Opções de autenticação com senha para Azure Active DirectoryPasswordless authentication options for Azure Active Directory

Recursos como a MFA (autenticação multifator) são uma ótima maneira de proteger sua organização, mas os usuários geralmente ficam frustrados com a camada de segurança adicional sobre a existência de se lembrar de suas senhas.Features like multi-factor authentication (MFA) are a great way to secure your organization, but users often get frustrated with the additional security layer on top of having to remember their passwords. Os métodos de autenticação sem senha são mais convenientes porque a senha é removida e substituída por algo que você tem, além de algo que você conhece ou algo que você sabe.Passwordless authentication methods are more convenient because the password is removed and replaced with something you have, plus something you are or something you know.

AutenticaçãoAuthentication Algo que você temSomething you have Algo que você está ou conheceSomething you are or know
Sem senhaPasswordless Dispositivo, telefone ou chave de segurança do Windows 10Windows 10 Device, phone, or security key Biometria ou PINBiometric or PIN

Cada organização tem necessidades diferentes quando se trata de autenticação.Each organization has different needs when it comes to authentication. A Microsoft oferece as seguintes três opções de autenticação sem senha que se integram ao Azure Active Directory (Azure AD):Microsoft offers the following three passwordless authentication options that integrate with Azure Active Directory (Azure AD):

  • Windows Hello para EmpresasWindows Hello for Business
  • Aplicativo Microsoft AuthenticatorMicrosoft Authenticator app
  • Chaves de segurança FIDO2FIDO2 security keys

Autenticação: segurança versus conveniência

Windows Hello para EmpresasWindows Hello for Business

O Windows Hello para empresas é ideal para operadores de informações que têm seu próprio computador Windows designado.Windows Hello for Business is ideal for information workers that have their own designated Windows PC. As credenciais biométricas e de PIN estão diretamente ligadas ao computador do usuário, o que impede o acesso de qualquer pessoa que não seja o proprietário.The biometric and PIN credentials are directly tied to the user's PC, which prevents access from anyone other than the owner. Com a integração de PKI (infraestrutura de chave pública) e suporte interno para SSO (logon único), o Windows Hello para empresas fornece um método conveniente para acessar diretamente os recursos corporativos locais e na nuvem.With public key infrastructure (PKI) integration and built-in support for single sign-on (SSO), Windows Hello for Business provides a convenient method for seamlessly accessing corporate resources on-premises and in the cloud.

Exemplo de uma entrada de usuário com o Windows Hello para empresas

As etapas a seguir mostram como o processo de entrada funciona com o Azure AD:The following steps show how the sign-in process works with Azure AD:

Diagrama que descreve as etapas envolvidas para a entrada do usuário com o Windows Hello para empresas

  1. Um usuário entra no Windows usando biométrica ou gesto de PIN.A user signs into Windows using biometric or PIN gesture. O gesto desbloqueia a chave privada do Windows Hello para empresas e é enviado para o provedor de suporte de segurança de autenticação de nuvem, chamado de provedor de AP de nuvem.The gesture unlocks the Windows Hello for Business private key and is sent to the Cloud Authentication security support provider, referred to as the Cloud AP provider.
  2. O provedor de AP de nuvem solicita um nonce do Azure AD.The Cloud AP provider requests a nonce from Azure AD.
  3. O Azure AD retorna um nonce válido por 5 minutos.Azure AD returns a nonce that's valid for 5 minutes.
  4. O provedor de AP de nuvem assina o nonce usando a chave privada do usuário e retorna o nonce assinado para o Azure AD.The Cloud AP provider signs the nonce using the user's private key and returns the signed nonce to the Azure AD.
  5. O Azure AD valida o nonce assinado usando a chave pública registrada com segurança do usuário em relação à assinatura de nonce.Azure AD validates the signed nonce using the user's securely registered public key against the nonce signature. Depois de validar a assinatura, o Azure AD validará o nonce assinado retornado.After validating the signature, Azure AD then validates the returned signed nonce. Quando o nonce é validado, o Azure AD cria um PRT (token de atualização principal) com a chave de sessão que é criptografada para a chave de transporte do dispositivo e a retorna para o provedor de AP de nuvem.When the nonce is validated, Azure AD creates a primary refresh token (PRT) with session key that is encrypted to the device's transport key and returns it to the Cloud AP provider.
  6. O provedor de AP de nuvem recebe o PRT criptografado com chave de sessão.The Cloud AP provider receives the encrypted PRT with session key. Usando a chave de transporte privada do dispositivo, o provedor de AP de nuvem descriptografa a chave de sessão e protege a chave de sessão usando o Trusted Platform Module do dispositivo (TPM).Using the device's private transport key, the Cloud AP provider decrypts the session key and protects the session key using the device's Trusted Platform Module (TPM).
  7. O provedor de AP de nuvem retorna uma resposta de autenticação bem-sucedida para o Windows.The Cloud AP provider returns a successful authentication response to Windows. O usuário é então capaz de acessar o Windows, bem como aplicativos locais e na nuvem sem a necessidade de autenticar novamente (SSO).The user is then able to access Windows as well as cloud and on-premises applications without the need to authenticate again (SSO).

