Comentários

Definir configurações Windows Hello para Empresas Política – Confiança do Certificado

  • Artigo
  • 12 minutos para ler

Aplicável ao

  • Windows 10, versão 1703 ou posterior
  • Windows 11
  • Implantação local
  • Certificados confiáveis

Você precisa de pelo menos uma estação de trabalho Windows 10 versão 1703 para executar o Console de Gerenciamento do Política de Grupo, que fornece as configurações mais recentes de Windows Hello para Empresas e Política de Grupo de Política de Grupo PIN. Para executar o console Política de Grupo gerenciamento, você precisa instalar as Ferramentas de Administração de Servidor Remoto para Windows. O Guia pode ser baixado no Centro de Download da Microsoft. Instale as Ferramentas de Administração de Servidor Remoto para Windows em um computador Windows 10, versão 1703 ou posterior.

Implantações baseadas em certificado local do Windows Hello para Empresas precisam de três configurações de Política de grupo:

  • Habilitar Usar o Windows Hello para Empresas
  • Usar o certificado para autenticação no local
  • Habilitar a inscrição automática de certificados

Habilitar Usar o Windows Hello para Empresas

A Política de Grupo configuração determina se os usuários são permitidos e solicitados a se registrarem para Windows Hello para Empresas. Ele pode ser configurado para computadores ou usuários.

Se você configurar o Política de Grupo para computadores, todos os usuários que entrarem nesses computadores serão permitidos e solicitados a se registrar para Windows Hello para Empresas. Se você configurar o Política de Grupo para usuários, somente esses usuários serão permitidos e solicitados a se registrarem para Windows Hello para Empresas.

Usar o certificado para autenticação no local

O certificado de uso para a configuração de Política de grupo de autenticação local determina se a implantação local usa o modelo de autenticação no local de chave ou certificado confiável. Você deve definir essa configuração de Política de grupo a fim de configurar o Windows para o registro de um certificado de autenticação do Windows Hello para Empresas. Caso você não defina essa configuração de política, o Windows considera que a implantação usa a autenticação de chave de confiança no local, o que requer uma quantidade suficiente de controladores de domínio do Windows Server 2016 para manipular o Windows Hello para Empresas para solicitações de autenticação de chave de confiança.

Você pode definir essa configuração de Política de grupo para o computador ou os usuários. A implantação dessa configuração de política nos computadores resulta em todos os usuários solicitando um certificado de autenticação do Windows Hello para Empresas. A implantação dessa configuração de política a um usuário resulta em somente esse usuário solicitando um certificado de autenticação do Windows Hello para Empresas. Além disso, você pode implantar a configuração de política a um grupo de usuários para que somente esses usuários solicitem um certificado de autenticação do Windows Hello para Empresas. Se as configurações de política de computador e do usuário são implantadas, a configuração de política de usuário tem precedência.

Habilitar a inscrição automática de certificados

O provisionamento do Windows Hello para Empresas executa a inscrição inicial do certificado de autenticação do Windows Hello para Empresas. Esse certificado expira com base na duração configurada no modelo de certificado de autenticação do Windows Hello para Empresas. O registro automático do certificado do Windows 10, versão 1703 foi atualizado para renovar esses certificados antes da expiração, o que reduz significativamente as falhas de autenticação do usuário devido a certificados de usuário expirados.

O processo não requer interações do usuário, desde que o usuário se conecte usando o Windows Hello para Empresas. O certificado é renovado em segundo plano antes de expirar.

Crie o objeto de Política de grupo do Windows Hello para Empresas

O objeto de Política de grupo contém as configurações de política necessárias para acionar o provisionamento do Windows Hello para Empresas e garantir que os certificados de autenticação do Windows Hello para Empresas sejam renovados automaticamente.

  1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)
  2. Expanda o domínio e selecione o nó Objeto de política de grupo no painel de navegação.
  3. Clique com o botão direito do mouse em Objeto de política de grupo e selecione Novo.
  4. Digite Habilitar o Windows Hello para Empresas na caixa de nomes e clique em OK.
  5. Na página de conteúdo, clique com botão direito do mouse no objeto de Política de Grupo Habilitar o Windows Hello para Empresas e clique em Editar.
  6. No painel de navegação , expanda Políticas em Configuração do Usuário (essa é a única opção para o Windows Server 2016, mas para o Windows Server 2019 e posterior, essa etapa também pode ser feita na Configuração do Computador).
  7. Expanda Modelos administrativos > Componentes do Windows e selecione Windows Hello para Empresas.
  8. No painel de conteúdo, clique duas vezes em Usar o Windows Hello para Empresas. Clique em Habilitar e, em seguida, clique em OK.
  9. Clique duas vezes em Usar certificado para autenticação no local. Clique em Habilitar e, em seguida, clique em OK. Feche o Editor de Gerenciamento de Política de Grupo.

