Compartilhar via


Estratégias de autenticação e credenciamento de projetos

Este artigo descreve as ações necessárias para proteger e gerir credenciais e métodos de autenticação numa organização educativa que abrange vários inquilinos.

As credenciais são específicas da identidade de um utilizador. Por exemplo, o nome de utilizador e a palavra-passe individuais, PIN ou informações biométricas. Todos os utilizadores, incluindo administradores de TI, professores, docentes e estudantes, têm credenciais.

Um método de autenticação é a forma como o utilizador submete ou atesta as respetivas credenciais. Por exemplo, um utilizador introduz as respetivas credenciais num ecrã de início de sessão ou através da aplicação Microsoft Authenticator na qual configurou a conta.

Os métodos de autenticação também podem ser divididos em categorias ou tipos, tais como:

  • Autenticação de início de sessão

  • Autenticação de reposição de palavra-passe

  • Autenticação multifator

A autenticação de início de sessão ocorre quando o utilizador introduz inicialmente as credenciais. A reposição personalizada de palavra-passe (SSPR) e a autenticação multifator (MFA) são tipos adicionais de autenticação.

A tabela seguinte mostra como vários métodos de autenticação podem ser utilizados nestes cenários.

Método de autenticação Autenticação de início de sessão SSPR e MFA
Senha Sim
Windows Hello para Empresas Sim
Aplicativo Microsoft Authenticator Sim (Pré-visualização) MFA e SSPR
Chaves de segurança FIDO2 Sim (Pré-visualização) Apenas MFA
SMS Sim (Pré-visualização) MFA e SSPR
Chamada de voz Não MFA e SSPR
Perguntas de segurança Não Apenas SSPR
Endereço de email Não Apenas SSPR

Observação

Para ativar a funcionalidade de pré-visualização para a autenticação de início de sessão, abra o portal do Azure, selecione Microsoft Entra ID > Métodos de Autenticação de Segurança > Política de método de > autenticação (Pré-visualização) e ative os métodos de pré-visualização que também pretende utilizar.

Tipos de autenticação

As palavras-passe e os PINs são tipos de credenciais comuns. Os tipos menos comuns incluem palavras-passe de imagem e bloqueios de padrões. A autenticação biométrica também está a aumentar de popularidade. A biometria identifica um utilizador através do reconhecimento facial, de uma impressão digital ou de uma impressão da retina.

Autenticação sem palavra-passe

Uma solução sem palavra-passe é o método de autenticação mais conveniente e seguro. A autenticação sem palavra-passe elimina o incómodo de ter de memorizar palavras-passe e responder à autenticação multifator. É mais seguro porque reduz o risco de ataques de phishing e spray de palavra-passe ao remover palavras-passe como uma superfície de ataque. A Microsoft suporta os seguintes métodos de autenticação sem palavra-passe

  • Windows Hello para Empresas. Windows Hello para Empresas é ideal para utilizadores com um PC Windows designado. As credenciais biométricas e de PIN estão associadas ao PC do utilizador, o que impede o acesso de qualquer pessoa que não seja o utilizador designado e impede o acesso não autorizado. Com a integração da infraestrutura de chaves públicas (PKI) e o suporte incorporado para o início de sessão único (SSO), o Windows Hello para Empresas fornece um método conveniente para aceder facilmente aos recursos no local e na cloud.

  • Aplicativo Microsoft Authenticator. A Aplicação Authenticator transforma o seu telemóvel iOS ou Android numa credencial segura e sem palavra-passe. Os utilizadores podem iniciar sessão em qualquer plataforma ou browser ao receber uma notificação para o telemóvel, correspondendo a um número apresentado no ecrã com o do telemóvel e, em seguida, utilizando as respetivas credenciais biométricas (toque ou rosto) ou PIN para confirmar. Embora este artigo faça referência à aplicação Microsoft Authenticator, existem outras aplicações de autenticação no mercado.

  • Chave de segurança FIDO2. As chaves de segurança FIDO2 permitem que os utilizadores iniciem sessão nos respetivos recursos sem um nome de utilizador ou palavra-passe utilizando uma chave de segurança externa ou uma chave de plataforma incorporada num dispositivo.

Para obter mais informações, veja Opções de autenticação sem palavra-passe para Microsoft Entra ID.

Autenticação de reposição de palavra-passe

As reposições de palavras-passe dos utilizadores são uma das maiores origens de volume e custo dos suportes técnicos. Microsoft Entra ID reposição personalizada de palavra-passe (SSPR) dá aos utilizadores a capacidade de alterar ou repor a palavra-passe, sem qualquer envolvimento de administrador ou suporte técnico. Além de reduzir os custos, a SSPR mitiga o risco do utilizador e melhora a postura de segurança da sua organização. Se a conta de um utilizador estiver bloqueada ou comprometida ou se se esquecer da palavra-passe, pode seguir pedidos para desbloquear e voltar ao trabalho.

Qualquer alteração de palavra-passe com a SSPR requer que as palavras-passe estejam em conformidade com Microsoft Entra política de palavras-passe. Estas políticas determinam a complexidade, o comprimento, a expiração e os carateres aceitáveis necessários. Se a palavra-passe não cumprir os requisitos de política do Microsoft Entra ID (ou do AD no local), é pedido ao utilizador que tente novamente.

Autenticação multifator

Recomendamos que exija a MFA para estudantes universitários, educadores, o departamento de TI e outros funcionários. Estes grupos podem ser mais activos na Internet e, portanto, mais suscetíveis a um ataque cibernético.

A autenticação multifator requer que um utilizador forneça uma forma adicional de autenticação. Fornece segurança adicional ao exigir uma segunda forma de autenticação, como:

  • Um código de uma mensagem SMS.

  • Atender uma chamada de voz telefónica.

  • Fornecer um código de ou informações biométricas na aplicação Microsoft Authenticator.

  • Utilizar um token de Hardware OAUTH.

Ativar a SSPR e a MFA do Azure

Ative a SSPR e a MFA para manter o seu ambiente mais seguro. Os utilizadores têm de se registar nestes serviços.

Ativar a SSPR

A SSPR é gerida no portal do Azure em Microsoft Entra ID > Reposição de palavra-passe e permite-lhe escolher a partir da seguinte lista de métodos de autenticação:

Recomendado – por ordem de preferência

  • Notificação da aplicação móvel (disponível apenas quando o número de métodos necessários para repor está definido como 2)

  • Código do aplicativo móvel

  • Email

  • Telemóvel (SMS)

Não recomendado se existirem duas opções recomendadas

  • Telefone do escritório (Chamada de voz)

  • Perguntas de segurança

Observação

Os métodos de autenticação que ativar estarão disponíveis para todos os membros do inquilino. Uma vez que as Perguntas de segurança são a opção menos segura, recomendamos que não a ative, a menos que não estejam disponíveis outros métodos. Uma chamada telefónica para um telefone de escritório pode ser comprometida e também não é recomendada, a menos que não exista outra opção.

Recomendamos que disponibilize a SSPR a todas as pessoas no seu inquilino, exceto aos alunos do ensino básico e secundário. Estes estudantes podem não ter acesso a uma segunda forma de autenticação necessária. Para esses estudantes, professores ou outros funcionários devem ser atribuídos a função de Administrador de Palavra-passe. Para ativar a SSPR para todos os utilizadores, exceto estes estudantes:

  1. Crie um grupo do Microsoft 365 com um nome descritivo, como "SSPR" no portal do Azure. Adicione todos, exceto os alunos do ensino básico e secundário. No Microsoft Entra ID, pode criar regras baseadas em atributos para ativar associações dinâmicas para grupos. Recomendamos esta abordagem se já estiver a capturar atributos que indiquem o nível de estudante. Se precisar de incluir convidados externos, veja Grupos dinâmicos e Microsoft Entra colaboração B2B.

  2. Navegue para Microsoft Entra ID >Reposição de palavra-passe de segurança > , selecione Selecionado e, em seguida, selecione esse grupo.

Imagem 1.

Ativar a MFA do Azure

Recomendamos que ative a MFA nos seus inquilinos e que necessite da MFA para Administradores de TI e para qualquer pessoa com acesso aos registos de estudantes que não sejam os seus próprios ou dos respetivos filhos. Pode impor a MFA através de políticas de Acesso Condicional.