O Guia de planejamento do Windows Hello para empresas pode ser usado para ajudá-lo a tomar decisões sobre o tipo de implantação do Windows Hello para empresas e as opções que você precisará considerar.The Windows Hello for Business planning guide can be used to help you make decisions on the type of Windows Hello for Business deployment and the options you'll need to consider.

Aplicativo Microsoft AuthenticatorMicrosoft Authenticator App

Você também pode permitir que o telefone de seu funcionário se torne um método de autenticação com senha.You can also allow your employee's phone to become a passwordless authentication method. Talvez você já esteja usando o aplicativo Microsoft Authenticator como uma opção de autenticação multifator conveniente, além de uma senha.You may already be using the Microsoft Authenticator App as a convenient multi-factor authentication option in addition to a password. Você também pode usar o aplicativo autenticador como uma opção com senha.You can also use the Authenticator App as a passwordless option.

Entrar no Microsoft Edge com o aplicativo Microsoft Authenticator

O aplicativo autenticador transforma qualquer telefone iOS ou Android em uma credencial forte e com senha.The Authenticator App turns any iOS or Android phone into a strong, passwordless credential. Os usuários podem entrar em qualquer plataforma ou navegador, obtendo uma notificação para seu telefone, correspondendo a um número exibido na tela para aquele em seu telefone e, em seguida, usando sua biométrica (toque ou face) ou PIN para confirmar.Users can sign in to any platform or browser by getting a notification to their phone, matching a number displayed on the screen to the one on their phone, and then using their biometric (touch or face) or PIN to confirm. Consulte baixar e instalar o aplicativo Microsoft Authenticator para obter detalhes de instalação.Refer to Download and install the Microsoft Authenticator app for installation details.

A autenticação com senha usando o aplicativo autenticador segue o mesmo padrão básico do Windows Hello para empresas.Passwordless authentication using the Authenticator app follows the same basic pattern as Windows Hello for Business. É um pouco mais complicado, pois o usuário precisa ser identificado para que o Azure AD possa encontrar a versão do aplicativo Microsoft Authenticator que está sendo usada:It's a little more complicated as the user needs to be identified so that Azure AD can find the Microsoft Authenticator App version being used:

Diagrama que descreve as etapas envolvidas para a entrada do usuário com o aplicativo Microsoft Authenticator