Configurar o Registro automático de certificado

  1. Inicie o Console de gerenciamento de política de grupo (gpmc.msc).
  2. Expanda o domínio e selecione o nó Objeto de política de grupo no painel de navegação.
  3. Clique com botão direito do mouse no objeto de Política de Grupo Habilitar o Windows Hello para Empresas e clique em Editar.
  4. No painel de navegação , expanda Políticas em Configuração do Usuário (essa é a única opção para o Windows Server 2016, mas para o Windows Server 2019 e posterior, essa etapa também pode ser feita na Configuração do Computador).
  5. Expanda Configurações do Windows > Configurações de segurança e clique em Políticas de chave pública.
  6. No painel de detalhes, clique com o botão direito do mouse em Registro automático de cliente nos serviços de certificado e selecione Propriedades.
  7. Selecione Habilitado na lista Modelos de configuração.
  8. Marque a caixa de seleção Renovar certificados expirados, atualizar certificados pendentes e remover certificados revogados.
  9. Marque a caixa de seleção Atualizar certificados que usam modelos de certificados.
  10. Clique em OK. Feche o Editor de Gerenciamento de Política de Grupo.

Configurar a segurança no objeto de Política de Grupo do Windows Hello para Empresas

A melhor maneira de implantar o objeto de política de grupo do Windows Hello para Empresas é usar a filtragem do grupo de segurança. Ele permite que você gerencie facilmente os usuários que devem receber o Windows Hello para Empresas ao adicioná-los a um grupo. Isso permite que você implante o Windows Hello para Empresas em fases.

  1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)
  2. Expanda o domínio e selecione o nó Objeto de política de grupo no painel de navegação.
  3. Clique duas vezes no objeto de Política de Grupo Habilitar o Windows Hello para Empresas.
  4. Na seção Filtragem de segurança do painel de conteúdo, clique em Adicionar. Digite Usuários do Windows Hello para Empresas ou no nome do grupo de segurança criado anteriormente e clique em OK.
  5. Clique na guia Delegação. Selecione Usuários autenticados e clique em Avançado.
  6. Na lista Nomes de grupo ou de usuário, selecione Usuários autenticados. Na lista Permissões para usuários autenticados, desmarque a caixa de seleção Permitir caixa da permissão Aplicar política de grupo. Clique em OK.

Implantar o objeto de Política de Grupo do Windows Hello para Empresas

O aplicativo do objeto de Política de grupo do Windows Hello para Empresas usa a filtragem do grupo de segurança. Isso permite que você vincule o objeto de Política de grupo no domínio, garantindo que o objeto de Política de grupo esteja no escopo para todos os usuários. Entretanto, a filtragem do grupo de segurança garante que apenas os usuários incluídos no grupo global de Usuários do Windows Hello para Empresas recebem e aplicam o objeto de Política de grupo, o que resulta no provisionamento do Windows Hello para Empresas.

  1. Inicie o Console de Gerenciamento de Política de Grupo (gpmc.msc)
  2. No painel de navegação, expanda o domínio e clique com o botão direito do mouse no nó com o nome do seu domínio do Active Directory e clique em Vincular um GPO existente...
  3. Na caixa de diálogo Select GPO, selecione Habilitar o Windows Hello para Empresas ou o nome do objeto de Política de grupo do Windows Hello para Empresas criado anteriormente e clique em OK.

Apenas para segurança, a vinculação do objeto de Política de grupo do Windows Hello para Empresas ao domínio garante que o objeto de Política de grupo esteja no escopo para todos os usuários de domínio. No entanto, nem todos os usuários terão as configurações de política aplicadas a eles. Somente os usuários que são membros do grupo do Windows Hello para Empresas recebem as configurações de política. Todos os outros usuários ignoram o objeto de Política de grupo.

Outras configurações de Política de Grupo relacionadas.

Windows Hello para Empresas

Existem outras configurações de política do Windows Hello para Empresas que você pode configurar para gerenciar a implantação do Windows Hello para Empresas. Essas configurações de política são configurações de política com base em computador; portanto, são aplicáveis a qualquer usuário que entrar em um computador com essas configurações de política.

Usar um dispositivo de segurança de hardware

A configuração padrão do Windows Hello para Empresas é a preferência por credenciais protegidas de hardware; entretanto, nem todos os computadores são capazes de criar as credenciais de hardware protegidas. Quando o registro do Windows Hello para Empresas encontra um computador que não pode criar uma credencial de hardware protegida, ele criará uma credencial baseada em software.

Você pode habilitar e implantar a Configuração de política de grupo Usar um dispositivo de segurança de hardware para forçar o Windows Hello para Empresas a criar apenas credenciais de hardware protegidas. Os usuários que se conectam por um computador incapaz de criar uma credencial de hardware protegida não se registram no Windows Hello para Empresas.

Outra configuração de política fica disponível quando você habilita a configuração de Política de grupo Usar um dispositivo de segurança de hardware que permite a você impedir que o registro do Windows Hello para Empresas de usar a versão 1.2 dos Trusted Platform Modules (TPM). Normalmente, os TPMs da versão 1.2 executam operações criptográficas mais lentas do que os TPMs da versão 2.0 e são mais infrígenas durante atividades anti-martelo e bloqueio de PIN. Portanto, algumas organizações podem não desejar reduzir o desempenho de conexão e a sobrecarga de gerenciamento associada aos TPMs versão 1.2. Para impedir que o Windows Hello para Empresas use as TPMs versão 1.2, marque a caixa de seleção do TPM 1.2 depois de habilitar Usar um objeto de política de grupo do dispositivo de segurança de hardware.

