Planejar uma implantação de autenticação sem senha no Microsoft Entra ID
As palavras-passe são um vetor de ataques principal. As pessoas mal-intencionadas utilizam engenharia social, phishing e ataques por utilização de palavra-passe única para comprometer as palavras-passe. Uma estratégia de autenticação sem palavra-passe mitiga o risco destes ataques.
A Microsoft oferece as seguintes três opções de autenticação sem senha que se integram ao Microsoft Entra ID:
Microsoft Authenticator - transforma qualquer telefone iOS ou Android em uma credencial forte e sem senha, permitindo que os usuários entrem em qualquer plataforma ou navegador.
Chaves de segurança compatíveis com FIDO2 - úteis para usuários que entram em máquinas compartilhadas, como quiosques, em situações em que o uso de telefones é restrito e para identidades altamente privilegiadas.
Windows Hello for Business - melhor para usuários em seus computadores Windows dedicados.
Nota
Para criar uma versão offline deste plano com todos os links, use os navegadores imprimir para a funcionalidade pdf.
Usar o assistente de métodos sem senha
O centro de administração do Microsoft Entra tem um assistente de métodos sem senha que o ajudará a selecionar o método apropriado para cada um dos seus públicos. Se você ainda não determinou os métodos apropriados, consulte https://aka.ms/passwordlesswizard, e retorne a este artigo para continuar planejando os métodos selecionados. Você precisa de direitos de administrador para acessar este assistente.
Cenários de autenticação sem senha
Os métodos de autenticação sem senha da Microsoft permitem muitos cenários. Considere suas necessidades organizacionais, pré-requisitos e os recursos de cada método de autenticação para selecionar sua estratégia de autenticação sem senha.
A tabela a seguir lista os métodos de autenticação sem senha por tipos de dispositivo. As nossas recomendações estão em negrito e itálico.
| Tipos de dispositivos | Método de autenticação sem senha |
|---|---|
| Dispositivos dedicados que não são windows | |
| Computadores Windows 10 dedicados (versão 1703 e posterior) | |
| Computadores dedicados com Windows 10 (antes da versão 1703) | |
| Dispositivos partilhados: tablets e dispositivos móveis | |
| Quiosques (Legado) | Autenticador Microsoft |
| Quiosques e computadores partilhados (Windows 10) |
Pré-requisitos
Certifique-se de atender aos pré-requisitos antes de iniciar sua implantação sem senha.
Funções necessárias
Aqui estão as funções menos privilegiadas necessárias para essa implantação:
| Função do Microsoft Entra | Description |
|---|---|
| Administrador Global ou Administrador de Utilizadores | Para implementar a experiência de registo combinado. |
| Administrador de Autenticação | Para implementar e gerir métodos de autenticação. |
| User | Para configurar a aplicação Autenticador no dispositivo ou para registar um dispositivo de chave de segurança para início de sessão na Web ou no Windows 10. |
Como parte desse plano de implantação, recomendamos que a autenticação sem senha seja habilitada para todas as contas privilegiadas.
Aplicação Microsoft Authenticator e chaves de segurança
Os pré-requisitos são determinados pelos métodos de autenticação sem senha selecionados.
| Pré-requisito | Microsoft Authenticator | Chaves de Segurança FIDO2 |
|---|---|---|
| O registro combinado para autenticação multifator do Microsoft Entra e redefinição de senha de autoatendimento (SSPR) está habilitado | √ | √ |
| Os usuários podem executar a autenticação multifator do Microsoft Entra | √ | √ |
| Os usuários se registraram para autenticação multifator Microsoft Entra e SSPR | √ | √ |
| Os usuários registraram seus dispositivos móveis no Microsoft Entra ID | √ | |
| Windows 10 versão 1809 ou superior usando um navegador suportado como Microsoft Edge ou Mozilla Firefox (versão 67 ou superior). A Microsoft recomenda a versão 1903 ou superior para suporte nativo. | √ | |
| Chaves de segurança compatíveis. Certifique-se de que está a utilizar uma chave de segurança FIDO2 testada e verificada pela Microsoft ou outra chave de segurança FIDO2 compatível. | √ |
Windows Hello para empresas
Os pré-requisitos e caminhos de implantação do Windows Hello for Business dependem muito se você está implantando em uma configuração local, híbrida ou somente na nuvem. Também depende da sua estratégia de adesão ao dispositivo.
