Opções de autenticação sem palavra-passe para o Microsoft Entra ID

  • Artigo

Recursos como a autenticação multifator (MFA) são uma ótima maneira de proteger sua organização, mas os usuários geralmente ficam frustrados com a camada de segurança extra além de terem que lembrar suas senhas. Os métodos de autenticação sem senha são mais convenientes porque a senha é removida e substituída por algo que você tem ou algo que você é ou sabe.

Autenticação Algo que tem Algo que você é ou sabe
Sem palavra-passe Dispositivo, telefone ou chave de segurança do Windows 10 Biométrico ou PIN

Cada organização tem necessidades diferentes quando se trata de autenticação. O Microsoft Azure e o Azure Government oferecem as seguintes quatro opções de autenticação sem senha que se integram ao Microsoft Entra ID:

  • Windows Hello para empresas
  • Microsoft Authenticator
  • Chaves de acesso (FIDO2)
  • Autenticação baseada em certificado

Autenticação: Segurança versus conveniência

Windows Hello para empresas

O Windows Hello for Business é ideal para profissionais da informação que têm o seu próprio PC Windows designado. As credenciais biométricas e PIN estão diretamente ligadas ao PC do utilizador, o que impede o acesso de qualquer pessoa que não seja o proprietário. Com integração de PKI (infraestrutura de chave pública) e suporte interno para logon único (SSO), o Windows Hello for Business fornece um método conveniente para acessar recursos corporativos diretamente no local e na nuvem.

Exemplo de um início de sessão de utilizador com o Windows Hello para Empresas.

As etapas a seguir mostram como o processo de entrada funciona com o Microsoft Entra ID:

Diagrama que descreve as etapas envolvidas para a entrada do usuário com o Windows Hello for Business

  1. Um usuário entra no Windows usando gesto biométrico ou PIN. O gesto desbloqueia a chave privada do Windows Hello for Business e é enviado para o provedor de suporte de segurança da Autenticação na Nuvem, conhecido como provedor de AP na Nuvem.
  2. O provedor Cloud AP solicita um nonce (um número arbitrário aleatório que pode ser usado uma vez) do ID do Microsoft Entra.
  3. O Microsoft Entra ID retorna um nonce válido por 5 minutos.
  4. O provedor Cloud AP assina o nonce usando a chave privada do usuário e retorna o nonce assinado para o ID do Microsoft Entra.
  5. O Microsoft Entra ID valida o nonce assinado usando a chave pública registrada com segurança do usuário em relação à assinatura nonce. O Microsoft Entra ID valida a assinatura e, em seguida, valida o nonce assinado retornado. Quando o nonce é validado, o Microsoft Entra ID cria um token de atualização primário (PRT) com chave de sessão que é criptografado para a chave de transporte do dispositivo e o retorna ao provedor de Cloud AP.
  6. O provedor Cloud AP recebe o PRT criptografado com chave de sessão. O provedor de AP na nuvem usa a chave de transporte privada do dispositivo para descriptografar a chave de sessão e protege a chave de sessão usando o TPM (Trusted Platform Module) do dispositivo.
  7. O provedor Cloud AP retorna uma resposta de autenticação bem-sucedida para o Windows. O usuário é então capaz de acessar o Windows e aplicativos na nuvem e no local sem a necessidade de autenticar novamente (SSO).

O guia de planejamento do Windows Hello for Business pode ser usado para ajudá-lo a tomar decisões sobre o tipo de implantação do Windows Hello for Business e as opções que você precisa considerar.

Microsoft Authenticator

Você também pode permitir que o telefone do seu funcionário se torne um método de autenticação sem senha. Você já pode estar usando o aplicativo Authenticator como uma opção conveniente de autenticação multifator, além de uma senha. Você também pode usar o aplicativo autenticador como uma opção sem senha.

