Definições do Windows Hello para Empresas no System Center Configuration Manager

 

Aplica-se A: System Center Configuration Manager (current branch)

O System Center Configuration Manager permite fazer a integração com o Windows Hello para Empresas, que é um método de início de sessão alternativo para dispositivos Windows 10. O Hello para Empresas utiliza o Active Directory ou uma conta do Azure Active Directory para substituir uma palavra-passe, um smart card ou um smart card virtual.

Com o Hello para Empresas, pode utilizar um gesto de utilizador para iniciar sessão, em vez de uma palavra-passe. Um gesto de utilizador pode ser um PIN simples, uma autenticação biométrica ou um dispositivo externo, como um leitor de impressões digitais.

Gestor de configuração integra-se com o Windows Hello para Empresas de duas formas:

  • Pode utilizar o Gestor de configuração para controlar os gestos que os utilizadores podem e não podem utilizar para iniciar sessão

  • Pode armazenar certificados de autenticação no fornecedor de armazenamento de chaves (KSP) do Windows Hello para Empresas. Para obter mais informações, veja Perfis de certificado no System Center Configuration Manager.

  1. Na consola do Gestor de configuração, clique em Administração.

  2. Na área de trabalho Administração, expanda Serviços Cloud e, em seguida, clique em Subscrições do Microsoft Intune.

  3. Na lista, selecione a sua subscrição do Microsoft Intune e, em seguida, no separador Base, no grupo Subscrição, clique em Configurar Plataformas > Windows (MDM).

  4. No separador Windows Hello para Empresas da caixa de diálogo Propriedades de Subscrição do Microsoft Intune, escolha de entre os valores seguintes que irão afetar todos os dispositivos Windows 10 e Windows 10 Mobile inscritos:

    • Desativar o Windows Hello para Empresas para dispositivos inscritos ou Ativar o Windows Hello para Empresas para dispositivos inscritos - Ativa ou desativa a utilização do Windows Hello para Empresas em todos os dispositivos Windows 10 e Windows 10 Mobile inscritos.

    • Utilizar um Trusted Platform Module (TPM) - Um chip Trusted Platform Module (TPM) fornece uma camada adicional de segurança de dados. Escolha um dos seguintes valores:

      • Necessário (predefinição) - Apenas os dispositivos com um TPM acessível podem aprovisionar o Windows Hello para Empresas.

      • Preferido - Os dispositivos tentam utilizar primeiro um TPM. Se não estiver disponível, podem utilizar a encriptação de software

    • Requerer comprimento mínimo do PIN - Permite especificar o número mínimo de carateres necessários para o PIN do Windows Hello para Empresas. Tem de utilizar, pelo menos, 4 carateres (o valor predefinido é 6 carateres).

    • Requerer comprimento máximo do PIN - Permite especificar o número máximo de carateres permitidos para o PIN do Windows Hello para Empresas. Pode utilizar até 127 carateres.

    • Requer letras minúsculas no PIN - Permite especificar se têm de ser utilizadas letras em minúsculas no PIN do Windows Hello para Empresas. Escolha entre:

      • Permitido - Os utilizadores podem utilizar carateres minúsculos no PIN.

      • Necessário - Os utilizadores têm de incluir, pelo menos, um caráter minúsculo no PIN.

      • Não permitido (predefinição) - Os utilizadores não podem utilizar carateres minúsculos no PIN.

    • Requer letras maiúsculas no PIN - Permite especificar se têm de ser utilizadas letras em maiúsculas no PIN do Windows Hello para Empresas. Escolha entre:

      • Permitido - Os utilizadores podem utilizar carateres maiúsculos no PIN.

      • Necessário - Os utilizadores têm de incluir, pelo menos, um caráter maiúsculo no PIN.

      • Não permitido (predefinição) - Os utilizadores não podem utilizar carateres maiúsculos no PIN.

    • Requerer carateres especiais - Especifica a utilização de carateres especiais no PIN. Escolha entre:

      • Permitido - Os utilizadores podem utilizar carateres especiais no PIN.

      • Necessário - Os utilizadores têm de incluir, pelo menos, um caráter especial no PIN.

      • Não permitido (predefinição) - Os utilizadores não podem utilizar carateres especiais no PIN (este é também o comportamento se a definição não estiver configurada).

      Os carateres especiais incluem: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~.

    • Requerer expiração do PIN (dias) - Especifica o número de dias antes de ser necessário alterar o PIN do dispositivo. A predefinição é de 41 dias.

    • Prevenir a reutilização de PINs anteriores - Utilize esta definição para restringir a reutilização de PINs utilizados anteriormente. A predefinição é a impossibilidade de reutilizar os últimos cinco PINs utilizados.

    • Ativar gestos biométricos - Permite a autenticação biométrica, como reconhecimento facial ou impressão digital, como alternativa a um PIN para o Windows Hello para Empresas. Os utilizadores continuam a ter de configurar um PIN, para a eventualidade de a autenticação biométrica falhar.

      Se estiver definido como Ativado, o Windows Hello para Empresas permite a autenticação biométrica. Se estiver definido como Desativado, o Windows Hello para Empresas impede a autenticação biométrica (para todos os tipos de conta).

    • Utilizar anti-spoofing avançado, quando disponível - Configura se o anti-spoofing avançado é utilizado em dispositivos que o suportam.

      Se estiver definido como Ativado, o Windows exige que todos os utilizadores utilizem anti-spoofing para funcionalidades faciais, quando suportado.

    • Utilizar Passport Remoto - Se esta opção estiver definida como Ativado, os utilizadores podem utilizar um Hello para Empresas remoto para servir de dispositivo complementar portátil para autenticação de computadores de secretária. O computador de secretária tem de estar associado ao Azure Active Directory e o dispositivo complementar tem de ser configurado com um PIN do Windows Hello para Empresas.

  5. Quando concluir o procedimento, clique em OK.

Se quiser utilizar o início de sessão baseado em certificado do Windows Hello para Empresas ou o Microsoft Hello, configure o seguinte:

  • Um perfil de certificado do Gestor de configuração.

  • No perfil de certificado, selecione um modelo que utilize a EKU de início de sessão do Smart Card.

Para obter mais informações, veja Perfis de certificado no System Center Configuration Manager.

Consulte também

Proteger a infraestrutura de dados e do site com o System Center Configuration Manager

Gerir a verificação de identidade com o Microsoft Passport.

Mostrar: