Como utilizar o Windows Hello for Business em ambientes 100 % Nuvem

Somente em nuvem

O modelo de implantação somente em nuvem deve ser usado por organizações que têm apenas identidades de nuvem e não acessam recursos locais. Em geral, essas organizações ingressam seus dispositivos na nuvem e usam recursos em nuvem, como o SharePoint, OneDrive e outros exclusivamente. Além disso, como esses usuários não usam recursos locais, eles não precisam de certificados para coisas como VPN, pois tudo de que precisam está hospedado no Azure.

Leia mais:

Como configurar um Tenant de Microsoft 365: Criação e inclusão de Domínio
Criação de usuários no Microsoft Azure (portal)
Microsoft apresenta o Windows 10 versão 21H1
Guia de estudos para a certificação AZ-104: Microsoft Azure Administrator
Microsoft disponibiliza o Windows Server 2022 Preview para download

Se você mover toda a sua carga de trabalho para nuvem, suas máquinas já estão conectadas, então fica muito mais simples a implementação do Windows Hello em seu ambiente.

Para configurar Windows Hello for Business iremos acessar a página do Endpoint Manager conforme abaixo:

Implantação somente de nuvem

  • Windows 10, versão 1511 ou posterior
  • conta do Microsoft Azure
  • Azure Active Directory
  • Autenticação multifator do Azure AD
  • Gerenciamento moderno (Intune ou MDM de terceiros compatível), opcional
  • Assinatura do Azure AD Premium: opcional, necessária para o registro automático no MDM quando o dispositivo ingressa no Azure Active Directory

https://endpoint.microsoft.com/

Selecione a opção Dispositivos, Windows Registro e Windows Hello for Business.

No entanto nesse caso, essa situação ela é aplicada para todos os usuários, ele não possibilita por exemplo que eu faça isso apenas para um grupo específico, você precisa criar um perfil no intune conforme iremos mostrar abaixo:

Digamos que você esteja efetuando um piloto para determinados dispositivos, vamos precisar acessar opção de Dispositivos, Windows, perfil de configuração, criar perfil, selecione o tipo de plataforma Windows 10, o tipo de perfil escolhendo a opção modelos, e dentro de modelos a opção personalizado e clique no botão criar.

No portal do Azure precisamos identifcar o ID do Locatório e adiciona-lo a configuração no perfil do Intune, vamos acessar o active Directory do Azure, clicamos na guia propriedades e por último em id do locatório, esse id do locatório é o que vamos inserir no lugar do  caminho /AAD Tenant ID/, na hora de configurar os parâmetros abaixo.

Feito isso iremos definir as informações básicas para carregar esse perfil.

Em parâmetros de configuração vamos definir as configurações de URI OMA para Windows Hello e em seguida aplicar apenas para um grupo de dispositivos e não todos os usuários. ./Device/Vendor/MSFT/PassportForWork/AAD Tenant ID/Policies/UsePassportForWork = verdadeiro  (Booliano).

Acima foi exemplificado apenas uma linha, as demais precisam ser inseridas nos parâmetros de configuração conforme mostramos abaixo:

./Device/Vendor/MSFT/PassportForWork/AAD Tenant ID/Policies/PINComplexity/Digits = 1 (Inteiro)

./Device/Vendor/MSFT/PassportForWork/AAD Tenant ID/Policies/PINComplexity/History = 5 (Inteiro)

./Device/Vendor/MSFT/PassportForWork/AAD Tenant ID/Policies/PINComplexity/Expiration = 90 (Inteiro)

./Device/Vendor/MSFT/PassportForWork/AAD Tenant ID/Policies/RequireSecurityDevice = verdadeiro (Booliano)

./Device/Vendor/MSFT/PassportForWork/AAD Tenant ID/Policies/EnablePinRecovery = verdadeiro (Booliano)

./Device/Vendor/MSFT/PassportForWork/AAD Tenant ID/Policies/UseCertificateForOnPremAuth = falso (Booliano)

./Device/Vendor/MSFT/PassportForWork/Biometrics/UseBiometrics = verdadeiro (Booliano)

./Device/Vendor/MSFT/PassportForWork/Biometrics/FacialFeaturesUseEnhancedAntiSpoofing = verdadeiro (Booliano)

./Device/Vendor/MSFT/PassportForWork/AAD Tenant ID/Policies/PINComplexity/MinimumPINLength = 6 (Inteiro)

./Device/Vendor/MSFT/PassportForWork/AAD Tenant ID/Policies/PINComplexity/MaximumPINLength = 16 (Inteiro)

./Device/Vendor/MSFT/PassportForWork/AAD Tenant ID/Policies/PINComplexity/SpecialCharacters = 1 (Inteiro)

Conclusão:  

A vantagem de utilizar um pin através do Windows Hello é que uma senha é transmitida para o servidor e ela pode ser interceptada na transmissão ou roubada em um servidor.

Um PIN é local para o dispositivo e ele não é transmitido em qualquer lugar e não é armazenado no servidor.

Quando o PIN é criado, ele estabelece uma relação de confiança com o provedor de identidade e cria um par de chaves assimétricas usado na autenticação. Quando você insere o PIN, ele desbloqueia a chave de autenticação e usa a chave para assinar a solicitação enviada ao servidor de autenticação.

Esse PIN é inútil para qualquer pessoa sem esse hardware específico. Alguém que roube a senha pode fazer logon na conta em qualquer lugar, mas caso roube o PIN, precisa roubar o dispositivo físico também!

Referência: https://docs.microsoft.com/pt-br/windows/client-management/mdm/passportforwork-csp

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!