click New.

  4. No novo GPO diálogo caixa, introduza um nome para o novo objeto de política de grupo, como ativar Windows Hello para empresase, em seguida, clique em OK.In the New GPO dialog box, enter a name for the new Group Policy object, such as Enable Windows Hello for Business, and then click OK.

  5. No objetos de política de grupo nó, o objeto que acaba de contexto criado e, em seguida, clique em editar.In the Group Policy Objects node, right-click the object you just created, and then click Edit.

  6. No Editor de gestão de política de grupo diálogo caixa, navegue até à configuração do computador > políticas > modelos administrativos > componentes do Windows > Windows Hello para empresas.In the Group Policy Management Editor dialog box, navigate to Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Hello for Business.

  7. Com o botão direito ativar Windows Hello para empresas e, em seguida, clique em editar.Right-click Enable Windows Hello for Business and then click Edit.

  8. Selecione ativado, clique em aplicare, em seguida, clique em OK.Select Enabled, click Apply, and then click OK.

Agora pode ligar o objeto de política de grupo que acabou de criar para uma localização da sua preferência.You can now link the Group Policy object you just created to a location of your choice. Por exemplo:For example:

Um específico unidade organizacional (UO) no AD em que os computadores associados a um domínio do Windows 10 ficará localizados.A specific Organizational Unit (OU) in AD where Windows 10 domain-joined computers will be located.

Um grupo de segurança específicas que contém Windows 10 computadores associados a um domínio que serão registados automaticamente com o Azure AD.A specific security group containing Windows 10 domain-joined computers that will be automatically registered with Azure AD.

Configurar o Windows Hello para empresas através da implementação de um script do PowerShell com o Configuration ManagerConfigure Windows Hello for Business by deploying a PowerShell script with Configuration Manager

Pode criar e implementar o seguinte script do PowerShell, utilizando a gestão de aplicações do Configuration Manager.You can create and deploy the following PowerShell script by using Configuration Manager application management.

PowerShell.exe - ExecutionPolicy omissão - NoLogo - NoProfile-comando "& {"HKLM:\Software\Policies\Microsoft\PassportForWork"nova ItemProperty-Name"activado"-"DWord"o valor de 1 - PropertyType-Force}" * *powershell.exe -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "& {New-ItemProperty "HKLM:\Software\Policies\Microsoft\PassportForWork" -Name "Enabled" -Value 1 -PropertyType "DWord" -Force}" **

Para mais informações sobre a gestão de aplicações do Configuration Manager, consulte o artigo introdução à gestão de aplicações no System Center Configuration Manager.For more information about Configuration Manager application management, see Introduction to application management in System Center Configuration Manager.

Configurar um perfil de certificado para inscrever o certificado de inscrição do Windows Hello para Empresas no Configuration ManagerConfigure a certificate profile to enroll the Windows Hello for Business enrollment certificate in Configuration Manager

Se quiser utilizar o início de sessão baseado em certificado do Windows Hello para Empresas ou o Microsoft Hello, configure o seguinte:If you want to use Windows Hello for Business certificate-based logon, or Microsoft Hello, then configure the following:

  • Um perfil de certificado do Configuration Manager.A Configuration Manager certificate profile.

  • No perfil de certificado, selecione um modelo que utilize a EKU de início de sessão do Smart Card.In the certificate profile, select a template that uses Smart Card logon EKU.

  • Se tenciona guardar os perfis de certificado no Windows Hello do contentor de chaves de negócio e utiliza o perfil de certificado a início de sessão de Smart Card EKU, tem de configurar as seguintes permissões para o registo de chave garantir que o certificado é validado corretamente.If you intend to store certificate profiles in the Windows Hello for Business key container, and the certificate profile uses the Smart Card Logon EKU, you must configure the following permissions for key registration to ensure the certificate is validated correctly. Primeiro tem de ter criado o chave administradores agrupar e adicionado a gestão do Configuration Manager todos os computadores do ponto como membros a este grupo.You must first have created the Key Admins group and added all Configuration Manager management point computers as members to this group.

    1. Início de sessão para um domínio ou gestão de controlador estações de trabalho com o administrador de domínio ou credenciais equivalentes.Login to a domain controller or management workstations with Domain Admin, or equivalent credentials.
    2. Abrir computadores e utilizadores do Active Directory.Open Active Directory Users and Computers.
    3. No painel de navegação, faça duplo clique o nome de domínio e, em seguida, clique em propriedades.From the navigation pane, right-click your domain name, and then click Properties.
    4. No segurança separador do propriedades caixa de diálogo, clique em avançadas.On the Security tab of the Properties dialog box, click Advanced. Se o segurança separador não for apresentado, ative a funcionalidade funcionalidades avançadas a partir do vista menu de utilizadores e Active Directory computadores.if the Security tab is not displayed, turn on Advanced Features from the View menu of Active Directory Users and Computers.
    5. Clique em Adicionar.Click Add.
    6. No entrada de permissão para caixa de diálogo, clique em selecione um principal.In the Permission Entry for dialog box, click Select a principal.
    7. No Seleccionar utilizador, computador, conta de serviço ou grupo caixa de diálogo, escreva administradores de chave no introduza o nome de objeto para selecionar caixa de texto.In the Select User, Computer, Service Account, or Group dialog box, type Key Admins in the Enter the object name to select text box. Clique em OK.Click OK.
    8. A partir de aplica-se a lista, selecione objetos de utilizador Descendant.From the Applies to list, select Descendant User objects.
    9. Desloque para a parte inferior da página e clique em Desmarcar tudo.Scroll to the bottom of the page and click Clear all.
    10. No propriedades secção, selecione ler msDS-KeyCredentialLink.In the Properties section, select Read msDS-KeyCredentialLink.
    11. Clique em OK três vezes para concluir a tarefa.Click OK three times to complete the task.

Para obter mais informações, consulte o artigo perfis de certificado.For more information, see Certificate profiles.