Partilhar via


Opções de autenticação sem palavra-passe para o Microsoft Entra ID

Recursos como a autenticação multifator (MFA) são uma ótima maneira de proteger sua organização, mas os usuários geralmente ficam frustrados com a camada de segurança extra além de terem que lembrar suas senhas. Os métodos de autenticação sem senha são mais convenientes porque a senha é removida e substituída por algo que você tem ou algo que você é ou sabe.

Autenticação Algo que tem Algo que você é ou sabe
Sem palavra-passe Dispositivo, telefone ou chave de segurança do Windows 10 Biométrico ou PIN

Cada organização tem necessidades diferentes quando se trata de autenticação. O Microsoft Entra ID e o Azure Government integram as seguintes opções de autenticação sem senha:

  • Windows Hello para empresas
  • Credencial de plataforma para macOS
  • Plataforma de logon único (PSSO) para macOS com autenticação de cartão inteligente
  • Microsoft Authenticator
  • Chaves de acesso (FIDO2)
  • Autenticação baseada em certificado

Autenticação: Segurança versus conveniência

Windows Hello para empresas

O Windows Hello for Business é ideal para profissionais da informação que têm o seu próprio PC Windows designado. As credenciais biométricas e PIN estão diretamente ligadas ao PC do utilizador, o que impede o acesso de qualquer pessoa que não seja o proprietário. Com integração de PKI (infraestrutura de chave pública) e suporte interno para logon único (SSO), o Windows Hello for Business fornece um método conveniente para acessar recursos corporativos diretamente no local e na nuvem.

Exemplo de um início de sessão de utilizador com o Windows Hello para Empresas.

As etapas a seguir mostram como o processo de entrada funciona com o Microsoft Entra ID:

Diagrama que descreve as etapas envolvidas para a entrada do usuário com o Windows Hello for Business

  1. Um usuário entra no Windows usando gesto biométrico ou PIN. O gesto desbloqueia a chave privada do Windows Hello for Business e é enviado para o provedor de suporte de segurança da Autenticação na Nuvem, chamado de Provedor de Autenticação na Nuvem (CloudAP). Para obter mais informações sobre o CloudAP, consulte O que é um token de atualização primário?.
  2. O CloudAP solicita um nonce (um número arbitrário aleatório que pode ser usado uma vez) do ID do Microsoft Entra.
  3. O Microsoft Entra ID retorna um nonce válido por 5 minutos.
  4. O CloudAP assina o nonce usando a chave privada do usuário e retorna o nonce assinado para o ID do Microsoft Entra.
  5. O Microsoft Entra ID valida o nonce assinado usando a chave pública registrada com segurança do usuário em relação à assinatura nonce. O Microsoft Entra ID valida a assinatura e, em seguida, valida o nonce assinado retornado. Quando o nonce é validado, o Microsoft Entra ID cria um token de atualização primário (PRT) com chave de sessão que é criptografada para a chave de transporte do dispositivo e o retorna para o CloudAP.
  6. O CloudAP recebe o PRT criptografado com chave de sessão. O CloudAP usa a chave de transporte privada do dispositivo para descriptografar a chave de sessão e protege a chave de sessão usando o TPM (Trusted Platform Module) do dispositivo.
  7. O CloudAP retorna uma resposta de autenticação bem-sucedida para o Windows. Em seguida, o usuário pode acessar o Windows e aplicativos locais e na nuvem usando o logon contínuo (SSO).

O guia de planejamento do Windows Hello for Business pode ser usado para ajudá-lo a tomar decisões sobre o tipo de implantação do Windows Hello for Business e as opções que você precisa considerar.

Credencial de plataforma para macOS

A Credencial de Plataforma para macOS é um novo recurso no macOS que é ativado usando a Extensão de Logon Único (SSOe) do Microsoft Enterprise. Ele provisiona uma chave criptográfica segura vinculada a hardware apoiada por enclave que é usada para SSO em aplicativos que usam o Microsoft Entra ID para autenticação. A palavra-passe da conta local do utilizador não é afetada e é necessária para iniciar sessão no Mac.

