Ativar o início de sessão sem palavra-passe com o Microsoft Authenticator

  • Artigo

O Microsoft Authenticator pode ser usado para entrar em qualquer conta do Microsoft Entra sem usar uma senha. O Microsoft Authenticator usa a autenticação baseada em chave para habilitar uma credencial de usuário vinculada a um dispositivo, onde o dispositivo usa um PIN ou biometria. O Windows Hello for Business usa uma tecnologia semelhante.

Esta tecnologia de autenticação pode ser utilizada em qualquer plataforma de dispositivo, incluindo dispositivos móveis. Essa tecnologia também pode ser usada com qualquer aplicativo ou site que se integre às Bibliotecas de Autenticação da Microsoft.

Captura de ecrã que mostra um exemplo de início de sessão no browser a pedir ao utilizador para aprovar o início de sessão.

As pessoas que ativaram o início de sessão por telefone a partir do Microsoft Authenticator veem uma mensagem que lhes pede para tocar num número na respetiva aplicação. Nenhum nome de usuário ou senha é solicitado. Para concluir o processo de entrada no aplicativo, um usuário deve executar as seguintes ações:

  1. Introduza o número que vê no ecrã de início de sessão na caixa de diálogo Microsoft Authenticator.
  2. Escolha Aprovar.
  3. Forneça o seu PIN ou biometria.

Várias contas no iOS

Pode ativar o início de sessão por telemóvel sem palavra-passe para várias contas no Microsoft Authenticator em qualquer dispositivo iOS suportado. Consultores, estudantes e outras pessoas com várias contas no Microsoft Entra ID podem adicionar cada conta ao Microsoft Authenticator e usar o login por telefone sem senha para todas elas a partir do mesmo dispositivo iOS.

Anteriormente, os administradores podiam não exigir o início de sessão sem palavra-passe para utilizadores com várias contas, porque exige que carreguem mais dispositivos para iniciar sessão. Ao remover a limitação de um login de usuário de um dispositivo, os administradores podem incentivar com mais confiança os usuários a registrar o login do telefone sem senha e usá-lo como seu método de login padrão.

As contas do Microsoft Entra podem estar no mesmo locatário ou em locatários diferentes. As contas de convidado não são suportadas para entradas de várias contas a partir de um dispositivo.

Pré-requisitos

Para usar o logon por telefone sem senha com o Microsoft Authenticator, os seguintes pré-requisitos devem ser atendidos:

  • Recomendado: autenticação multifator Microsoft Entra, com notificações por push permitidas como método de verificação. As notificações push para o seu smartphone ou tablet ajudam a aplicação Authenticator a impedir o acesso não autorizado a contas e a impedir transações fraudulentas. O aplicativo Authenticator gera códigos automaticamente quando configurado para fazer notificações push. Um utilizador tem um método de início de sessão de cópia de segurança, mesmo que o dispositivo não tenha conectividade.
  • Versão mais recente do Microsoft Authenticator instalada em dispositivos com iOS ou Android.
  • Para Android, o dispositivo que executa o Microsoft Authenticator deve ser registrado para um usuário individual. Estamos trabalhando ativamente para habilitar várias contas no Android.
  • Para iOS, o dispositivo deve ser registrado em cada locatário onde é usado para entrar. Por exemplo, o seguinte dispositivo deve ser registrado na Contoso e na Wingtiptoys para permitir que todas as contas entrem:
    • balas@contoso.com
    • balas@wingtiptoys.com e bsandhu@wingtiptoys

Para usar a autenticação sem senha no Microsoft Entra ID, primeiro habilite a experiência de registro combinada e, em seguida, habilite os usuários para o método sem senha.

Habilite métodos de autenticação de login por telefone sem senha

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

O Microsoft Entra ID permite-lhe escolher que métodos de autenticação podem ser utilizados durante o processo de início de sessão. Em seguida, os utilizadores podem registar-se nos métodos que preferem utilizar. A política do método de autenticação Microsoft Authenticator gerencia o método MFA por push tradicional e o método de autenticação sem senha.

Nota

Se você habilitou o logon sem senha do Microsoft Authenticator usando o PowerShell, ele foi habilitado para todo o diretório. Se você habilitar o uso desse novo método, ele substituirá a política do PowerShell. Recomendamos que você habilite para todos os usuários em seu locatário por meio do novo menu Métodos de Autenticação , caso contrário, os usuários que não estão na nova política não poderão entrar sem uma senha.

Para habilitar o método de autenticação para entrada por telefone sem senha, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Políticas de métodos>de autenticação de proteção>.

  3. Em Microsoft Authenticator, escolha as seguintes opções:

    1. Ativar - Sim ou Não
    2. Destino - Todos os usuários ou Selecionar usuários

  4. Cada grupo ou usuário adicionado é habilitado por padrão para usar o Microsoft Authenticator nos modos sem senha e de notificação por push (modo "Qualquer"). Para alterar o modo, para cada linha para o modo de autenticação - escolha Qualquer ou Sem senha. Escolher Push impede o uso da credencial de login do telefone sem senha.

  5. Para aplicar a nova política, clique em Guardar.

    Nota

    Se vir um erro quando tentar guardar, a causa poderá dever-se ao número de utilizadores ou grupos que estão a ser adicionados. Como solução alternativa, substitua os usuários e grupos que você está tentando adicionar por um único grupo, na mesma operação, e selecione Salvar novamente.

Registo de utilizador

Os usuários se registram para o método de autenticação sem senha do Microsoft Entra ID. Para usuários que já registraram o aplicativo Microsoft Authenticator para autenticação multifator, pule para a próxima seção, habilitar o login por telefone.

Telefone direto Registo de início de sessão

Os usuários podem se registrar para entrar por telefone sem senha diretamente no aplicativo Microsoft Authenticator sem a necessidade de primeiro registrar o Microsoft Authenticator com sua conta, sem nunca acumular uma senha. Saiba como:

  1. Adquira um Passe de Acesso Temporário do seu Administrador ou Organização.
  2. Transfira e instale a aplicação Microsoft Authenticator no seu dispositivo móvel.
  3. Abra o Microsoft Authenticator e clique em Adicionar conta e, em seguida, escolha Conta corporativa ou de estudante.
  4. Escolha Entrar.
  5. Siga as instruções para iniciar sessão com a sua conta utilizando o Passe de Acesso Temporário fornecido pelo seu Administrador ou Organização.
  6. Depois de iniciar sessão, continue a seguir os passos adicionais para configurar o início de sessão por telefone.

Registo guiado com Os Meus Inícios de Sessão

Nota

Os usuários só poderão registrar o Microsoft Authenticator por meio de registro combinado se o modo de autenticação do Microsoft Authenticator for para Any ou Push.

Para registar a aplicação Microsoft Authenticator, siga estes passos:

  1. Navegue para https://aka.ms/mysecurityinfo.
  2. Inicie sessão e, em seguida, selecione Adicionar método>>Aplicação autenticadora Adicionar para adicionar o Microsoft Authenticator.
  3. Siga as instruções para instalar e configurar a aplicação Microsoft Authenticator no seu dispositivo.
  4. Selecione Concluído para concluir a configuração do Microsoft Authenticator.

Ativar início de sessão por telefone

Depois que os usuários se registrarem no aplicativo Microsoft Authenticator, eles precisam habilitar a entrada por telefone:

  1. No Microsoft Authenticator, selecione a conta registrada.
  2. Selecione Ativar início de sessão por telefone.
  3. Siga as instruções na aplicação para concluir o registo da conta para iniciar sessão por telemóvel sem palavra-passe.

Uma organização pode direcionar seus usuários para entrar com seus telefones, sem usar uma senha. Para obter mais assistência para configurar o Microsoft Authenticator e habilitar a entrada por telefone, consulte Entrar em suas contas usando o aplicativo Microsoft Authenticator.

Nota

Os usuários que não têm permissão pela política para usar a entrada por telefone não podem mais habilitá-la no Microsoft Authenticator.

Iniciar sessão com credenciais sem palavra-passe

Um usuário pode começar a usar o login sem senha depois que todas as seguintes ações forem concluídas:

  • Um administrador habilitou o locatário do usuário.
  • O usuário adicionou o Microsoft Authenticator como um método de entrada.

Na primeira vez que um usuário inicia o processo de entrada por telefone, ele executa as seguintes etapas:

  1. Introduz o respetivo nome na página de início de sessão.
  2. Seleciona Avançar.
  3. Se necessário, selecione Outras formas de iniciar sessão.
  4. Seleciona Aprovar uma solicitação no meu aplicativo Authenticator.

O usuário é então apresentado com um número. O aplicativo solicita que o usuário se autentique digitando o número apropriado, em vez de digitar uma senha.

Depois que o usuário tiver utilizado o login do telefone sem senha, o aplicativo continuará a guiá-lo através desse método. No entanto, o usuário verá a opção de escolher outro método.

Captura de ecrã que mostra um exemplo de início de sessão no browser utilizando a aplicação Microsoft Authenticator.

Passe de Acesso Temporário

Se o administrador do locatário tiver habilitado a Redefinição de Senha de Autoatendimento (SSPR) e um usuário estiver configurando o login sem senha com o aplicativo Autenticador pela primeira vez usando uma Senha de Acesso Temporária, as seguintes etapas deverão ser seguidas:

  1. O usuário deve abrir um navegador em um dispositivo móvel ou desktop e navegar até a página mySecurity info.
  2. O usuário deve registrar o aplicativo autenticador como seu método de login. Esta ação vincula a conta do usuário ao aplicativo.
  3. O utilizador deve então regressar ao seu dispositivo móvel e ativar o início de sessão sem palavra-passe através da aplicação Authenticator.

Gestão

A política de métodos de autenticação é a maneira recomendada de gerenciar o Microsoft Authenticator. Política de autenticação Os administradores podem editar essa política para habilitar ou desabilitar o Microsoft Authenticator. Os administradores podem incluir ou excluir usuários e grupos específicos de usá-lo.

Os administradores também podem configurar parâmetros para controlar melhor como o Microsoft Authenticator pode ser usado. Por exemplo, eles podem adicionar local ou nome do aplicativo à solicitação de entrada para que os usuários tenham maior contexto antes de aprovar.

Os Administradores Globais também podem gerenciar o Microsoft Authenticator em todo o locatário usando políticas herdadas de MFA e SSPR. Essas políticas permitem que o Microsoft Authenticator seja habilitado ou desabilitado para todos os usuários no locatário. Não há opções para incluir ou excluir ninguém, ou controlar como o Microsoft Authenticator pode ser usado para entrar.

Problemas conhecidos

Existem os seguintes problemas conhecidos.

Não ver a opção de início de sessão por telemóvel sem palavra-passe

Em um cenário, um usuário pode ter uma verificação de entrada por telefone sem senha não respondida que está pendente. Se o utilizador tentar iniciar sessão novamente, poderá ver apenas a opção para introduzir uma palavra-passe.

Para resolver este cenário, siga estes passos:

  1. Abra o Microsoft Authenticator.
  2. Responda a todas as solicitações de notificação.

Em seguida, o utilizador pode continuar a utilizar o início de sessão por telemóvel sem palavra-passe.

AuthenticatorAppSignInPolicy não suportado

O AuthenticatorAppSignInPolicy é uma política herdada que não é suportada com o Microsoft Authenticator. Para habilitar seus usuários para notificações por push ou login por telefone sem senha com o aplicativo Authenticator, use a política de Métodos de Autenticação.

Contas federadas

Quando um usuário habilita qualquer credencial sem senha, o processo de login do Microsoft Entra para de usar o login_hint. Portanto, o processo não acelera mais o usuário em direção a um local de login federado.

Essa lógica geralmente impede que um usuário em um locatário híbrido seja direcionado para os Serviços Federados do Ative Directory (AD FS) para verificação de entrada. No entanto, o usuário mantém a opção de clicar em Usar sua senha.

Usuários locais

Um usuário final pode ser habilitado para autenticação multifator por meio de um provedor de identidade local. O usuário ainda pode criar e utilizar uma única credencial de login de telefone sem senha.

Se o usuário tentar atualizar várias instalações (5+) do Microsoft Authenticator com a credencial de entrada do telefone sem senha, essa alteração pode resultar em um erro.

Próximos passos

Para saber mais sobre a autenticação do Microsoft Entra e métodos sem senha, consulte os seguintes artigos: