Métodos de autenticação do Microsoft Entra ID - aplicativo Microsoft Authenticator
O Microsoft Authenticator fornece outro nível de segurança para sua conta corporativa ou de estudante do Microsoft Entra ou sua conta da Microsoft. Está disponível para Android e iOS. Com o aplicativo Microsoft Authenticator, os usuários podem se autenticar sem senha durante a entrada. Eles também podem usá-lo como uma opção de verificação durante eventos de redefinição de senha de autoatendimento (SSPR) ou autenticação multifator (MFA).
O Microsoft Authenticator dá suporte a senha, entrada sem senha e MFA usando notificações e códigos de verificação.
- Os usuários podem entrar com uma chave de acesso no aplicativo Authenticator e concluir a autenticação resistente a phishing com sua entrada biométrica ou PIN do dispositivo.
- Os usuários podem configurar notificações do Authenticator e entrar com o Authenticator em vez de seu nome de usuário e senha.
- Os usuários podem receber uma solicitação de MFA em seu dispositivo móvel e aprovar ou negar a tentativa de entrada em seu telefone.
- Eles também podem usar um código de verificação OATH no aplicativo Authenticator e inseri-lo em uma interface de entrada.
Para obter mais informações, consulte Habilitar entrada sem senha com o Microsoft Authenticator.
Observação
Os usuários não têm a opção de registrar o aplicativo móvel quando habilitam a SSPR. Em vez disso, eles podem fazer esse registro em https://aka.ms/mfasetup ou como parte do registro combinado de informações de segurança em https://aka.ms/setupsecurityinfo. Talvez não haja suporte para o aplicativo Authenticator em versões beta do iOS e do Android. Além disso, a partir de 20 de outubro de 2023, o aplicativo Authenticator no Android deixará de ser compatível com versões mais antigas do Portal da Empresa do Android. Os usuários do Android com versões do Portal da Empresa abaixo de 2111 (5.0.5333.0) não podem registrar novamente ou registrar novas instâncias do Authenticator até atualizarem o aplicativo Portal da Empresa para uma versão mais recente.
Entrada com chave de acesso (versão prévia)
O Authenticator é uma solução de chave de acesso gratuita que permite que os usuários façam autenticações sem senha e resistentes a phishing em seus próprios telefones. Alguns dos principais benefícios do uso de chaves de acesso no aplicativo Authenticator:
- As chaves de acesso podem ser facilmente implantadas em escala. Em seguida, as chaves de acesso estão disponíveis no telefone do usuário para cenários de gerenciamento de dispositivos móveis (MDM) e de traga seu próprio dispositivo (BYOD).
- As chaves de acesso no Authenticator não têm custo adicional e acompanham o usuário aonde quer que ele vá.
- As chaves de acesso no Authenticator são vinculadas ao dispositivo, o que garante que a senha não saia do dispositivo no qual foi criada.
- Os usuários ficam atualizados com as mais recentes inovações em chaves de acesso baseadas nos padrões abertos do WebAuthn.
- As empresas podem colocar outros recursos em camadas sobre os fluxos de autenticação, como conformidade com os Padrões Federais de Processamento de Informações (FIPS) 140.
Chave de acesso vinculada ao dispositivo
As chaves de acesso no aplicativo Authenticator são vinculadas ao dispositivo para garantir que nunca saiam do dispositivo em que foram criadas. Em um dispositivo iOS, o Authenticator usa o Enclave Seguro para criar a chave de acesso. No Android, criamos a chave de acesso no Elemento Seguro em dispositivos compatíveis com ele ou recorremos ao Ambiente de Execução Confiável (TEE).
Como o atestado de chave de acesso funciona com o Authenticator
Quando o atestado é habilitado na política de chave de acesso (FIDO2), a ID do Microsoft Entra tenta verificar a legitimidade do modelo de chave de segurança ou do provedor de chave de acesso em que a chave de acesso está sendo criada. Quando um usuário registra uma chave de acesso no Authenticator, o atestado verifica se o aplicativo legítimo do Microsoft Authenticator criou a chave de acesso usando os serviços da Apple e do Google. Aqui estão os detalhes de como o atestado funciona para cada plataforma:
iOS: o atestado do Authenticator usa o serviço de Atestado de Aplicativo do iOS para garantir a legitimidade do aplicativo Authenticator antes de registrar a chave de acesso.
Android:
- Para o atestado Play Integrity, o atestado do Authenticator usa a API Play Integrity para garantir a legitimidade do app Authenticator antes de registrar a chave de acesso.
- Para o atestado de chave, o atestado do autenticador usa o atestado de chave do Android para verificar se a chave de acesso que está sendo registrada tem suporte de hardware.
Observação
Para iOS e Android, o atestado do Authenticator depende dos serviços da Apple e do Google para verificar a autenticidade do aplicativo Authenticator. O uso intenso do serviço pode fazer com que o registro da chave de acesso falhe e os usuários podem precisar tentar novamente. Se os serviços da Apple e do Google estiverem inativos, o atestado do Autenticador bloqueará o registro que requer atestado até que os serviços sejam restaurados. Para monitorar o status do serviço Google Play Integrity, consulte Painel de status do Google Play. Para monitorar o status do serviço de Atestado de Aplicativo do iOS, consulte Status do Sistema.
Para obter mais informações sobre como configurar o atestado, consulte Como habilitar senhas no Microsoft Authenticator para Microsoft Entra ID.
Login sem senha por meio de notificações
Em vez de ver uma solicitação de senha após a inserção de um nome de usuário, os usuários que habilitarem a entrada pelo telefone no aplicativo Authenticator verão uma mensagem para inserir um número no aplicativo. Quando o número correto é selecionado, o processo de entrada é concluído.
Esse método de autenticação fornece um alto nível de segurança e elimina a necessidade de o usuário fornecer uma senha ao entrar.
Para começar a usar a entrada sem senha, consulte Habilitar a entrada sem senha com o Microsoft Authenticator.
MFA por meio de notificações por meio de aplicativo móvel
O aplicativo Authenticator pode ajudar a impedir o acesso não autorizado a contas e interromper transações fraudulentas enviando uma notificação para seu smartphone ou tablet. Os usuários visualizam a notificação e, se for legítima, selecionam Confirmar. Caso contrário, eles podem selecionar Negar.
Observação
A partir de agosto de 2023, as entradas anômalas não gerarão notificações, da mesma forma que as entradas de locais desconhecidos não geram notificações. Para aprovar uma entrada anômala, os usuários podem abrir o Microsoft Authenticator ou o Authenticator Lite em um aplicativo complementar relevante, como o Outlook. Em seguida, eles podem efetuar pull para atualizar ou tocar em Atualizar e aprovar a solicitação.
Caso sua organização tenha funcionários trabalhando ou viajando para a China, a Notificação por aplicativo móvel em dispositivos Android não funciona nesse país/região, já que os serviços do Google Play (inclusive notificação por push) estão bloqueados na região. No entanto, a notificação para iOS funciona. Para dispositivos Android, métodos alternativos de autenticação devem ser disponibilizados para esses usuários.
Código de verificação de aplicativo móvel
O aplicativo Authenticator pode ser usado como um token de software para gerar um código de verificação OATH. Depois de inserir seu nome de usuário e sua senha, insira o código fornecido pelo aplicativo Authenticator na interface de login. O código de verificação oferece uma segunda forma de autenticação.
Observação
Os códigos de verificação OATH gerados pelo Authenticator não são compatíveis com a autenticação baseada em certificado.
Os usuários podem ter uma combinação de até cinco tokens de hardware OATH ou aplicativos autenticadores, como o aplicativo Authenticator, configurados para uso a qualquer momento.
Compatível com FIPS 140 para autenticação do Microsoft Entra
De acordo com as diretrizes descritas na Publicação Especial 800-63B do NIST, os autenticadores usados por agências governamentais dos EUA são obrigados a usar criptografia validada pelo FIPS 140. Essa diretriz ajuda os órgãos do governo dos EUA a atender aos requisitos da Ordem Executiva (EO) 14028. Além disso, essa diretriz ajuda outros setores regulamentados, como organizações de saúde que trabalham com Prescrições Eletrônicas para Substâncias Controladas (EPCS), a atender aos seus requisitos regulamentares.
O FIPS 140 é um padrão do governo dos EUA que define os requisitos mínimos de segurança para módulos de criptografia em sistemas e produtos de tecnologia da informação. O Programa de Validação de Módulo Criptográfico (CMVP) mantém os testes de acordo com o padrão FIPS 140.
Microsoft Authenticator para iOS
A partir da versão 6.6.8, o Microsoft Authenticator para iOS usa o módulo Apple CoreCrypto nativo para criptografia validada por FIPS em dispositivos Apple iOS compatíveis com FIPS 140. Todas as autenticações Microsoft Entra usando chaves de acesso vinculadas a dispositivos resistentes a phishing, autenticações multifatoriais push (MFA), login por telefone sem senha (PSI) e códigos de acesso únicos baseados em tempo (TOTP) usam a criptografia FIPS.
Para obter mais informações sobre os módulos criptográficos validados pelo FIPS 140 em uso e dispositivos iOS compatíveis, veja Certificações de segurança do Apple iOS.
Microsoft Authenticator para Android
A partir da versão 6.2409.6094 no Microsoft Authenticator para Android, todas as autenticações na ID do Microsoft Entra, incluindo chaves de acesso, são consideradas compatíveis com FIPS. O Authenticator usa o módulo criptográfico da wolfSSL Inc. para obter conformidade com FIPS 140, Nível de Segurança 1 em dispositivos Android. Para obter mais detalhes sobre a certificação, consulte Programa de validação de módulo criptográfico.
Como determinar o tipo de registro do Microsoft Authenticator em Minhas informações de segurança
Os usuários podem acessar as informações de segurança (consulte as URLs na próxima seção) ou selecionando Informações de segurança em MyAccount para gerenciar e adicionar mais registros do Microsoft Authenticator. Ícones específicos são usados para diferenciar se o registro do Microsoft Authenticator efetua logon por telefone sem senha ou MFA.
| Tipo de registro do Authenticator | ícone |
|---|---|
| Microsoft Authenticator: Logon por telefone sem senha |  |
| Microsoft Authenticator (notificação/código) |  |
Links de informações de segurança
| Nuvem | URL de informações de segurança |
|---|---|
| Azure comercial (inclui GCC (Nuvem da Comunidade Governamental)) | https://aka.ms/MySecurityInfo |
| Azure para o governo dos EUA (inclui GCC High e DoD) | https://aka.ms/MySecurityInfo-us |
Atualizações do Authenticator
A Microsoft atualiza continuamente o Authenticator para manter um alto nível de segurança. Para garantir que seus usuários tenham a melhor experiência possível, recomendamos que eles atualizem continuamente o aplicativo Authenticator. No caso de atualizações de segurança críticas, as versões do aplicativo que não estão atualizadas podem não funcionar e podem impedir que os usuários concluam a autenticação. Se um usuário estiver usando uma versão do aplicativo que não é compatível, ele será solicitado a atualizar para a versão mais recente antes de continuar a entrar.
A Microsoft também desativa periodicamente versões mais antigas do aplicativo Authenticator para manter uma barra de alta segurança para sua organização. Se o dispositivo de um usuário não der suporte a versões modernas do Microsoft Authenticator, ele não poderá assinar com o aplicativo. Recomendamos que esses usuários entrem com um código de verificação OATH no Microsoft Authenticator para concluir a MFA.
Próximas etapas
Para começar a usar chaves de acesso, consulte Como habilitar chaves de acesso no Microsoft Authenticator para Microsoft Entra ID.
Para obter mais informações sobre a entrada sem senha, consulte Habilitar a entrada sem senha com o Microsoft Authenticator.
Saiba mais sobre a configuração de métodos de autenticação usando a API REST do Microsoft Graph.