Opções de autenticação sem senha para o Azure Active Directory

Recursos como a MFA (autenticação multifator) são uma ótima maneira de proteger sua organização, mas os usuários geralmente ficam frustrados que precisam memorizar senhas com a camada de segurança adicional. Os métodos de autenticação sem senha são mais convenientes porque a senha é removida e substituída por algo que você tem, além de algo que você conhece ou sabe.

Autenticação Algo que você tem Algo que você é ou sabe
Sem senha Dispositivo, telefone ou chave de segurança do Windows 10 Biometria ou PIN

Cada organização tem necessidades diferentes de autenticação. O Azure e Azure Governamental da Microsoft global oferece estas três opções de autenticação sem senha que se integram ao Azure Active Directory (Azure AD):

  • Windows Hello para Empresas
  • Aplicativo Microsoft Authenticator
  • Chaves de segurança FIDO2

Autenticação: segurança versus conveniência

Windows Hello para Empresas

O Windows Hello para Empresas é ideal para operadores de informação que têm seu próprio PC Windows. Credenciais biométricas e de PIN estão diretamente ligadas ao computador do usuário, o que impede o acesso de quem não seja o proprietário. Com a integração de infraestrutura de chave pública (PKI) e suporte interno para logon único (SSO), o Windows Hello para Empresas oferece um método conveniente para acessar diretamente os recursos corporativos locais e na nuvem.

Exemplo de uma entrada de usuário com o Windows Hello para Empresas

As etapas a seguir mostram como o processo de entrada funciona com o Azure AD:

Diagrama que descreve as etapas envolvidas de entrada de usuário com o Windows Hello para Empresas

  1. Um usuário entra no Windows usando um gesto biométrico ou PIN. O gesto desbloqueia a chave privada do Windows Hello para Empresas e é enviado ao provedor de suporte de segurança de autenticação de nuvem, chamado de provedor de AP de nuvem.
  2. O provedor de AP de nuvem solicita um nonce (número arbitrário aleatório que pode ser usado apenas uma vez) do Azure AD.
  3. O Azure AD retorna um nonce que é válido por 5 minutos.
  4. O provedor de AP de nuvem assina o nonce usando a chave privada do usuário e retorna o nonce assinado ao Azure AD.
  5. O Azure AD valida o nonce assinado usando a chave pública registrada com segurança do usuário na assinatura de nonce. Depois de validar a assinatura, o Azure AD validará o nonce assinado retornado. Quando o nonce é validado, o Azure AD cria um PRT (token de atualização principal) com a chave de sessão criptografada para a chave de transporte do dispositivo e a retorna para o provedor de AP de nuvem.
  6. O provedor de AP de nuvem recebe o PRT criptografado com a chave da sessão. O provedor de AP de nuvem usa a chave de transporte privada do dispositivo para descriptografar a chave de sessão e proteger a chave de sessão usando o Trusted Platform Module (TPM) do dispositivo.
  7. O provedor de AP de nuvem retorna uma resposta de autenticação bem-sucedida ao Windows. O usuário então consegue acessar o Windows, bem como aplicativos locais e na nuvem sem a necessidade de autenticar novamente (SSO).

O guia de planejamento do Windows Hello para Empresas pode ser usado para ajudar a tomar decisões sobre o tipo de implantação do Windows Hello para Empresas e as opções que você precisará considerar.

Aplicativo Microsoft Authenticator

Você também pode permitir que o telefone do funcionário se torne um método de autenticação sem senha. Talvez você já esteja usando o aplicativo Microsoft Authenticator como opção de autenticação multifator conveniente, além de uma senha. Você também pode usar o aplicativo Authenticator como uma opção sem senha.

Entrar no Microsoft Edge com o aplicativo Microsoft Authenticator

O aplicativo Authenticator transforma qualquer telefone iOS ou Android em uma credencial forte e sem senha. Para entrar em qualquer plataforma ou navegador, os usuários recebem uma notificação no telefone, fazem a correspondência de um número na tela com um no telefone e depois usam um gesto biométrico (toque ou rosto) ou PIN para confirmar. Veja Baixar e instalar o aplicativo Microsoft Authenticator para obter detalhes de instalação.

A autenticação sem senha com o aplicativo Authenticator segue o mesmo padrão básico do Windows Hello para Empresas. Isso é um pouco mais complicado, pois o usuário precisa ser identificado para que o Azure AD possa encontrar a versão do aplicativo Microsoft Authenticator que está sendo usada:

Diagrama que descreve as etapas para a entrada do usuário com o aplicativo Microsoft Authenticator

  1. O usuário insere o nome de usuário.
  2. O Azure AD detecta que o usuário tem uma credencial forte e inicia o fluxo de credencial forte.
  3. Uma notificação é enviada para o aplicativo via Apple Push Notification Service (APNS) em dispositivos iOS ou Firebase Cloud Messaging (FCM) em dispositivos Android.
  4. O usuário recebe a notificação por push e abre o aplicativo.
  5. O aplicativo chama o Azure AD e recebe um desafio de prova de presença e um nonce.
  6. O usuário conclui o desafio ao inserir seu dado biométrico ou PIN para desbloquear a chave privada.
  7. O nonce é assinado com a chave privada e enviado de volta ao Azure AD.
  8. O Azure AD executa a validação de chave pública/privada e retorna um token.

Para começar a usar a entrada sem senha, siga as seguintes instruções:

Chaves de segurança FIDO2

A FIDO (Fast Identity online) Alliance ajuda a promover padrões de autenticação aberta e a reduzir o uso de senhas como forma de autenticação. FIDO2 é o padrão mais recente que incorpora o padrão de autenticação na Web (WebAuthn).

As chaves de segurança FIDO2 são um método de autenticação de senha baseado em padrões à prova de phishing, que podem usar qualquer fator forma. A FIDO (Fast Identity Online) é um padrão aberto para autenticação sem senha. A FIDO permite que usuários e organizações aproveitem o padrão para entrar nos recursos sem usar nome de usuário ou senha, apenas com uma chave de segurança externa ou uma chave de plataforma incorporada a um dispositivo.

Os usuários podem registrar e, em seguida, selecionar uma chave de segurança FIDO2 na interface de entrada como o principal meio de autenticação. Essas chaves de segurança FIDO2 normalmente são dispositivos USB, mas também podem usar Bluetooth ou NFC. Com um dispositivo de hardware que manipula a autenticação, a segurança de uma conta é aumentada, pois não há senha que possa ser exposta ou adivinhada.

As chaves de segurança FIDO2 podem ser usadas para entrar nos dispositivos Windows 10 do Azure AD ou ingressados no Azure AD híbrido e obter logon único em recursos locais e de nuvem. Os usuários também podem entrar em navegadores compatíveis. As chaves de segurança FIDO2 são uma ótima opção para empresas que são muito sensíveis à segurança ou que têm cenários ou funcionários que não estão dispostos ou não podem usar telefones como um segundo fator.

Temos um documento de referência para quais navegadores compatíveis com autenticação FIDO2 com o Azure AD, além das melhores práticas para os desenvolvedores que querem oferecer suporte à autenticação FIDO2 nos aplicativos que desenvolvem.

Entrar no Microsoft Edge com uma chave de segurança

O processo a seguir é usado quando um usuário entra com uma chave de segurança FIDO2:

Diagrama que descreve as etapas para a entrada do usuário com uma chave de segurança FIDO2

  1. O usuário conecta a chave de segurança FIDO2 no computador.
  2. O Windows detecta a chave de segurança FIDO2.
  3. O Windows envia uma solicitação de autenticação.
  4. O Azure AD envia de volta um nonce.
  5. O usuário conclui seu gesto para desbloquear a chave privada armazenada no enclave seguro da chave de segurança FIDO2.
  6. A chave de segurança FIDO2 assina o nonce com a chave privada.
  7. A solicitação de token de PRT (token de atualização principal) com nonce assinado é enviada ao Azure AD.
  8. O Azure AD verifica o nonce assinado com a chave pública FIDO2.
  9. O Azure AD retorna o PRT para habilitar o acesso a recursos locais.

Embora existam muitas chaves que sejam FIDO2 certificadas pela FIDO Alliance, a Microsoft exige que algumas extensões opcionais da especificação CTAP (Client-to-Authenticator Protocol) da FIDO2 sejam implementadas pelo fornecedor para garantir a segurança máxima e a melhor experiência.

Uma chave de segurança DEVE implementar os seguintes recursos e extensões do protocolo CTAP FIDO2 para ser compatível com a Microsoft. O fornecedor do Authenticator deve implementar as versões FIDO_2_0 e FIDO_2_1 da especificação. Para obter mais informações, consulte Cliente para protocolo Authenticator.