Assim que a MFA estiver ativada, os utilizadores devem definir uma das seguintes opções como o método Multi-Factor Authentication predefinido:

  • Microsoft Authenticator – notificação (Mais recomendada)

  • Token de hardware ou aplicação Microsoft Authenticator – código

  • Mensagem sms

  • Chamada telefónica (Menos recomendado)

Observação

Não recomendamos que ative a MFA para estudantes do ensino básico, médio e secundário. Geralmente, a MFA é utilizada para evitar o comprometimento da conta e os danos causados por um mau ator. Os estudantes devem ter acesso apenas às suas próprias informações, com um potencial limitado de danos. Além disso, os estudantes mais novos podem não ter acesso a uma segunda forma de autenticação.

Existem duas abordagens para ativar a MFA do Azure. Recomendamos que utilize Microsoft Entra ID Protection para gerir a implementação ao configurar uma política de Acesso Condicional para exigir o registo da MFA. A proteção de identidade requer que os administradores tenham uma licença Microsoft Entra ID P2. Veja Procedimentos: Configurar a política de registo do Multi-Factor Authentication do Azure.

Se não tiver uma licença do Microsoft Entra ID P2, ainda pode utilizar uma política de Acesso Condicional para exigir o Multi-Factor Authentication do Azure em circunstâncias específicas. Se os administradores não tiverem licenças P2 Microsoft Entra ID, veja Tutorial: Proteger eventos de início de sessão do utilizador com o Multi-Factor Authentication do Azure.

Ativar o registo combinado de informações de segurança

Com o registo combinado de informações de segurança, os utilizadores podem registar-se uma vez e obter as vantagens da SSPR e do Multi-Factor Authentication (MFA) do Azure.

Ative o registo combinado para todos os utilizadores e crie uma política de Acesso Condicional para exigir o registo para os mesmos utilizadores para os quais ativou a SSPR. Pode utilizar o mesmo grupo Office 365. A necessidade de registo impõe quando e como os utilizadores se registam na SSPR e na MFA do Azure.

A SSPR e a MFA só são acionadas quando as condições de uma política de Acesso Condicional exigem que o utilizador as faça. Tem de criar políticas de Acesso Condicional para impor as suas políticas de segurança.

Observação

Para inquilinos criados antes de agosto de 2020, tem de ativar o registo combinado de informações de segurança. Para inquilinos criados após agosto de 2020, esta opção está ativada por predefinição.

Para obter mais informações, veja Ativar o registo combinado de informações de segurança no Microsoft Entra ID.

Informar os usuários

Antes de os utilizadores poderem começar a utilizar a SSPR ou a MFA, terão de registar as respetivas informações de segurança. Recomendamos que compreenda a experiência do utilizador e, em seguida, desenvolva um plano para partilhar o reconhecimento e educar os seus utilizadores conforme necessário.

Para obter mais informações, veja a seguinte documentação do utilizador final:

A Microsoft fornece modelos de comunicação de utilizador final para mFA e SSPR. Pode modificar estes modelos para ajudar a educar os seus utilizadores. Também fornecemos planos de implementação para vários métodos de autenticação. Veja Implementar autenticação.

Instalar a aplicação Microsoft Authenticator

Os utilizadores que irão utilizar a aplicação Microsoft Authenticator para SSPR ou MFA têm de instalar a versão mais recente da aplicação Microsoft Authenticator.

Se não estiverem atualmente no respetivo dispositivo móvel, os utilizadores ainda podem obter a aplicação Microsoft Authenticator enviando uma ligação de transferência a partir da página Microsoft Authenticator.

Proteção por Palavra-passe do Microsoft Entra

Apesar das suas tentativas de fornecer orientações aos utilizadores sobre como escolher palavras-passe, ocorrem frequentemente palavras-passe fracas ou inseguras. Não é incomum os utilizadores criarem palavras-passe com base em termos fáceis de memorizar, como o nome da escola, uma mascote de equipa, o nome de um professor popular, etc.

Microsoft Entra a Proteção de Palavras-passe inclui, por predefinição, listas globais de palavras-passe banidas. Estas listas são aplicadas automaticamente a todos os utilizadores para detetar e bloquear palavras-passe suscetíveis a ataques por utilização de palavra-passe. Para suportar as suas próprias necessidades de segurança, pode definir as suas próprias entradas numa lista personalizada de palavras-passe banidas. Quando os utilizadores alteram ou repõem as respetivas palavras-passe, estas listas de palavras-passe banidas são verificadas para impor a utilização de palavras-passe mais fortes.

O Bloqueio Inteligente também ajuda a protegê-lo contra maus atores que utilizam métodos de força bruta para adivinhar as palavras-passe dos seus utilizadores. Por predefinição, o bloqueio inteligente bloqueia a conta de tentativas de início de sessão durante um minuto após 10 tentativas falhadas. A conta bloqueia novamente após cada tentativa de início de sessão falhada, durante um minuto no início e mais tempo nas tentativas subsequentes. O bloqueio inteligente está sempre ativado para todos os clientes Microsoft Entra. As predefinições oferecem um equilíbrio entre segurança e usabilidade. A personalização das definições de bloqueio inteligente, com valores específicos da sua organização, requer licenças Microsoft Entra ID P1 ou superior para os seus utilizadores.

Relatórios de segurança

Para limitar a exposição a potenciais ameaças, utilize as capacidades de relatórios disponíveis no Microsoft Entra ID. Microsoft Entra ID suporta relatórios de registo de auditoria e de início de sessão, relatórios de segurança sobre deteções de risco e relatórios para o ajudar a compreender como os métodos de autenticação da MFA do Azure e da SSPR estão a funcionar na sua organização.

Proteção de Identidade

Microsoft Entra ID tem muitas capacidades que identificam e geram alertas automaticamente para remover a latência entre a deteção e a resposta a ataques. Para tirar o máximo partido destas capacidades, recomendamos que utilize Microsoft Entra ID Protection. Esta funcionalidade requer uma licença P2 Microsoft Entra ID. No mínimo, recomendamos a utilização do Identity Protection para todos os administradores.

Existem três relatórios-chave que os administradores utilizam para investigações no Identity Protection:

  • Relatório de utilizadores de risco. O risco de utilizador indica a probabilidade de a identidade de um utilizador ficar comprometida e ser calculada com base nas deteções de risco do utilizador para essa identidade. Uma política de risco de utilizador é uma política de Acesso Condicional que avalia o nível de risco para um utilizador ou grupo específico. Com base nos níveis de risco Baixo, Médio e Elevado, uma política pode ser configurada para bloquear o acesso ou exigir uma alteração segura da palavra-passe através da autenticação multifator.

  • Relatório de inícios de sessão de risco. O risco de início de sessão é a probabilidade de alguém que não o proprietário da conta estar a tentar iniciar sessão com a identidade. Uma política de risco de início de sessão é uma política de Acesso Condicional que avalia o nível de risco para um utilizador ou grupo específico. Com base no nível de risco (alto/médio/baixo), pode ser configurada uma política para bloquear o acesso ou forçar a autenticação multifator. Certifique-se de que força a autenticação multifator em Inícios de sessão de risco médios ou superiores.

  • Relatório de deteções de risco. Permite que os administradores identifiquem e remediam os seguintes tipos de deteções de risco:

    • Viagem atípica

    • Endereço IP anónimo

    • Propriedades de início de sessão desconhecidas

    • Endereço IP ligado a software maligno

    • Vazamento de credenciais

    • Microsoft Entra informações sobre ameaças

O recurso seguinte pode ajudá-lo a operacionalizar as suas estratégias de gestão de riscos.

A Microsoft mantém as informações dos relatórios do Identity Protection durante um período de tempo limitado. Recomendamos que exporte e o arquive regularmente noutras ferramentas para uma investigação e correlação mais aprofundadas. As APIs do Microsoft Graph permitem-lhe recolher estes dados para processamento adicional em ferramentas como a sua solução de Gestão de Eventos de Segurança e Informação (SIEM). Para saber como implementar estes relatórios, consulte Introdução ao Microsoft Entra ID Protection e ao Microsoft Graph.

Registos de auditoria e relatórios de início de sessão

O relatório de registos de auditoria consolida os seguintes relatórios:

  • Relatório de auditoria

  • Atividade de reposição de palavra-passe

  • Atividade de registo de reposição de palavra-passe

  • Atividade de grupos self-service

  • Alterações ao Nome do Grupo do Office365

  • Atividade de aprovisionamento de contas

  • Status de rollover de palavras-passe

  • Erros de provisionamento de conta

Informações de & de utilização dos métodos de autenticação

Microsoft Entra ID fornece relatórios que pode utilizar para garantir que os utilizadores estão registados na MFA e na SSPR. Os utilizadores que não se registaram poderão ter de ter formação sobre o processo.

Os métodos de autenticação Utilização & relatório do Insights incluem informações sobre a utilização da MFA e da SSPR e fornecem-lhe informações sobre como cada um está a trabalhar na sua organização. Ter acesso à atividade de início de sessão (e auditorias e deteções de risco) para Microsoft Entra ID é fundamental para a resolução de problemas, análise de utilização e investigações forenses.

Recomendações

Recomendamos que os professores, administradores e funcionários de TI utilizem um dos métodos de autenticação sem palavra-passe sempre que possível. Quando tiver de utilizar palavras-passe, consulte a Documentação de Orientação sobre Palavras-passe da Microsoft.

Métodos de autenticação

A tabela abaixo resume os tipos de conta e as nossas recomendações para os três tipos de autenticação:

Tipo de conta Entrar SSPR Azure MFA
Alunos (escola primária) Senha
Alunos (ensino médio) Senha
Estudantes (ensino secundário) Palavra-passe ou PIN
Aplicação authenticator se os smartphones estiverem disponíveis
Correio eletrónico pessoal do estudante
SMS
Chamada de voz
Estudantes (universidade) Palavra-passe ou PIN
Aplicação authenticator se os smartphones estiverem disponíveis
Aplicação Authenticator
SMS
Correio eletrónico pessoal
Aplicação authenticator
SMS
Telefone
Professores Windows Hello para Empresas (PIN ou Biométrico)
Chave de segurança FIDO 2
•Aplicação Authenticator
SMS
Correio eletrónico pessoal
Aplicação authenticator
SMS
Telefone
Equipe de TI Sem palavra-passe (PIN, Biometria, chave de segurança FIDO 2) Aplicação Authenticator
SMS
Correio eletrónico pessoal
Aplicação authenticator
SMS
Telefone
Pais Palavra-passe (Azure AD B2C) Aplicação Authenticator
SMS
Chamada de voz
Correio eletrónico pessoal
Aplicação authenticator
SMS
Telefone

Distribuição de Credenciais

Recomendamos que distribua a autenticação aos alunos do ensino primário e secundário através de um dos seguintes métodos:

  • Correio eletrónico do encarregado de educação

  • Telemóvel ou telefone fixo dos encarregados de educação

  • E-mail pessoal do estudante (se existir)

  • Uma cópia impressa da palavra-passe temporária do estudante entregue aos professores

  • Publicar a palavra-passe no endereço registado do estudante

Para educadores e administradores de TI, outros funcionários e estudantes do ensino secundário ou universitário utilizam um dos seguintes métodos:

  • Enviar por e-mail a palavra-passe temporária para o endereço de e-mail pessoal

  • Enviar palavra-passe temporária por SMS

  • Cópia impressa da palavra-passe temporária

Recomendações de segurança de palavras-passe

Os administradores de TI devem sempre

  • Forçar a expiração de palavras-passe iniciais ou pela primeira vez

  • Implementar a notificação automatizada de alteração ou reposição de palavra-passe

Além disso, forneça a todos os utilizadores as seguintes recomendações de segurança de palavras-passe:

  • Não anote ou armazene a sua palavra-passe de forma insegura.

  • Não reutilizar palavras-passe – mantenha o histórico de palavras-passe.

  • Não partilhe a sua palavra-passe com ninguém.

  • Utilize uma frase de acesso em vez de palavra-passe.

  • Altere a palavra-passe se/quando suspeitar que a sua conta foi comprometida.

  • Repor uma palavra-passe fornecida antes da primeira utilização.

Desafios e mitigações

Gerir credenciais pode ser um desafio. Esta secção descreve as funcionalidades no Microsoft Entra ID que podem ajudá-lo a mitigar os desafios mais comuns.

Expiração da senha

Não recomendamos que confie nas expirações de palavras-passe como medida de segurança, uma vez que as palavras-passe podem expirar durante as férias escolares, o que pode levar a um grande volume de suporte técnico. Este elevado volume afetaria especialmente os estudantes mais jovens que não estavam configurados para a SSPR, uma vez que podem não ter acesso a formas adicionais de autenticação. A autenticação multifator, as políticas de Acesso condicional e a monitorização de segurança mitigam melhor os problemas do que as palavras-passe prestes a expirar.

Se a sua organização tiver atualmente a expiração da palavra-passe ativada, recomendamos que um administrador global ou administrador de utilizador utilize o módulo Microsoft Azure AD para Windows PowerShell para definir palavras-passe de utilizador para nunca expirarem ou utilizar o cmdlet [Set-MsolPasswordPolicy](/powershell/module/msonline/set-msolpasswordpolicy para modificar o período de expiração.

Observação

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização sobre substituição. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para obter respostas para perguntas de migração comuns, consulte as perguntas frequentes sobre migração. Observação: as versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

A atualizar as informações do utilizador

Os administradores gerem frequentemente os detalhes do utilizador: dispositivos, informações de segurança e palavras-passe para cada utilizador. Atualizar manualmente estas informações é entediante e moroso.

Para resolver este desafio, os administradores devem exigir que os utilizadores utilizem A Minha Conta. A Minha Conta é um portal self-service que permite aos utilizadores finais:

  • Configurar a redefinição de senha self-service

  • Configurar a autenticação de dois fatores

  • Alterar uma palavra-passe

  • Desativar um dispositivo se este for perdido ou roubado

Manter subscrições de grupo

Os estudantes e membros do corpo docente costumam precisar de acesso a grupos para fins de acesso ou comunicação. O grande número de grupos e a frequência com que os utilizadores precisam de ser alterados nas instituições de ensino podem tornar a gestão de grupos uma tarefa assustadora para os administradores.

No Microsoft 365 EDU, cada grupo criado a partir do School Data Sync é automaticamente adicionado a uma Unidade Administrativa escolar para facilitar a administração delegada e confinada dos grupos nessa escola.

Para delegação e gestão de grupos individuais, existem duas opções adicionais.

A gestão de grupos delegados permite que os administradores deleguem a gestão da associação a um proprietário empresarial. Por exemplo, se a sua escola tiver uma aplicação à qual apenas os estudantes de um departamento específico devem aceder, normalmente adiciona utilizadores a um grupo e atribui o acesso ao grupo. Em seguida, pode delegar responsabilidades de gestão de associação a um funcionário nesse departamento. Em seguida, o departamento irá gerir a associação no grupo, que fornece acesso à aplicação. Numa definição académica, recomendamos isto em vez da gestão personalizada de grupos.

A gestão personalizada de grupos permite que todos os utilizadores, incluindo os estudantes, criem e giram os seus próprios grupos de segurança ou grupos do Microsoft 365 no Microsoft Entra ID. O proprietário do grupo pode aprovar ou negar pedidos de associação e pode delegar o controlo da associação ao grupo. Avalie cuidadosamente se permitir que os estudantes criem grupos é um estado pretendido para a sua organização.

Observação

A gestão delegada de grupos e as funcionalidades de gestão personalizada de grupos só estão disponíveis com grupos do Microsoft 365 e grupos de segurança Microsoft Entra. Não estão disponíveis para grupos de segurança ou listas de distribuição com capacidade de correio.

Demasiadas palavras-passe para memorizar

Os estudantes e funcionários acedem a várias aplicações para concluir o trabalho escolar, o que pode exigir que memorizem várias palavras-passe exclusivas. A Microsoft oferece várias mitigações.

Recomendamos que ative Microsoft Entra início de sessão único (SSO) com todas as aplicações compatíveis para que os utilizadores possam aceder a todos os recursos com as respetivas credenciais organizacionais.

Windows 10 dispositivos Microsoft Entra associados ou Microsoft Entra associados híbridos acederão de forma totalmente integrada às aplicações com SSO ativado, desde que o utilizador com sessão iniciada tenha acesso.

Se a sua organização for híbrida e tiver computadores com versões de Windows 8 ou anterior, também pode implementar o início de sessão único totalmente integrado. O SSO Totalmente Integrado evita pedidos de palavra-passe quando professores e funcionários iniciam sessão a partir da rede organizacional.