Entre no Microsoft Edge com o Microsoft Authenticator

O aplicativo autenticador transforma qualquer telefone iOS ou Android em uma credencial forte e sem senha. Os usuários podem entrar em qualquer plataforma ou navegador recebendo uma notificação em seu telefone, combinando um número exibido na tela com o de seu telefone. Em seguida, eles podem usar sua biométrica (toque ou rosto) ou PIN para confirmar. Consulte Baixar e instalar o Microsoft Authenticator para obter detalhes de instalação.

A autenticação sem senha usando o aplicativo Authenticator segue o mesmo padrão básico do Windows Hello for Business. É um pouco mais complicado, pois o usuário precisa ser identificado para que o Microsoft Entra ID possa encontrar a versão do aplicativo Authenticator que está sendo usada:

Diagrama que descreve as etapas envolvidas para a entrada do usuário com o aplicativo Microsoft Authenticator

  1. O usuário insere seu nome de usuário.
  2. O Microsoft Entra ID deteta que o usuário tem uma credencial forte e inicia o fluxo de credenciais fortes.
  3. Uma notificação é enviada para o aplicativo por meio do Apple Push Notification Service (APNS) em dispositivos iOS ou via Firebase Cloud Messaging (FCM) em dispositivos Android.
  4. O usuário recebe a notificação por push e abre o aplicativo.
  5. O aplicativo chama o Microsoft Entra ID e recebe um desafio de prova de presença e nonce.
  6. O usuário completa o desafio inserindo sua biométrica ou PIN para desbloquear a chave privada.
  7. O nonce é assinado com a chave privada e enviado de volta para o Microsoft Entra ID.
  8. O Microsoft Entra ID executa a validação de chave pública/privada e retorna um token.

Para começar a usar o login sem senha, conclua o seguinte procedimento:

Habilite o sinal sem senha usando o aplicativo Authenticator

Chaves de acesso (FIDO2)

A FIDO (Fast IDentity Online) Alliance ajuda a promover padrões de autenticação abertos e reduzir o uso de senhas como forma de autenticação. FIDO2 é o padrão mais recente que incorpora o padrão de autenticação web (WebAuthn).

As chaves de segurança FIDO2 são um método de autenticação sem senha baseado em padrões não phishable que pode vir em qualquer fator de forma. O Fast Identity Online (FIDO) é um padrão aberto para autenticação sem senha. O FIDO permite que usuários e organizações apliquem o padrão para entrar em seus recursos sem um nome de usuário ou senha usando uma chave de segurança externa ou uma chave de plataforma embutida em um dispositivo.

Os usuários podem se registrar e, em seguida, selecionar uma chave de segurança FIDO2 na interface de login como seu principal meio de autenticação. Estas chaves de segurança FIDO2 são normalmente dispositivos USB, mas também podem usar Bluetooth ou NFC. Com um dispositivo de hardware que lida com a autenticação, a segurança de uma conta é aumentada, pois não há senha que possa ser exposta ou adivinhada.

As chaves de segurança FIDO2 podem ser usadas para entrar em seus dispositivos Microsoft Entra ID ou Microsoft Entra híbrido com Windows 10 e obter logon único em seus recursos locais e na nuvem. Os utilizadores também podem iniciar sessão em navegadores suportados. As chaves de segurança FIDO2 são uma ótima opção para empresas que são muito sensíveis à segurança ou têm cenários ou funcionários que não estão dispostos ou não podem usar seu telefone como um segundo fator.

Consulte o documento de referência aqui: Suporte para autenticação FIDO2 com Microsoft Entra ID. Para obter as práticas recomendadas do desenvolvedor, consulte Suporte à autenticação FIDO2 nos aplicativos que eles desenvolvem.