Usar biometria

O Windows Hello para Empresas oferece uma excelente experiência do usuário quando combinado à biometria. Em vez de fornecer um PIN para entrar, um usuário pode usar um impressão digital ou o reconhecimento facial para entrar no Windows, sem comprometer a segurança.

O Windows Hello para Empresas padrão permite que os usuários se registrem e usem biometria. Entretanto, algumas organizações podem preferir ter mais tempo disponível antes de usar a biometria e desabilitar seu uso até que estejam prontos. Para não permitir que os usuários usem a biometria, defina a configuração de Política de grupo Usar biometria como desativada e aplique-a em seus computadores. A configuração de política desabilitou todas as opções de biometria. No momento, o Windows não fornece a configuração de política granular que permite desabilitar modalidades específicas de biometria, como permitir o reconhecimento facial, mas não permitir a impressão digital.

Complexidade de PIN

A complexidade de PIN não é específica do Windows Hello para Empresas. O Windows permite que os usuários usem PINs fora Windows Hello para Empresas. As configurações de política de grupo de complexidade de PIN se aplicam a todos os usos de PINs, mesmo quando o Windows Hello para Empresas não está implantado.

O Windows fornece oito configurações de Política de Grupo pin que oferecem controle granular sobre a criação e o gerenciamento de PIN. Você pode implantar essas configurações de política para computadores, onde afetam todos os usuários criando PINs nesse computador; ou então, é possível implantar essas configurações para os usuários, onde afetam os usuários criando PINs independentemente do computador utilizado. Se você implantar configurações de Política de grupo de complexidade de PIN para o computador e o usuário, as configurações de política de usuário têm precedência sobre as configurações de política de computador. Além disso, essa resolução de conflitos tem por base a última política aplicada. Windows não mescla as configurações de política automaticamente; entretanto, você pode implantar a Política de grupo para realizar diversas configurações. As configurações de política incluídas são:

  • Exigir dígitos
  • Exigir letras minúsculas
  • Comprimento máximo do PIN
  • Comprimento mínimo do PIN
  • Expiração
  • Histórico
  • Exigir caracteres especiais
  • Exigir letras maiúsculas

No Windows 10, versão 1703, as configurações de Política de grupo de complexidade de PIN mudaram para eliminar confusões relativas ao entendimento que as configurações de política de complexidade de PIN eram exclusivas do Windows Hello para Empresas. O novo local dessas Política de Grupo configurações está em Configuração do Computador\Modelos Administrativos\Sistema\Complexidade do PIN no editor Política de Grupo.

Análise

Antes de continuar com a implantação, valide seu progresso de implantação analisando os seguintes itens:

  • Confirme se você criou Política de Grupo configurações usando os arquivos ADMX/ADML mais recentes (do Windows 10 Creators Editions)

  • Confirme que você configurou a opção de Habilitar o Windows Hello para Empresas de acordo com o escopo correspondente à implantação (computador em comparação ao usuário)

  • Confirme se você configurou o registro de Certificado de Uso para a configuração da política de autenticação local.

  • Confirme se você configurou o registro automático de certificado para o escopo correspondente à implantação (computador em comparação ao usuário)

  • Confirme se você definiu as configurações de segurança adequadas para o objeto de Política de grupo

    • Removeu a permissão para Aplicar a política de grupo para usuários de domínio (os usuários de domínio sempre devem ter permissões de leitura)
    • Adicionou o grupo de usuários do Windows Hello para Empresas ao objeto de Política de grupo e concedeu permissão ao grupo para Aplicar política de grupo

  • Vinculou o objeto de política de grupo aos locais corretos no Active Directory

  • A implantação de qualquer configuração de Política de grupo do Windows Hello para Empresas é uma política separada da habilitada para os usuários

Adicionar usuários ao grupo de usuário do Windows Hello para Empresas

Os usuários devem receber as configurações de política de grupo do Windows Hello para Empresas e ter a permissão adequada a fim de se registrar e obter o certificado de autenticação de WHFB. Você pode fornecer aos usuários essas configurações e permissões, adicionando o grupo usado para sincronizar os usuários ao grupo de usuários do Windows Hello para Empresas. Os usuários e grupos que não são membros deste grupo não tentarão se inscrever no Windows Hello para Empresas.

Siga o Windows Hello para Empresas no guia de implantação confiável de certificado local

  1. Validar os pré-requisitos do Active Directory
  2. Validar e configurar a infraestrutura de chave pública
  3. Preparar e implantar os Serviços de Federação do Active Directory (AD FS) para Windows Server 2016
  4. Validar e implantar os Serviços de autenticação multifator (MFA)
  5. Definir as configurações de política do Windows Hello para Empresas (você está aqui)