Habilitar a entrada sem senha com o Microsoft Authenticator

O Microsoft Authenticator pode ser usado para entrar em qualquer conta do Azure AD sem usar uma senha. O Microsoft Authenticator usa autenticação baseada em chave para habilitar uma credencial do usuário vinculada a um dispositivo, onde o dispositivo usa um PIN ou biometria. O Windows Hello para Empresas usa uma tecnologia semelhante.

Essa tecnologia de autenticação pode ser usada em qualquer plataforma de dispositivo, incluindo dispositivos móveis. Essa tecnologia também pode ser usada com qualquer aplicativo ou site integrado às Bibliotecas de Autenticação da Microsoft.

Captura de tela que mostra um exemplo de um logon de navegador pedindo para o usuário aprovar a entrada.

As pessoas que habilitaram a entrada pelo telefone do Microsoft Authenticator, recebem uma mensagem que solicita que eles toquem em um número em seu aplicativo. Nenhum nome de usuário ou senha é solicitado. Para concluir o processo de entrada no aplicativo, um usuário deve seguir as seguintes ações:

  1. Digite o número que eles recebem na tela de logon na caixa de diálogo do Microsoft Authenticator.
  2. Escolha Aprovar.
  3. Fornecer seu PIN ou biometria.

Várias contas no iOS

Você pode habilitar a entrada por telefone sem senha para várias contas no Microsoft Authenticator em qualquer dispositivo iOS com suporte. Consultores, alunos e outras pessoas com várias contas no Azure AD podem adicionar cada conta ao Microsoft Authenticator e usar a entrada por telefone sem senha para todas elas do mesmo dispositivo iOS.

Anteriormente, os administradores não exigiam entrada sem senha para usuários com várias contas, pois isso exige que eles carreguem mais dispositivos para entrada. Ao remover a limitação de entrada de um usuário por um dispositivo, os administradores podem incentivar os usuários a registrarem a entrada por telefone sem senha e usá-la como método de entrada padrão.

As contas do Azure AD podem estar no mesmo locatário ou em locatários diferentes. As contas de convidado não têm suporte para várias entradas de contas por meio de um dispositivo.

Pré-requisitos

Para usar a entrada sem senha por telefone com o Microsoft Authenticator, os seguintes pré-requisitos devem ser atendidos:

  • Recomendado: Autenticação Multifator do Azure AD, com notificações por push permitidas como um método de verificação. As notificações push para o seu smartphone ou tablet ajudam o aplicativo Authenticator a impedir o acesso não autorizado a contas e impedir transações fraudulentas. O aplicativo Authenticator gera códigos automaticamente quando configurado para enviar notificações por push. Um usuário tem um método de entrada de backup, mesmo que seu dispositivo não tenha conectividade.

  • Versão mais recente do Microsoft Authenticator instalada em dispositivos que executam o iOS ou Android.

  • No Android, o dispositivo que executa o Microsoft Authenticator deve ser registrado para um usuário individual. Estamos trabalhando ativamente para habilitar várias contas no Android.

  • No iOS, o dispositivo deve ser registrado em cada locatário em que ele é usado para entrar. Por exemplo, o seguinte dispositivo deve ser registrado na Contoso e no Wingtiptoys para permitir que todas as contas entrem:

    • balas@contoso.com
    • balas@wingtiptoys.com e bsandhu@wingtiptoys
  • No iOS, recomendamos habilitar a opção no Microsoft Authenticator para permitir que a Microsoft colete dados de uso. Ela não vem habilitada por padrão. Para habilitá-la no Microsoft Authenticator, acesse Configurações>Dados de Uso.

    Captura de tela de Dados de Uso no Microsoft Authenticator.

Para usar a autenticação sem senha no Azure AD, habilite a experiência de registro combinada e, em seguida, habilite os usuários para o método sem senha.

Habilitar os métodos de autenticação sem senha pelo telefone

O Azure AD permite que você escolha quais métodos de autenticação podem ser usados durante o processo de entrada. Em seguida, os usuários se registram nos métodos que desejam usar. A política do método de autenticação do Microsoft Authenticator gerencia o método de MFA push tradicional e o método de autenticação sem senha.

Observação

Se você tiver habilitado a entrada sem senha do Microsoft Authenticator usando o PowerShell do Azure AD, ele foi habilitado para todo o diretório. Se você habilitar o uso desse novo método, ele substituirá a política do PowerShell. É recomendável habilitar para todos os usuários em seu locatário por meio do novo menu Métodos de autenticação, caso contrário, os usuários que não estão na nova política não poderão entrar sem uma senha.

Para habilitar o método de autenticação para entrada por telefone sem senha, conclua as seguintes etapas:

  1. Entre no portal do Azure com uma conta de Administrador de política de autenticação.

  2. Procure e selecione Azure Active Directory e navegue até Segurança>Métodos de autenticação>Políticas.

  3. Escolha as seguintes opções no Microsoft Authenticator:

    1. Habilitar – Sim ou não
    2. Destino – Todos os usuários ou Selecionar usuários
  4. Cada grupo ou usuário adicionado fica habilitado, por padrão, a usar o Microsoft Authenticator nos modos de notificação sem senha e por push (Modo "qualquer"). Para alterar o modo de cada linha para Modo de Autenticação, escolha Qualquer ou Sem senha. Escolher Push impede o uso da credencial de login do telefone sem senha.

  5. Para aplicar a nova política, clique em Salvar.

    Observação

    Se você vir um erro ao tentar salvar, a causa poderá ser o número de usuários ou grupos sendo adicionados. Como alternativa, substitua os usuários e grupos que você está tentando adicionar por um único grupo, na mesma operação, e clique em Salvar novamente.

Registro de usuário

Os usuários se registram para o método de autenticação sem senha do Azure AD. Para usuários que já registraram o aplicativo Microsoft Authenticator com relação à autenticação multifator, pule para a próxima seção, Habilitar a entrada por telefone. Para registrar o aplicativo Microsoft Authenticator, siga estas etapas:

  1. Navegue até https://aka.ms/mysecurityinfo.
  2. Entre e clique em Adicionar método>Aplicativo Authenticator>Adicionar para adicionar o Microsoft Authenticator.
  3. Siga as instruções para instalar e configurar o aplicativo Microsoft Authenticator em seu dispositivo.
  4. Selecione Concluído para concluir a configuração do Microsoft Authenticator.

Habilitar entrada pelo telefone

Depois que os usuários se registrarem no aplicativo Microsoft Authenticator, eles precisarão habilitar a entrada por telefone:

  1. No Microsoft Authenticator, selecione a conta registrada.
  2. Selecione Habilitar a entrada por telefone.
  3. Siga as instruções no aplicativo para concluir o registro da conta para entrada por telefone sem senha.

Uma organização pode determinar que seus usuários entrem com seus telefones, sem usar uma senha. Para obter ajuda ao configurar o Microsoft Authenticator e habilitar a entrada pelo telefone, confira Entrar em suas contas usando o aplicativo Microsoft Authenticator.

Observação

Os usuários não habilitados pela política a usar a entrada pelo telefone, não podem mais habilitá-la no Microsoft Authenticator.

Entrar com uma credencial sem senha

Um usuário pode começar a utilizar a entrada sem senha após a conclusão de todas as ações abaixo:

  • Um administrador habilitou o locatário do usuário.
  • O usuário adicionou do Microsoft Authenticator como um método de entrada.

Na primeira vez que um usuário inicia o processo de entrada pelo telefone, o usuário executa as seguintes etapas:

  1. Insere o próprio nome na página de entrada.
  2. Seleciona Próximo.
  3. Se necessário, seleciona Outras maneiras de entrada.
  4. Seleciona Aprovar uma solicitação em meu aplicativo Authenticator.

Em seguida, o usuário recebe um número. O aplicativo solicita que o usuário se autentique digitando o número apropriado, em vez de inserir uma senha.

Depois que o usuário entra pelo telefone sem senha, o aplicativo continuará guiando o usuário por esse método. No entanto, o usuário verá a opção para escolher outro método.

Captura de tela que mostra um exemplo de um logon de navegador usando o aplicativo Microsoft Authenticator.

Gerenciamento

A política de métodos de autenticação é a maneira recomendada de gerenciar o Microsoft Authenticator. Os Administradores da Política de Autenticação podem editar essa política para habilitar ou desabilitar o Microsoft Authenticator. Os administradores podem incluir ou excluir usuários e grupos específicos de usá-lo.

Os administradores também podem configurar parâmetros para controlar melhor como o Microsoft Authenticator pode ser usado. Por exemplo, eles podem adicionar o nome do aplicativo ou localização à solicitação de entrada para que os usuários tenham um contexto maior antes de aprovarem.

Os administradores globais também podem gerenciar o Microsoft Authenticator em todo o locatário usando as políticas herdadas de MFA e SSPR. Essas políticas permitem que o Microsoft Authenticator seja habilitado ou desabilitado para todos os usuários no locatário. Não há opções para incluir ou excluir ninguém ou controlar como o Microsoft Authenticator pode ser usado para entrar.

Problemas conhecidos

Os problemas conhecidos abaixo existem.

Não está vendo a opção para entrar por telefone sem senha

Em um cenário, um usuário pode ter uma verificação pendente de entrada por telefone sem senha não respondida. Se o usuário tentar entrar novamente, ele só poderá ver a opção de inserir uma senha.

Para resolver esse cenário, siga estas etapas:

  1. Abrir o Microsoft Authenticator.
  2. Responda a quaisquer solicitações de notificação.

Em seguida, o usuário pode continuar usando a entrada por telefone sem senha.

Contas Federadas

Quando um usuário tiver habilitado qualquer credencial sem senha, o processo de logon do Azure Active Directory parará de usar a dica de login_hint. Portanto, o processo não acelera o usuário para um local federado de logon.

Geralmente, essa lógica impede que um usuário em um locatário híbrido seja direcionado para o AD FS (Serviços de Federação do Active Directory) para verificação de entrada. No entanto, o usuário retém a opção de clicar em Use sua senha.

Usuários locais

Um usuário final pode ser habilitado para MFA (autenticação multifator) por meio de um local. O usuário ainda pode criar e utilizar uma única credencial de entrada por telefone sem senha.

Se o usuário tentar atualizar várias instalações (+5) do Microsoft Authenticator com a credencial de entrada por telefone sem senha, essa alteração poderá resultar em um erro.

Próximas etapas

Para saber mais sobre a autenticação do Azure AD e métodos sem senha, veja os artigos a seguir: