Habilitar a entrada sem senha com o Microsoft Authenticator

  • Artigo

O Microsoft Authenticator pode ser usado para entrar em qualquer conta do Microsoft Entra sem usar uma senha. O Microsoft Authenticator usa autenticação baseada em chave para habilitar uma credencial do usuário vinculada a um dispositivo, onde o dispositivo usa um PIN ou biometria. O Windows Hello para Empresas usa uma tecnologia semelhante.

Essa tecnologia de autenticação pode ser usada em qualquer plataforma de dispositivo, incluindo dispositivos móveis. Essa tecnologia também pode ser usada com qualquer aplicativo ou site integrado às Bibliotecas de Autenticação da Microsoft.

Captura de tela que mostra um exemplo de um logon de navegador pedindo para o usuário aprovar a entrada.

As pessoas que habilitaram a entrada pelo telefone do Microsoft Authenticator, recebem uma mensagem que solicita que eles toquem em um número em seu aplicativo. Nenhum nome de usuário ou senha é solicitado. Para concluir o processo de entrada no aplicativo, um usuário deve seguir as seguintes ações:

  1. Digite o número que eles recebem na tela de logon na caixa de diálogo do Microsoft Authenticator.
  2. Escolha Aprovar.
  3. Fornecer seu PIN ou biometria.

Várias contas no iOS

Você pode habilitar a entrada por telefone sem senha para várias contas no Microsoft Authenticator em qualquer dispositivo iOS com suporte. Consultores, alunos e outras pessoas com várias contas no Microsoft Entra ID podem adicionar cada conta ao Microsoft Authenticator e usar a entrada por telefone sem senha para todas elas a partir do mesmo dispositivo iOS.

Anteriormente, os administradores não exigiam entrada sem senha para usuários com várias contas, pois isso exige que eles carreguem mais dispositivos para entrada. Ao remover a limitação de entrada de um usuário por um dispositivo, os administradores podem incentivar os usuários a registrarem a entrada por telefone sem senha e usá-la como método de entrada padrão.

As contas do Microsoft Entra podem estar no mesmo locatário ou em locatários diferentes. As contas de convidado não têm suporte para várias entradas de contas por meio de um dispositivo.

Pré-requisitos

Para usar a entrada sem senha por telefone com o Microsoft Authenticator, os seguintes pré-requisitos devem ser atendidos:

  • Recomendado: autenticação Multifator do Microsoft Entra, com notificações por push permitidas como um método de verificação. As notificações push para o seu smartphone ou tablet ajudam o aplicativo Authenticator a impedir o acesso não autorizado a contas e impedir transações fraudulentas. O aplicativo Authenticator gera códigos automaticamente quando configurado para enviar notificações por push. Um usuário tem um método de entrada de backup, mesmo que seu dispositivo não tenha conectividade.
  • Versão mais recente do Microsoft Authenticator instalada em dispositivos que executam o iOS ou Android.
  • No Android, o dispositivo que executa o Microsoft Authenticator deve ser registrado para um usuário individual. Estamos trabalhando ativamente para habilitar várias contas no Android.
  • No iOS, o dispositivo deve ser registrado em cada locatário em que ele é usado para entrar. Por exemplo, o seguinte dispositivo deve ser registrado na Contoso e no Wingtiptoys para permitir que todas as contas entrem:
    • balas@contoso.com
    • balas@wingtiptoys.com e bsandhu@wingtiptoys

Para usar a autenticação sem senha no Microsoft Entra, habilite a experiência de registro combinada e, em seguida, habilite os usuários para o método sem senha.

Habilitar os métodos de autenticação sem senha pelo telefone

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

O Microsoft Entra ID permite que você escolha quais métodos de autenticação podem ser usados durante o processo de entrada. Em seguida, os usuários se registram nos métodos que desejam usar. A política do método de autenticação do Microsoft Authenticator gerencia o método de MFA push tradicional e o método de autenticação sem senha.

Observação

Se você tiver habilitado a entrada sem senha do Microsoft Authenticator usando o PowerShell, ela foi habilitada para todo o diretório. Se você habilitar o uso desse novo método, ele substituirá a política do PowerShell. É recomendável habilitar para todos os usuários em seu locatário por meio do novo menu Métodos de autenticação, caso contrário, os usuários que não estão na nova política não poderão entrar sem uma senha.