# Confiança de recurso/extensão Por que há necessidade desse recurso ou extensão?
1 Chave residente/detectável Esse recurso permite que a chave de segurança seja portátil, em que a credencial é armazenada na chave de segurança e pode ser descoberta, o que torna possíveis fluxos sem uso.
2 PIN do cliente Esse recurso permite proteger suas credenciais com um segundo fator e se aplica a chaves de segurança que não têm uma interface do usuário.
Os protocolos PIN 1 e PIN 2 DEVEM ser implementados.
3 hmac-secret Essa extensão possibilita entrar em seu dispositivo quando ele estiver offline ou no modo avião.
4 Várias contas por RP Esse possibilita usar a mesma chave de segurança em vários serviços, como a conta da Microsoft e o Azure Active Directory.
5 Gerenciamento de Credenciais Este recurso permite que os usuários gerenciem as credenciais em chaves de segurança em plataformas e se aplica a chaves de segurança que não tenham esse recurso integrado.
O Authenticator DEVE implementar os comandos authenticatorCredentialManagement d credentialMgmtPreview para esse recurso.
6 Registro Biométrico Este recurso permite que os usuários registrem a biometria nos autenticadores e se aplica a chaves de segurança que não tenham esse recurso integrado.
O Authenticator DEVE implementar os comandos authenicatorBioEnrollment e userVerificationMgmtPreview para este recurso.
7 pinUvAuthToken Este recurso permite que a plataforma tenha tokens de autenticação usando a correspondência BIOMÉTRICA ou de PIN, o que ajuda a melhorar a experiência do usuário quando várias credenciais estão presentes no autenticador.
8 forcePinChange Este recurso permite que as empresas peçam aos usuários que alterem o PIN em implantações remotas.
9 setMinPINLength Este recurso permite que as empresas tenham um comprimento mínimo de PIN personalizado para os usuários. O Authenticator DEVE implementar a extensão minPinLength e ter maxRPIDsForSetMinPINLength com valor de pelo menos 1.
10 alwaysUV Esse recurso permite que empresas ou os usuários sempre exijam a verificação de usuário para usar essa chave de segurança. O Authenticator DEVE implementar o subcomando toggleAlwaysUv. Cabe ao fornecedor decidir o valor padrão de alwaysUV. Neste ponto, devido à natureza da adoção de vários RPs e versões do sistema operacional, o valor recomendado para autenticadores com base biométrica é verdadeiro e os autenticadores com base não biométrica são falsos.
11 credBlob Esta extensão permite que os sites armazenem pequenas informações na chave de segurança. maxCredBlobLength DEVE ter pelo menos 32 bytes.
12 largeBlob Esta extensão permite que os sites armazenem as informações maiores, como certificados na chave de segurança. maxSerializedLargeBlobArray DEVE ter pelo menos 1024 bytes.

Provedores de chave de segurança FIDO2

Os provedores a seguir oferecem chaves de segurança FIDO2 de fatores forma diferentes que são reconhecidamente compatíveis com a experiência sem senha. Incentivamos a avaliar as propriedades de segurança dessas chaves com o fornecedor e a FIDO Alliance.

Provedor Biometria USB NFC BLE Certificado FIPS Contact
AuthenTrend ![a] ![a] ![a] ![a] n https://authentrend.com/about-us/#pg-35-3
Ensurity ![a] ![a] n n n https://www.ensurity.com/contact
Excelsecu ![a] ![a] ![a] ![a] n https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian ![a] ![a] ![a] ![a] ![a] https://shop.ftsafe.us/pages/microsoft
GoTrustID Inc. n ![a] ![a] ![a] n https://www.gotrustid.com/idem-key
HID n ![a] ![a] n n https://www.hidglobal.com/contact-us
Hypersecu n ![a] n n n https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. ![a] ![a] ![a] ![a] n https://www.idmelon.com/#idmelon
Kensington ![a] ![a] n n n https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I ![a] n ![a] ![a] n https://konai.com/business/security/fido
Nymi ![a] n ![a] n n https://www.nymi.com/product
OneSpan Inc. n ![a] n ![a] n https://www.onespan.com/products/fido
Thales Group n ![a] ![a] n n https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis ![a] ![a] ![a] ![a] n https://thetis.io/collections/fido2
Token2 Switzerland ![a] ![a] ![a] n n https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
TrustKey Solutions ![a] ![a] n n n https://www.trustkeysolutions.com/security-keys/
VinCSS n ![a] n n n https://passwordless.vincss.net
Yubico n ![a] ![a] n ![a] https://www.yubico.com/solutions/passwordless/

Observação

Se você comprar e planejar usar chaves de segurança baseadas em NFC, precisará de um leitor de NFC com suporte para a chave de segurança. O leitor NFC não é um requisito ou uma limitação do Azure. Consulte o fornecedor da sua chave de segurança baseada em NFC para obter uma lista de leitores NFC compatíveis.

Se você for um fornecedor e quiser obter seu dispositivo nessa lista de dispositivos com suporte, confira nossas diretrizes sobre como se tornar um fornecedor de chave de segurança FIDO2 compatível com a Microsoft.

Para começar a usar as chaves de segurança FIDO2, siga as seguintes instruções:

Cenários com suporte

As seguintes considerações se aplicam:

  • Os administradores podem habilitar métodos de autenticação sem senha para seus locatários.

  • Os administradores podem direcionar todos os usuários ou escolher usuários/grupos dentro do locatário para cada método.

  • Os usuários finais podem registrar e gerenciar esses métodos de autenticação sem senha no portal de conta.

  • Os usuários finais podem usar estes métodos de autenticação sem senha para entrar:

    • Aplicativo Microsoft Authenticator: funciona em cenários em que a autenticação do Azure AD é usada, inclusive em todos os navegadores, durante a instalação do Windows 10 e com aplicativos móveis integrados em qualquer sistema operacional.
    • Chaves de segurança: funcionam na tela de bloqueio do Windows 10 e na Web em navegadores compatíveis, como o Microsoft Edge (tanto o herdado quanto o novo Edge).
  • Os usuários podem usar credenciais sem senha para acessar recursos em locatários em que são convidados, mas ainda pode ser necessário executar a MFA nesse locatário de recurso. Para obter mais informações, confira Possível duplicação de autenticação multifator.

  • Os usuários não podem registrar credenciais sem senha em um locatário em que são convidados, da mesma forma que não têm uma senha gerenciada nesse locatário.

Escolha um método sem senha

A escolha entre essas três opções de senha depende dos requisitos de segurança, plataforma e aplicativo da sua empresa.

Veja alguns fatores a serem considerados ao escolher a tecnologia sem senha da Microsoft:

Windows Hello for Business Credenciais sem senha com o aplicativo Microsoft Authenticator Chaves de segurança do Fido2
Pré-requisito Windows 10, versão 1809 ou posterior
Azure Active Directory
Aplicativo Microsoft Authenticator
Telefone (dispositivos iOS e Android 6.0 e superiores).
Windows 10, versão 1903 ou inferior
Azure Active Directory
Modo Plataforma Software Hardware
Sistemas e dispositivos PC com um Trusted Platform Module (TPM) integrado
Reconhecimento de PIN e biometria
Reconhecimento de PIN e biometria no telefone Dispositivos de segurança FIDO2 que são compatíveis com a Microsoft
Experiência do usuário Para entrar, use um PIN ou reconhecimento biométrico (facial, íris ou impressão digital) com dispositivos Windows.
A autenticação do Windows Hello está vinculada ao dispositivo. O usuário precisa do dispositivo e de um componente de entrada, como um PIN ou um fator biométrico para acessar recursos corporativos.
Para entrar, use um telefone celular com verificação de impressão digital, reconhecimento facial ou íris ou PIN.
Os usuários entram na conta corporativa ou pessoal em um PC ou telefone celular.
Entrar usando o dispositivo de segurança FIDO2 (biometria, PIN e NFC)
O usuário pode acessar o dispositivo de acordo com os controles da organização e autenticar com base no PIN, com biometria usando dispositivos como chaves de segurança USB e cartões inteligentes, chaves ou acessórios habilitados para NFC.
Cenários permitidos Experiência sem senha com o dispositivo Windows.
Aplicável a um PC de trabalho dedicado com capacidade de logon único para dispositivos e aplicativos.
Solução sem senha em qualquer lugar usando o celular.
Aplicável para acessar aplicativos pessoais ou de trabalho na Web de qualquer dispositivo.
Experiência sem senha para trabalhadores que usam biometria, PIN e NFC.
Aplicável a PCs compartilhados e em que um telefone celular não seja uma opção viável (por exemplo, para pessoal de suporte técnico, atendimento público ou equipe de hospital)

Use a tabela a seguir para escolher qual método cumprirá seus requisitos e atenderá seus usuários.

Persona Cenário Ambiente Tecnologia com senha
Administrador Proteger o acesso a um dispositivo para tarefas de gerenciamento Dispositivo Windows 10 atribuído Chave de segurança do Windows Hello para Empresas e/ou FIDO2
Administrador Tarefas de gerenciamento em dispositivos que não são do Windows Dispositivo móvel ou não Windows Credenciais sem senha com o aplicativo Microsoft Authenticator
Operador de informações Trabalho de produtividade Dispositivo Windows 10 atribuído Chave de segurança do Windows Hello para Empresas e/ou FIDO2
Operador de informações Trabalho de produtividade Dispositivo móvel ou não Windows Credenciais sem senha com o aplicativo Microsoft Authenticator
Trabalhador de linha de frente Centros de atendimento em uma fábrica, instalação, loja ou entrada de dados Todos os dispositivos com Windows 10 Chaves de segurança FIDO2

Próximas etapas

Para começar a usar uma solução sem senha no Azure AD, conclua um dos seguintes procedimentos: