Implementar o Microsoft Passport em sua organização
Você pode criar uma Política de Grupo ou uma política MDM (gerenciamento de dispositivo móvel) que implementará o Microsoft Passport em dispositivos com o Windows 10.
Importante
A configuração de Política de Grupo Ativar entrada com PIN não se aplica ao Windows 10. Use as configurações de política do Microsoft Passport for Work para gerenciar PINs.
Configurações de Política de Grupo do Passport
A tabela a seguir lista as configurações de Política de Grupo que você pode definir para uso do Passport no local de trabalho. Essas configurações de política estão disponíveis em Configuração do Computador > Políticas > Modelos Administrativos > Componentes do Windows > Microsoft Passport for Work.
| Política | Opções | |
|---|---|---|
| Usar o Microsoft Passport for Work |
Não configurado: os usuários podem provisionar o Passport for Work, que criptografa suas senhas de domínio. Habilitada: o dispositivo provisiona o Passport for Work usando chaves ou certificados para todos os usuários. Desabilitada: o dispositivo não provisiona o Passport for Work para nenhum usuário. | |
| Usar um dispositivo de segurança de hardware |
Não configurado: o Passport for Work será provisionado usando TPM, se disponível, e será provisionado usando software se TPM não estiver disponível. Habilitada: o Passport for Work só será provisionado usando TPM. Desabilitada: o Passport for Work será provisionado usando TPM, se disponível, e será provisionado usando software se TPM não estiver disponível. | |
| Usar biometria |
Não configurado: a biometria pode ser usada como um gesto no lugar de um PIN. Habilitada: a biometria pode ser usada como um gesto no lugar de um PIN. Desabilitada: somente um PIN pode ser usado como um gesto. | |
| Complexidade de PIN | Exigir dígitos |
Não configurado: os usuários devem incluir um dígito no PIN. Habilitada: os usuários devem incluir um dígito no PIN. Desabilitada: os usuários não podem usar dígitos no PIN. |
| Exigir letras minúsculas |
Não configurado: os usuários não podem usar letras minúsculas no PIN. Habilitada: os usuários devem incluir pelo menos uma letra minúscula no PIN. Desabilitada: os usuários não podem usar letras minúsculas no PIN. | |
| Comprimento máximo do PIN |
Não configurado: o comprimento do PIN deve ser menor ou igual a 127. Habilitada: o comprimento do PIN deve ser menor ou igual ao número que você especificar. Desabilitada: o comprimento do PIN deve ser menor ou igual a 127. | |
| Comprimento mínimo do PIN |
Não configurado: o comprimento do PIN deve ser maior ou igual a 4. Habilitada: o comprimento do PIN deve ser maior ou igual ao número que você especificar. Desabilitada: o comprimento do PIN deve ser maior ou igual a 4. | |
| Expiração |
Não configurado: o PIN não expira. Habilitada: o PIN pode ser definido para expirar após qualquer número de dias entre 1 e 730, ou o PIN pode ser definido para nunca expirar configurando a política como 0. Desabilitada: o PIN nunca expira. | |
| Histórico |
Não configurado: os PINs anteriores não são armazenados. Habilitada: especifique o número de PINs anteriores que podem ser associados a uma conta de usuário que não pode ser reutilizada. Desabilitada: os PINs anteriores não são armazenados. Observação O PIN atual está incluído no histórico do PIN. | |
| Exigir caracteres especiais |
Não configurado: os usuários não podem incluir um caractere especial no PIN. Habilitada: os usuários devem incluir pelo menos um caractere especial no PIN. Desabilitada: os usuários não podem incluir um caractere especial no PIN. | |
| Exigir letras maiúsculas |
Não configurado: os usuários não podem incluir uma letra maiúscula no PIN. Habilitada: os usuários devem incluir pelo menos uma letra maiúscula no PIN. Desabilitada: os usuários não podem incluir uma letra maiúscula no PIN. | |
| Passport remoto |
Usar o Passport Remoto Observação Aplicável somente à área de trabalho. A entrada por telefone no momento se limita a participantes selecionados do TAP (Technology Adoption Program). |
Não configurado: o Passport Remoto está desabilitado. Habilitada: os usuários podem usar um dispositivo portátil, registrado como um dispositivo complementar de autenticação da área de trabalho. Desabilitada: o Passport Remote está desabilitado. |
Configurações de política MDM do Passport
A tabela a seguir lista as configurações de política MDM que você pode definir para uso do Passport no local de trabalho. Essas configurações de política MDM usam o CSP (provedor de serviços de configuração) do PassportForWork.
| Política | Escopo | Padrão | Opções | |
|---|---|---|---|---|
| UsePassportForWork | Dispositivo | True |
True: o Passport será provisionado para todos os usuários no dispositivo. False: os usuários não poderão provisionar o Passport. Observação Se o Passport for habilitado e, em seguida, a política for alterada para False, os usuários que já configuraram o Passport poderão continuar a usá-lo, mas não poderão configurar o Passport em outros dispositivos. | |
| RequireSecurityDevice | Dispositivo | False |
True: o Passport será apenas provisionado usando TPM. False: o Passport será provisionado usando TPM, se disponível, e será provisionado usando software se TPM não estiver disponível. | |
| Biometria |
UseBiometrics | Dispositivo | False |
True: a biometria pode ser usada como um gesto no lugar de um PIN para logon no domínio. False: somente um PIN pode ser usado como um gesto para logon no domínio. |
|
FacialFeaturesUser EnhancedAntiSpoofing | Dispositivo | Não configurado |
Não configurado: os usuários podem escolher se desejam ativar antifalsificação avançada. True: antifalsificação avançada é necessária em dispositivos compatíveis com esse recurso. False: os usuários não podem ativar antifalsificação avançada. | |
| PINComplexity | ||||
| Dígitos | Dispositivo ou usuário | 2 |
1: números não são permitidos. 2: no mínimo um número é necessário. | |
| Letras minúsculas | Dispositivo ou usuário | 1 |
1: letras minúsculas não são permitidas. 2: pelo menos uma letra minúscula é necessária. | |
| Comprimento máximo do PIN | Dispositivo ou usuário | 127 |
O comprimento máximo que pode ser definido é 127. O comprimento máximo não pode ser menor que a configuração mínima. | |
| Comprimento mínimo do PIN | Dispositivo ou usuário | 4 |
O comprimento mínimo que pode ser definido é 4. O comprimento mínimo não pode ser maior que a configuração máxima. | |
| Expiração | Dispositivo ou usuário | 0 |
O valor inteiro especifica o período de tempo (em dias) que um PIN pode ser usado antes que o sistema exija sua alteração. O maior número que você pode definir para essa configuração de política é 730. O menor número que você pode definir para essa configuração de política é 0. Se essa política for definida como 0, o PIN do usuário nunca vai expirar. | |
| Histórico | Dispositivo ou usuário | 0 |
O valor inteiro que especifica o número de PINs anteriores que podem ser associados a uma conta de usuário que não pode ser reutilizada. O maior número que você pode definir para essa configuração de política é 50. O menor número que você pode definir para essa configuração de política é 0. Se essa política for definida como 0, o armazenamento de PINs anteriores não será necessário. | |
| Caracteres especiais | Dispositivo ou usuário | 1 |
1: caracteres especiais não são permitidos. 2: pelo menos um caractere especial é necessário. | |
| Letras maiúsculas | Dispositivo ou usuário | 1 |
1: letras maiúsculas não são permitidas 2: pelo menos uma letra maiúscula é necessária | |
| Remoto |
UseRemotePassport Observação Aplicável somente à área de trabalho. A entrada por telefone no momento se limita a participantes selecionados do TAP (Technology Adoption Program). | Dispositivo ou usuário | False |
True: Passport Remoto está habilitado. False: Passport Remoto está desabilitado. |
Observação
Se a política não for configurada para exigir explicitamente letras ou caracteres especiais, os usuários serão restritos à criação de um PIN numérico.
Pré-requisitos
Você precisará desse software para definir as políticas do Microsoft Passport em sua empresa.
| Modo Microsoft Passport | Azure AD | Active Directory (AD) local (disponível na versão de produção do Windows Server 2016 Technical Preview) | Azure AD/AD híbrido (disponível na versão de produção do Windows Server 2016 Technical Preview) |
|---|---|---|---|
| Autenticação baseada em chave | Assinatura do Azure AD |
|
|
| Autenticação baseada em certificado |
|
|
|
O Configuration Manager e o MDM fornecem a capacidade de gerenciar a política do Passport e de implantar e gerenciar certificados protegidos pelo Passport.
O Azure AD fornece a capacidade de registrar dispositivos com sua empresa e de provisionar o Passport para contas da organização.
O Active Directory fornece a capacidade de autorizar usuários e dispositivos usando chaves protegidas pelo Passport se os controladores de domínio estiverem executando o Windows 10 e o serviço de provisionamento Microsoft Passport no AD FS do Windows 10.
Passport para BYOD
O Passport pode ser gerenciado em dispositivos pessoais que seus funcionários usam para trabalhar usando MDM. Em dispositivos pessoais, os usuários podem criar um PIN pessoal do Passport para desbloquear o dispositivo e um PIN corporativo separado para acesso aos recursos de trabalho.
O PIN corporativo é gerenciado usando as mesmas políticas do Passport que você pode usar para gerenciar o Passport em dispositivos de propriedade da organização. O PIN pessoal é gerenciado separadamente usando a política DeviceLock. A política DeviceLock pode ser usada para controlar os requisitos de comprimento, complexidade, histórico e expiração e pode ser configurada usando o Provedor de serviço de configuração de política.
Tópicos relacionados
Biometria do Windows Hello na empresa
Por que um PIN é melhor que uma senha
Gerenciar a verificação de identidade usando o Microsoft Passport
Preparar pessoas para usar o Microsoft Passport
Microsoft Passport e mudanças de senha