Compartilhar via


Configuração e suporte à identidade do Microsoft Edge

Este artigo descreve como o Microsoft Edge usa a identidade para dar suporte a recursos como sincronização e logon único (SSO). O Microsoft Edge suporta o início de sessão com os Serviços de Domínio do Active Directory (AD DS), o Microsoft Entra ID e as contas Microsoft (MSA). Atualmente, o Microsoft Edge só suporta contas Microsoft Entra pertencentes à cloud global ou à cloud soberana GCC. Estamos a trabalhar para adicionar suporte para outras clouds soberanas.

Observação

Isso aplica-se ao Microsoft Edge versão 77 ou posterior.

Entrada do navegador e recursos autenticados

O Microsoft Edge suporta o início de sessão num perfil de browser com um Microsoft Entra ID, MSA ou uma conta de domínio. O tipo de conta usada para entrar determina quais recursos autenticados estão disponíveis para o usuário no Microsoft Edge. A tabela a seguir resume o suporte a recursos para cada tipo de conta.

Recurso Microsoft Entra ID Microsoft Entra ID Gratuito AD DS local MSA
Sincronização Sim Não Não Sim
SSO com Token de atualização principal Sim Sim Não Sim
SSO de conexão remota Sim Sim Sim N/D
Autenticação Integrada do Windows Sim Sim Sim N/D
Página Nova guia Corporativa Requer O365 Requer O365 Não N/A
Pesquisa da Microsoft Requer O365 Requer O365 Não N/D

Como os usuários podem entrar no Microsoft Edge

Entrada automática

O Microsoft Edge usa a conta padrão do SO para entrar automaticamente no navegador. Dependendo de como um dispositivo está configurado, os usuários podem entrar automaticamente no Microsoft Edge usando uma das seguintes abordagens.

  • O dispositivo é híbrido/AAD-J: Disponível no Win10, Windows de nível inferior e versões de servidor correspondentes. O utilizador inicia sessão automaticamente com a respetiva conta Microsoft Entra.
  • O dispositivo está associado a um domínio: Disponível no Win10, Windows de nível inferior e versões de servidor correspondentes. Por predefinição, o utilizador não tem sessão iniciada automaticamente. Se você deseja conectar usuários automaticamente com contas de domínio, use a política ConfigureOnPremisesAccountAutoSignIn. Se quiser iniciar sessão automaticamente dos utilizadores com as respetivas contas do Microsoft Entra, considere associar os seus dispositivos híbridos.
  • A conta predefinida do SO é MSA: Windows 10 Fall Creators Update (Versão 1709/Compilação 10.0.16299) e superior. Esse cenário é improvável em dispositivos corporativos. No entanto, se a conta predefinida do SO for MSA, o Microsoft Edge inicia sessão automaticamente com a conta MSA.

Entrada manual

Caso o usuário não entre automaticamente, ele poderá entrar manualmente no Microsoft Edge, durante a primeira experiência de execução, configurações do navegador ou abrindo o submenu de identidade.

Gerenciando a entrada do navegador

Se você deseja gerenciar a entrada do navegador, pode usar as seguintes políticas:

Navegador para Logon Único da Web (SSO)

Em algumas plataformas, você pode configurar o Microsoft Edge para entrar automaticamente em sites para seus usuários. Essa opção evita que eles reinsiram suas credenciais para acessar seus sites de trabalho e aumentem sua produtividade.

SSO com Token de atualização principal (PRT)

O Microsoft Edge tem suporte nativo para SSO baseado em PRT e você não precisa de uma extensão. No Windows 10 Fall Creators Update e superior, se um utilizador tiver sessão iniciada no respetivo perfil de browser, obtém o SSO com o mecanismo PRT para sites que suportam o SSO baseado em PRT.

Um Token de Atualização Principal (PRT) é uma chave do Microsoft Entra ID utilizada para autenticação em dispositivos Windows 10/11, iOS e Android. Ele permite logon único (SSO) entre os aplicativos usados nesses dispositivos. Para obter mais informações, consulte O que é um primário Token de atualização?.

SSO de conexão remota

Assim como o SSO de PRT, o Microsoft Edge tem suporte nativo ao SSO Contínuo sem precisar de uma extensão. No Windows 10 Fall Creators Update e superior, se um utilizador tiver sessão iniciada no respetivo perfil de browser, obtém o SSO com o mecanismo PRT para sites que suportam o SSO baseado em PRT.

O Logon Único Contínuo conecta os usuários automaticamente quando eles estão em dispositivos corporativos conectados a uma rede corporativa. Quando ativada, os utilizadores não precisam de escrever as respetivas palavras-passe para iniciar sessão no Microsoft Entra ID. Normalmente, eles nem precisam digitar seus nomes de usuário. Para obter mais informações, consulte Logon Único Contínuo do Azure Active Directory.

Autenticação Integrada do Windows (WIA)

O Microsoft Edge também oferece suporte à autenticação integrada do Windows para solicitações de autenticação na rede interna de uma organização para qualquer aplicativo que use um navegador para sua autenticação. Isto é suportado em todas as versões do Windows 10/11 e windows de nível inferior. Por predefinição, o Microsoft Edge utiliza a zona de intranet como uma lista de permissões para WIA. Como alternativa, você pode personalizar a lista de servidores habilitados para autenticação integrada usando a política AuthServerAllowlist. No macOS, esta política é necessária para ativar a Autenticação integrada.

Para oferecer suporte ao SSO baseado em WIA no Microsoft Edge (versão 77 e posterior), você também pode ter que fazer algumas configurações do lado do servidor. Provavelmente, terá de configurar a propriedade Dos Serviços de Federação do Active Directory (AD FS) WiaSupportedUserAgents para adicionar suporte para a nova cadeia de agente de utilizador do Microsoft Edge. Para obter instruções sobre como fazer isso, confira as configurações Exibir WIASupportedUserAgent e Alterar WIASupportedUserAgent. Um exemplo da cadeia de caracteres do agente de usuário do Microsoft Edge no Windows 10 é mostrado abaixo e você pode aprender mais sobre a cadeia de caracteres do agente de usuário do Microsoft Edge aqui.

O seguinte exemplo de uma cadeia de caracteres de agente do usuário é para a compilação mais recente do Canal de desenvolvimento no momento em que este artigo foi publicado:
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3951.0 Safari/537.36 Edg/80.0.334.2"

Para serviços que exigem a delegação de credenciais Negotiate, o Microsoft Edge oferece suporte à Delegação Restrita usando a política AuthNegotiateDelegateAllowlist.

Conceitos de autenticação adicionais

Autenticação Proativa

A autenticação proativa é uma otimização do navegador para o SSO do site que a frontal carrega a autenticação para determinados sites de terceiros. Isso melhora o desempenho da barra de endereço se o usuário estiver usando o Bing como mecanismo de pesquisa. Isso fornece aos usuários resultados de pesquisa personalizados e do Microsoft Search for Business (MSB). Também permite a autenticação em serviços-chave, como a Página de Novo Separador do Office, o MSN e o Microsoft Copilot.

Observação

Pode controlar este serviço através da política ProactiveAuthWorkflowEnabled para a versão 126 ou superior do Microsoft Edge; ou utilizar a política ProactiveAuthEnabled para a versão 90 ou inferior do Microsoft Edge. Para entre versões, se quiser configurar o início de sessão do browser, utilize a política BrowserSignin .

Windows Hello CredUI para autenticação NTLM

Quando um site tenta conectar usuários usando os mecanismos NTLM ou Negotiate e o SSO não está disponível, oferecemos aos usuários uma experiência na qual eles podem compartilhar suas credenciais de SO com o site para satisfazer o desafio de autenticação usando o Windows Hello Cred UI. Este fluxo de início de sessão só será apresentado para utilizadores no Windows 10/11 que não tenham início de sessão único durante um desafio NTLM ou Negotiate.

Entrar automaticamente usando senhas salvas

Se um usuário salvar senhas no Microsoft Edge, ele poderá habilitar um recurso que os conecta automaticamente aos sites em que as credenciais foram salvas. Os usuários podem alternar esse recurso acessando edge://settings/passwords. Se você deseja configurar esse recurso, pode usar as políticas do gerenciador de senhas.

Consulte também