Windows Hello para EmpresasConfiguração do Windows Hello para EmpresasWindows Hello para EmpresasComplexidade do PINUsar o Windows Hello para EmpresasUsar certificado para autenticação localO Windows Hello para Empresas é um método alternativo para entrar no Windows usando sua conta do Active Directory ou do Azure Active Directory que pode substituir senhas, Cartões Inteligentes e Cartões Inteligentes Virtuais.
Se você habilitar esta política, o dispositivo provisionará o Windows Hello para Empresas usando chaves ou certificados para todos os usuários.
Se você desabilitar esta configuração de política, o dispositivo não provisionará o Windows Hello para Empresas para nenhum usuário.
Se você não definir esta configuração de política, os usuários poderão provisionar o Windows Hello para Empresas como uma credencial de conveniência que criptografa suas senhas de domínio.
Selecione "Não iniciar o provisionamento do Windows Hello após a entrada" ao usar uma solução de terceiros para provisionar o Windows Hello para Empresas.
Se você selecionar "Não iniciar o provisionamento do Windows Hello após a entrada", o Windows Hello para Empresas não iniciará automaticamente o provisionamento depois que o usuário entrar.
Se você não selecionar "Não iniciar o provisionamento do Windows Hello após a entrada", o Windows Hello para Empresas iniciará automaticamente o provisionamento depois que o usuário entrar.
Usar dispositivo de segurança de hardwareUm TPM (Trusted Platform Module) fornece benefícios adicionais de segurança em relação ao software porque os dados protegidos por ele não podem ser usados em outros dispositivos.
Se você habilitar essa configuração de política, o provisionamento do Windows Hello para Empresas ocorrerá apenas em dispositivos com TPMs 1.2 ou 2.0 utilizáveis. Como opção, você pode excluir dispositivos de segurança, o que impede o provisionamento do Windows Hello para Empresas de usar esses dispositivos.
Se você desabilitar ou não definir essa configuração de política, o TPM ainda será preferencial, mas todos os dispositivos poderão provisionar o Windows Hello para Empresas usando o software se o TPM estiver inoperante ou indisponível.
Comprimento mínimo do PINO comprimento mínimo do PIN configura o número mínimo de caracteres necessários para o PIN. O número mais baixo que você pode definir para essa configuração de política é 4. O maior número que você pode definir deve ser menor que o número definido na configuração da política de comprimento máximo do PIN ou o número 127, o que for menor.
Se você definir essa configuração de política, o comprimento do PIN deverá ser maior ou igual a esse número.
Se você desabilitar ou não definir essa configuração de política, o comprimento do PIN deverá ser maior ou igual a 4.
OBSERVAÇÃO: se as condições especificadas acima para o comprimento mínimo do PIN não forem cumpridas, os valores padrão serão usados no comprimento mínimo e máximo do PIN.
Comprimento máximo do PINO comprimento máximo do PIN configura o número máximo de caracteres permitidos para o PIN. O número mais alto que você pode definir para essa configuração de política é 127. O número mais baixo que você pode definir deve ser maior que o número definido na configuração da política de comprimento mínimo do PIN ou o número 4, o que for maior.
Se você definir essa configuração de política, o comprimento do PIN deverá ser menor ou igual a esse número.
Se você desabilitar ou não definir essa configuração de política, o comprimento do PIN deverá ser menor ou igual a 127.
OBSERVAÇÃO: se as condições especificadas acima para o comprimento máximo do PIN não forem cumpridas, os valores padrão serão usados no comprimento mínimo e máximo do PIN.
Requer letras maiúsculasUse essa configuração de política para definir o uso de letras maiúsculas no PIN.
Se você habilitar essa configuração de política, o Windows exigirá que os usuários incluam pelo menos uma letra maiúscula no PIN.
Se você desabilitar ou não definir essa configuração de política, o Windows não permitirá que os usuários usem letras maiúsculas no PIN.
Requer letras minúsculasUse essa configuração de política para definir o uso de letras minúsculas no PIN.
Se você habilitar essa configuração de política, o Windows exigirá que os usuários incluam pelo menos uma letra minúscula no PIN.
Se você desabilitar ou não definir essa configuração de política, o Windows não permitirá que os usuários usem letras minúsculas no PIN.
Requer caracteres especiais ? @ [ \ ] ^ _ ` { | } ~ .
Se você habilitar essa configuração de política, o Windows exigirá que os usuários incluam pelo menos um caractere especial no PIN.
Se você desabilitar ou não definir essa configuração de política, o Windows não permitirá que os usuários usem caracteres especiais no PIN.]]>
Requer dígitosUse essa configuração de política para definir o uso de dígitos no PIN.
Se você habilitar ou não definir essa configuração de política, o Windows exigirá que os usuários incluam pelo menos um dígito no PIN.
Se você desabilitar essa configuração de política, o Windows não permitirá que os usuários usem dígitos no PIN.
HistóricoEssa configuração especifica o número de PINs anteriores que podem ser associados a uma conta de usuário e que não podem ser reutilizados. Essa política permite que os administradores aprimorem a segurança garantindo que PINs antigos não sejam reutilizados continuamente. O Histórico de PINs não é mantido por meio da redefinição de PINs.
O valor deve ser entre 0 e 50 PINs. Se essa política for definida como 0, o armazenamento de PINs anteriores não será necessário.
Padrão: 0.
ValidadeEssa configuração especifica o período de tempo (em dias) que um PIN pode ser usado antes que o sistema exija que o usuário o altere. O PIN pode ser definido para expirar após qualquer número de dias entre 1 e 730, ou os PINs podem ser definidos para nunca expirar caso a política seja definida como 0.
Padrão: 0.
Usar biometriaO Windows Hello para Empresas permite que os usuários usem gestos biométricos, como reconhecimento facial e impressões digitais, como alternativa para o gesto de PIN. No entanto, os usuários ainda devem configurar um PIN para usar em caso de falhas.
Se você habilitar ou não definir essa configuração de política, o Windows Hello para Empresas permitirá o uso de gestos biométricos.
Se você desabilitar essa configuração de política, o Windows Hello para Empresas impedirá o uso de gestos biométricos.
OBSERVAÇÃO: desabilitar essa política impede o uso de gestos biométricos no dispositivo para todos os tipos de conta.
Usar Recuperação de PINA recuperação de PIN permite que o usuário altere um PIN esquecido usando o serviço de recuperação de PIN do Windows Hello para Empresas, sem perder quaisquer credenciais ou certificados associados, incluindo quaisquer chaves associadas às contas pessoais do usuário no dispositivo. Para conseguir isso, o serviço de recuperação de PIN baseado no Azure criptografa um segredo de recuperação, armazenado no dispositivo, e requer o serviço de recuperação de PIN e o dispositivo para descriptografar. A recuperação de PIN exige que o usuário faça a autenticação multifator no Azure Active Directory.
Se você habilitar esta configuração de política, o Windows Hello para Empresas usa o serviço de recuperação de PIN.
Se você desabilitar ou não definir esta configuração de política, o Windows não criará ou armazenará o segredo de recuperação de PIN. Se o usuário esquecer o PIN, ele deverá excluir o PIN existente e criar um novo e precisará se registrar novamente em quaisquer serviços aos quais o antigo PIN fornecia acesso.
OBSERVAÇÃO: esta política é aplicável somente a dispositivos registrados no Azure Active Directory.
Use essa configuração de política para configurar o Windows Hello para Empresas para registrar um certificado de acesso para autenticação local.
Se você habilitar essa configuração de política, o Windows Hello para Empresas registrará um certificado de acesso que é usado para autenticação local.
Se você desabilitar ou não definir essa configuração de política, o Windows Hello para Empresas registrará uma chave que é usada para autenticação local.
OBSERVAÇÃO: desabilitar ou não configurar esta política e habilitar a configuração de política "Usar o Windows Hello para Empresas" requer que o ambiente tenha um ou mais controladores de domínio do Windows Server 2016 para impedir a falha da autenticação do Windows Hello para Empresas.
Configurar fatores de desbloqueio do dispositivoConfigure uma lista separada por vírgula de GUIDs do provedor de credenciais, como GUIDs de provedor de face e impressão digital, a ser usada como o primeiro e o segundo fatores de desbloqueio. Caso o provedor do sinal confiável seja especificado como um dos fatores de desbloqueio, você também deve configurar uma lista separada por vírgula de regras de sinal no formato xml para cada tipo de sinal a ser verificado.
Se você habilitar essa configuração de política, o usuário precisará usar um fator de cada lista para conseguir desbloquear.
Se você desabilitar ou não definir essa configuração de política, os usuários poderão continuar desbloqueando com opções de desbloqueio existentes.
Para obter mais informações, consulte: https://go.microsoft.com/fwlink/?linkid=849684
Configurar fatores de bloqueio dinâmicoConfigure uma lista separada por vírgulas de regras de sinal na forma de xml para cada tipo de sinal.
Se você habilitar essa configuração de política, essas regras de sinal serão avaliadas para detectar a ausência do usuário e bloquear o dispositivo automaticamente.
Se você desabilitar ou não configurar essa política, os usuários poderão continuar a bloquear com as opções de bloqueio existentes.
Para obter mais informações, consulte: https://go.microsoft.com/fwlink/?linkid=849684
Desativar emulação de cartão inteligenteO Windows Hello para Empresas fornece automaticamente a emulação de cartão inteligente para compatibilidade com aplicativos habilitados para cartão inteligente.
Se você habilitar esta configuração de política, o Windows Hello para Empresas provisionará credenciais que não são compatíveis com aplicativos de cartão inteligente.
Se você desabilitar ou não definir esta configuração de política, o Windows Hello para Empresas provisionará credenciais compatíveis com aplicativos de cartão inteligente.
OBS: esta política afeta as credenciais do Windows Hello para Empresas no momento da criação. As credenciais criadas antes da aplicação desta política continuarão a fornecer emulação de cartão inteligente. Para alterar uma credencial existente, habilite esta configuração de política e selecione "Esqueci meu PIN" em Configurações.
Permitir enumeração de cartão inteligente emulado para todos os usuáriosO Windows evita que os usuários do mesmo computador enumerem as credenciais do Windows Hello para Empresas provisionadas para outros usuários.
Se você habilitar esta configuração de política, o Windows permitirá que todos os usuários do computador enumerem todas as credenciais do Windows Hello para Empresas, mas ainda exigirá que cada usuário forneça seus próprios fatores para autenticação.
Se você desabilitar ou não definir esta configuração de política, o Windows não permitirá a enumeração das credenciais do Windows Hello para Empresas provisionadas para outros usuários do mesmo dispositivo.
Esta configuração de política é designada para um único usuário que registrou credencias com e sem privilégios em um único dispositivo. O usuário possui ambas as credenciais, o que lhe permite entrar usando credenciais sem privilégios, mas pode executar tarefas elevadas sem sair.
Esta configuração de política é incompatível com as credenciais do Windows Hello para Empresas provisionadas quando a opção "Desativar emulação de cartão inteligente" está habilitada.
O Windows requer uma reinicialização depois que você aplicar esta configuração a um computador.
Usar certificados do Windows Hello para Empresas como certificados de cartão inteligenteSe você habilitar esta configuração de política, os aplicativos usarão certificados do Windows Hello para Empresas como certificados de cartão inteligente. Fatores biométricos não estarão disponíveis quando um usuário for solicitado a autorizar o uso da chave privada do certificado. Essa configuração de política foi projetada para permitir a compatibilidade com aplicativos que dependem exclusivamente de certificados de cartão inteligente.
Se você desabilitar ou não definir essa configuração de política, os aplicativos não usarão os certificados do Windows Hello para Empresas como certificados de cartão inteligente, e fatores biométricos estarão disponíveis quando um usuário for solicitado a autorizar o uso da chave privada do certificado.
Essa configuração de política é incompatível com as credenciais do Windows Hello para Empresas provisionadas quando a opção "Desativar emulação de cartão inteligente" está habilitada.
O Windows requer que um usuário bloqueie e desbloqueie sua sessão depois de alterar essa configuração se o usuário estiver atualmente conectado.
Comprimento mínimo do PINComprimento máximo do PINLetras maiúsculas:Letras minúsculas:Caracteres especiais:dígitos:Histórico de PINsValidade de PINNão use os seguintes dispositivos de segurança:TPM 1.2Não iniciar o provisionamento do Windows Hello após a entrada{D6886603-9D2F-4EB2-B667-1971041FA96B},{8AF662BF-65A0-4D0A-A540-A338A999D36F},{BEC09223-B018-416D-A0AC-523971B639F5}{27FBDB57-B613-4AF2-9D7E-4FA7A66C21AD},{D6886603-9D2F-4EB2-B667-1971041FA96B} ]]> ]]>