Experiência sem palavra-passe do Windows
A partir do Windows 11, versão 22H2 com KB5030310, a experiência sem palavra-passe do Windows é uma política de segurança que promove uma experiência de utilizador sem palavras-passe em dispositivos associados ao Microsoft Entra.
Quando a política está ativada, determinados cenários de autenticação do Windows não oferecem aos utilizadores a opção de utilizar uma palavra-passe, ajudando as organizações e preparando os utilizadores para se afastarem gradualmente das palavras-passe.
Com a experiência sem palavra-passe do Windows, os utilizadores que iniciam sessão com o Windows Hello ou uma chave de segurança FIDO2:
Não é possível utilizar o fornecedor de credenciais de palavra-passe no ecrã de bloqueio do Windows
Não é pedido para utilizar uma palavra-passe durante as autenticações na sessão (por exemplo, elevação UAC, gestor de palavras-passe no browser, etc.)
Não tem a opção Contas > Alterar palavra-passe na aplicação Definições
Observação
Os utilizadores podem repor a palavra-passe com CTRL+ALT+DEL>Gerir a sua conta
A experiência sem palavra-passe do Windows não afeta a experiência de início de sessão inicial e as contas locais. Aplica-se apenas aos inícios de sessão subsequentes para contas do Microsoft Entra. Também não impede que um utilizador inicie sessão com uma palavra-passe ao utilizar a opção Outro utilizador no ecrã de bloqueio.
O fornecedor de credenciais de palavra-passe está oculto apenas para o último utilizador com sessão iniciada que iniciou sessão no Windows Hello ou uma chave de segurança FIDO2. A experiência sem palavra-passe do Windows não tem a ver com impedir que os utilizadores utilizem palavras-passe, em vez de os orientar e informar de que não utilizam palavras-passe.
Este artigo explica como ativar a experiência sem palavra-passe do Windows e descreve as experiências de utilizador.
Dica
Os utilizadores do Windows Hello para Empresas podem obter o início de sessão sem palavra-passe a partir do primeiro início de sessão com a funcionalidade de início de sessão na Web. Para obter mais informações sobre o início de sessão na Web, consulte Início de sessão na Web para dispositivos Windows.
Requisitos de sistema
A experiência sem palavra-passe do Windows tem os seguintes requisitos:
- Windows 11, versão 22H2 com KB5030310 ou posterior
- Microsoft Entra aderiu
- Credenciais do Windows Hello para Empresas inscritas para o utilizador ou uma chave de segurança FIDO2
- Gerido pela MDM: Microsoft Intune ou outra solução de MDM
Observação
Os dispositivos associados híbridos do Microsoft Entra e os dispositivos associados a um domínio do Active Directory estão atualmente fora do âmbito.
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam a experiência sem palavra-passe do Windows:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sim | Sim | Sim | Sim |
As licenças de experiência sem palavra-passe do Windows são concedidas pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sim | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Ativar a experiência sem palavra-passe do Windows com o Intune
Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:
| Categoria | Nome da configuração | Valor |
|---|---|---|
| Authentication | Ativar Experiência sem Palavra-passe | Habilitada |
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Em alternativa, pode configurar dispositivos com uma política personalizada com o CSP de Política.
| Configuração |
|---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience- Tipo de dados: int - Valor: 1 |
Experiências de utilizador
Experiência de ecrã de bloqueio
Experiência sem palavra-passe desativada: os utilizadores podem iniciar sessão com uma palavra-passe, conforme indicado pela presença do fornecedor 
de credenciais de palavra-passe no ecrã de bloqueio do Windows.
Experiência sem palavra-passe ativada: o fornecedor de credenciais de palavra-passe está em falta para o último utilizador que iniciou sessão com credenciais fortes. Um utilizador pode iniciar sessão com uma credencial forte ou optar por utilizar a opção Outro utilizador para iniciar sessão com uma palavra-passe.
Experiências de autenticação na sessão
Quando a experiência sem palavra-passe do Windows está ativada, os utilizadores não podem utilizar o fornecedor de credenciais de palavra-passe para cenários de autenticação na sessão. Os cenários de autenticação na sessão incluem:
- Gestor de Palavras-passe num browser
- Ligar a partilhas de ficheiros ou sites da intranet
- Elevação do Controlo de Conta de Utilizador (UAC), exceto se for utilizada uma conta de utilizador local para elevação
Observação
O início de sessão RDP é predefinido para o fornecedor de credenciais utilizado durante o início de sessão. No entanto, um utilizador pode selecionar a opção Utilizar uma conta diferente para iniciar sessão com uma palavra-passe.
A execução como utilizador diferente não é afetada pela experiência sem palavra-passe do Windows.
Exemplo de experiência de elevação UAC:
Experiência sem palavra-passe desativada: a elevação UAC permite que o utilizador se autentique com uma palavra-passe.
Experiência sem palavra-passe ativada: a elevação UAC não permite que o utilizador utilize o fornecedor de credenciais de palavra-passe para o utilizador com sessão iniciada atualmente. O utilizador pode autenticar-se com o Windows Hello, uma chave de segurança FIDO2 ou uma conta de utilizador local, se disponível.
Recomendações
Eis uma lista de recomendações a considerar antes de ativar a experiência sem palavra-passe do Windows:
- Se o Windows Hello para Empresas estiver ativado, configure a funcionalidade de reposição do PIN para permitir que os utilizadores reponham o PIN a partir do ecrã de bloqueio. A experiência de reposição do PIN foi melhorada a partir do Windows 11, versão 22H2 com KB5030310
- Não configure a política de segurança Início de sessão interativo: não apresente o último início de sessão, pois impede que a experiência sem palavra-passe do Windows funcione
- Não desative o fornecedor de credenciais de palavra-passe com a política Excluir fornecedores de credenciais . As principais diferenças entre as duas políticas são:
- A política Excluir fornecedores de credenciais desativa palavras-passe para todas as contas, incluindo contas locais. A experiência sem palavra-passe do Windows aplica-se apenas às contas do Microsoft Entra que iniciam sessão com o Windows Hello ou uma chave de segurança FIDO2. Também exclui Outro Utilizador da política, pelo que os utilizadores têm uma opção de início de sessão de cópia de segurança
- Excluir a política de fornecedores de credenciais impede a utilização de palavras-passe para cenários de autenticação RDP e Executar como
- Para facilitar as operações de suporte técnico, considere ativar a conta de administrador local ou criar uma separada, aleatoriamente ao utilizar a Solução de Palavra-passe de Administrador Local do Windows (LAPS)
Problemas conhecidos
Existe um problema conhecido que afeta a experiência de autenticação na sessão ao utilizar chaves de segurança FIDO2, em que as chaves de segurança nem sempre são uma opção disponível. O grupo de produtos está ciente deste comportamento e planeia melhorá-lo no futuro.
Fornecer comentários
Para fornecer feedback sobre a experiência sem palavra-passe do Windows, abra o Hub de Comentários e utilize a categoria Segurança e Privacidade > Experiência sem palavra-passe.