Nuvem Office 365 Redes e segurança Serviços em Nuvem

Habilitar a entrada sem senha com o aplicativo Microsoft Authenticator

O aplicativo Microsoft Authenticator pode ser usado para entrar em qualquer conta do Azure AD sem usar uma senha. O Microsoft Authenticator usa autenticação baseada em chave para habilitar uma credencial do usuário vinculada a um dispositivo, onde o dispositivo usa um PIN ou biometria. O Windows Hello para Empresas usa uma tecnologia semelhante.

Essa tecnologia de autenticação pode ser usada em qualquer plataforma de dispositivo, incluindo dispositivos móveis. Essa tecnologia também pode ser usada com qualquer aplicativo ou site integrado às Bibliotecas de Autenticação da Microsoft.

Exemplo de uma entrada de navegador solicitando que o usuário aprove a entrada.

As pessoas que habilitaram a entrada pelo telefone do aplicativo Microsoft Authenticator, veem uma mensagem que solicita que eles toquem em um número em seu aplicativo. Nenhum nome de usuário ou senha é solicitado. Para concluir o processo de entrada no aplicativo, um usuário deve seguir as seguintes ações:

  1. Fazer a correspondência do número.
  2. Escolha Aprovar.
  3. Fornecer seu PIN ou biometria.

Baixe o aplicativo em seu smartphone*

Escaneie o código QR com seu dispositivo móvel Android ou IOS.

Pré-requisitos

Para usar a entrada por telefone sem senha com o aplicativo Microsoft Authenticator, os seguintes pré-requisitos devem ser atendidos:

  • Autenticação Multifator do Azure AD, com notificações por push permitidas como um método de verificação. As notificações push para o seu smartphone ou tablet ajudam o aplicativo Authenticator a impedir o acesso não autorizado a contas e impedir transações fraudulentas. O aplicativo Authenticator gera códigos automaticamente quando configurado para fazer notificações por push para que um usuário tenha um método de entrada de backup, mesmo que seu dispositivo não tenha conectividade.

O conector de autenticação multifator do Azure deve ser habilitado para permitir que os usuários se registrem para receber notificações por push para entrada por telefone.

Captura de tela do conector de autenticação multifator do Azure habilitado.
  • Versão mais recente do Microsoft Authenticator instalada em dispositivos que executam o iOS 8.0 ou superior ou o Android 6.0 ou superior.
  • O dispositivo no qual o aplicativo Microsoft Authenticator está instalado deve ser registrado no locatário do Azure AD para um usuário individual.

Observação

Se você tiver habilitado a entrada sem senha do Microsoft Authenticator usando o PowerShell do Azure AD, ele foi habilitado para todo o diretório. Se você habilitar o uso desse novo método, ele substituirá a política do PowerShell. Recomendamos que você habilite para todos os usuários em seu locatário através do novo menu Métodos de autenticação. Caso contrário, os usuários que não estiverem na nova política não poderão mais entrar sem uma senha.

Habilitar os métodos de autenticação sem senha

Para usar a autenticação sem senha no Azure AD, habilite a experiência de registro combinada e, em seguida, habilite os usuários para o método sem senha.

Habilitar a experiência de registro combinado

Os recursos de registro para métodos de autenticação sem senha contam com o recurso de registro combinado. Para permitir que os usuários concluam o registro combinado, siga as etapas para habilitar o registro de informações de segurança combinadas.

Habilitar os métodos de autenticação sem senha pelo telefone

O Azure AD permite que você escolha quais métodos de autenticação podem ser usados durante o processo de entrada. Em seguida, os usuários se registram nos métodos que desejam usar. A política do método de autenticação do Microsoft Authenticator gerencia o método de MFA push tradicional, bem como o método de autenticação sem senha.

Para habilitar o método de autenticação para entrada por telefone sem senha, conclua as seguintes etapas:

  1. Entre no portal do Azure com uma conta de administrador de política de autenticação.
  2. Procure e selecione Azure Active Directory e navegue até Segurança > Métodos de autenticação > Políticas.
  3. Escolha as seguintes opções no Microsoft Authenticator:
    1. Habilitar – Sim ou não
    2. Destino – Todos os usuários ou Selecionar usuários
  4. Cada grupo ou usuário adicionado fica habilitado, por padrão, a usar o Microsoft Authenticator nos modos de notificação sem senha e por push (Modo “qualquer”). Para alterar isso, para cada linha:
    1. Navegar até > Configurar.
    2. Para Modo de autenticação – escolha Qualquer ou Sem senha. Escolher Push impede o uso da credencial de login do telefone sem senha.
  5. Para aplicar a nova política, selecione Salvar.

Registro e gerenciamento de usuários do Microsoft Authenticator

Os usuários se registram para o método de autenticação sem senha do Azure AD seguindo as seguintes etapas:

  1. Navegue até https://aka.ms/mysecurityinfo .
  2. Entre e adicione o aplicativo Authenticator selecionando Adicionar método > aplicativo Authenticator e, em seguida, Adicionar.
  3. Siga as instruções para instalar e configurar o aplicativo Microsoft Authenticator em seu dispositivo.
  4. Selecione Concluído para concluir a configuração do Authenticator.
  5. No Microsoft Authenticator, escolha Habilitar entrada pelo telefone no menu suspenso da conta registrada.
  6. Siga as instruções no aplicativo para concluir o registro da conta para entrada por telefone sem senha.

Uma organização pode determinar que seus usuários entrem com seus telefones, sem usar uma senha. Para obter mais assistência sobre como configurar o aplicativo Microsoft Authenticator e habilitar a entrada pelo telefone, consulte Entrar em suas contas usando o aplicativo Microsoft Authenticator.

Observação

Os usuários não habilitados pela política a usar a entrada pelo telefone, não podem mais habilitá-la no aplicativo Microsoft Authenticator.

Entrar com uma credencial sem senha

Um usuário pode começar a utilizar a entrada sem senha após a conclusão de todas as ações abaixo:

  • Um administrador habilitou o locatário do usuário.
  • O usuário atualizou seu aplicativo Microsoft Authenticator para habilitar a entrada pelo telefone.

Na primeira vez que um usuário inicia o processo de entrada pelo telefone, o usuário executa as seguintes etapas:

  1. Insere seu nome na página de entrada.
  2. Seleciona Próximo.
  3. Se necessário, seleciona Outras maneiras de entrada.
  4. Seleciona Aprovar uma solicitação em meu aplicativo Microsoft Authenticator.

Em seguida, o usuário recebe um número. O aplicativo solicita que o usuário se autentique selecionando o número apropriado, em vez de inserir uma senha.

Depois que o usuário entra pelo telefone sem senha, o aplicativo continuará guiando o usuário por esse método. No entanto, o usuário verá a opção para escolher outro método.

Exemplo de uma entrada do navegador usando o aplicativo Microsoft Authenticator.

Problemas conhecidos

Os problemas conhecidos abaixo existem.

Não está vendo a opção para entrar por telefone sem senha

Em um cenário, um usuário pode ter uma verificação pendente de entrada por telefone sem senha não respondida. Ainda assim, o usuário pode tentar entrar novamente. Quando isso acontece, o usuário pode ver apenas a opção de inserir uma senha.

Para resolver esse cenário, as etapas a seguir podem ser usadas:

  1. Abra o aplicativo Microsoft Authenticator.
  2. Responda a quaisquer solicitações de notificação.

Em seguida, o usuário pode continuar usando a entrada por telefone sem senha.

Contas Federadas

Quando um usuário tiver habilitado qualquer credencial sem senha, o processo de logon do Azure AD parará de usar a dica de logon _. Portanto, o processo não acelera o usuário para um local federado de logon.

Geralmente, essa lógica impede que um usuário em um locatário híbrido seja direcionado para o AD FS (Serviços de Federação do Active Directory) para verificação de entrada. No entanto, o usuário retém a opção de clicar em Use sua senha.

Servidor MFA do Azure

Um usuário final pode ser habilitado para MFA (autenticação multifator) através de um servidor local de MFA do Azure. O usuário ainda pode criar e utilizar uma única credencial de entrada por telefone sem senha.

Se o usuário tentar atualizar várias instalações (+5) do aplicativo Microsoft Authenticator com a credencial de entrada por telefone sem senha, essa alteração poderá resultar em um erro.

Registro de dispositivos

Há pré-requisitos para poder criar essa nova credencial forte. Um pré-requisito é que o dispositivo no qual o aplicativo Microsoft Authenticator está instalado deve ser registrado no locatário do Azure AD para um usuário individual.

Atualmente, um dispositivo só pode ser registrado em um único locatário. Esse limite significa que apenas uma conta corporativa ou de estudante no aplicativo Microsoft Authenticator pode ser habilitada para entrada por telefone.

Observação

O registro de dispositivo não é o mesmo que o gerenciamento de dispositivos ou MDM (gerenciamento de dispositivo móvel). O registro de dispositivo associa apenas uma ID do dispositivo e uma ID de usuário ao mesmo tempo, no diretório do Azure AD.

Se precisar de ajuda. Fale com nossa equipe.

(11) 5626-1313 | [email protected]

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

plugins premium WordPress