Entre no Microsoft Edge com uma chave de segurança

O processo a seguir é usado quando um usuário entra com uma chave de segurança FIDO2:

Diagrama que descreve as etapas envolvidas para a entrada do usuário com uma chave de segurança FIDO2

  1. O usuário conecta a chave de segurança FIDO2 em seu computador.
  2. O Windows deteta a chave de segurança FIDO2.
  3. O Windows envia uma solicitação de autenticação.
  4. O Microsoft Entra ID envia de volta um nonce.
  5. O usuário completa seu gesto para desbloquear a chave privada armazenada no enclave seguro da chave de segurança FIDO2.
  6. A chave de segurança FIDO2 assina o nonce com a chave privada.
  7. A solicitação de token de atualização primária (PRT) com nonce assinado é enviada para o Microsoft Entra ID.
  8. O Microsoft Entra ID verifica o nonce assinado usando a chave pública FIDO2.
  9. O Microsoft Entra ID retorna PRT para habilitar o acesso a recursos locais.

Fornecedores de chaves de segurança FIDO2

Os seguintes fornecedores oferecem chaves de segurança FIDO2 de diferentes fatores forma que são conhecidos por serem compatíveis com a experiência sem senha. Recomendamos que você avalie as propriedades de segurança dessas chaves entrando em contato com o fornecedor e a FIDO Alliance.

Provider Biometria USB NFC BLE
AuthenTrend S S S S
ACS n S S n
ATOS n S S n
Ciright n n S n
Composecure n n S n
Crayonic S n S S
Cryptnox n S S n
Seguro S S n n
Excelsecu S S S S
Feitian S S S S
Fortinet n S n n
Giesecke + Devrient (G+D) S S S S
Google n S S n
GoTrustID Inc. n S S S
HID n S S n
HIDEEZ n S S S
Hipersecu n S n n
Hypr S S n S
Identiv n S S n
IDmelon Technologies Inc. S S S S
Kensington S S n n
KONA I S n S S
NeoWave n S S n
Nymi S n S n
Octatco S S n n
OneSpan Inc. n S n S
PONE Biometria S n n S
Biometria de precisão n S n n
ASR n S n n
Sentinela n n S n
SmartDisplayer S S S S
Swissbit n S S n
Grupo Thales S S S n
Tétis S S S S
Token2 Suíça S S S n
Token Ring S n S n
Soluções TrustKey S S n n
VinCSS n S n n
Tecnologias WiSECURE n S n n
Yubico S S S n

Nota

Se você comprar e planeja usar chaves de segurança baseadas em NFC, precisará de um leitor NFC compatível para a chave de segurança. O leitor NFC não é um requisito ou limitação do Azure. Consulte o fornecedor da sua chave de segurança baseada em NFC para obter uma lista de leitores NFC suportados.

Se for um fornecedor e quiser incluir o seu dispositivo nesta lista de dispositivos suportados, consulte as nossas orientações sobre como se tornar um fornecedor de chaves de segurança FIDO2 compatível com a Microsoft.

Para começar a usar as chaves de segurança FIDO2, conclua o seguinte procedimento:

Ativar sinal sem senha usando chaves de segurança FIDO2

Autenticação baseada em certificado

A autenticação baseada em certificado (CBA) do Microsoft Entra permite que os clientes permitam ou exijam que os usuários se autentiquem diretamente com certificados X.509 em sua ID do Microsoft Entra para aplicativos e entrada no navegador. O CBA permite que os clientes adotem autenticação resistente a phishing e entrem com um certificado X.509 em sua infraestrutura de chave pública (PKI).

Diagrama da autenticação baseada em certificado do Microsoft Entra.

Principais benefícios de usar o Microsoft Entra CBA

Benefícios Description
Experiência de utilizador excecional - Os usuários que precisam de autenticação baseada em certificado agora podem autenticar diretamente no Microsoft Entra ID e não precisam investir em AD FS federado.
- A interface do usuário do portal permite que os usuários configurem facilmente como mapear campos de certificado para um atributo de objeto de usuário para procurar o usuário no locatário (associações de nome de usuário de certificado)
- Interface do usuário do portal para configurar políticas de autenticação para ajudar a determinar quais certificados são de fator único versus multifator.
Fácil de implantar e administrar - Microsoft Entra CBA é um recurso gratuito, e você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.
- Não há necessidade de implantações locais complexas ou configuração de rede.
- Autenticar diretamente no Microsoft Entra ID.
Proteger - As senhas locais não precisam ser armazenadas na nuvem de forma alguma.
- Protege suas contas de usuário trabalhando perfeitamente com as políticas de Acesso Condicional do Microsoft Entra, incluindo autenticação multifator resistente a phishing (MFA requer edição licenciada) e bloqueio de autenticação herdada.
- Suporte de autenticação forte, onde os usuários podem definir políticas de autenticação através dos campos de certificado, como emissor ou política OID (identificadores de objeto), para determinar quais certificados se qualificam como fator único versus multifator.
- O recurso funciona perfeitamente com recursos de Acesso Condicional e capacidade de força de autenticação para impor MFA para ajudar a proteger seus usuários.

Cenários suportados

Os seguintes cenários são suportados:

  • Login do usuário em aplicativos baseados em navegador da Web em todas as plataformas.
  • O utilizador inicia sessão em aplicações móveis do Office em plataformas iOS/Android e aplicações nativas do Office no Windows, incluindo Outlook, OneDrive e assim por diante.
  • Login do usuário em navegadores nativos móveis.
  • Suporte para regras de autenticação granular para autenticação multifator usando o emissor do certificado Assunto e OIDs de política.
  • Configurando associações de conta de certificado para usuário usando qualquer um dos campos de certificado:
    • Nome alternativo da entidade (SAN) PrincipalName e SAN RFC822Nare
    • Identificador de chave de assunto (SKI) e SHA1PublicKey
  • Configurando associações de conta de certificado para usuário usando qualquer um dos atributos de objeto de usuário:
    • Nome Principal do Utilizador
    • onPremisesUserPrincipalName
    • CertificateUserIds

Cenários suportados

As seguintes considerações são aplicáveis:

  • Os administradores podem habilitar métodos de autenticação sem senha para seus locatário.
  • Os administradores podem segmentar todos os usuários ou selecionar usuários/grupos de segurança dentro de seu locatário para cada método.
  • Os usuários podem registrar e gerenciar esses métodos de autenticação sem senha em seu portal de conta.
  • Os utilizadores podem iniciar sessão com estes métodos de autenticação sem palavra-passe:
    • Aplicativo autenticador: funciona em cenários em que a autenticação do Microsoft Entra é usada, inclusive em todos os navegadores, durante a instalação do Windows 10 e com aplicativos móveis integrados em qualquer sistema operacional.
    • Chaves de segurança: Trabalhe na tela de bloqueio do Windows 10 e da Web em navegadores suportados, como o Microsoft Edge (herdado e novo Edge).
  • Os usuários podem usar credenciais sem senha para acessar recursos em locatários onde são convidados, mas ainda podem ser obrigados a executar MFA nesse locatário de recurso. Para obter mais informações, consulte Possível autenticação multifator dupla.
  • Os usuários não podem registrar credenciais sem senha em um locatário onde são convidados, da mesma forma que não têm uma senha gerenciada nesse locatário.

Cenários não suportados

Recomendamos não mais do que 20 conjuntos de chaves para cada método sem senha para qualquer conta de usuário. À medida que mais chaves são adicionadas, o tamanho do objeto do usuário aumenta e você pode notar degradação em algumas operações. Nesse caso, você deve remover chaves desnecessárias. Para obter mais informações e os cmdlets do PowerShell para consultar e remover chaves, consulte Usando o módulo WHfBTools PowerShell para limpar chaves órfãs do Windows Hello for Business. Use o parâmetro opcional /UserPrincipalName para consultar apenas chaves para um usuário específico. As permissões necessárias são para executar como um administrador ou o usuário especificado.

Quando você usa o PowerShell para criar um arquivo CSV com todas as chaves existentes, identifique cuidadosamente as chaves que você precisa manter e remova essas linhas do CSV. Em seguida, use o CSV modificado com o PowerShell para excluir as chaves restantes para colocar a contagem de chaves da conta abaixo do limite.

É seguro excluir qualquer chave relatada como "Orphaned"="True" no CSV. Uma chave órfã é uma chave para um dispositivo que não está mais registrado no Microsoft Entra ID. Se a remoção de todos os órfãos ainda não colocar a conta de usuário abaixo do limite, é necessário examinar as colunas DeviceId e CreationTime para identificar quais chaves direcionar para exclusão. Tenha cuidado para remover qualquer linha no CSV para chaves que você deseja manter. As chaves para qualquer DeviceID correspondente aos dispositivos que o usuário usa ativamente devem ser removidas do CSV antes da etapa de exclusão.

Escolha um método sem senha

A escolha entre essas três opções sem senha depende dos requisitos de segurança, plataforma e aplicativo da sua empresa.

Aqui estão alguns fatores que você deve considerar ao escolher a tecnologia sem senha da Microsoft:

Windows Hello para empresas Login sem senha com o aplicativo Authenticator Chaves de segurança FIDO2
Pré-requisito Windows 10, versão 1809 ou posterior
Microsoft Entra ID		 Aplicação de autenticação
Telefone (dispositivos iOS e Android)		 Windows 10, versão 1903 ou posterior
Microsoft Entra ID
Modo Plataforma Software Hardware
Sistemas e dispositivos PC com um TPM (Trusted Platform Module) integrado
Reconhecimento de PIN e biometria		 Reconhecimento de PIN e biometria no telefone Dispositivos de segurança FIDO2 compatíveis com a Microsoft
Experiência do utilizador Entre usando um PIN ou reconhecimento biométrico (facial, íris ou impressão digital) com dispositivos Windows.
A autenticação do Windows Hello está vinculada ao dispositivo; o usuário precisa do dispositivo e de um componente de entrada, como um PIN ou fator biométrico, para acessar recursos corporativos.		 Inicie sessão com um telemóvel com digitalização de impressões digitais, reconhecimento facial ou da íris ou PIN.
Os utilizadores iniciam sessão na conta profissional ou pessoal a partir do PC ou telemóvel.		 Iniciar sessão utilizando o dispositivo de segurança FIDO2 (biometria, PIN e NFC)
O usuário pode acessar o dispositivo com base nos controles da organização e autenticar com base em PIN, biometria usando dispositivos como chaves de segurança USB e cartões inteligentes, chaves ou wearables habilitados para NFC.
Cenários habilitados Experiência sem senha com o dispositivo Windows.
Aplicável para PC de trabalho dedicado com capacidade de início de sessão único para dispositivos e aplicações.		 Solução sem senha em qualquer lugar usando o telefone celular.
Aplicável para aceder a aplicações profissionais ou pessoais na Web a partir de qualquer dispositivo.		 Experiência sem senha para trabalhadores que usam biometria, PIN e NFC.
Aplicável para PCs partilhados e onde um telemóvel não é uma opção viável (como para pessoal de help desk, quiosque público ou equipa hospitalar)

Use a tabela a seguir para escolher qual método suporta seus requisitos e usuários.

Persona Cenário Environment Tecnologia sem senha
Admin Acesso seguro a um dispositivo para tarefas de gerenciamento Dispositivo Windows 10 atribuído Chave de segurança do Windows Hello for Business e/ou FIDO2
Admin Tarefas de gerenciamento em dispositivos que não sejam Windows Dispositivo móvel ou não Windows Login sem senha com o aplicativo Authenticator
Trabalhador da informação Trabalho de produtividade Dispositivo Windows 10 atribuído Chave de segurança do Windows Hello for Business e/ou FIDO2
Trabalhador da informação Trabalho de produtividade Dispositivo móvel ou não Windows Login sem senha com o aplicativo Authenticator
Trabalhador da linha de frente Quiosques em uma fábrica, fábrica, varejo ou entrada de dados Dispositivos Windows 10 partilhados FIDO2 Chaves de segurança

Próximos passos

Para começar a usar o passwordless no Microsoft Entra ID, conclua um dos seguintes procedimentos: