Contas da Microsoft
Entenda como funciona uma conta Microsoft para aprimorar a segurança e a privacidade dos usuários e como você pode gerenciar os tipos de conta de consumidor na sua organização.
O que é uma conta da Microsoft?
Os sites, serviços, propriedades e computadores da Microsoft que executam o Windows 10 podem usar uma conta Microsoft como forma de identificar um usuário. Anteriormente, a conta Microsoft era chamada de Windows Live ID. Uma conta Microsoft tem segredos definidos pelo usuário e consiste em um endereço de email exclusivo e uma senha.
Quando um usuário entra com uma conta Microsoft, o dispositivo é conectado aos serviços de nuvem. O usuário pode compartilhar muitas de suas configurações, suas preferências e seus aplicativos entre dispositivos.
Como funciona uma conta Microsoft
Um usuário pode usar uma conta Microsoft para entrar em sites compatíveis com esse serviço, usando um único conjunto de credenciais. As credenciais de um usuário são validadas por um servidor de autenticação de conta Microsoft associado a um site. A Microsoft Store é um exemplo dessa associação. Quando um novo usuário entra em um site habilitado para usar contas Microsoft, o usuário é redirecionado para o servidor de autenticação mais próximo, que solicita um nome de usuário e uma senha. O Windows usa o Provedor de Suporte de Segurança do Schannel para abrir uma conexão TLS/SSL para essa função. Os usuários têm a opção de usar o Gerenciador de Credenciais para armazenar as credenciais.
Quando um usuário entra em um site habilitado para usar uma conta Microsoft, um cookie com tempo limitado é instalado no computador. O cookie inclui uma marca de ID criptografada de DES triplo. A marca de ID criptografada foi estabelecida entre o servidor de autenticação e o site. A marca de ID é enviada para o site e o site coloca outro cookie HTTP criptografado por tempo limitado no computador do usuário. Embora o cookie seja válido, o usuário não precisa inserir um nome de usuário e uma senha. Se um usuário sair ativamente da conta Microsoft, esses cookies serão removidos.
Observação
A funcionalidade de conta local do Windows ainda é uma opção que você pode usar em um ambiente gerenciado.
Como uma conta Microsoft é criada
Para evitar fraudes, o sistema Microsoft verifica o endereço IP de um usuário, quando o usuário cria uma conta Microsoft. Um usuário que tenta criar várias contas Microsoft usando o mesmo endereço IP é impedido de criar mais contas. As contas Microsoft não foram projetadas para serem criadas em lotes, como para um grupo de usuários de domínio na sua empresa.
Para criar uma conta Microsoft, um usuário tem duas opções:
Use um endereço de email existente. O usuário pode usar o endereço de email válido para criar uma conta Microsoft. O serviço transforma o endereço de email do usuário solicitante em uma conta Microsoft. O usuário pode escolher uma senha separada para a conta Microsoft.
Crie uma conta para um endereço de email Microsoft. Um usuário pode criar uma conta de email por meio dos serviços de webmail da Microsoft. O usuário pode usar a conta para entrar em sites habilitados para usar contas Microsoft.
Como as informações da conta Microsoft são protegidas
As informações de credencial são criptografadas duas vezes. A primeira criptografia é baseada na senha da conta. As credenciais são criptografadas novamente, quando são enviadas pela Internet. Os dados de credenciais armazenados não ficam disponíveis para outros serviços da Microsoft ou para serviços que não são da Microsoft.
Uma senha forte é necessária. Senhas em branco não são permitidas.
Para obter mais informações, confira Como ajudar a manter sua conta Microsoft segura e protegida.
É necessária uma prova de identidade secundária. Antes que um usuário possa acessar as informações e configurações de perfil de usuário em um segundo computador Windows compatível pela primeira vez, a confiança deve ser estabelecida para esse dispositivo. Para estabelecer confiança, o usuário deve fornecer uma prova de identidade secundária. O usuário pode provar sua identidade inserindo um código enviado para um número de telefone celular ou seguindo as instruções enviadas para um endereço de email alternativo que um usuário especifica nas configurações da conta.
Todos os dados de perfil de usuário são criptografados no cliente, antes de serem transmitidos para a nuvem. Os dados do usuário não usam o perfil móvel em uma rede de longa distância sem fio por padrão, para que os dados de perfil sejam protegidos. Todos os dados e configurações que saem de um dispositivo são transmitidos por meio do protocolo TLS/SSL.
Informações de segurança da conta Microsoft
Um usuário pode adicionar informações de segurança à sua conta Microsoft por meio da interface de Contas em computadores que executam as versões com suporte do Windows. Em Contas, o usuário pode atualizar as informações de segurança fornecidas quando criou a conta. Essas informações de segurança incluem um endereço de email ou número de telefone alternativo para que, se a senha for comprometida ou esquecida, um código de verificação possa ser enviado para confirmar a identidade. Um usuário pode usar sua conta Microsoft para armazenar dados corporativos em um app pessoal do OneDrive ou aplicativo de email. Uma prática segura é o proprietário da conta manter essas informações de segurança atualizadas.
Contas Microsoft na empresa
Embora a conta Microsoft tenha sido criada para atender aos consumidores, você pode ter situações em que os usuários de domínio podem aproveitar o uso da conta Microsoft pessoal na sua empresa. A lista a seguir descreve algumas vantagens:
Baixe os aplicativos da Microsoft Store. Se sua empresa optar por distribuir aplicativos ou produtos de software pela Microsoft Store, um usuário corporativo poderá usar uma conta Microsoft para baixar e usar os aplicativos em até cinco dispositivos que executam qualquer versão do Windows 10, Windows 8.1, Windows 8 ou Windows RT.
Logon único. Um usuário corporativo pode usar as credenciais da conta Microsoft para entrar em dispositivos que executam o Windows 10, Windows 8.1, Windows 8 ou Windows RT. Nesse cenário, o Windows trabalha com seu aplicativo da Microsoft Store para fornecer uma experiência autenticada no aplicativo. Um usuário pode associar uma conta Microsoft às credenciais de entrada para aplicativos ou sites da Microsoft Store, para que essas credenciais use o perfil móvel em todos os dispositivos que executam essas versões com suporte.
Sincronização de configurações personalizada. Um usuário pode associar as configurações de sistema operacional mais usadas a uma conta Microsoft. Essas configurações estão disponíveis sempre que o usuário entra com essa conta em qualquer dispositivo que execute uma versão com suporte do Windows e esteja conectado à nuvem. Depois que um usuário faz logon, o dispositivo automaticamente tenta obter as configurações do usuário da nuvem e aplicá-las ao dispositivo.
Sincronização de aplicativos. Os aplicativos da Microsoft Store podem armazenar configurações específicas do usuário para que essas configurações estejam disponíveis para qualquer dispositivo. Assim como ocorre com as configurações do sistema operacional, essas configurações de aplicativo específicas do usuário estão disponíveis sempre que o usuário entra com a mesma conta Microsoft em qualquer dispositivo que execute uma versão com suporte do Windows e esteja conectado à nuvem. Depois que o usuário faz logon, esse dispositivo automaticamente baixa as configurações da nuvem e as aplica quando o aplicativo é instalado.
Serviços de mídia social integrados. As informações de contato e o status dos amigos e associados de um usuário são atualizados automaticamente em sites como Outlook, Facebook, Twitter e LinkedIn. Um usuário também pode acessar e compartilhar fotos, documentos e outros arquivos em sites como OneDrive, Facebook e Flickr.
Gerenciar contas Microsoft no domínio
Dependendo dos seus modelos de TI e de negócios, a introdução de contas Microsoft na sua empresa pode adicionar complexidade ou fornecer soluções. Você deve abordar as seguintes considerações, antes de permitir o uso desses tipos de conta na sua empresa:
Restringir o uso de contas Microsoft
As seguintes configurações de Política de Grupo ajudam a controlar o uso de contas Microsoft na empresa:
Aplicativos e serviços: bloquear a autenticação de usuário da conta Microsoft
Essa configuração controla se um usuário pode fornecer uma conta Microsoft para autenticação em um aplicativo ou serviço.
Se essa configuração estiver habilitada, todos os aplicativos e serviços em um dispositivo serão impedidos de usar uma conta Microsoft para autenticação. Essa configuração se aplica tanto a usuários de dispositivo existentes quanto a novos usuários.
Qualquer aplicativo ou serviço que já tenha autenticado um usuário com uma conta Microsoft não será afetado ao habilitar essa configuração até que o cache de autenticação expire. Recomendamos que você habilite essa configuração antes que qualquer usuário entre em um dispositivo, para impedir que tokens armazenados em cache autentiquem uma conta Microsoft.
Se essa configuração estiver desabilitada ou não estiver configurada, os aplicativos e serviços poderão usar uma conta Microsoft para autenticação. Por padrão, essa configuração é desabilitada.
Essa configuração não afeta a possibilidade de um usuário entrar em um dispositivo usando uma conta Microsoft ou a capacidade de um usuário de fornecer uma conta Microsoft por meio do navegador para autenticação com um aplicativo baseado na Web.
O caminho para essa configuração é Configuração do Computador\Modelos Administrativos\Componentes do Windows\Conta Microsoft.
Contas: Bloquear contas da Microsoft
Essa configuração impede o uso do aplicativo de Configurações para adicionar uma conta Microsoft para autenticação de logon único para serviços Microsoft e alguns serviços em segundo plano ou usar uma conta Microsoft para logon único em outros aplicativos ou serviços.
Se essa configuração estiver habilitada, um usuário terá duas opções:
O usuário não pode adicionar uma conta Microsoft. As contas conectadas existentes ainda podem entrar no dispositivo (e elas aparecem na página Entrar). No entanto, um usuário não pode usar o aplicativo de Configurações para adicionar uma nova conta conectada ou conectar uma conta local a uma conta Microsoft.
O usuário não pode adicionar ou entrar com uma conta Microsoft. Um usuário não pode adicionar uma nova conta conectada (ou conectar uma conta local a uma conta Microsoft) ou usar uma conta conectada existente por meio das Configurações.
Essa configuração não afeta a adição de uma conta Microsoft para autenticação de aplicativo. Por exemplo, se essa configuração estiver habilitada, um usuário ainda poderá fornecer uma conta Microsoft para autenticação com um aplicativo como o Email, mas o usuário não poderá usar a conta Microsoft para autenticação de logon único para outros aplicativos ou serviços. Para outros aplicativos e serviços, o usuário será solicitado a se autenticar.
Essa configuração não está definida por padrão.
O caminho para essa configuração é Configuração do Computador\Configurações do Windows \Configurações de Segurança\Políticas Locais\Opções de Segurança.
Configurar contas conectadas
Um usuário pode conectar uma conta Microsoft à conta de domínio e sincronizar as configurações e preferências entre as contas. Ao sincronizar as configurações e preferências entre contas, o usuário verá a mesma tela de fundo da área de trabalho, configurações de aplicativo, histórico e favoritos do navegador e outras configurações de conta Microsoft nos outros dispositivos.
Desconectar uma conta conectada
Um usuário pode desconectar uma conta Microsoft da conta de domínio a qualquer momento: em Configurações do computador, selecione Usuários>Desconectar>Concluir.
Observação
Conectar uma conta Microsoft a uma conta de domínio pode limitar o acesso a algumas tarefas com privilégios elevados no Windows. Por exemplo, o Agendador de Tarefas avalia a conta Microsoft conectada para acesso e falha. Nesse cenário, o proprietário da conta deve desconectar a conta.
Provisionar contas Microsoft na empresa
Uma conta Microsoft é uma conta de usuário privada. A Microsoft não fornece uma maneira de provisionar contas Microsoft para uma empresa. As empresas devem usar contas de domínio.
Auditar a atividade da conta
Como uma conta Microsoft é baseada na Internet, o Windows não tem uma maneira de auditar uma conta Microsoft, a menos que a conta esteja associada a uma conta de domínio. Você não pode auditar a atividade de contas que não estão associadas ao seu domínio, pois um usuário pode desconectar a conta ou sair do domínio a qualquer momento.
Redefinir uma senha
Somente o proprietário de uma conta Microsoft pode alterar a senha associada à conta. Um usuário pode alterar a senha da conta Microsoft no portal de entrada da conta Microsoft.
Restringir a instalação e o uso de aplicativos
Na sua organização, você pode definir políticas de controle de aplicativo para regular a instalação e o uso do aplicativo para contas Microsoft. Para obter mais informações, confira AppLocker e Aplicativos empacotados e regras de instalador de aplicativos empacotados no AppLocker.