Selecione Windows Hello for Business e conclua o assistente para determinar os pré-requisitos e a implantação apropriados para sua organização.
O assistente usará suas entradas para criar um plano passo-a-passo para você seguir.
Planear o projeto
Quando os projetos de tecnologia falham, geralmente é devido a expectativas incompatíveis sobre impacto, resultados e responsabilidades. Para evitar essas armadilhas, certifique-se de que você está envolvendo as partes interessadas certas e que os papéis das partes interessadas no projeto são bem compreendidos.
Planeie um piloto
Ao implantar a autenticação sem senha, você deve primeiro habilitar um ou mais grupos piloto. Você pode criar grupos especificamente para essa finalidade. Adicione os usuários que participarão do piloto aos grupos. Em seguida, habilite novos métodos de autenticação sem senha para os grupos selecionados. Consulte as práticas recomendadas para um piloto.
Planejar comunicações
As suas comunicações aos utilizadores finais devem incluir as seguintes informações:
A Microsoft fornece modelos de comunicação para usuários finais. Transfira o material de distribuição de autenticação para ajudar a redigir as suas comunicações. Os materiais de distribuição incluem cartazes personalizáveis e modelos de e-mail que você pode usar para informar seus usuários sobre as próximas opções de autenticação sem senha em sua organização.
Planejar o registro do usuário
Os usuários registram seu método sem senha como parte do fluxo de trabalho combinado de informações de segurança em https://aka.ms/mysecurityinfo. O Microsoft Entra registra o registro de chaves de segurança e o aplicativo Authenticator, além de quaisquer outras alterações nos métodos de autenticação.
Para o usuário iniciante que não tem uma senha, os administradores podem fornecer uma senha de acesso temporário para registrar suas informações de segurança no https://aka.ms/mysecurityinfo . Esta é uma senha por tempo limitado e satisfaz os requisitos de autenticação forte. O Passe de Acesso Temporário é um processo por usuário.
Esse método também pode ser usado para facilitar a recuperação quando o usuário perdeu ou esqueceu seu fator de autenticação, como a chave de segurança ou o aplicativo Authenticator, mas precisa entrar para registrar um novo método de autenticação forte.
Nota
Se você não puder usar a chave de segurança ou o aplicativo Authenticator em alguns cenários, a autenticação multifator com um nome de usuário e senha juntamente com outro método registrado pode ser usada como uma opção de fallback.
Planejar e implantar o Microsoft Authenticator
O Microsoft Authenticator transforma qualquer telefone iOS ou Android em uma credencial forte e sem senha. É um download gratuito do Google Play ou da Apple App Store. Peça aos utilizadores que transfiram o Microsoft Authenticator e sigam as instruções para ativar o início de sessão por telefone.
Considerações técnicas
Integração dos Serviços de Federação do Ative Directory (AD FS) - Quando um usuário habilita a credencial sem senha do Autenticador, a autenticação desse usuário assume como padrão o envio de uma notificação para aprovação. Os usuários em um locatário híbrido são impedidos de serem direcionados ao AD FS para entrar, a menos que selecionem "Usar sua senha". Esse processo também ignora quaisquer políticas de Acesso Condicional locais e fluxos de autenticação de passagem (PTA). No entanto, se um login_hint for especificado, o usuário será encaminhado para o AD FS e ignorará a opção de usar a credencial sem senha. Para aplicativos que não sejam do Microsoft 365 que usam o AD FS para autenticação, as políticas de Acesso Condicional do Microsoft Entra não serão aplicadas e você precisará configurar políticas de controle de acesso no AD FS.
Servidor MFA - Os usuários finais habilitados para autenticação multifator por meio do servidor MFA local de uma organização podem criar e usar uma única credencial de entrada por telefone sem senha. Se o usuário tentar atualizar várias instalações (5 ou mais) do aplicativo Authenticator com a credencial, essa alteração pode resultar em um erro.
Importante
Em setembro de 2022, a Microsoft anunciou a descontinuação do Azure Multi-Factor Authentication Server. A partir de 30 de setembro de 2024, as implantações do Servidor Azure Multi-Factor Authentication não atenderão mais às solicitações de autenticação multifator, o que pode fazer com que as autenticações falhem para sua organização. Para garantir serviços de autenticação ininterruptos e permanecer em um estado com suporte, as organizações devem migrar os dados de autenticação de seus usuários para o serviço Azure MFA baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização mais recente do Azure MFA Server. Para obter mais informações, consulte Migração do Azure MFA Server.
Registro do dispositivo - Para usar o aplicativo Authenticator para autenticação sem senha, o dispositivo deve estar registrado no locatário do Microsoft Entra e não pode ser um dispositivo compartilhado. Um dispositivo só pode ser registado num único inquilino. Este limite significa que apenas uma conta escolar ou profissional é suportada para início de sessão por telefone utilizando a aplicação Authenticator.
Implantar a entrada por telefone com o aplicativo Autenticador
Siga as etapas no artigo Habilitar entrada sem senha com o Microsoft Authenticator para habilitar o aplicativo Authenticator como um método de autenticação sem senha em sua organização.
Testando o aplicativo Authenticator
A seguir estão exemplos de casos de teste para autenticação sem senha com o aplicativo Authenticator:
| Cenário | Resultados esperados |
|---|---|
| O usuário pode registrar o aplicativo Authenticator. | O usuário pode registrar o aplicativo de https://aka.ms/mysecurityinfo. |
| O utilizador pode ativar o início de sessão por telefone | Login por telefone configurado para conta de trabalho. |
| O utilizador pode aceder a uma aplicação com início de sessão por telefone. | O usuário passa pelo fluxo de login do telefone e chega ao aplicativo. |
| Teste a reversão do registo de início de sessão por telefone desativando o início de sessão sem palavra-passe na aplicação Authenticator. Faça isso na tela Métodos de autenticação no centro de administração do Microsoft Entra | Os utilizadores anteriormente ativados não conseguiram utilizar o início de sessão sem palavra-passe a partir da aplicação Authenticator. |
| Remover o início de sessão por telemóvel da aplicação Autenticador | A conta profissional não está mais disponível no aplicativo Authenticator. |
Resolução de problemas de início de sessão por telefone
| Scenario | Solução |
|---|---|
| O usuário não pode realizar o registro combinado. | Verifique se o registro combinado está habilitado. |
| O utilizador não pode ativar a aplicação autenticadora de início de sessão por telefone. | Verifique se o usuário está no escopo da implantação. |
| O usuário NÃO está no escopo para autenticação sem senha, mas é apresentado com a opção de login sem senha, que não pode ser concluída. | Ocorre quando o usuário habilitou o login por telefone no aplicativo antes da política ser criada. Para habilitar o login, adicione o usuário a um grupo de usuários habilitados para login sem senha. Para bloquear o início de sessão: peça ao utilizador que remova a sua credencial dessa aplicação. |
Planejar e implantar chaves de segurança compatíveis com FIDO2
Habilite chaves de segurança compatíveis. Aqui está uma lista de provedores de chaves de segurança FIDO2 que fornecem chaves conhecidas por serem compatíveis com a experiência sem senha.
Planejar o ciclo de vida da chave de segurança
Prepare-se e planeje o ciclo de vida da chave.
Distribuição de chaves- Planeje como provisionar chaves para sua organização. Você pode ter um processo de provisionamento centralizado ou permitir que os usuários finais comprem chaves compatíveis com FIDO 2.0.
Ativação de chave - Os usuários finais devem ativar automaticamente a chave de segurança. Os usuários finais registram suas chaves de segurança e https://aka.ms/mysecurityinfo habilitam o segundo fator (PIN ou biometria) no primeiro uso. Para utilizadores pela primeira vez, podem utilizar a TAP para registar as suas informações de segurança.
Desativando uma chave - Se um administrador desejar remover uma chave FIDO2 associada a uma Conta de Usuário, ele poderá fazê-lo excluindo a chave do método de autenticação do usuário, conforme mostrado abaixo. Para obter mais informações, consulte Desabilitar uma chave
Emita uma nova chave: O usuário pode registrar a nova chave FIDO2 indo para https://aka.ms/mysecurityinfo
Considerações técnicas
Há três tipos de implantações de entrada sem senha disponíveis com chaves de segurança:
Aplicações Web Microsoft Entra num browser suportado
Microsoft Entra juntou-se a dispositivos Windows 10
Microsoft Entra híbrido juntou-se a dispositivos Windows 10
- Fornece acesso a recursos baseados na nuvem e no local. Para obter mais informações sobre o acesso a recursos locais, consulte SSO para recursos locais usando chaves FIDO2
Para aplicativos Web Microsoft Entra e dispositivos Windows ingressados no Microsoft Entra, use:
Windows 10 versão 1809 ou superior usando um navegador suportado como Microsoft Edge ou Mozilla Firefox (versão 67 ou superior).
O Windows 10 versão 1809 suporta entrada FIDO2 e pode exigir a implantação de software do fabricante da chave FIDO2. Recomendamos que você use a versão 1903 ou posterior.
Para dispositivos híbridos ingressados no domínio do Microsoft Entra, use:
Windows 10 versão 2004 ou posterior.
Servidores de domínio totalmente corrigidos que executam o Windows Server 2016 ou 2019.
Versão mais recente do Microsoft Entra Connect.
Ativar o suporte do Windows 10
Habilitar o login do Windows 10 usando chaves de segurança FIDO2 exige que você habilite a funcionalidade do provedor de credenciais no Windows 10. Escolha uma das seguintes opções:
Habilitar provedor de credenciais com o Microsoft Intune
- Recomendamos a implantação do Microsoft Intune.
Habilitar o provedor de credenciais com um pacote de provisionamento
- Se a implantação do Microsoft Intune não for possível, os administradores deverão implantar um pacote em cada máquina para habilitar a funcionalidade do provedor de credenciais. A instalação do pacote pode ser realizada por uma das seguintes opções:
- Política de Grupo ou Gestor de Configuração
- Instalação local em uma máquina Windows 10
- Se a implantação do Microsoft Intune não for possível, os administradores deverão implantar um pacote em cada máquina para habilitar a funcionalidade do provedor de credenciais. A instalação do pacote pode ser realizada por uma das seguintes opções:
Habilitar o provedor de credenciais com a Diretiva de Grupo
- Apenas suportado para dispositivos associados híbridos Microsoft Entra.
Habilite a integração local
Siga as etapas no artigo Habilitar login de chave de segurança sem senha em recursos locais (visualização).
Importante
Essas etapas também devem ser concluídas para qualquer dispositivo híbrido associado ao Microsoft Entra para utilizar chaves de segurança FIDO2 para entrar no Windows 10.
Política de restrições principais
Ao implantar a chave de segurança, você pode, opcionalmente, restringir o uso de chaves FIDO2 apenas a fabricantes específicos que foram aprovados pela sua organização. A restrição de chaves requer o GUID de Atestado de Autenticador (AAGUID). Existem duas maneiras de obter o seu AAGUID.
Se a chave de segurança é restrita e o usuário tenta registrar a chave de segurança FIDO2, eles recebem o seguinte erro:
Se o AAGUID for restrito depois que o usuário tiver registrado a chave de segurança, ele verá a seguinte mensagem:
*Chave FIDO2 bloqueada pela Política de Restrição de Chaves
Implantar o login da chave de segurança FIDO2
Siga as etapas no artigo Habilitar login de chave de segurança sem senha para habilitar a chave de segurança FIDO2 como um método de autenticação sem senha em sua organização.
Testando chaves de segurança
Aqui estão os exemplos de casos de teste para autenticação sem senha com chaves de segurança.
Entrada FIDO sem senha em dispositivos Microsoft Entra com Windows 10
| Cenário (compilação do Windows) | Resultados esperados |
|---|---|
| O usuário pode registrar o dispositivo FIDO2 (1809) | O usuário pode registrar o dispositivo FIDO2 usando as opções > de login em Configurações > de Contas > Chave de Segurança |
| O usuário pode redefinir o dispositivo FIDO2 (1809) | O usuário pode redefinir o dispositivo FIDO2 usando o software do fabricante |
| O usuário pode entrar com o dispositivo FIDO2 (1809) | O utilizador pode selecionar Chave de Segurança na janela de início de sessão e iniciar sessão com êxito. |
| O usuário pode registrar o dispositivo FIDO2 (1903) | O usuário pode registrar o dispositivo FIDO2 em Configurações > Contas > opções de login Chave > de Segurança |
| O usuário pode redefinir o dispositivo FIDO2 (1903) | O usuário pode redefinir o dispositivo FIDO2 em Configurações > Contas > opções > de login Chave de Segurança |
| O usuário pode entrar com o dispositivo FIDO2 (1903) | O utilizador pode selecionar Chave de Segurança na janela de início de sessão e iniciar sessão com êxito. |
Entrada FIDO sem senha para aplicativos Web do Microsoft Entra
| Cenário | Resultados esperados |
|---|---|
| O usuário pode registrar o dispositivo FIDO2 em aka.ms/mysecurityinfo usando o Microsoft Edge | O registo deve ser bem-sucedido |
| O usuário pode registrar o dispositivo FIDO2 em aka.ms/mysecurityinfo usando o Firefox | O registo deve ser bem-sucedido |
| O usuário pode entrar no OneDrive online usando o dispositivo FIDO2 usando o Microsoft Edge | O início de sessão deve ser bem-sucedido |
| O usuário pode entrar no OneDrive online usando o dispositivo FIDO2 usando o Firefox | O início de sessão deve ser bem-sucedido |
| Teste a reversão do registro do dispositivo FIDO2 desativando as Chaves de Segurança FIDO2 na janela Método de autenticação no centro de administração do Microsoft Entra | Os utilizadores irão: |
Resolução de problemas de início de sessão com chave de segurança
| Scenario | Solução |
|---|---|
| O usuário não pode realizar o registro combinado. | Verifique se o registro combinado está habilitado. |
| O usuário não pode adicionar uma chave de segurança em suas configurações de segurança. | Certifique-se de que as chaves de segurança estão ativadas. |
| O utilizador não pode adicionar chave de segurança nas opções de início de sessão do Windows 10. | Verifique se as chaves de segurança para entrar no Windows estão habilitadas |
| Mensagem de erro: Detetamos que este navegador ou sistema operacional não suporta chaves de segurança FIDO2. | Os dispositivos de segurança FIDO2 sem palavra-passe só podem ser registados em navegadores suportados (Microsoft Edge, Firefox versão 67) no Windows 10 versão 1809 ou superior. |
| Mensagem de erro: A política da sua empresa exige que utilize um método diferente para iniciar sessão. | Verifique se as chaves de segurança estão habilitadas no locatário. |
| O utilizador não consegue gerir a minha chave de segurança no Windows 10 versão 1809 | A versão 1809 requer que você use o software de gerenciamento de chaves de segurança fornecido pelo fornecedor de chaves FIDO2. Entre em contato com o fornecedor para obter suporte. |
| Penso que a minha chave de segurança FIDO2 pode estar defeituosa — como posso testá-la. | Navegue até https://webauthntest.azurewebsites.net/, insira credenciais para uma conta de teste, conecte a chave de segurança suspeita, selecione o botão + no canto superior direito da tela, selecione criar e passe pelo processo de criação. Se este cenário falhar, o dispositivo poderá estar defeituoso. |
Gerenciar autenticação sem senha
Para gerir os métodos de autenticação sem palavra-passe do utilizador no centro de administração do Microsoft Entra, selecione a sua conta de utilizador e, em seguida, selecione Métodos de autenticação.
Microsoft Graph APIs
Você também pode gerenciar os métodos de autenticação sem senha usando a API de métodos de autenticação no Microsoft Graph. Por exemplo:
Você pode recuperar detalhes da chave de segurança FIDO2 de um usuário e excluí-la se o usuário perdeu a chave.
Você pode recuperar detalhes do registro do aplicativo Authenticator de um usuário e excluí-lo se o usuário tiver perdido o telefone.
Gerencie suas políticas de método de autenticação para chaves de segurança e o aplicativo Authenticator.
Para obter mais informações sobre quais métodos de autenticação podem ser gerenciados no Microsoft Graph, consulte Visão geral da API de métodos de autenticação do Microsoft Entra.
Reversão
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Embora a autenticação sem senha seja um recurso leve com impacto mínimo nos usuários finais, pode ser necessário reverter.
A reversão requer que o administrador entre no centro de administração do Microsoft Entra, selecione os métodos de autenticação forte desejados e altere a opção de ativação para Não. Esse processo desativa a funcionalidade sem senha para todos os usuários.
Os usuários que já registraram dispositivos de segurança FIDO2 são solicitados a usar o dispositivo de segurança em sua próxima entrada e, em seguida, ver o seguinte erro:
Relatórios e monitorização
O Microsoft Entra ID tem relatórios que fornecem informações técnicas e de negócios. Faça com que os proprietários de aplicativos técnicos e de negócios assumam a propriedade e consumam esses relatórios com base nos requisitos da sua organização.
A tabela a seguir fornece alguns exemplos de cenários típicos de relatórios:
| Faça a gestão do risco. | Aumente a produtividade | Governação e conformidade | outro |
|---|---|---|---|
| Tipos de relatório | Métodos de autenticação - utilizadores registados para registo de segurança combinado | Métodos de autenticação – usuários registrados para notificação de aplicativos | Logins: revise quem está acessando o locatário e como |
| Ações potenciais | Utilizadores-alvo ainda não registados | Impulsione a adoção do aplicativo Authenticator ou das chaves de segurança | Revogar o acesso ou aplicar políticas de segurança adicionais para administradores |
Acompanhe o uso e as informações
O Microsoft Entra ID adiciona entradas aos logs de auditoria quando:
Um administrador faz alterações na seção Métodos de autenticação.
Um usuário faz qualquer tipo de alteração em suas credenciais dentro do Microsoft Entra ID.
Um usuário habilita ou desabilita sua conta em uma chave de segurança ou redefine o segundo fator para a chave de segurança em sua máquina Win 10. Consulte os IDs do evento: 4670 e 5382.
O Microsoft Entra ID mantém a maioria dos dados de auditoria por 30 dias e disponibiliza os dados usando o centro de administração ou a API do Microsoft Entra para você baixar em seus sistemas de análise. Se você precisar de retenção mais longa, exporte e consuma logs em uma ferramenta SIEM, como Microsoft Sentinel, Splunk ou Sumo Logic. Recomendamos uma retenção mais longa para auditoria, análise de tendências e outras necessidades de negócios, conforme aplicável
Há duas guias no painel de atividade Métodos de autenticação - Registro e Uso.
A guia Registro mostra o número de usuários capazes de autenticação sem senha, bem como outros métodos de autenticação. Esta guia exibe dois gráficos:
Usuários registrados pelo método de autenticação.
Registo recente por método de autenticação.
A guia Uso mostra as entradas por método de autenticação.
Para obter mais informações, consulte Rastrear métodos de autenticação registrados e uso em toda a organização do Microsoft Entra.
Relatórios de atividades de início de sessão
Use o relatório de atividade de entrada para controlar os métodos de autenticação usados para entrar nos vários aplicativos.
Selecione a linha do usuário e, em seguida, selecione a guia Detalhes da Autenticação para exibir qual método de autenticação foi usado para qual atividade de entrada.
