Configuração e suporte à identidade do Microsoft Edge

Observação

Microsoft Edge para Empresas agora está disponível no Edge versão estável 116! Saiba mais sobre a nova experiência de trabalho dedicada com segurança de nível de empresa nativa, produtividade, gerenciabilidade e IA interna.

Este artigo descreve como o Microsoft Edge usa a identidade para dar suporte a recursos como sincronização e logon único (SSO). O Microsoft Edge dá suporte à entrada com Active Directory Domain Services (AD DS), Microsoft Entra ID e MSA (contas da Microsoft). Atualmente, o Microsoft Edge dá suporte apenas a Microsoft Entra contas pertencentes à nuvem global ou à nuvem soberana do GCC. Estamos trabalhando para adicionar suporte para outras nuvens soberanas.

Observação

Isso aplica-se ao Microsoft Edge versão 77 ou posterior.

Entrada do navegador e recursos autenticados

O Microsoft Edge dá suporte à entrada em um perfil de navegador com uma ID Microsoft Entra, MSA ou uma conta de domínio. O tipo de conta usada para entrar determina quais recursos autenticados estão disponíveis para o usuário no Microsoft Edge. A tabela a seguir resume o suporte a recursos para cada tipo de conta.

Recurso Microsoft Entra ID ID do Microsoft Entra grátis AD DS local MSA
Sincronização Sim Não Não Sim
SSO com Token de atualização principal Sim Sim Não Sim
SSO de conexão remota Sim Sim Sim N/D
Autenticação Integrada do Windows Sim Sim Sim N/D
Página Nova guia Corporativa Requer O365 Requer O365 Não N/A
Pesquisa da Microsoft Requer O365 Requer O365 Não N/D

Como os usuários podem entrar no Microsoft Edge

Entrada automática

O Microsoft Edge usa a conta padrão do SO para entrar automaticamente no navegador. Dependendo de como um dispositivo está configurado, os usuários podem entrar automaticamente no Microsoft Edge usando uma das seguintes abordagens.

  • O dispositivo é híbrido/AAD-J: Disponível no Win10, Windows de nível inferior e versões de servidor correspondentes. O usuário é conectado automaticamente com sua conta Microsoft Entra.
  • O dispositivo está associado a um domínio: Disponível no Win10, Windows de nível inferior e versões de servidor correspondentes. Por padrão, o usuário não é conectado automaticamente. Se você deseja conectar usuários automaticamente com contas de domínio, use a política ConfigureOnPremisesAccountAutoSignIn. Se você quiser entrar automaticamente em usuários com suas contas Microsoft Entra, considere a junção híbrida de seus dispositivos.
  • A conta padrão do SO é MSA: Win10 RS3 (Versão 1709/Build 10.0.16299) e superior. Esse cenário é improvável em dispositivos corporativos. Mas, se a conta padrão do sistema operacional for MSA, o Microsoft Edge entrará automaticamente com a conta MSA.

Entrada manual

Caso o usuário não entre automaticamente, ele poderá entrar manualmente no Microsoft Edge, durante a primeira experiência de execução, configurações do navegador ou abrindo o submenu de identidade.

Gerenciando a entrada do navegador

Se você deseja gerenciar a entrada do navegador, pode usar as seguintes políticas:

Navegador para Logon Único da Web (SSO)

Em algumas plataformas, você pode configurar o Microsoft Edge para entrar automaticamente em sites para seus usuários. Essa opção evita que eles reinsiram suas credenciais para acessar seus sites de trabalho e aumentem sua produtividade.

SSO com Token de atualização principal (PRT)

O Microsoft Edge tem suporte nativo para SSO baseado em PRT e você não precisa de uma extensão. No Windows 10 RS3 e acima, se um usuário estiver conectado ao seu perfil de navegador, ele obterá SSO com o mecanismo PRT para sites que dão suporte ao SSO baseado em PRT.

Um PRT (Token de Atualização Primária) é uma chave de ID Microsoft Entra usada para autenticação em dispositivos Windows 10, iOS e Android. Ele permite logon único (SSO) entre os aplicativos usados nesses dispositivos. Para obter mais informações, consulte O que é um primário Token de atualização?.

SSO de conexão remota

Assim como o SSO de PRT, o Microsoft Edge tem suporte nativo ao SSO Contínuo sem precisar de uma extensão. No Windows 10 RS3 e acima, se um usuário estiver conectado ao seu perfil de navegador, ele obterá SSO com o mecanismo PRT para sites que dão suporte ao SSO baseado em PRT.

O Logon Único Contínuo conecta os usuários automaticamente quando eles estão em dispositivos corporativos conectados a uma rede corporativa. Quando habilitados, os usuários não precisam digitar suas senhas para entrar no Microsoft Entra ID. Normalmente, eles nem precisam digitar seus nomes de usuário. Para obter mais informações, consulte Logon Único Contínuo do Azure Active Directory.

Autenticação Integrada do Windows (WIA)

O Microsoft Edge também oferece suporte à autenticação integrada do Windows para solicitações de autenticação na rede interna de uma organização para qualquer aplicativo que use um navegador para sua autenticação. Isso tem suporte em todas as versões do Windows 10 e Windows de nível inferior. Por padrão, o Microsoft Edge usa a zona de intranet como uma lista de permissões para WIA. Como alternativa, você pode personalizar a lista de servidores habilitados para autenticação integrada usando a política AuthServerAllowlist. No macOS, esta política é necessária para ativar a Autenticação integrada.

Para oferecer suporte ao SSO baseado em WIA no Microsoft Edge (versão 77 e posterior), você também pode ter que fazer algumas configurações do lado do servidor. Você provavelmente terá que configurar a propriedade Serviços de Federação do Active Directory (AD FS) (AD FS) WiaSupportedUserAgents para adicionar suporte à nova cadeia de caracteres do agente de usuário do Microsoft Edge. Para obter instruções sobre como fazer isso, confira as configurações Exibir WIASupportedUserAgent e Alterar WIASupportedUserAgent. Um exemplo da cadeia de caracteres do agente de usuário do Microsoft Edge no Windows 10 é mostrado abaixo e você pode aprender mais sobre a cadeia de caracteres do agente de usuário do Microsoft Edge aqui.

O seguinte exemplo de uma cadeia de caracteres de agente do usuário é para a compilação mais recente do Canal de desenvolvimento no momento em que este artigo foi publicado:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3951.0 Safari/537.36 Edg/80.0.334.2"

Para serviços que exigem a delegação de credenciais Negotiate, o Microsoft Edge oferece suporte à Delegação Restrita usando a política AuthNegotiateDelegateAllowlist.

Conceitos de autenticação adicionais

Autenticação Proativa

A autenticação proativa é uma otimização do navegador para o SSO do site que a frontal carrega a autenticação para determinados sites de terceiros. Isso melhora o desempenho da barra de endereço se o usuário estiver usando o Bing como mecanismo de pesquisa. Isso fornece aos usuários resultados de pesquisa personalizados e do Microsoft Search for Business (MSB). Também habilita permitir a autenticação de serviços importantes, como a Página Nova Guia do Office.

Observação

Se você quiser configurar a entrada do navegador após a versão 90, use a política BrowserSignin . Para o Microsoft Edge versão 90 ou inferior, você pode controlar esse serviço usando a política ProactiveAuthEnabled .

Windows Hello CredUI para autenticação NTLM

Quando um site tenta conectar usuários usando os mecanismos NTLM ou Negotiate e o SSO não está disponível, oferecemos aos usuários uma experiência na qual eles podem compartilhar suas credenciais de SO com o site para satisfazer o desafio de autenticação usando o Windows Hello Cred UI. Esse fluxo de entrada será exibido apenas para usuários do Windows 10 que não obtiverem logon único durante um desafio NTLM ou Negotiate.

Entrar automaticamente usando senhas salvas

Se um usuário salvar senhas no Microsoft Edge, ele poderá habilitar um recurso que os conecta automaticamente aos sites em que as credenciais foram salvas. Os usuários podem alternar esse recurso acessando edge://settings/passwords. Se você deseja configurar esse recurso, pode usar as políticas do gerenciador de senhas.

Consulte também