Para habilitar o método de autenticação para entrada por telefone sem senha, conclua as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.

  2. Navegue até Proteção>Métodos de autenticação>Políticas.

  3. Escolha as seguintes opções no Microsoft Authenticator:

    1. Habilitar – Sim ou não
    2. Destino – Todos os usuários ou Selecionar usuários

  4. Cada grupo ou usuário adicionado fica habilitado, por padrão, a usar o Microsoft Authenticator nos modos de notificação sem senha e por push (Modo "qualquer"). Para alterar o modo de cada linha para Modo de Autenticação, escolha Qualquer ou Sem senha. Escolher Push impede o uso da credencial de login do telefone sem senha.

  5. Para aplicar a nova política, clique em Salvar.

    Observação

    Se você vir um erro ao tentar salvar, a causa poderá ser o número de usuários ou grupos sendo adicionados. Como alternativa, substitua os usuários e grupos que você está tentando adicionar por um único grupo, na mesma operação, e clique em Salvar novamente.

Registro de usuário

Os usuários se registram para o método de autenticação sem senha do Microsoft Entra ID. Para usuários que já registraram o aplicativo Microsoft Authenticator para a autenticação multifator, pulem para a próxima seção, Habilitar a entrada por telefone.

Registro direto de Entrada por telefone

Os usuários podem se registrar para entrar pelo telefone sem senha diretamente no aplicativo Microsoft Authenticator sem a necessidade de primeiro registrar o Microsoft Authenticator com sua conta, tudo isso sem nunca acumular uma senha. Este é o procedimento:

  1. Adquira uma Senha de Acesso Temporária do seu Administrador ou Organização.
  2. Baixe e instale o aplicativo Microsoft Authenticator no seu dispositivo móvel.
  3. Abra o Microsoft Authenticator e clique em Adicionar conta e escolha Conta corporativa ou de estudante.
  4. Escolha Entrar.
  5. Siga as instruções para entrar com sua conta usando a Senha de Acesso Temporária fornecido pelo seu Administrador ou Organização.
  6. Uma vez conectado, continue seguindo as etapas adicionais para configurar a entrada pelo telefone.

Registro guiado com Minhas Entradas

Observação

Os usuários somente poderão registrar o Microsoft Authenticator através do registro combinado se o modo de autenticação do Microsoft Authenticator for Todos ou Push.

Para registrar o aplicativo Microsoft Authenticator, siga estas etapas:

  1. Navegue até https://aka.ms/mysecurityinfo.
  2. Entre e clique em Adicionar método>Aplicativo Authenticator>Adicionar para adicionar o Microsoft Authenticator.
  3. Siga as instruções para instalar e configurar o aplicativo Microsoft Authenticator em seu dispositivo.
  4. Selecione Concluído para concluir a configuração do Microsoft Authenticator.

Habilitar entrada pelo telefone

Depois que os usuários se registrarem no aplicativo Microsoft Authenticator, eles precisarão habilitar a entrada por telefone:

  1. No Microsoft Authenticator, selecione a conta registrada.
  2. Selecione Habilitar a entrada por telefone.
  3. Siga as instruções no aplicativo para concluir o registro da conta para entrada por telefone sem senha.

Uma organização pode determinar que seus usuários entrem com seus telefones, sem usar uma senha. Para obter ajuda ao configurar o Microsoft Authenticator e habilitar a entrada pelo telefone, confira Entrar em suas contas usando o aplicativo Microsoft Authenticator.

Observação

Os usuários não habilitados pela política a usar a entrada pelo telefone, não podem mais habilitá-la no Microsoft Authenticator.

Entrar com uma credencial sem senha

Um usuário pode começar a utilizar a entrada sem senha após a conclusão de todas as ações abaixo:

  • Um administrador habilitou o locatário do usuário.
  • O usuário adicionou do Microsoft Authenticator como um método de entrada.