  1. O usuário insere seu nome de usuário.The user enters their username.
  2. O Azure AD detecta que o usuário tem uma credencial forte e inicia o fluxo de credenciais forte.Azure AD detects that the user has a strong credential and starts the Strong Credential flow.
  3. Uma notificação é enviada para o aplicativo via Apple Push Notification Service (APNS) em dispositivos iOS ou por meio do FCM (firebase Cloud Messaging) em dispositivos Android.A notification is sent to the app via Apple Push Notification Service (APNS) on iOS devices, or via Firebase Cloud Messaging (FCM) on Android devices.
  4. O usuário recebe a notificação por push e abre o aplicativo.The user receives the push notification and opens the app.
  5. O aplicativo chama o Azure AD e recebe um desafio de prova de presença e um nonce.The app calls Azure AD and receives a proof-of-presence challenge and nonce.
  6. O usuário conclui o desafio inserindo sua biométrica ou PIN para desbloquear a chave privada.The user completes the challenge by entering their biometric or PIN to unlock private key.
  7. O nonce é assinado com a chave privada e enviado de volta para o Azure AD.The nonce is signed with the private key and sent back to Azure AD.
  8. O Azure AD executa a validação de chave pública/privada e retorna um token.Azure AD performs public/private key validation and returns a token.

Para começar a usar a entrada sem senha, conclua as seguintes instruções:To get started with passwordless sign-in, complete the following how-to:

Chaves de segurança FIDO2FIDO2 security keys

As chaves de segurança FIDO2 são um método de autenticação de senha com base em padrões não Phish que pode ser fornecido em qualquer fator forma.FIDO2 security keys are an unphishable standards-based passwordless authentication method that can come in any form factor. A FIDO (Fast Identity online) é um padrão aberto para autenticação com senha.Fast Identity Online (FIDO) is an open standard for passwordless authentication. O FIDO permite que usuários e organizações aproveitem o padrão para entrar em seus recursos sem nome de usuário ou senha usando uma chave de segurança externa ou uma chave de plataforma incorporada a um dispositivo.FIDO allows users and organizations to leverage the standard to sign in to their resources without a username or password using an external security key or a platform key built into a device.

Os funcionários podem usar as chaves de segurança para entrar em seus dispositivos do Azure AD ou Windows híbridos ingressados no Azure AD e obter logon único em seus recursos locais e de nuvem.Employees can use security keys to sign in to their Azure AD or hybrid Azure AD joined Windows 10 devices and get single-sign on to their cloud and on-premises resources. Os usuários também podem entrar em navegadores com suporte.Users can also sign in to supported browsers. As chaves de segurança do FIDO2 são uma ótima opção para empresas que são muito sensíveis à segurança ou que têm cenários ou funcionários que não estão dispostos ou podem usar seus telefones como um segundo fator.FIDO2 security keys are a great option for enterprises who are very security sensitive or have scenarios or employees who aren't willing or able to use their phone as a second factor.

A entrada com chaves de segurança FIDO2 para o Azure AD está atualmente em versão prévia.Sign-in with FIDO2 security keys to Azure AD are currently in preview.

Entrar no Microsoft Edge com uma chave de segurança

O processo a seguir é usado quando um usuário entra com uma chave de segurança FIDO2:The following process is used when a user signs in with a FIDO2 security key:

Diagrama que descreve as etapas envolvidas para a entrada do usuário com uma chave de segurança FIDO2

  1. O usuário conecta a chave de segurança FIDO2 em seu computador.The user plugs the FIDO2 security key into their computer.
  2. O Windows detecta a chave de segurança FIDO2.Windows detects the FIDO2 security key.
  3. O Windows envia uma solicitação de autenticação.Windows sends an authentication request.
  4. O Azure AD envia de volta um nonce.Azure AD sends back a nonce.
  5. O usuário conclui seu gesto para desbloquear a chave privada armazenada na enclave segura da chave de segurança do FIDO2.The user completes their gesture to unlock the private key stored in the FIDO2 security key's secure enclave.
  6. A chave de segurança FIDO2 assina o nonce com a chave privada.The FIDO2 security key signs the nonce with the private key.
  7. A solicitação de token de PRT (token de atualização principal) com nonce assinado é enviada ao Azure AD.The primary refresh token (PRT) token request with signed nonce is sent to Azure AD.
  8. O Azure AD verifica o nonce assinado usando a chave pública FIDO2.Azure AD verifies the signed nonce using the FIDO2 public key.
  9. O Azure AD retorna o PRT para habilitar o acesso a recursos locais.Azure AD returns PRT to enable access to on-premises resources.

Embora existam muitas chaves que são FIDO2 certificadas pela Aliança de FIDO, a Microsoft exige que algumas extensões opcionais da especificação CTAP (FIDO2 Client-to-Authenticator Protocol) sejam implementadas pelo fornecedor para garantir a segurança máxima e a melhor experiência.While there are many keys that are FIDO2 certified by the FIDO Alliance, Microsoft requires some optional extensions of the FIDO2 Client-to-Authenticator Protocol (CTAP) specification to be implemented by the vendor to ensure maximum security and the best experience.

Uma chave de segurança deve implementar os seguintes recursos e extensões do protocolo FIDO2 CTAP para ser compatível com a Microsoft:A security key MUST implement the following features and extensions from the FIDO2 CTAP protocol to be Microsoft-compatible:

# Confiança de recurso/extensãoFeature / Extension trust Por que esse recurso ou extensão é necessário?Why is this feature or extension required?
11 Chave residenteResident key Esse recurso permite que a chave de segurança seja portátil, em que sua credencial é armazenada na chave de segurança.This feature enables the security key to be portable, where your credential is stored on the security key.
22 PIN do clienteClient pin Esse recurso permite que você proteja suas credenciais com um segundo fator e se aplica a chaves de segurança que não têm uma interface do usuário.This feature enables you to protect your credentials with a second factor and applies to security keys that do not have a user interface.
33 HMAC-segredohmac-secret Essa extensão garante que você possa entrar em seu dispositivo quando ele estiver offline ou no modo avião.This extension ensures you can sign in to your device when it's off-line or in airplane mode.
44 Várias contas por RPMultiple accounts per RP Esse recurso garante que você possa usar a mesma chave de segurança em vários serviços, como conta da Microsoft e Azure Active Directory.This feature ensures you can use the same security key across multiple services like Microsoft Account and Azure Active Directory.

Os provedores a seguir oferecem chaves de segurança FIDO2 de fatores forma diferentes que são conhecidos como compatíveis com a experiência sem senha.The following providers offer FIDO2 security keys of different form factors that are known to be compatible with the passwordless experience. Incentivamos você a avaliar as propriedades de segurança dessas chaves contatando o fornecedor, bem como a FIDO Alliance.We encourage you to evaluate the security properties of these keys by contacting the vendor as well as FIDO Alliance.

ProvedorProvider ContactContact
YubicoYubico https://www.yubico.com/support/contact/
FeitianFeitian https://www.ftsafe.com/about/Contact_Us
HIDHID https://www.hidglobal.com/contact-us
EnsurityEnsurity https://www.ensurity.com/contact
Soluções de TrustKeyTrustKey Solutions https://www.trustkeysolutions.com/security-keys/
AuthenTrendAuthenTrend https://authentrend.com/about-us/#pg-35-3
Gemalto (grupo Thales)Gemalto (Thales Group) https://safenet.gemalto.com/multi-factor-authentication/authenticators/passwordless-authentication/
OneSpan Inc.OneSpan Inc. https://www.onespan.com/products/fido
IDmelon Technologies Inc.IDmelon Technologies Inc. https://www.idmelon.com/#idmelon

Observação

Se você comprar e planejar usar chaves de segurança baseadas em NFC, precisará de um leitor de NFC com suporte para a chave de segurança.If you purchase and plan to use NFC-based security keys, you need a supported NFC reader for the security key. O leitor NFC não é um requisito ou limitação do Azure.The NFC reader isn't an Azure requirement or limitation. Consulte o fornecedor da sua chave de segurança baseada em NFC para obter uma lista de leitores NFC com suporte.Check with the vendor for your NFC-based security key for a list of supported NFC readers.

Se você for um fornecedor e quiser obter seu dispositivo na lista de dispositivos com suporte, entre em contato com Fido2Request@Microsoft.com .If you're a vendor and want to get your device on this list of supported devices, contact Fido2Request@Microsoft.com.

Para começar a usar as chaves de segurança do FIDO2, conclua as seguintes instruções:To get started with FIDO2 security keys, complete the following how-to:

Quais cenários funcionam com a versão prévia?What scenarios work with the preview?

Os recursos de entrada sem senha do Azure AD estão atualmente em versão prévia.Azure AD passwordless sign-in features are currently in preview. As seguintes considerações se aplicam:The following considerations apply:

  • Os administradores podem habilitar métodos de autenticação com senha para seus locatáriosAdministrators can enable passwordless authentication methods for their tenant
  • Os administradores podem direcionar todos os usuários ou Selecionar usuários/grupos dentro de seu locatário para cada métodoAdministrators can target all users or select users/groups within their tenant for each method
  • Os usuários finais podem registrar e gerenciar esses métodos de autenticação com senha em seu portal de contaEnd users can register and manage these passwordless authentication methods in their account portal
  • Os usuários finais podem entrar com esses métodos de autenticação sem senhaEnd users can sign in with these passwordless authentication methods
    • Microsoft Authenticator aplicativo: funciona em cenários em que a autenticação do Azure AD é usada, inclusive em todos os navegadores, durante a instalação do OOBE (Windows 10) e com aplicativos móveis integrados em qualquer sistema operacional.Microsoft Authenticator App: Works in scenarios where Azure AD authentication is used, including across all browsers, during Windows 10 Out Of Box (OOBE) setup, and with integrated mobile apps on any operating system.
    • Chaves de segurança: trabalhe na tela de bloqueio para o Windows 10 e a Web em navegadores com suporte, como o Microsoft Edge (a borda herdada e nova).Security keys: Work on lock screen for Windows 10 and the web in supported browsers like Microsoft Edge (both legacy and new Edge).

Escolha um método com senhaChoose a passwordless method

A escolha entre essas três opções de senha depende dos requisitos de segurança, plataforma e aplicativo da sua empresa.The choice between these three passwordless options depends on your company's security, platform, and app requirements.

Aqui estão alguns fatores a serem considerados ao escolher a tecnologia com senha da Microsoft:Here are some factors for you to consider when choosing Microsoft passwordless technology:

Windows Hello para EmpresasWindows Hello for Business Entrada sem senha com o aplicativo Microsoft AuthenticatorPasswordless sign-in with the Microsoft Authenticator app Chaves de segurança FIDO2FIDO2 security keys
Pré-requisitoPre-requisite Windows 10, versão 1809 ou posteriorWindows 10, version 1809 or later
Azure Active DirectoryAzure Active Directory
Aplicativo Microsoft AuthenticatorMicrosoft Authenticator app
Telefone (dispositivos iOS e Android que executam o Android 6,0 ou superior.)Phone (iOS and Android devices running Android 6.0 or above.)
Windows 10, versão 1809 ou posteriorWindows 10, version 1809 or later
Azure Active DirectoryAzure Active Directory
ModoMode PlataformaPlatform SoftwareSoftware HardwareHardware
Sistemas e dispositivosSystems and devices PC com um Trusted Platform Module interno (TPM)PC with a built-in Trusted Platform Module (TPM)
Reconhecimento de PIN e BiometriaPIN and biometrics recognition
Reconhecimento de PIN e biometria no telefonePIN and biometrics recognition on phone Dispositivos de segurança FIDO2 que são compatíveis com a MicrosoftFIDO2 security devices that are Microsoft compatible
Experiência do usuárioUser experience Entre usando um PIN ou um reconhecimento biométrico (facial, íris ou impressão digital) com dispositivos Windows.Sign in using a PIN or biometric recognition (facial, iris, or fingerprint) with Windows devices.
A autenticação do Windows Hello está vinculada ao dispositivo; o usuário precisa do dispositivo e de um componente de entrada, como um PIN ou um fator biométrico para acessar recursos corporativos.Windows Hello authentication is tied to the device; the user needs both the device and a sign-in component such as a PIN or biometric factor to access corporate resources.
Entre usando um telefone celular com verificação de impressão digital, reconhecimento facial ou íris ou PIN.Sign in using a mobile phone with fingerprint scan, facial or iris recognition, or PIN.
Os usuários entram na conta corporativa ou pessoal de seu PC ou telefone celular.Users sign in to work or personal account from their PC or mobile phone.
Entrar usando o dispositivo de segurança FIDO2 (biometria, PIN e NFC)Sign in using FIDO2 security device (biometrics, PIN, and NFC)
O usuário pode acessar o dispositivo com base nos controles da organização e autenticar com base no PIN, a biometria usando dispositivos como chaves de segurança USB e cartões inteligentes, chaves ou wearables habilitados para NFC.User can access device based on organization controls and authenticate based on PIN, biometrics using devices such as USB security keys and NFC-enabled smartcards, keys, or wearables.
Cenários habilitadosEnabled scenarios Experiência sem senha com o dispositivo Windows.Password-less experience with Windows device.
Aplicável a um PC de trabalho dedicado com capacidade de logon único para dispositivos e aplicativos.Applicable for dedicated work PC with ability for single sign-on to device and applications.
Solução sem senha em qualquer lugar usando o telefone celular.Password-less anywhere solution using mobile phone.
Aplicável para acessar aplicativos pessoais ou de trabalho na Web de qualquer dispositivo.Applicable for accessing work or personal applications on the web from any device.
Experiência sem senha para trabalhadores que usam biometria, PIN e NFC.Password-less experience for workers using biometrics, PIN, and NFC.
Aplicável a PCs compartilhados e onde um telefone celular não é uma opção viável (por exemplo, para pessoal de suporte técnico, quiosque público ou equipe de hospital)Applicable for shared PCs and where a mobile phone is not a viable option (such as for help desk personnel, public kiosk, or hospital team)

Use a tabela a seguir para escolher qual método dará suporte a seus requisitos e usuários.Use the following table to choose which method will support your requirements and users.

PersonaPersona CenárioScenario AmbienteEnvironment Tecnologia com senhaPasswordless technology
AdministradorAdmin Proteger o acesso a um dispositivo para tarefas de gerenciamentoSecure access to a device for management tasks Dispositivo Windows 10 atribuídoAssigned Windows 10 device Chave de segurança do Windows Hello para empresas e/ou FIDO2Windows Hello for Business and/or FIDO2 security key
AdministradorAdmin Tarefas de gerenciamento em dispositivos que não são do WindowsManagement tasks on non-Windows devices Dispositivo móvel ou não WindowsMobile or non-windows device Entrada sem senha com o aplicativo Microsoft AuthenticatorPasswordless sign-in with the Microsoft Authenticator app
Operador de informaçõesInformation worker Trabalho de produtividadeProductivity work Dispositivo Windows 10 atribuídoAssigned Windows 10 device Chave de segurança do Windows Hello para empresas e/ou FIDO2Windows Hello for Business and/or FIDO2 security key
Operador de informaçõesInformation worker Trabalho de produtividadeProductivity work Dispositivo móvel ou não WindowsMobile or non-windows device Entrada sem senha com o aplicativo Microsoft AuthenticatorPasswordless sign-in with the Microsoft Authenticator app
Frente WorkerFrontline worker Quiosques em uma fábrica, fábrica, varejo ou entrada de dadosKiosks in a factory, plant, retail, or data entry Dispositivos Windows 10 compartilhadosShared Windows 10 devices Chaves de segurança do FIDO2FIDO2 Security keys

Próximas etapasNext steps

Para começar a usar sem senha no Azure AD, conclua um dos seguintes procedimentos:To get started with passwordless in Azure AD, complete one of the following how-tos: