Métodos de autenticação no Microsoft Entra ID - Aplicação Microsoft Authenticator
A aplicação Microsoft Authenticator fornece outro nível de segurança à sua conta escolar ou profissional do Microsoft Entra ou à sua conta Microsoft e está disponível para Android e iOS. Com o aplicativo Microsoft Authenticator, os usuários podem se autenticar sem senha durante a entrada ou outra opção de verificação durante eventos de redefinição de senha de autoatendimento (SSPR) ou autenticação multifator.
Agora você pode aplicar chaves de acesso para autenticação do usuário. Os usuários podem então receber uma notificação por meio de seu aplicativo móvel para aprovar ou negar o aplicativo Authenticator para gerar um código de verificação OATH. Esse código pode ser inserido em uma interface de entrada. Se você habilitar um código de notificação e verificação, os usuários que registrarem o aplicativo Authenticator poderão usar qualquer um dos métodos para verificar sua identidade usando chaves de acesso.
Nota
Na preparação do suporte de chave de acesso no Microsoft Authenticator, os usuários podem ver o Authenticator como um provedor de chave de acesso em dispositivos iOS e Android. Para obter mais informações, consulte Entrada por chave de acesso (visualização).
Para usar o aplicativo Authenticator em um prompt de entrada em vez de uma combinação de nome de usuário e senha, consulte Habilitar entrada sem senha com o Microsoft Authenticator.
Nota
- Os usuários não têm a opção de registrar seu aplicativo móvel quando habilitam o SSPR. Em vez disso, os usuários podem registrar seu aplicativo móvel em https://aka.ms/mfasetup ou como parte do registro combinado de informações de segurança em https://aka.ms/setupsecurityinfo.
- O aplicativo Authenticator pode não ser compatível com versões beta do iOS e Android. Além disso, a partir de 20 de outubro de 2023, o aplicativo Authenticator no Android não suporta mais versões antigas do Portal da Empresa Android. Os usuários de Android com versões do Portal da Empresa abaixo de 2111 (5.0.5333.0) não podem registrar novamente ou registrar novas instâncias do Authenticator até que atualizem seu aplicativo do Portal da Empresa para uma versão mais recente.
Entrada por chave de acesso (visualização)
O Authenticator é uma solução de chave de acesso gratuita que permite aos usuários fazer autenticações resistentes a phishing sem senha a partir de seus próprios telefones. Alguns dos principais benefícios de usar chaves de acesso no aplicativo Authenticator:
- As chaves de acesso podem ser facilmente implantadas em escala. Em seguida, as chaves de acesso estão disponíveis no telefone de um usuário para cenários de gerenciamento de dispositivos móveis (MDM) e traga seu próprio dispositivo (BYOD).
- As chaves de acesso no Authenticator não têm mais custos e viajam com o usuário para onde quer que ele vá.
- As chaves de acesso no Authenticator estão ligadas ao dispositivo, o que garante que a chave de acesso não saia do dispositivo no qual foi criada.
- Os usuários se mantêm atualizados com a mais recente inovação de chave de acesso baseada em padrões abertos WebAuthn.
- As empresas podem sobrepor outros recursos aos fluxos de autenticação, como a conformidade com FIPS 140.
Chave de acesso vinculada ao dispositivo
As chaves de acesso no aplicativo Authenticator são vinculadas ao dispositivo para garantir que nunca saiam do dispositivo em que foram criadas. Em um dispositivo iOS, o Authenticator usa o Enclave Seguro para criar a chave de acesso. No Android, criamos a chave de acesso no Elemento Seguro em dispositivos que a suportam ou recorremos ao Ambiente de Execução Confiável (TEE).
Como funciona o atestado de chave de acesso com o Authenticator
Por enquanto, as chaves de acesso no Authenticator não são atestadas. O suporte de atestado para chaves de acesso no Authenticator está planejado para uma versão futura.
Fazer backup e restaurar chaves de acesso no Authenticator
Não é feito backup das chaves de acesso no Authenticator e não podem ser restauradas em um novo dispositivo. Para criar chaves de acesso em um novo dispositivo, use a chave de acesso em um dispositivo mais antigo ou use outro método de autenticação para recriar a chave de acesso.
Início de sessão sem palavra-passe
Em vez de ver um pedido de palavra-passe depois de introduzir um nome de utilizador, os utilizadores que ativam o início de sessão por telefone a partir da aplicação Autenticador veem uma mensagem para introduzir um número na respetiva aplicação. Quando o número correto é selecionado, o processo de entrada é concluído.
Esse método de autenticação fornece um alto nível de segurança e elimina a necessidade de o usuário fornecer uma senha ao entrar.
Para começar a utilizar o início de sessão sem palavra-passe, consulte Ativar o início de sessão sem palavra-passe com o Microsoft Authenticator.
Notificação através da aplicação móvel
O aplicativo Authenticator pode ajudar a impedir o acesso não autorizado a contas e impedir transações fraudulentas, enviando uma notificação para seu smartphone ou tablet. Os usuários visualizam a notificação e, se ela for legítima, selecione Verificar. Caso contrário, eles podem selecionar Negar.
Nota
A partir de agosto de 2023, logins anômalos não geram notificações, da mesma forma que logins de locais desconhecidos não geram notificações. Para aprovar um início de sessão anómalo, os utilizadores podem abrir o Microsoft Authenticator ou o Authenticator Lite numa aplicação complementar relevante como o Outlook. Em seguida, eles podem puxar para baixo para atualizar ou tocar em Atualizar e aprovar a solicitação.
Na China, o método de notificação por aplicativo móvel em dispositivos Android não funciona porque os serviços do Google Play (incluindo notificações push) são bloqueados na região. No entanto, as notificações do iOS funcionam. Para os dispositivos Android, devem ser disponibilizados a esses utilizadores métodos de autenticação alternativos.
Código de verificação da aplicação móvel
O aplicativo Authenticator pode ser usado como um token de software para gerar um código de verificação OATH. Depois de introduzir o seu nome de utilizador e palavra-passe, introduza o código fornecido pela aplicação Authenticator na interface de início de sessão. O código de verificação proporciona uma segunda forma de autenticação.
Nota
Os códigos de verificação OATH gerados pelo Autenticador não são suportados para autenticação baseada em certificado.
Os usuários podem ter uma combinação de até cinco tokens de hardware OATH ou aplicativos autenticadores, como o aplicativo Authenticator, configurado para uso a qualquer momento.
Compatível com FIPS 140 para autenticação Microsoft Entra
Consistente com as diretrizes descritas no NIST SP 800-63B, os autenticadores usados por agências governamentais dos EUA são obrigados a usar criptografia validada FIPS 140. Esta diretriz ajuda as agências governamentais dos EUA a cumprir os requisitos da Ordem Executiva (EO) 14028. Além disso, essa diretriz ajuda outros setores regulamentados, como organizações de saúde que trabalham com Prescrições Eletrônicas para Substâncias Controladas (EPCS), a atender aos seus requisitos regulatórios.
FIPS 140 é um padrão do governo dos EUA que define requisitos mínimos de segurança para módulos criptográficos em produtos e sistemas de tecnologia da informação. O Cryptographic Module Validation Program (CMVP) mantém os testes em relação ao padrão FIPS 140.
Microsoft Authenticator para iOS
A partir da versão 6.6.8, o Microsoft Authenticator para iOS usa o módulo nativo Apple CoreCrypto para criptografia validada FIPS em dispositivos compatíveis com Apple iOS FIPS 140. Todas as autenticações do Microsoft Entra que usam chaves de acesso vinculadas a dispositivos resistentes a phishing, autenticação multifator push (MFA), entrada por telefone sem senha (PSI) e senhas únicas baseadas em tempo (TOTP) usam a criptografia FIPS.
Para obter mais informações sobre os módulos criptográficos validados pelo FIPS 140 que estão sendo usados e os dispositivos iOS compatíveis, consulte Certificações de segurança do iOS da Apple.
Nota
Em novas atualizações da versão anterior deste artigo: O Microsoft Authenticator ainda não é compatível com FIPS 140 no Android. O Microsoft Authenticator no Android está atualmente pendente de certificação de conformidade FIPS para dar suporte aos nossos clientes que podem exigir criptografia validada FIPS.
Determinando o tipo de registro do Microsoft Authenticator em Informações de segurança
Os usuários podem acessar Minhas informações de segurança (consulte as URLs na próxima seção) ou selecionando Informações de segurança de Minha Conta para gerenciar e adicionar mais registros do Microsoft Authenticator. Ícones específicos são usados para diferenciar se o registro do Microsoft Authenticator é entrada por telefone sem senha ou MFA.
| Tipo de registo do autenticador | Ícone |
|---|---|
| Microsoft Authenticator: Entrada por telefone sem senha |  |
| Microsoft Authenticator: (Notificação/Código) |  |
Links MySecurityInfo
| Cloud | MySecurityInfo URL |
|---|---|
| Azure comercial (inclui GCC) | https://aka.ms/MySecurityInfo |
| Azure para Governo dos EUA (inclui GCC High e DoD) | https://aka.ms/MySecurityInfo-us |
Atualizações para o Authenticator
A Microsoft atualiza continuamente o Authenticator para manter um alto nível de segurança. Para garantir que seus usuários tenham a melhor experiência possível, recomendamos que atualizem continuamente o aplicativo autenticador. No caso de atualizações de segurança críticas, as versões do aplicativo que não estão atualizadas podem deixar de funcionar e impedir que os usuários concluam suas autenticações. Se um usuário estiver usando uma versão do aplicativo que não é suportada, ele será solicitado a atualizar para a versão mais recente antes de poder continuar com as autenticações.
A Microsoft também desativará periodicamente as versões mais antigas do Aplicativo Autenticador para manter uma barra de alta segurança para sua organização. Se o dispositivo de um usuário não oferecer suporte a versões modernas do Aplicativo Microsoft Authenticator, ele não poderá assinar com o aplicativo. Recomendamos que esses usuários usem um código de verificação OATH no aplicativo Microsoft Authenticator para concluir a autenticação de dois fatores.
Próximos passos
Para começar a usar chaves de acesso, consulte Habilitar chaves de acesso no login do Microsoft Authenticator (visualização).
Para obter mais informações sobre o início de sessão sem palavra-passe, consulte Ativar início de sessão sem palavra-passe com o Microsoft Authenticator.
Saiba mais sobre como configurar métodos de autenticação usando a API REST do Microsoft Graph.