Métodos de autenticação do Microsoft Entra ID - aplicativo Microsoft Authenticator
O aplicativo Microsoft Authenticator fornece outro nível de segurança à sua conta corporativa ou de estudante do Microsoft Entra ou à sua conta da Microsoft e está disponível para Android e iOS. Com o aplicativo Microsoft Authenticator, os usuários podem se autenticar sem senha durante a entrada, ou com outra opção de verificação durante a redefinição de senha de autoatendimento (SSPR) ou eventos de autenticação multifator.
Agora é possível aplicar chaves de acesso para autenticação de usuários. Os usuários podem então receber uma notificação por meio do aplicativo móvel para aprovar ou negar o aplicativo Authenticator para gerar um código de verificação OATH. Esse código pode então ser inserido em uma interface de entrada. Se você habilitar uma notificação e um código de verificação, os usuários que registrarem o aplicativo Authenticator poderão usar qualquer um dos métodos para verificar sua identidade usando chaves de acesso.
Observação
Na preparação do suporte à chave de acesso no Microsoft Authenticator, os usuários podem ver o Authenticator como um provedor de chave de acesso em dispositivos iOS e Android. Para obter mais informações, consulte Entrada por chave de acesso (versão prévia).
Para usar o aplicativo Authenticator em um prompt de entrada em vez de uma combinação de nome de usuário e senha, confira Habilitar a entrada sem senha com o Microsoft Authenticator.
Observação
- Os usuários não têm a opção de registrar o aplicativo móvel quando habilitam a SSPR. Em vez disso, eles podem fazer esse registro em https://aka.ms/mfasetup ou como parte do registro combinado de informações de segurança em https://aka.ms/setupsecurityinfo.
- Talvez não haja suporte para o aplicativo Authenticator em versões beta do iOS e do Android. Além disso, a partir de 20 de outubro de 2023, o aplicativo Authenticator no Android deixará de ser compatível com versões mais antigas do Portal da Empresa com Android. Os usuários do Android com versões do Portal da Empresa abaixo de 2111 (5.0.5333.0) não podem registrar novamente ou registrar novas instâncias do Authenticator até atualizarem o aplicativo Portal da Empresa para uma versão mais recente.
Entrada com chave de acesso (versão prévia)
O Authenticator é uma solução de chave de acesso gratuita que permite que os usuários façam autenticações sem senha e resistentes a phishing em seus próprios telefones. Alguns dos principais benefícios do uso de chaves de acesso no aplicativo Authenticator:
- As chaves de acesso podem ser facilmente implantadas em escala. Em seguida, as chaves de acesso estão disponíveis no telefone do usuário para cenários de gerenciamento de dispositivos móveis (MDM) e de traga seu próprio dispositivo (BYOD).
- As chaves de acesso no Authenticator não têm custo adicional e acompanham o usuário aonde quer que ele vá.
- As chaves de acesso no Authenticator são vinculadas ao dispositivo, o que garante que a senha não saia do dispositivo no qual foi criada.
- Os usuários ficam atualizados com as mais recentes inovações em chaves de acesso baseadas nos padrões abertos do WebAuthn.
- As empresas podem colocar outras funcionalidades sobre os fluxos de autenticação, como a conformidade com FIPS 140.
Observação
À medida que as implantações progridem em preparação para a visualização, os administradores e usuários podem ver a chave de acesso como um método de entrada em diferentes superfícies do Microsoft Entra, incluindo o Centro de administração, o aplicativo Authenticator, o Authentication Insights e assim por diante.
Chave de acesso vinculada ao dispositivo
As chaves de acesso no aplicativo Authenticator são vinculadas ao dispositivo para garantir que nunca saiam do dispositivo em que foram criadas. Em um dispositivo iOS, o Authenticator usa o Enclave Seguro para criar a chave de acesso. No Android, criamos a chave de acesso no Elemento Seguro em dispositivos compatíveis com ele ou recorremos ao Ambiente de Execução Confiável (TEE).
Como o atestado de chave de acesso funciona com o Authenticator
Por enquanto, as chaves de acesso do Authenticator não estão atestadas. O suporte de atestado para chaves de acesso no Authenticator está planejado para uma versão futura.
Backup e restauração de chaves de acesso no Authenticator
As chaves de acesso no Authenticator não são armazenadas em backup e não podem ser restauradas em um novo dispositivo. Para criar chaves de acesso em um novo dispositivo, use a chave de acesso em um dispositivo mais antigo ou use outro método de autenticação para recriar a chave de acesso.
Entrada sem senha
Em vez de ver uma solicitação de senha após a inserção de um nome de usuário, os usuários que habilitarem a entrada pelo telefone a partir do aplicativo Authenticator verão uma mensagem para inserir um número no aplicativo. Quando o número correto é selecionado, o processo de entrada é concluído.
Esse método de autenticação fornece um alto nível de segurança e elimina a necessidade de o usuário fornecer uma senha ao entrar.
Para começar a usar a entrada sem senha, consulte Habilitar a entrada sem senha com o Microsoft Authenticator.
Notificação pelo aplicativo móvel
O aplicativo Authenticator pode ajudar a impedir o acesso não autorizado a contas e interromper transações fraudulentas enviando uma notificação para seu smartphone ou tablet. Os usuários visualizam a notificação e, se for legítima, selecionam Confirmar. Caso contrário, eles podem selecionar Negar.
Observação
A partir de agosto de 2023, as entradas anômalas não gerarão notificações, da mesma forma que as entradas de locais desconhecidos não geram notificações. Para aprovar uma entrada anômala, os usuários podem abrir o Microsoft Authenticator ou o Authenticator Lite em um aplicativo complementar relevante, como o Outlook. Em seguida, eles podem efetuar pull para atualizar ou tocar em Atualizar e aprovar a solicitação.
Caso sua organização tenha funcionários trabalhando ou viajando para a China, a Notificação por aplicativo móvel em dispositivos Android não funciona nesse país/região, já que os serviços do Google Play (inclusive notificação por push) estão bloqueados na região. No entanto, a notificação para iOS funciona. Para dispositivos Android, métodos alternativos de autenticação devem ser disponibilizados para esses usuários.
Código de verificação de aplicativo móvel
O aplicativo Authenticator pode ser usado como um token de software para gerar um código de verificação OATH. Depois de inserir seu nome de usuário e sua senha, insira o código fornecido pelo aplicativo Authenticator na interface de login. O código de verificação oferece uma segunda forma de autenticação.
Observação
Os códigos de verificação OATH gerados pelo Authenticator não são compatíveis com a autenticação baseada em certificado.
Os usuários podem ter uma combinação de até cinco tokens de hardware OATH ou aplicativos autenticadores, como o aplicativo Authenticator, configurados para uso a qualquer momento.
Compatível com FIPS 140 para autenticação do Microsoft Entra
Consistente com as diretrizes descritas no NIST SP 800-63B, os autenticadores usados pelas agências do governo dos Estados Unidos são obrigados a usar criptografia validada pelo FIPS 140. Esta diretriz ajuda os órgãos do governo dos EUA a atender aos requisitos da Ordem Executiva (EO) 14028. Além disso, essa diretriz ajuda outros setores regulamentados, como organizações de saúde que trabalham com Prescrições Eletrônicas para Substâncias Controladas (EPCS), a atender aos seus requisitos regulamentares.
O FIPS 140 é um padrão do governo dos EUA que define os requisitos mínimos de segurança para módulos de criptografia em sistemas e produtos de tecnologia da informação. O Programa de Validação de Módulo Criptográfico (CMVP) mantém os testes de acordo com o padrão FIPS 140.
Microsoft Authenticator para iOS
A partir da versão 6.6.8, o Microsoft Authenticator para iOS usa o módulo Apple CoreCrypto nativo para criptografia validada por FIPS em dispositivos Apple iOS compatíveis com FIPS 140. Todas as autenticações Microsoft Entra usando chaves de acesso vinculadas a dispositivos resistentes a phishing, autenticações multifatoriais push (MFA), login por telefone sem senha (PSI) e códigos de acesso únicos baseados em tempo (TOTP) usam a criptografia FIPS.
Para obter mais informações sobre os módulos criptográficos validados pelo FIPS 140 em uso e dispositivos iOS compatíveis, veja Certificações de segurança do Apple iOS.
Observação
Em novas atualizações da versão anterior deste artigo: o Microsoft Authenticator ainda não está em conformidade com o FIPS 140 no Android. O Microsoft Authenticator no Android está atualmente aguardando a certificação de conformidade do FIPS para dar suporte a nossos clientes que podem exigir criptografia validada pelo FIPS.
Determinando o tipo de registro do Microsoft Authenticator em Minhas informações de segurança
Os usuários podem acessar MySecurityInfo (consulte as URLs na próxima seção) ou selecionar Informações de segurança em MyAccount para gerenciar e adicionar mais registros do Microsoft Authenticator. Ícones específicos são usados para diferenciar se o registro do Microsoft Authenticator efetua logon por telefone sem senha ou MFA.
| Tipo de registro do Authenticator | ícone |
|---|---|
| Microsoft Authenticator: Logon por telefone sem senha |  |
| Microsoft Authenticator (notificação/código) |  |
Links MySecurityInfo
| Nuvem | URL de MySecurityInfo |
|---|---|
| Azure comercial (inclui GCC) | https://aka.ms/MySecurityInfo |
| Azure para o governo dos EUA (inclui GCC High e DoD) | https://aka.ms/MySecurityInfo-us |
Atualizações do aplicativo Microsoft Authenticator
A Microsoft atualiza continuamente o aplicativo Microsoft Authenticator para manter um alto nível de segurança. Para garantir que seus usuários tenham a melhor experiência possível, recomendamos que eles atualizem continuamente o aplicativo Authenticator. No caso de atualizações críticas de segurança, as versões do aplicativo que não estiverem atualizadas podem deixar de funcionar e podem impedir que os usuários concluam suas autenticações. Se um usuário estiver usando uma versão do aplicativo sem suporte, ele será solicitado a atualizar para a versão mais recente antes de poder prosseguir com as autenticações.
A Microsoft também removerá periodicamente versões mais antigas do aplicativo Authenticator para manter um alto nível de segurança para sua organização. Se não houver suporte para versões modernas do aplicativo Microsoft Authenticator no dispositivo de um usuário, ele não poderá concluir as autenticações com o aplicativo. Recomendamos que esses usuários usem um código de verificação OATH no aplicativo Microsoft Authenticator para concluir a autenticação de dois fatores.
Próximas etapas
Para começar a usar as chaves de acesso, consulte Habilitar a entrada com chave de acesso do Microsoft Authenticator (versão prévia).
Para obter mais informações sobre a entrada sem senha, consulte Habilitar a entrada sem senha com o Microsoft Authenticator.
Saiba mais sobre a configuração de métodos de autenticação usando a API REST do Microsoft Graph.