Captura de tela mostrando um exemplo de uma janela pop-up solicitando que o usuário registre sua conta do macOS com seu provedor de identidade usando o logon único da plataforma.

A Credencial de Plataforma para macOS permite que os usuários fiquem sem senha configurando o Touch ID para desbloquear o dispositivo e usa credenciais resistentes a phish, com base na tecnologia Windows Hello for Business. Isso economiza dinheiro das organizações clientes, eliminando a necessidade de chaves de segurança e avança os objetivos do Zero Trust usando a integração com o Enclave Seguro.

A Credencial de Plataforma para macOS também pode ser usada como uma credencial resistente a phishing para uso em desafios WebAuthn, incluindo cenários de reautenticação do navegador. Os administradores de políticas de autenticação precisam habilitar o método de autenticação FIDO2 (Passkey) para oferecer suporte à Credencial de plataforma para macOS como uma credencial resistente a phishing. Se você usar Políticas de Restrição de Chave em sua política FIDO, precisará adicionar o AAGUID para a Credencial da Plataforma macOS à sua lista de AAGUIDs permitidos: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC.

Diagrama que descreve as etapas envolvidas para o login do usuário com o macOS Platform SSO.

  1. Um usuário desbloqueia o macOS usando o gesto de impressão digital ou senha, que desbloqueia o saco de chaves para fornecer acesso ao UserSecureEnclaveKey.
  2. O macOS solicita um nonce (um número arbitrário aleatório que pode ser usado apenas uma vez) do Microsoft Entra ID.
  3. O Microsoft Entra ID retorna um nonce válido por 5 minutos.
  4. O sistema operacional (SO) envia uma solicitação de login para o Microsoft Entra ID com uma asserção incorporada assinada com o UserSecureEnclaveKey que reside no Enclave Seguro.
  5. O Microsoft Entra ID valida a asserção assinada usando a chave pública registrada com segurança do usuário da chave UserSecureEnclave. O Microsoft Entra ID valida a assinatura e o nonce. Depois que a asserção é validada, o Microsoft Entra ID cria um token de atualização primário (PRT) criptografado com a chave pública da UserDeviceEncryptionKey que é trocada durante o registro e envia a resposta de volta para o sistema operacional.
  6. O sistema operacional descriptografa e valida a resposta, recupera os tokens SSO, armazena e compartilha com a extensão SSO para fornecer SSO. O usuário pode acessar aplicativos macOS, na nuvem e locais usando SSO.

Consulte o SSO da plataforma macOS para obter mais informações sobre como configurar e implantar a credencial da plataforma para macOS.

Logon único da plataforma para macOS com SmartCard

O logon único (PSSO) da plataforma para macOS permite que os usuários fiquem sem senha usando o método de autenticação SmartCard. O usuário entra na máquina usando um cartão inteligente externo ou um hard token compatível com cartão inteligente (como Yubikey). Depois que o dispositivo é desbloqueado, o cartão inteligente é usado com o Microsoft Entra ID para conceder SSO em aplicativos que usam o Microsoft Entra ID para autenticação usando autenticação baseada em certificado (CBA). O CBA precisa ser configurado e habilitado para os usuários para que esse recurso funcione. Para configurar o CBA, consulte Como configurar a autenticação baseada em certificado do Microsoft Entra.

Para habilitá-lo, um administrador precisa configurar o PSSO usando o Microsoft Intune ou outra solução de Gerenciamento de Dispositivo Móvel (MDM) com suporte.

Diagrama que descreve as etapas envolvidas para o login do usuário com o macOS Platform SSO.

