Experiência sem senha do Windows
A partir de Windows 11, versão 22H2 com KB5030310, a experiência sem senha do Windows é uma política de segurança que promove uma experiência do usuário sem senhas em dispositivos ingressados Microsoft Entra.
Quando a política está habilitada, determinados cenários autenticação do Windows não oferecem aos usuários a opção de usar uma senha, ajudando as organizações e preparando os usuários a se afastarem gradualmente das senhas.
Com a experiência sem senha do Windows, os usuários que entrem com Windows Hello ou uma chave de segurança FIDO2:
Não é possível usar o provedor de credencial de senha na tela de bloqueio do Windows
Não são solicitados a usar uma senha durante autenticações na sessão (por exemplo, elevação do UAC, gerenciador de senhas no navegador etc.)
Não tem a opção Contas > Alterar senha no aplicativo Configurações
Observação
Os usuários podem redefinir sua senha usando CTRL+ALT+DEL>Gerenciar sua conta
A experiência sem senha do Windows não afeta a experiência inicial de entrada e as contas locais. Ela só se aplica a entradas subsequentes para contas Microsoft Entra. Isso também não impede que um usuário entre com uma senha ao usar a opção Outro usuário na tela de bloqueio.
O provedor de credencial de senha fica oculto apenas para o último usuário conectado que entrou Windows Hello ou uma chave de segurança FIDO2. A experiência sem senha do Windows não se trata de impedir que os usuários usem senhas, em vez de orientá-los e educá-los para não usar senhas.
Este artigo explica como habilitar a experiência sem senha do Windows e descreve as experiências do usuário.
Dica
Windows Hello para Empresas usuários podem obter entrada sem senha no primeiro logon usando o recurso de entrada da Web. Para obter mais informações sobre a entrada na Web, consulte Entrada da Web para dispositivos Windows.
Requisitos de sistema
A experiência sem senha do Windows tem os seguintes requisitos:
- Windows 11, versão 22H2 com KB5030310 ou posterior
- Microsoft Entra ingressado
- Windows Hello para Empresas credenciais registradas para o usuário ou uma chave de segurança FIDO2
- Gerenciado por MDM: Microsoft Intune ou outra solução MDM
Observação
Microsoft Entra dispositivos ingressados híbridos e dispositivos ingressados no domínio do Active Directory estão atualmente fora de escopo.
Edição do Windows e requisitos de licenciamento
A tabela a seguir lista as edições do Windows que dão suporte à experiência sem senha do Windows:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Sim | Sim | Sim | Sim |
Os direitos de licença de experiência sem senha do Windows são concedidos pelas seguintes licenças:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Sim | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Habilitar a experiência sem senha do Windows com Intune
Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:
Categoria | Nome da configuração | Valor |
---|---|---|
Authentication | Habilitar experiência sem senha | Habilitado |
Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.
Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP da política.
Configuração |
---|
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience - Tipo de dados: int - Valor: 1 |
Experiências do usuário
Experiência de tela de bloqueio
Experiência sem senha desativada: os usuários podem entrar usando uma senha, conforme indicado pela presença do provedor de credencial de senha na tela de bloqueio do Windows.
Experiência sem senha ativada: o provedor de credencial de senha está ausente para o último usuário que entrou com credenciais fortes. Um usuário pode entrar usando uma credencial forte ou optar por usar a opção Outro usuário para entrar com uma senha.
Experiências de autenticação em sessão
Quando a experiência sem senha do Windows está habilitada, os usuários não podem usar o provedor de credencial de senha para cenários de autenticação na sessão. Os cenários de autenticação na sessão incluem:
- Gerenciador de Senhas em um navegador da Web
- Conectar-se a compartilhamentos de arquivos ou sites de intranet
- Elevação do UAC (Controle de Conta de Usuário), exceto se uma conta de usuário local for usada para elevação
Observação
O padrão de entrada RDP no provedor de credencial usado durante a entrada. No entanto, um usuário pode selecionar a opção Usar uma conta diferente para entrar com uma senha.
A execução como usuário diferente não é afetada pela experiência sem senha do Windows.
Exemplo da experiência de elevação do UAC:
Experiência sem senha desativada: a elevação do UAC permite que o usuário se autentique usando uma senha.
Experiência sem senha ativada: a elevação do UAC não permite que o usuário use o provedor de credencial de senha para o usuário conectado no momento. O usuário pode autenticar usando Windows Hello, uma chave de segurança FIDO2 ou uma conta de usuário local, se disponível.
Recomendações
Aqui está uma lista de recomendações a serem consideradas antes de habilitar a experiência sem senha do Windows:
- Se Windows Hello para Empresas estiver habilitado, configure o recurso de redefinição de PIN para permitir que os usuários redefinam seu PIN na tela de bloqueio. A experiência de redefinição de PIN é aprimorada a partir de Windows 11, versão 22H2 com KB5030310
- Não configure o logon interativo da política de segurança: não exiba a última entrada, pois impede que a experiência sem senha do Windows funcione
- Não desabilite o provedor de credencial de senha usando a política Excluir provedores de credencial . As principais diferenças entre as duas políticas são:
- A política Excluir provedores de credencial desabilita senhas para todas as contas, incluindo contas locais. A experiência sem senha do Windows só se aplica a Microsoft Entra contas que entrem com Windows Hello ou uma chave de segurança FIDO2. Ele também exclui outros usuários da política, para que os usuários tenham uma opção de entrada de backup
- Excluir a política de provedores de credencial impede o uso de senhas para RDP e Executar como cenários de autenticação
- Para facilitar as operações de suporte do helpdesk, considere habilitar a conta de administrador local ou criar uma separada, randomizando sua senha usando a LAPS (Solução de Senha do Administrador Local do Windows)
Problemas conhecidos
Há um problema conhecido que afeta a experiência de autenticação na sessão ao usar chaves de segurança FIDO2, em que as chaves de segurança nem sempre são uma opção disponível. O grupo de produtos está ciente desse comportamento e planeja melhorar isso no futuro.
Fornecer comentários
Para fornecer comentários sobre a experiência sem senha do Windows, abra o Hub de Comentários e use a categoria Experiência sem senha de segurança e privacidade>.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de