Partilhar via

Métodos de autenticação no Microsoft Entra ID - Windows Hello for Business

O Windows Hello for Business é ideal para profissionais da informação que têm o seu próprio PC Windows designado. As credenciais biométricas e PIN estão diretamente ligadas ao PC do utilizador, o que impede o acesso de qualquer pessoa que não seja o proprietário. Com integração de PKI (infraestrutura de chave pública) e suporte interno para logon único (SSO), o Windows Hello for Business fornece um método conveniente para acessar recursos corporativos diretamente no local e na nuvem.

Exemplo de um início de sessão de utilizador com o Windows Hello para Empresas.

Como iniciar sessão no Windows Hello for Business no Microsoft Entra ID

As etapas a seguir mostram como o processo de entrada funciona com o Microsoft Entra ID:

Diagrama que descreve as etapas envolvidas para a entrada do usuário com o Windows Hello for Business

  1. Um usuário entra no Windows usando gesto biométrico ou PIN. O gesto desbloqueia a chave privada do Windows Hello for Business e é enviado para o provedor de suporte de segurança da Autenticação na Nuvem, chamado de Provedor de Autenticação na Nuvem (CloudAP). Para obter mais informações sobre o CloudAP, consulte O que é um token de atualização primário?.
  2. O CloudAP solicita um nonce (número aleatório que pode ser utilizado uma única vez) do Microsoft Entra ID.
  3. O Microsoft Entra ID retorna um nonce que é válido durante 5 minutos.
  4. O CloudAP assina o nonce usando a chave privada do utilizador e devolve o nonce assinado à Microsoft Entra ID.
  5. O Microsoft Entra ID valida o nonce assinado usando a chave pública registrada com segurança do usuário em comparação com a assinatura do nonce. O Microsoft Entra ID valida a assinatura e, em seguida, valida o nonce assinado retornado. Quando o nonce é validado, o Microsoft Entra ID cria um token de atualização primário (PRT) com chave de sessão que é criptografada com a chave de transporte do dispositivo e devolve-o ao CloudAP.
  6. O CloudAP recebe o PRT criptografado com chave de sessão. O CloudAP usa a chave de transporte privada do dispositivo para descriptografar a chave de sessão e protege a chave de sessão usando o TPM (Trusted Platform Module) do dispositivo.
  7. O CloudAP retorna uma resposta de autenticação bem-sucedida para o Windows. Em seguida, o usuário pode acessar o Windows e aplicativos locais e na nuvem usando o logon contínuo (SSO).

O guia de planejamento do Windows Hello for Business pode ser usado para ajudá-lo a tomar decisões sobre o tipo de implantação do Windows Hello for Business e as opções que você precisa considerar.

Conteúdo relacionado

  • Last updated on