  1. Um usuário desbloqueia o macOS usando o pino do cartão inteligente, que desbloqueia o cartão inteligente e o saco de chaves para fornecer acesso às chaves de registro do dispositivo presentes no Secure Enclave.
  2. O macOS solicita um nonce (um número arbitrário aleatório que pode ser usado apenas uma vez) do Microsoft Entra ID.
  3. O Microsoft Entra ID retorna um nonce válido por 5 minutos.
  4. O sistema operacional (SO) envia uma solicitação de login para o Microsoft Entra ID com uma asserção incorporada assinada com o certificado Microsoft Entra do usuário do cartão inteligente.
  5. O Microsoft Entra ID valida a asserção, assinatura e nonce assinadas. Depois que a asserção é validada, o Microsoft Entra ID cria um token de atualização primário (PRT) criptografado com a chave pública da UserDeviceEncryptionKey que é trocada durante o registro e envia a resposta de volta para o sistema operacional.
  6. O sistema operacional descriptografa e valida a resposta, recupera os tokens SSO, armazena e compartilha com a extensão SSO para fornecer SSO. O usuário pode acessar aplicativos macOS, na nuvem e locais usando SSO.

Microsoft Authenticator

Você também pode permitir que o telefone do seu funcionário se torne um método de autenticação sem senha. Você já pode estar usando o aplicativo Authenticator como uma opção conveniente de autenticação multifator, além de uma senha. Você também pode usar o aplicativo autenticador como uma opção sem senha.

Entre no Microsoft Edge com o Microsoft Authenticator

O aplicativo autenticador transforma qualquer telefone iOS ou Android em uma credencial forte e sem senha. Os usuários podem entrar em qualquer plataforma ou navegador recebendo uma notificação em seu telefone, combinando um número exibido na tela com o de seu telefone. Em seguida, eles podem usar sua biométrica (toque ou rosto) ou PIN para confirmar. Para obter detalhes da instalação, consulte Baixar e instalar o Microsoft Authenticator.

A autenticação sem senha usando o Microsoft Authenticator segue o mesmo padrão básico do Windows Hello for Business. É um pouco mais complicado, pois o usuário precisa ser identificado para que o Microsoft Entra ID possa encontrar a versão do aplicativo Authenticator que está sendo usada:

Diagrama que descreve as etapas envolvidas para a entrada do usuário com o aplicativo Microsoft Authenticator

  1. O usuário insere seu nome de usuário.
  2. O Microsoft Entra ID deteta que o usuário tem uma credencial forte e inicia o fluxo de credenciais fortes.
  3. Uma notificação é enviada para o aplicativo por meio do Apple Push Notification Service (APNS) em dispositivos iOS ou via Firebase Cloud Messaging (FCM) em dispositivos Android.
  4. O usuário recebe a notificação por push e abre o aplicativo.
  5. O aplicativo chama o Microsoft Entra ID e recebe um desafio de prova de presença e nonce.
  6. O usuário completa o desafio inserindo sua biométrica ou PIN para desbloquear a chave privada.
  7. O nonce é assinado com a chave privada e enviado de volta para o Microsoft Entra ID.
  8. O Microsoft Entra ID executa a validação de chave pública/privada e retorna um token.

Para começar a usar o login sem senha, conclua o seguinte procedimento:

Chaves de acesso (FIDO2)

Os usuários podem registrar uma chave de acesso (FIDO2) e escolhê-la como seu método de login principal. Com um dispositivo de hardware que lida com a autenticação, a segurança de uma conta é aumentada, pois não há senha que possa ser exposta ou adivinhada. Atualmente em visualização, um administrador de autenticação também pode provisionar uma segurança FIDO2 em nome de um usuário usando a API do Microsoft Graph e um cliente personalizado. No momento, o provisionamento em nome dos usuários está limitado às chaves de segurança.

A FIDO (Fast IDentity Online) Alliance ajuda a promover padrões de autenticação abertos e reduzir o uso de senhas como forma de autenticação. FIDO2 é o padrão mais recente que incorpora o padrão de autenticação web (WebAuthn). O FIDO permite que as organizações apliquem o padrão WebAuthn usando uma chave de segurança externa, ou uma chave de plataforma embutida em um dispositivo, para entrar sem um nome de usuário ou senha.

As chaves de segurança FIDO2 são um método de autenticação sem senha baseado em padrões não phishable que pode vir em qualquer fator de forma. Geralmente são dispositivos USB, mas também podem usar Bluetooth ou NFC (comunicação de campo próximo). As chaves de acesso (FIDO2) são baseadas no mesmo padrão WebAuthn e podem ser salvas no Authenticator ou em dispositivos móveis, tablets ou computadores.

As chaves de segurança FIDO2 podem ser usadas para entrar em seus dispositivos Microsoft Entra ID ou Microsoft Entra híbrido com Windows 10 e obter logon único em seus recursos locais e na nuvem. Os utilizadores também podem iniciar sessão em navegadores suportados. As chaves de segurança FIDO2 são uma ótima opção para empresas que são muito sensíveis à segurança ou têm cenários ou funcionários que não estão dispostos ou não podem usar seu telefone como um segundo fator.

Para obter mais informações sobre o suporte de chave de acesso (FIDO2), consulte Suporte para autenticação de chave de acesso (FIDO2) com ID do Microsoft Entra. Para obter as práticas recomendadas do desenvolvedor, consulte Suporte à autenticação FIDO2 nos aplicativos que eles desenvolvem.

Entre no Microsoft Edge com uma chave de segurança

O processo a seguir é usado quando um usuário entra com uma chave de segurança FIDO2:

Diagrama que descreve as etapas envolvidas para a entrada do usuário com uma chave de segurança FIDO2

  1. O usuário conecta a chave de segurança FIDO2 em seu computador.
  2. O Windows deteta a chave de segurança FIDO2.
  3. O Windows envia uma solicitação de autenticação.
  4. O Microsoft Entra ID envia de volta um nonce.
  5. O usuário completa seu gesto para desbloquear a chave privada armazenada no enclave seguro da chave de segurança FIDO2.
  6. A chave de segurança FIDO2 assina o nonce com a chave privada.
  7. A solicitação de token de atualização primária (PRT) com nonce assinado é enviada para o Microsoft Entra ID.
  8. O Microsoft Entra ID verifica o nonce assinado usando a chave pública FIDO2.
  9. O Microsoft Entra ID retorna PRT para habilitar o acesso a recursos locais.

Para obter uma lista de fornecedores de chaves de segurança FIDO2, consulte Tornar-se um fornecedor de chaves de segurança FIDO2 compatível com a Microsoft.

Para começar a usar as chaves de segurança FIDO2, conclua o seguinte procedimento:

Autenticação baseada em certificado

A autenticação baseada em certificado (CBA) do Microsoft Entra permite que os clientes permitam ou exijam que os usuários se autentiquem diretamente com certificados X.509 em sua ID do Microsoft Entra para aplicativos e entrada no navegador. O CBA permite que os clientes adotem autenticação resistente a phishing e entrem com um certificado X.509 em sua infraestrutura de chave pública (PKI).

Diagrama da autenticação baseada em certificado do Microsoft Entra.

Principais benefícios de usar o Microsoft Entra CBA

Benefícios Description
Experiência de utilizador excecional - Os usuários que precisam de autenticação baseada em certificado agora podem se autenticar diretamente no Microsoft Entra ID e não precisam investir em federação.
- A interface do usuário do portal permite que os usuários configurem facilmente como mapear campos de certificado para um atributo de objeto de usuário para procurar o usuário no locatário (associações de nome de usuário de certificado)
- Interface do usuário do portal para configurar políticas de autenticação para ajudar a determinar quais certificados são de fator único versus multifator.
Fácil de implantar e administrar - Microsoft Entra CBA é um recurso gratuito, e você não precisa de nenhuma edição paga do Microsoft Entra ID para usá-lo.
- Não há necessidade de implantações locais complexas ou configuração de rede.
- Autenticar diretamente no Microsoft Entra ID.
Proteger - As senhas locais não precisam ser armazenadas na nuvem de forma alguma.
- Protege suas contas de usuário trabalhando perfeitamente com as políticas de Acesso Condicional do Microsoft Entra, incluindo autenticação multifator resistente a phishing (MFA requer edição licenciada) e bloqueio de autenticação herdada.
- Suporte de autenticação forte, onde os usuários podem definir políticas de autenticação através dos campos de certificado, como emissor ou política OID (identificadores de objeto), para determinar quais certificados se qualificam como fator único versus multifator.
- O recurso funciona perfeitamente com recursos de Acesso Condicional e capacidade de força de autenticação para impor MFA para ajudar a proteger seus usuários.

Cenários suportados

Os seguintes cenários são suportados:

  • Login do usuário em aplicativos baseados em navegador da Web em todas as plataformas.
  • O utilizador inicia sessão em aplicações móveis do Office em plataformas iOS/Android e aplicações nativas do Office no Windows, incluindo Outlook, OneDrive e assim por diante.
  • Login do usuário em navegadores nativos móveis.
  • Suporte para regras de autenticação granular para autenticação multifator usando o emissor do certificado Assunto e OIDs de política.
  • Configurando associações de conta de certificado para usuário usando qualquer um dos campos de certificado:
    • Nome alternativo da entidade (SAN) PrincipalName e SAN RFC822Nare
    • Identificador de chave de assunto (SKI) e SHA1PublicKey
  • Configurando associações de conta de certificado para usuário usando qualquer um dos atributos de objeto de usuário:
    • Nome Principal do Utilizador
    • onPremisesUserPrincipalName
    • CertificateUserIds

Cenários suportados

As seguintes considerações são aplicáveis:

  • Os administradores podem habilitar métodos de autenticação sem senha para seus locatário.
  • Os administradores podem segmentar todos os usuários ou selecionar usuários/grupos de segurança dentro de seu locatário para cada método.
  • Os usuários podem registrar e gerenciar esses métodos de autenticação sem senha em seu portal de conta.
  • Os utilizadores podem iniciar sessão com estes métodos de autenticação sem palavra-passe:
    • Aplicativo autenticador: funciona em cenários em que a autenticação do Microsoft Entra é usada, inclusive em todos os navegadores, durante a instalação do Windows 10 e com aplicativos móveis integrados em qualquer sistema operacional.
    • Chaves de segurança: Trabalhe na tela de bloqueio do Windows 10 e da Web em navegadores suportados, como o Microsoft Edge (herdado e novo Edge).
  • Os usuários podem usar credenciais sem senha para acessar recursos em locatários onde são convidados, mas ainda podem ser obrigados a executar MFA nesse locatário de recurso. Para obter mais informações, consulte Possível autenticação multifator dupla.
  • Os usuários não podem registrar credenciais sem senha em um locatário onde são convidados, da mesma forma que não têm uma senha gerenciada nesse locatário.

Cenários não suportados

Recomendamos não mais do que 20 conjuntos de chaves para cada método sem senha para qualquer conta de usuário. À medida que mais chaves são adicionadas, o tamanho do objeto do usuário aumenta e você pode notar degradação em algumas operações. Nesse caso, você deve remover chaves desnecessárias. Para obter mais informações e os cmdlets do PowerShell para consultar e remover chaves, consulte Usando o módulo WHfBTools PowerShell para limpar chaves órfãs do Windows Hello for Business. Use o parâmetro opcional /UserPrincipalName para consultar apenas chaves para um usuário específico. As permissões necessárias são para executar como um administrador ou o usuário especificado.

Quando você usa o PowerShell para criar um arquivo CSV com todas as chaves existentes, identifique cuidadosamente as chaves que você precisa manter e remova essas linhas do CSV. Em seguida, use o CSV modificado com o PowerShell para excluir as chaves restantes para colocar a contagem de chaves da conta abaixo do limite.

É seguro excluir qualquer chave relatada como "Orphaned"="True" no CSV. Uma chave órfã é uma chave para um dispositivo que não está mais registrado no Microsoft Entra ID. Se a remoção de todos os órfãos ainda não colocar a conta de usuário abaixo do limite, é necessário examinar as colunas DeviceId e CreationTime para identificar quais chaves direcionar para exclusão. Tenha cuidado para remover qualquer linha no CSV para chaves que você deseja manter. As chaves para qualquer DeviceID correspondente aos dispositivos que o usuário usa ativamente devem ser removidas do CSV antes da etapa de exclusão.

Escolha um método sem senha

A escolha entre essas três opções sem senha depende dos requisitos de segurança, plataforma e aplicativo da sua empresa.

Aqui estão alguns fatores que você deve considerar ao escolher a tecnologia sem senha da Microsoft:

Windows Hello para empresas Login sem senha com o aplicativo Authenticator Chaves de segurança FIDO2
Pré-requisito Windows 10, versão 1809 ou posterior
Microsoft Entra ID
Aplicação de autenticação
Telefone (dispositivos iOS e Android)
Windows 10, versão 1903 ou posterior
Microsoft Entra ID
Modo Plataforma Software Hardware
Sistemas e dispositivos PC com um TPM (Trusted Platform Module) integrado
Reconhecimento de PIN e biometria
Reconhecimento de PIN e biometria no telefone Dispositivos de segurança FIDO2 compatíveis com a Microsoft
Experiência do utilizador Entre usando um PIN ou reconhecimento biométrico (facial, íris ou impressão digital) com dispositivos Windows.
A autenticação do Windows Hello está vinculada ao dispositivo; o usuário precisa do dispositivo e de um componente de entrada, como um PIN ou fator biométrico, para acessar recursos corporativos.
Inicie sessão com um telemóvel com digitalização de impressões digitais, reconhecimento facial ou da íris ou PIN.
Os utilizadores iniciam sessão na conta profissional ou pessoal a partir do PC ou telemóvel.
Iniciar sessão utilizando o dispositivo de segurança FIDO2 (biometria, PIN e NFC)
O usuário pode acessar o dispositivo com base nos controles da organização e autenticar com base em PIN, biometria usando dispositivos como chaves de segurança USB e cartões inteligentes, chaves ou wearables habilitados para NFC.
Cenários habilitados Experiência sem senha com o dispositivo Windows.
Aplicável para PC de trabalho dedicado com capacidade de início de sessão único para dispositivos e aplicações.
Solução sem senha em qualquer lugar usando o telefone celular.
Aplicável para aceder a aplicações profissionais ou pessoais na Web a partir de qualquer dispositivo.
Experiência sem senha para trabalhadores que usam biometria, PIN e NFC.
Aplicável para PCs partilhados e onde um telemóvel não é uma opção viável (como para pessoal de help desk, quiosque público ou equipa hospitalar)

Use a tabela a seguir para escolher qual método suporta seus requisitos e usuários.

Persona Cenário Environment Tecnologia sem senha
Admin Acesso seguro a um dispositivo para tarefas de gerenciamento Dispositivo Windows 10 atribuído Chave de segurança do Windows Hello for Business e/ou FIDO2
Admin Tarefas de gerenciamento em dispositivos que não sejam Windows Dispositivo móvel ou não Windows Login sem senha com o aplicativo Authenticator
Trabalhador da informação Trabalho de produtividade Dispositivo Windows 10 atribuído Chave de segurança do Windows Hello for Business e/ou FIDO2
Trabalhador da informação Trabalho de produtividade Dispositivo móvel ou não Windows Login sem senha com o aplicativo Authenticator
Trabalhador da linha de frente Quiosques em uma fábrica, fábrica, varejo ou entrada de dados Dispositivos Windows 10 partilhados FIDO2 Chaves de segurança

Próximos passos

Para começar a usar o passwordless no Microsoft Entra ID, conclua um dos seguintes procedimentos: