Autenticação sem palavra-passe com Microsoft Intune

A autenticação sem palavra-passe reduz o phishing e o roubo de credenciais ao substituir palavras-passe por métodos de início de sessão mais fortes, como Windows Hello, chaves de segurança FIDO2, chaves de acesso, certificados, início de sessão no telemóvel do Microsoft Authenticator e Passe de Acesso Temporário.

Microsoft Intune não emite credenciais sem palavra-passe. Em vez disso, prepara dispositivos, aplicações e experiências de utilizador para que estes métodos sem palavra-passe funcionem de forma fiável em escala. Microsoft Entra ID é a autoridade de identidade que verifica as credenciais e impõe a autenticação e as políticas de Acesso Condicional, enquanto Microsoft Intune configura as definições do dispositivo, impõe a conformidade e permite as capacidades da plataforma de que esses métodos dependem. Em conjunto, Microsoft Entra ID e Microsoft Intune fornecem a base de identidade e a preparação do dispositivo necessárias para adotar a autenticação sem palavra-passe em diversas plataformas e fatores de forma.

A experiência sem palavra-passe varia de acordo com a plataforma. No Windows, geralmente abrange o início de sessão do dispositivo e o acesso à aplicação através do SSO. No macOS, centra-se na autenticação da plataforma e no SSO em aplicações, em vez de numa identidade avançada vinculada ao dispositivo. No iOS/iPadOS e Android, concentra-se mais frequentemente no início de sessão da aplicação, na autenticação mediada e no comportamento da chave de acesso do que no início de sessão do dispositivo. Tenha estas distinções em mente ao avaliar os requisitos da plataforma e planear a implementação.

Este artigo explica como Microsoft Intune suporta uma estratégia sem palavra-passe do ponto de vista de um administrador. Para obter detalhes de implementação, siga as ligações de implementação para cada método sem palavra-passe.

Como funciona a solução sem palavra-passe da Microsoft

A solução sem palavra-passe da Microsoft emparelha Microsoft Entra ID para identidade e início de sessão único (SSO) com Microsoft Intune para a configuração do dispositivo e a imposição de políticas. Esta combinação permite que os utilizadores se autentiquem com credenciais fortes , como biometria, chaves de segurança FIDO2 ou chaves de acesso, sem introduzir palavras-passe.

Microsoft Entra ID é o fornecedor de identidade principal. Verifica credenciais sem palavra-passe, como Windows Hello PINs, chaves FIDO2 e chaves de acesso. Após a autenticação bem-sucedida, Microsoft Entra ID emite um Token de Atualização Primária (PRT) ou equivalente, permitindo o SSO totalmente integrado para o Microsoft 365, Azure e outros recursos protegidos. As políticas de Acesso Condicional avaliam o estado do dispositivo, a força de autenticação e os sinais de risco antes de concederem acesso.

Microsoft Intune prepara os dispositivos para o início de sessão sem palavra-passe ao configurar definições, impor conformidade, implementar aplicações necessárias e suportar as experiências de plataforma que tornam a prática sem palavra-passe em escala. Microsoft Intune fornece aos administradores um plano de gestão para Windows, macOS, iOS/iPadOS e Android.

As capacidades de plataforma no Windows, macOS, iOS e Android proporcionam a experiência vinculada ao dispositivo, incluindo biometria, hardware seguro (TPM no Windows, Enclave Seguro no macOS), suporte de chave de acesso e início de sessão único mediado.

Esta separação é importante. Microsoft Entra ID é a autoridade de identidade. Microsoft Intune é a camada de gestão que ajuda os utilizadores a adotar e utilizar esses métodos com êxito.

Resistência ao phishing, MFA e sem palavra-passe

A autenticação sem palavra-passe não elimina os fatores de segurança. A maioria dos métodos sem palavra-passe cumpre os requisitos de autenticação multifator (MFA). Por exemplo, Windows Hello utiliza uma credencial (posse) vinculada ao dispositivo emparelhada com um gesto biométrico (coerência) ou um PIN (conhecimento), satisfazendo a MFA por predefinição. Como resultado, as políticas de força de autenticação de Acesso Condicional classificam muitos métodos sem palavra-passe como compatíveis com a MFA ou mesmo como MFA resistente a phishing.

Nem todas as opções sem palavra-passe fornecem o mesmo nível de proteção. Compreender a diferença entre métodos resistentes a phishing e não resistentes a phishing ajuda-o a selecionar os pontos fortes de autenticação certos e a conceber uma estratégia de identidade segura.

  • Os métodos resistentes ao phishing utilizam chaves criptográficas assimétricas e vinculadas ao hardware que não podem ser intercetados ou reproduzidos, mesmo que um utilizador interaja com um pedido malicioso ou falsificado.
  • Os métodos não resistentes ao phishing utilizam fluxos sem palavra-passe, mas ainda podem ser comprometidos através da engenharia social, manipulação rápida ou fadiga da MFA.

Cada método descrito mais adiante neste artigo inclui o seu nível de resistência ao phishing.

Saiba mais

Vantagens da autenticação sem palavra-passe com Microsoft Intune

Quando utiliza as capacidades de plataforma, Microsoft Entra ID e Microsoft Intune em conjunto, a sua organização ganha:

  • Início de sessão único totalmente integrado: os utilizadores iniciam sessão uma vez no dispositivo e obtêm acesso automático a aplicações, serviços cloud e, em alguns casos, recursos no local. As chamadas de reposição de palavra-passe e os pedidos de autenticação repetidos são eliminados.
  • Conveniência do utilizador em todos os dispositivos: os utilizadores obtêm uma experiência nativa e consistente em todos os dispositivos. Windows Hello utiliza o início de sessão do SO, o macOS integra o Touch ID com Microsoft Entra ID e as plataformas móveis utilizam o Microsoft Authenticator e as chaves de acesso da plataforma. Os utilizadores não precisam de fazer malabarismos com palavras-passe separadas por dispositivo.
  • Postura de segurança mais forte: os métodos resistentes ao phishing impedem ataques de roubo e repetição de credenciais. A distribuição da conformidade do dispositivo garante que mesmo as credenciais válidas só funcionam a partir de dispositivos geridos em bom estado de funcionamento, alinhados com Confiança Zero princípios.
  • Carga de suporte de TI reduzida: menos reposições de palavras-passe, integração mais suave com Passe de Acesso Temporário e opções de recuperação self-service reduzem o volume de suporte técnico.
  • Arquitetura pronta para o futuro: à medida que as normas evoluem, os novos métodos sem palavra-passe - incluindo chaves de acesso sincronizadas e credenciais suportadas por hardware - podem ligar-se à mesma arquitetura Microsoft Entra ID + Microsoft Intune sem que seja necessária uma remodelação importante.

Como Microsoft Intune impulsiona a adoção sem palavra-passe

Microsoft Intune ativa e operacionaliza a autenticação sem palavra-passe ao garantir que os dispositivos e aplicações estão configurados corretamente para utilizar credenciais fortes e modernas. Embora Microsoft Entra ID regule a política de identidade e autenticação, Microsoft Intune prepara o ambiente do dispositivo do qual os métodos sem palavra-passe dependem.

As contribuições principais incluem:

  • Preparação do dispositivo: inscrever, registar e configurar dispositivos para que possam participar em fluxos de início de sessão sem palavra-passe.
  • Implementação de configuração: entrega das políticas necessárias para Windows Hello para Empresas, autenticação baseada em certificados, SSO da Plataforma Apple e capacidades de plataforma semelhantes.
  • Sinais de conformidade e acesso: fornece dados de conformidade e estado de funcionamento do dispositivo que o Acesso Condicional avalia antes de conceder acesso.
  • Aprovisionamento de aplicações e mediadores: implementar aplicações principais ( como o Microsoft Authenticator e Microsoft Intune Portal da Empresa) que permitem a mediação de identidades e cenários de SSO sem palavra-passe.
  • Gestão unificada entre plataformas: fornece uma arquitetura de política e gestão consistente em windows, macOS, iOS/iPadOS e Android para simplificar a implementação empresarial.

Os métodos sem palavra-passe disponíveis para os utilizadores dependem tanto da plataforma do dispositivo como das opções de autenticação ativadas no Microsoft Entra ID. Microsoft Intune garante que cada dispositivo está preparado, configurado e capaz de proporcionar uma experiência segura e fiável sem palavra-passe.

Windows Hello

Resistente a phishing

Windows Hello substitui as palavras-passe por uma chave assimétrica vinculada ao dispositivo que é gerada e selada no TPM. O acesso à chave é controlado por um PIN ou gesto biométrico (reconhecimento facial ou impressão digital), combinando posse e inerência num único passo de início de sessão. Este método é suportado por hardware e é resistente a phishing para dispositivos Windows.

Função de Intune
Microsoft Intune prepara os dispositivos Windows para Windows Hello ao fornecer e impor definições de política Windows Hello para Empresas.

Este método é mais relevante quando precisa de:

  • Preparar dispositivos Windows sem palavra-passe na cloud.
  • Forneça Windows Hello para Empresas definições de política durante a inscrição e a gestão contínua.
  • Alinhar o início de sessão do Windows com a conformidade do dispositivo e a gestão moderna.

Saiba mais

Chaves de Segurança FIDO2

Resistente a phishing

As chaves de segurança FIDO2 são dispositivos físicos (USB, NFC ou Bluetooth) que armazenam uma credencial FIDO e fornecem autenticação resistente a phishing sem depender da plataforma do dispositivo. Uma vez que a credencial está vinculada à chave de hardware e verificada através de um desafio criptográfico, não pode ser intercetado ou reproduzido. As chaves FIDO2 são ideais para dispositivos partilhados, ambientes de alta garantia ou como um caminho de recuperação juntamente com credenciais baseadas na plataforma.

Função de Intune
Microsoft Intune pode ajudar a preparar os dispositivos para este método ao gerir plataformas suportadas e experiências de início de sessão relacionadas.

Este método é, muitas vezes, uma boa opção quando as organizações precisam:

  • Uma opção portátil sem palavra-passe para dispositivos partilhados ou especializados.
  • Uma opção forte e resistente ao phishing que não está ligada a uma única plataforma ou ao Microsoft Authenticator.
  • Um caminho alternativo ou de recuperação juntamente com as credenciais baseadas na plataforma.

Para obter orientações sobre a implementação, veja:

Chaves de acesso

Resistente a phishing

As chaves de acesso são o guarda-chuva baseado em normas para credenciais FIDO que podem ser ligadas a dispositivos ou sincronizadas entre dispositivos. No Microsoft Entra ID, pode utilizar:

  • Chaves de acesso vinculadas ao dispositivo armazenadas em hardware seguro (TPM ou Enclave Seguro) num único dispositivo, como através de Windows Hello ou Microsoft Authenticator no iOS 17+ e Android 14+.
  • Chaves de acesso sincronizadas geridas por gestores de palavras-passe de plataforma (como o Keychain do iCloud ou o Google Password Manager) ou fornecedores de terceiros suportados, que permitem a utilização entre dispositivos.
  • Microsoft Entra chave de acesso no Windows é uma chave de acesso FIDO2 que utiliza Windows Hello para verificação biométrica, mas não requer a associação ou o registo do dispositivo. Os utilizadores podem registar várias chaves de acesso para várias contas de Microsoft Entra no mesmo dispositivo, tornando-a adequada para dispositivos partilhados, pontos finais não geridos e cenários em que Windows Hello para Empresas não está aprovisionada.

Função de Intune
Do ponto de vista Microsoft Intune, as chaves de acesso são principalmente sobre a preparação da plataforma e da aplicação– gerir os pré-requisitos do dispositivo e da aplicação que tornam a adoção da chave de acesso viável em todas as plataformas.

Esta dependência é especialmente importante em:

  • O Windows, onde o início de sessão e Windows Hello da plataforma podem intercalar com um planeamento mais amplo sem palavra-passe. Microsoft Entra chave de acesso no Windows expande a cobertura da chave de acesso para dispositivos que não estão inscritos ou associados, complementando Windows Hello para Empresas em dispositivos geridos.
  • iOS/iPadOS e Android, onde as chaves de acesso podem depender do estado do dispositivo móvel e do comportamento do mediador de aplicações.
  • macOS, onde a integração da identidade da plataforma e o início de sessão do utilizador experimentam a adoção da forma.

Para obter orientações sobre a implementação, veja:

Início de sessão no telemóvel do Microsoft Authenticator

Não resistente a phishing

O início de sessão no telemóvel do Microsoft Authenticator substitui as palavras-passe por aprovação baseada em push e correspondência de números no dispositivo móvel fidedigno do utilizador. É conveniente e amplamente suportado, mas baseia-se em notificações push em vez de credenciais vinculadas ao hardware, o que significa que não impede totalmente os ataques de phishing, como a manipulação de pedidos de MFA.

Observação

O Microsoft Authenticator também pode armazenar chaves de acesso vinculadas ao dispositivo (iOS 17+, Android 14+), que são resistentes ao phishing. Esta secção abrange especificamente o fluxo de início de sessão do telemóvel baseado em push.

Função de Intune
Microsoft Intune suporta este fluxo ao implementar e gerir os pré-requisitos da aplicação móvel e do dispositivo.

Em muitos ambientes, este suporte inclui:

  • Implementar o Microsoft Authenticator em dispositivos móveis geridos.
  • Suportar a experiência de início de sessão mediado em todas as aplicações da Microsoft.
  • Contabilizar considerações de políticas de proteção de aplicações em plataformas móveis quando estas fazem parte do design de acesso móvel mais amplo.

Para obter orientações sobre a implementação, veja:

Passe de Acesso Temporário

Não é um método permanente — utilizado para integração e recuperação

O Passe de Acesso Temporário (TAP) é uma credencial com limite de tempo que um administrador emite para ajudar os utilizadores a iniciar ou recuperar o acesso antes de concluirem a configuração sem palavra-passe a longo prazo. A TAP não é um método permanente sem palavra-passe e não é resistente a phishing, mas muitas vezes é uma parte crítica de uma implementação bem-sucedida porque resolve o problema do primeiro início de sessão sem emitir uma palavra-passe.

Função de Intune
Do ponto de vista Microsoft Intune, o Passe de Acesso Temporário é importante quando pretende:

  • Simplifique a integração em métodos sem palavra-passe.
  • Reduza a dependência de palavras-passe temporárias durante a implementação.
  • Ligue cenários de integração à configuração de dispositivos Windows geridos.

Inclusão do dia-zero com TAP

Um desafio comum nas implementações sem palavra-passe é o problema de galinha e ovo : um novo utilizador tem de iniciar sessão para registar as credenciais sem palavra-passe, mas não quer emitir uma palavra-passe para esse primeiro início de sessão. A TAP resolve este problema ao fornecer uma credencial de curta duração para a configuração inicial do dispositivo e o registo de credenciais.

Um fluxo de inclusão típico tem o seguinte aspeto:

  1. Administração emite um TAP – o administrador de TI ou o fluxo de trabalho automatizado gera uma TAP com limite de tempo para o novo utilizador na centro de administração do Microsoft Entra ou através do Microsoft API do Graph.
  2. O utilizador configura o dispositivo — o utilizador introduz o TAP durante o Windows Autopilot OOBE, o assistente de configuração do macOS ou a inscrição de dispositivos móveis. No Windows 11, o início de sessão na Web ativa a entrada TAP diretamente no ecrã de bloqueio.
  3. O utilizador regista um método sem palavra-passe – depois de iniciar sessão com o TAP, é pedido ao utilizador para registar Windows Hello, uma chave de segurança FIDO2, uma chave de acesso no Microsoft Authenticator ou outro método sem palavra-passe. Esta é a credencial permanente que substitui o TAP.
  4. A função TAP expira — o TAP tem uma utilização única ou limite de tempo (configurável), pelo que não pode ser reutilizado depois de o utilizador registar o respetivo método sem palavra-passe.

Este fluxo elimina a necessidade de emitir e, em seguida, revoga uma palavra-passe temporária e dá Microsoft Intune um caminho de inclusão gerido a partir do primeiro início de sessão.

Para obter orientações sobre a implementação, veja:

Autenticação Baseada em Certificados (CBA)

Resistente a phishing

A autenticação baseada em certificados (CBA) utiliza certificados digitais e criptografia assimétrica para verificar a identidade, tornando-a resistente ao phishing e impedindo a repetição de credenciais. É amplamente adotada em indústrias reguladas e ambientes governamentais, muitas vezes através de smart cards como PIV e CAC. Ao contrário de outros métodos sem palavra-passe em que Microsoft Intune prepara principalmente o ambiente do dispositivo, a CBA é uma área onde Microsoft Intune desempenha um papel direto na distribuição da própria credencial.

Função de Intune
Microsoft Intune suporta dois modelos de infraestrutura para entrega de certificados:

  • PKI no local: as organizações com uma autoridade de certificação (AC) existente podem utilizar o Certificate Connector para Microsoft Intune para fazer a ponte entre a PKI no local com Microsoft Intune. O conector permite Microsoft Intune implementar perfis de certificado SCEP e PKCS em dispositivos geridos com a infraestrutura de AC existente. Este modelo adequa-se a organizações que já operam uma AC empresarial ou que precisam de se integrar com investimentos PKI estabelecidos.
  • Microsoft Cloud PKI: para organizações que pretendem simplificar ou eliminar a infraestrutura de certificados no local, o Microsoft Cloud PKI fornece uma AC baseada na cloud como parte do Microsoft Intune Suite. Cloud PKI issues and manages certificates without requiring on-premises servers, connectors, or hardware security modules.

Independentemente do modelo de infraestrutura, Microsoft Intune fornece certificados a dispositivos que utilizam perfis de certificado:

  • Os perfis de certificado de raiz fidedigna distribuem o certificado de raiz da AC para que os dispositivos possam estabelecer a cadeia de fidedignidade.
  • Os perfis de certificado SCEP pedem e implementam certificados a partir de uma AC compatível com SCEP.
  • Os perfis de certificado PKCS pedem e implementam certificados com a norma PKCS n.º 12.
  • Os perfis de certificado PFX importados implementam certificados pré-gerados que são importados para Microsoft Intune.

Estes perfis funcionam no Windows, macOS, iOS/iPadOS e Android, tornando Microsoft Intune o mecanismo de entrega que liga a sua infraestrutura PKI (seja no local ou com base na cloud) ao método de identidade definido no Microsoft Entra ID.

Para obter orientações sobre a implementação, veja:

Pré-requisitos

Antes de planear uma implementação sem palavra-passe, verifique se o seu ambiente cumpre os requisitos de licenciamento e plataforma para os métodos que pretende utilizar. Algumas funcionalidades sem palavra-passe requerem escalões de licença Microsoft Entra ID ou Microsoft Intune específicos e cada método tem requisitos mínimos de versão do SO.

Requisitos de licenciamento

Dependendo dos métodos sem palavra-passe que escolher, a sua organização poderá precisar de Microsoft Entra ID licenças P1 ou Microsoft Entra ID P2 para os utilizadores, bem como licenças de Microsoft Intune específicas para gestão de dispositivos e entrega de certificados. A tabela seguinte resume os requisitos de licenciamento para capacidades comuns sem palavra-passe:

Recursos Requisito de licença
Windows Hello Microsoft Entra ID P1 (para imposição de Acesso Condicional)
Chaves de segurança FIDO2 Microsoft Entra ID P1
Chaves de acesso (vinculadas ao dispositivo e sincronizadas) Microsoft Entra ID P1
Início de sessão no telemóvel do Microsoft Authenticator Microsoft Entra ID P1
Passe de Acesso Temporário Microsoft Entra ID P1
Autenticação baseada em certificados (CBA) Microsoft Entra ID P1 (P2 para Acesso Condicional baseado no risco)
Políticas de força de autenticação Microsoft Entra ID P1
Acesso Condicional baseado no risco Microsoft Entra ID P2
Microsoft Cloud PKI licença cloud PKI Microsoft Intune Suite ou autónoma
Perfis de configuração e conformidade do dispositivo Microsoft Intune (plano 1)

Saiba mais

Requisitos da plataforma

Os métodos sem palavra-passe descritos neste artigo dependem de capacidades de plataforma específicas que só estão disponíveis em determinadas versões do SO. A tabela seguinte resume os requisitos de plataforma para cada método:

Método Windows macOS iOS/iPadOS Android
Windows Hello Todos os clientes Windows suportados
Chaves de segurança FIDO2 Todos os clientes Windows suportados
Chaves de acesso Windows 11 Todas as versões suportadas Todas as versões suportadas Android 14+
Chaves de acesso vinculadas ao dispositivo no Microsoft Authenticator Todas as versões suportadas Android 14+
SSO da Plataforma (Enclave Seguro) Todas as versões suportadas
Início de sessão na Web (TOQUE no ecrã de bloqueio) Windows 11
Início de sessão no telemóvel do Microsoft Authenticator Todas as versões suportadas Android 11 e acima

Observação

Suportado refere-se às versões do sistema operativo que Microsoft Intune atualmente suportam a funcionalidade completa, a implementação de políticas e a gestão.
Os requisitos de versão da plataforma podem ser alterados em cada ciclo de lançamento. Verifique sempre os requisitos atuais na documentação do produto para o método específico que está a implementar.

Saiba mais

Considerações sobre a plataforma

Sem palavra-passe não é uma funcionalidade. É um conjunto de experiências específicas da plataforma que dependem de Microsoft Entra ID para identidades e Microsoft Intune para a gestão de dispositivos.

Windows

O Windows é o exemplo mais completo de como a inscrição de dispositivos, o início de sessão na cloud, a postura de segurança e a experiência de utilizador sem palavra-passe funcionam em conjunto.

Microsoft Intune geralmente suporta cenários sem palavra-passe do Windows ao:

  • Preparar dispositivos associados Microsoft Entra primeiro à cloud.
  • A fornecer Windows Hello para Empresas configuração.
  • Suportar experiências de chave de segurança FIDO2.
  • Alinhar a preparação do dispositivo com a conformidade e a gestão moderna.
  • Suportar experiências de integração que se podem ligar ao Windows Autopilot.

Quando um utilizador inicia sessão com Windows Hello ou uma chave FIDO2, o Windows obtém um Token de Atualização Primária a partir de Microsoft Entra ID. Esse PRT permite o SSO totalmente integrado para aplicações do Microsoft 365, aplicações SaaS e, quando a Confiança do Cloud Kerberos está configurada, recursos no local, como partilhas de ficheiros, tudo sem pedidos de início de sessão adicionais.

Saiba mais

Considerações híbridas e legadas

As experiências sem palavra-passe descritas neste artigo assumem uma primeira direção na cloud com Microsoft Entra dispositivos associados. As organizações com dispositivos híbridos Microsoft Entra associados devem estar cientes destas diferenças:

  • O início de sessão na Web (utilizado para TAP no ecrã de bloqueio do Windows) só é suportado em dispositivos associados Microsoft Entra e não em dispositivos híbridos Microsoft Entra associados.
  • Windows Hello para Empresas funciona tanto em dispositivos associados Microsoft Entra como em dispositivos associados Microsoft Entra híbridos, mas as implementações híbridas podem exigir uma infraestrutura adicional consoante o modelo de fidedignidade.
  • O acesso a recursos no local a partir de Microsoft Entra dispositivos associados requer confiança do Kerberos na cloud ou confiança baseada em certificados. A confiança do Kerberos na cloud é o modelo recomendado porque não requer a implementação de certificados para a autenticação Kerberos. Para obter mais informações, consulte [cloud Kerberos trust deployment](/windows/security/identity-protection/> hello-for-business/deploy/hybrid-cloud-kerberos-trust).
  • As aplicações legadas que requerem a autenticação Kerberos do Active Directory ainda podem funcionar com métodos sem palavra-passe, mas as aplicações que requerem o enlace NTLM ou LDAP direto podem precisar de planeamento adicional.

Se o seu ambiente for híbrido, planeie a sua implementação sem palavra-passe a partir de Microsoft Entra dispositivos associados e expanda para dispositivos híbridos Microsoft Entra associados à medida que a sua infraestrutura o suporta.

Saiba mais

macOS

No macOS, o planeamento sem palavra-passe depende de como Microsoft Entra ID se integra com o início de sessão na plataforma e a experiência de início de sessão único. Microsoft Intune fornece a configuração do dispositivo necessária para integrações de identidades focadas na Apple.

Com o plug-in SSO da Microsoft Enterprise e a arquitetura de SSO da Plataforma da Apple, Microsoft Intune podem implementar uma configuração que permite aos utilizadores iniciar sessão no Mac com as respetivas credenciais de Microsoft Entra ID. Quando configurado com o método de chave de Enclave Seguro, esta ação fornece uma experiência de início de sessão resistente a phishing e com hardware semelhante à Windows Hello.

Estas informações são importantes quando está a planear:

  • SSO da plataforma e experiências de início de sessão relacionadas.
  • Início de sessão único entre o dispositivo e as aplicações Microsoft.
  • Um modelo de gestão consistente juntamente com o Windows e dispositivos móveis.

Saiba mais

iOS e iPadOS

No iOS e iPadOS, o planeamento sem palavra-passe centra-se mais no início de sessão da aplicação, na autenticação mediada e no comportamento da chave de acesso do que no início de sessão do dispositivo. Microsoft Intune implementa e gere as aplicações e definições que tornam essas experiências consistentes para os utilizadores.

A extensão do SSO da Microsoft no iOS pode intercetar pedidos de autenticação em aplicações da Microsoft e de terceiros, permitindo o início de sessão totalmente integrado após a configuração inicial do dispositivo. O Microsoft Authenticator atua como o mediador de autenticação e também pode armazenar chaves de acesso vinculadas ao dispositivo no iOS 17+ para autenticação resistente a phishing.

Saiba mais

Android

No Android, Microsoft Intune estabelece o contexto gerido de que os fluxos de autenticação sem palavra-passe e mediados dependem. Este contexto é especialmente relevante quando o Microsoft Authenticator ou as experiências de aplicações relacionadas fazem parte do design de acesso móvel.

Tanto o Portal da Empresa como o Microsoft Authenticator podem atuar como mediadores de autenticação no Android. Depois de um utilizador iniciar sessão através do mediador, Microsoft Entra ID emite um Token de Atualização Primária que permite o SSO em todas as aplicações com deteção de mediador no perfil de trabalho. No Android 14+, o Microsoft Authenticator também pode armazenar chaves de acesso vinculadas ao dispositivo para autenticação resistente a phishing.

Saiba mais

Dependências da autenticação sem palavra-passe

arquitetura de Confiança Zero

A autenticação sem palavra-passe é uma parte de uma estratégia de identidade e acesso de dispositivo mais ampla. Para um administrador Microsoft Intune, o planeamento normalmente envolve estas camadas:

  • Identidade: métodos de autenticação resistentes a phishing no Microsoft Entra ID.
  • Confiança do dispositivo: Microsoft Intune inscrição, conformidade e configuração.
  • Política de acesso: Acesso Condicional e planeamento de exclusão relacionado.
  • Proteção de dados: capacidades do Microsoft Purview que ajudam a proteger conteúdos após a concessão do acesso.
  • Investigação e resposta: Microsoft Defender sinais e fluxos de trabalho quando o risco ou o compromisso precisam de seguimento.

Saiba mais

Acesso Condicional

O Acesso Condicional avalia sinais como o estado do dispositivo e a força de autenticação antes de conceder acesso. Quando combinado com métodos sem palavra-passe, o Acesso Condicional pode impor políticas de força de autenticação que necessitam de MFA resistente a phishing, que obrigam efetivamente sem palavra-passe ao bloquear métodos mais fracos, como palavras-passe ou códigos SMS.

Quando implementa o Acesso Condicional juntamente com o sem palavra-passe, também tem em conta o planeamento de acesso de emergência para evitar cenários de bloqueio acidental.

Saiba mais

Acesso e recuperação de emergência

Uma preocupação comum ao remover palavras-passe é o que acontece quando um utilizador perde o seu único dispositivo sem palavra-passe - um telemóvel, uma chave FIDO2 ou um portátil com Windows Hello. Sem um plano de recuperação, os administradores podem enfrentar escalamentos de suporte e os utilizadores podem ser bloqueados de recursos críticos.

Planeie estes cenários como parte da sua implementação sem palavra-passe:

  • Contas de acesso de emergência: mantenha pelo menos duas contas break-glass excluídas das políticas de Acesso Condicional e da imposição sem palavra-passe. Estas contas fornecem um caminho de contingência se uma configuração incorreta ou indisponibilidade bloquear todo o outro acesso. Armazene as credenciais de forma segura e monitorize a atividade de início de sessão nestas contas.
  • Recuperação com Passe de Acesso Temporário: quando um utilizador perde o dispositivo sem palavra-passe, um administrador pode emitir um novo TAP para que o utilizador possa iniciar sessão e registar uma credencial de substituição. Esta abordagem evita repor o utilizador para uma palavra-passe e mantém o fluxo de recuperação dentro do modelo sem palavra-passe.
  • Vários métodos registados: incentive os utilizadores a registar mais do que um método sem palavra-passe sempre que possível. Por exemplo, um utilizador que utilize o Hello para Empresas no respetivo portátil também pode registar uma chave de acesso no Microsoft Authenticator no telemóvel. Se um dispositivo for perdido, o outro método continuará a funcionar.
  • Gestão personalizada de credenciais: os utilizadores podem gerir os respetivos métodos de autenticação em As Minhas Informações de Segurança. Quando combinada com a recuperação baseada em TAP, esta abordagem reduz a dependência de suporte técnico para reposições de credenciais.
  • Recuperação total de perdas com ID verificada: para cenários em que um utilizador perde todas as credenciais e dispositivos registados, Microsoft Entra recuperação da conta com ID verificada fornece um caminho de recuperação verificado pela identidade que não depende de palavras-passe ou credenciais emitidas por suporte técnico.

Planear a recuperação antes de impor sem palavra-passe é essencial. Uma implementação que bloqueia palavras-passe sem um caminho de recuperação cria o tipo de cenários de bloqueio que corrói a confiança do administrador e do utilizador na transição.

Saiba mais

Conformidade e preparação do dispositivo

Muitas vezes, sem palavra-passe depende do dispositivo estar no estado certo antes de os utilizadores poderem confiar na experiência. Normalmente, a preparação inclui:

Verificação e operações em curso

Para validar uma implementação sem palavra-passe, os pontos de verificação comuns incluem:

Adoção e comunicação do utilizador

A preparação técnica é apenas uma parte de uma implementação sem palavra-passe. Os utilizadores que estão habituados a palavras-passe podem sentir confusão ou resistência quando os fluxos de início de sessão mudam. O planeamento da comunicação e do suporte do utilizador pode fazer a diferença entre uma transição suave e um escalamento de suporte técnico generalizado.

Considere estas práticas:

  • Comunique a alteração mais cedo: informe os utilizadores de que a sua experiência de início de sessão está a mudar, por que motivo está a mudar e o que esperar. Concentre-se nos benefícios – menos palavras-passe para memorizar, início de sessão mais rápido e segurança mais forte.
  • Fornecer orientações específicas da plataforma: a experiência sem palavra-passe é diferente no Windows (Hello biométrico ou PIN), macOS (Touch ID com SSO da Plataforma), iOS (Authenticator ou passkeys) e Android (Mediador de autenticação). Personalize a comunicação com as plataformas que os seus utilizadores têm.
  • Identificar grupos piloto: comece com um grupo de utilizadores que pode testar a experiência e fornecer feedback antes de impor sem palavra-passe em toda a organização. Os colaboradores de TI, os primeiros adotantes e as equipas com suporte para a segurança são muitas vezes bons candidatos.
  • Preparar a equipa de suporte técnico: certifique-se de que a sua equipa de suporte sabe como emitir um Passe de Acesso Temporário para recuperação, como orientar os utilizadores através do registo de credenciais e onde marcar registos de início de sessão quando surgirem problemas.

Saiba mais

  • Last updated on