Na primeira vez que um usuário inicia o processo de entrada pelo telefone, o usuário executa as seguintes etapas:

  1. Insere o próprio nome na página de entrada.
  2. Seleciona Próximo.
  3. Se necessário, seleciona Outras maneiras de entrada.
  4. Seleciona Aprovar uma solicitação em meu aplicativo Authenticator.

Em seguida, o usuário recebe um número. O aplicativo solicita que o usuário se autentique digitando o número apropriado, em vez de inserir uma senha.

Depois que o usuário entra pelo telefone sem senha, o aplicativo continuará guiando o usuário por esse método. No entanto, o usuário verá a opção para escolher outro método.

Captura de tela que mostra um exemplo de um logon de navegador usando o aplicativo Microsoft Authenticator.

Senha de Acesso Temporária

Se o administrador do locatário tiver habilitado a SSPR (redefinição de senha self-service) e um usuário estiver configurando a entrada sem senha com o aplicativo Authenticator pela primeira vez usando uma senha de acesso temporário, as seguintes etapas deverão ser seguidas:

  1. O usuário deve abrir um navegador em um dispositivo móvel ou área de trabalho e navegar até a página de informações mySecurity.
  2. O usuário deve registrar o Aplicativo Authenticator como o método de entrada dele. Essa ação vincula a conta do usuário ao aplicativo.
  3. Em seguida, o usuário deve retornar ao dispositivo móvel e ativar a entrada sem senha por meio do Aplicativo Authenticator.

Gerenciamento

A política de métodos de autenticação é a maneira recomendada de gerenciar o Microsoft Authenticator. Os Administradores da Política de Autenticação podem editar essa política para habilitar ou desabilitar o Microsoft Authenticator. Os administradores podem incluir ou excluir usuários e grupos específicos de usá-lo.

Os administradores também podem configurar parâmetros para controlar melhor como o Microsoft Authenticator pode ser usado. Por exemplo, eles podem adicionar o nome do aplicativo ou localização à solicitação de entrada para que os usuários tenham um contexto maior antes de aprovarem.

Os administradores globais também podem gerenciar o Microsoft Authenticator em todo o locatário usando as políticas herdadas de MFA e SSPR. Essas políticas permitem que o Microsoft Authenticator seja habilitado ou desabilitado para todos os usuários no locatário. Não há opções para incluir ou excluir ninguém ou controlar como o Microsoft Authenticator pode ser usado para entrar.

Problemas conhecidos

Os problemas conhecidos abaixo existem.

Não está vendo a opção para entrar por telefone sem senha

Em um cenário, um usuário pode ter uma verificação pendente de entrada por telefone sem senha não respondida. Se o usuário tentar entrar novamente, ele só poderá ver a opção de inserir uma senha.

Para resolver esse cenário, siga estas etapas:

  1. Abrir o Microsoft Authenticator.
  2. Responda a quaisquer solicitações de notificação.

Em seguida, o usuário pode continuar usando a entrada por telefone sem senha.

Não há suporte para AuthenticatorAppSignInPolicy

O AuthenticatorAppSignInPolicy é uma política herdada que não tem suporte com o Microsoft Authenticator. Para habilitar seus usuários para notificações por push ou entrada por telefone sem senha com o aplicativo Authenticator, use a política de Métodos de Autenticação.

Contas Federadas

Quando um usuário tiver habilitado qualquer credencial sem senha, o processo de logon do Microsoft Entra parará de usar o login_hint. Portanto, o processo não acelera o usuário para um local federado de logon.

Geralmente, essa lógica impede que um usuário em um locatário híbrido seja direcionado para o AD FS (Serviços de Federação do Active Directory) para verificação de entrada. No entanto, o usuário retém a opção de clicar em Use sua senha.

Usuários locais

Um usuário final pode ser habilitado para autenticação multifator por meio de um provedor de identidade local. O usuário ainda pode criar e utilizar uma única credencial de entrada por telefone sem senha.

Se o usuário tentar atualizar várias instalações (+5) do Microsoft Authenticator com a credencial de entrada por telefone sem senha, essa alteração poderá resultar em um erro.

Próximas etapas

Para saber mais sobre a autenticação do Microsoft Entra e métodos sem senha, veja os artigos a seguir: