Métodos de autenticação do Microsoft Entra ID - aplicativo Microsoft Authenticator
O Microsoft Authenticator fornece outro nível de segurança para sua conta corporativa ou de estudante do Microsoft Entra ou sua conta da Microsoft. Ele está disponível para Android e iOS. Com o aplicativo Microsoft Authenticator, os usuários podem se autenticar de forma sem senha durante a entrada. Eles também podem usá-lo como uma opção de verificação durante eventos de SSPR (redefinição de senha de autoatendimento) ou MFA (autenticação multifator).
O Microsoft Authenticator dá suporte a senha, entrada sem senha e MFA usando notificações e códigos de verificação.
- Os usuários podem entrar com uma chave de acesso no aplicativo Authenticator e concluir a autenticação resistente a phishing com a entrada biométrica ou o PIN do dispositivo.
- Os usuários podem configurar notificações do Authenticator e entrar com o Authenticator em vez de seu nome de usuário e senha.
- Os usuários podem receber uma solicitação de MFA em seu dispositivo móvel e aprovar ou negar a tentativa de entrada de seu telefone.
- Eles também podem usar um código de verificação OATH no aplicativo Authenticator e inseri-lo em uma interface de entrada.
Para obter mais informações, consulte Habilitar a entrada sem senha com o Microsoft Authenticator.
Observação
Os usuários não têm a opção de registrar o aplicativo móvel quando habilitam a SSPR. Em vez disso, eles podem fazer esse registro em https://aka.ms/mfasetup ou como parte do registro combinado de informações de segurança em https://aka.ms/setupsecurityinfo. Talvez não haja suporte para o aplicativo Authenticator em versões beta do iOS e do Android. Além disso, a partir de 20 de outubro de 2023, o aplicativo Authenticator no Android deixará de ser compatível com versões mais antigas do Portal da Empresa do Android. Os usuários do Android com versões do Portal da Empresa abaixo de 2111 (5.0.5333.0) não podem registrar novamente ou registrar novas instâncias do Authenticator até atualizarem o aplicativo Portal da Empresa para uma versão mais recente.
Entrada com chave de acesso
O Authenticator é uma solução de chave de acesso gratuita que permite que os usuários façam autenticações sem senha e resistentes a phishing em seus próprios telefones. Alguns dos principais benefícios do uso de chaves de acesso no aplicativo Authenticator:
- As chaves de acesso podem ser facilmente implantadas em escala. Em seguida, as chaves de acesso estão disponíveis no telefone do usuário para cenários de gerenciamento de dispositivos móveis (MDM) e de traga seu próprio dispositivo (BYOD).
- As chaves de acesso no Authenticator não têm custo adicional e acompanham o usuário aonde quer que ele vá.
- As chaves de acesso no Authenticator são vinculadas ao dispositivo, o que garante que a senha não saia do dispositivo no qual foi criada.
- Os usuários ficam atualizados com as mais recentes inovações em chaves de acesso baseadas nos padrões abertos do WebAuthn.
- As empresas podem colocar outras funcionalidades em camadas sobre os fluxos de autenticação, como a conformidade do FIPS (Padrões de processamento de informações federais) 140.
Chave de acesso vinculada ao dispositivo
As chaves de acesso no aplicativo Authenticator são vinculadas ao dispositivo para garantir que nunca saiam do dispositivo em que foram criadas. Em um dispositivo iOS, o Authenticator usa o Enclave Seguro para criar a chave de acesso. No Android, criamos a chave de acesso no Elemento Seguro em dispositivos compatíveis com ele ou recorremos ao Ambiente de Execução Confiável (TEE).
Como o atestado de chave de acesso funciona com o Authenticator
Quando o atestado está habilitado na política de chave de acesso (FIDO2), a ID do Microsoft Entra tenta verificar a legitimidade do modelo de chave de segurança ou do provedor de chave de passagem em que a chave de acesso está sendo criada. Quando um usuário registra uma chave de passagem no Authenticator, o atestado verifica se o aplicativo legítimo Microsoft Authenticator criou a chave de passagem usando os serviços Apple e Google. Aqui estão os detalhes de como o atestado funciona para cada plataforma:
iOS: o atestado do Authenticator usa o serviço Atestado de Aplicativo do iOS para garantir a legitimidade do aplicativo do Authenticator antes de registrar a chave de acesso.
Android:
- Para atestado de integridade de reprodução, o atestado doo Authenticator usa a API de Integridade de Executar para garantir a legitimidade do aplicativo do Authenticator antes de registrar a chave de acesso.
- Para atestado de chave, o atestado do Authenticator usa o atestado de chave pelo Android para verificar se a chave de acesso que está sendo registrada tem suporte de hardware.
Observação
Para iOS e Android, o atestado do Authenticator conta com os serviços da Apple e do Google para verificar a autenticidade do aplicativo do Authenticator. O uso pesado do serviço pode fazer com que o registro da chave de acesso falhe e os usuários talvez precisem tentar novamente. Se os serviços da Apple e do Google estiverem inativos, o atestado do Authenticator bloqueará o registro que requer atestado até que os serviços sejam restaurados. Para monitorar o status do serviço de Integridade do Google Play, consulte o Painel de status do Google Play. Para monitorar o status do serviço de Atestado de aplicativo iOS, consulte o Status do Sistema.
Para obter mais informações sobre como configurar o atestado, consulte Como habilitar chaves de acesso no Microsoft Authenticator para Microsoft Entra ID.
Entrada sem senha por meio de notificações
Em vez de ver uma solicitação de senha após a inserção de um nome de usuário, os usuários que habilitarem a entrada pelo telefone no aplicativo Authenticator verão uma mensagem para inserir um número no aplicativo. Quando o número correto é selecionado, o processo de entrada é concluído.
Esse método de autenticação fornece um alto nível de segurança e elimina a necessidade de o usuário fornecer uma senha ao entrar.
Para começar a usar a entrada sem senha, consulte Habilitar a entrada sem senha com o Microsoft Authenticator.
MFA por meio de notificações por meio de aplicativo móvel
O aplicativo Authenticator pode ajudar a impedir o acesso não autorizado a contas e interromper transações fraudulentas enviando uma notificação para seu smartphone ou tablet. Os usuários visualizam a notificação e, se for legítima, selecionam Confirmar. Caso contrário, eles podem selecionar Negar.
Observação
A partir de agosto de 2023, as entradas anômalas não gerarão notificações, da mesma forma que as entradas de locais desconhecidos não geram notificações. Para aprovar uma entrada anômala, os usuários podem abrir o Microsoft Authenticator ou o Authenticator Lite em um aplicativo complementar relevante, como o Outlook. Em seguida, eles podem efetuar pull para atualizar ou tocar em Atualizar e aprovar a solicitação.
Caso sua organização tenha funcionários trabalhando ou viajando para a China, a Notificação por aplicativo móvel em dispositivos Android não funciona nesse país/região, já que os serviços do Google Play (inclusive notificação por push) estão bloqueados na região. No entanto, a notificação para iOS funciona. Para dispositivos Android, métodos alternativos de autenticação devem ser disponibilizados para esses usuários.
Código de verificação de aplicativo móvel
O aplicativo Authenticator pode ser usado como um token de software para gerar um código de verificação OATH. Depois de inserir seu nome de usuário e sua senha, insira o código fornecido pelo aplicativo Authenticator na interface de login. O código de verificação oferece uma segunda forma de autenticação.
Observação
Os códigos de verificação OATH gerados pelo Authenticator não são compatíveis com a autenticação baseada em certificado.
Os usuários podem ter uma combinação de até cinco tokens de hardware OATH ou aplicativos autenticadores, como o aplicativo Authenticator, configurados para uso a qualquer momento.
Compatível com FIPS 140 para autenticação do Microsoft Entra
De acordo com as diretrizes descritas na Publicação Especial NIST 800-63B, os autenticadores usados pelas agências governamentais dos EUA são obrigados a usar a criptografia validada FIPS 140. Essa diretriz ajuda os órgãos do governo dos EUA a atender aos requisitos da Ordem Executiva (EO) 14028. Além disso, essa diretriz ajuda outros setores regulamentados, como organizações de saúde que trabalham com Prescrições Eletrônicas para Substâncias Controladas (EPCS), a atender aos seus requisitos regulamentares.
O FIPS 140 é um padrão do governo dos EUA que define os requisitos mínimos de segurança para módulos de criptografia em sistemas e produtos de tecnologia da informação. O Programa de Validação de Módulo Criptográfico (CMVP) mantém os testes de acordo com o padrão FIPS 140.
Microsoft Authenticator para iOS
A partir da versão 6.6.8, o Microsoft Authenticator para iOS usa o módulo Apple CoreCrypto nativo para criptografia validada por FIPS em dispositivos Apple iOS compatíveis com FIPS 140. Todas as autenticações Microsoft Entra usando chaves de acesso vinculadas a dispositivos resistentes a phishing, autenticações multifatoriais push (MFA), login por telefone sem senha (PSI) e códigos de acesso únicos baseados em tempo (TOTP) usam a criptografia FIPS.
Para obter mais informações sobre os módulos criptográficos validados pelo FIPS 140 em uso e dispositivos iOS compatíveis, veja Certificações de segurança do Apple iOS.
Microsoft Authenticator para Android
A partir da versão 6.2409.6094 no Microsoft Authenticator para Android, todas as autenticações na ID do Microsoft Entra, incluindo chaves de acesso, são consideradas compatíveis com FIPS. O Authenticator usa o módulo criptográfico da wolfSSL Inc.para obter a conformidade FIPS 140, nível de segurança 1 em dispositivos Android. Para obter mais detalhes sobre a certificação, consulte Programa de Validação do Módulo Criptográfico.
Como determinar o tipo de registro do Microsoft Authenticator em Minhas informações de segurança
Os usuários podem acessar Informações de segurança (confira as URLs na próxima seção) ou selecionar Informações de segurança em MyAccount para gerenciar e adicionar mais registros do Microsoft Authenticator. Ícones específicos são usados para diferenciar se o registro do Microsoft Authenticator efetua logon por telefone sem senha ou MFA.
| Tipo de registro do Authenticator | ícone |
|---|---|
| Microsoft Authenticator: Logon por telefone sem senha |  |
| Microsoft Authenticator (notificação/código) |  |
Links do SecurityInfo
| Nuvem | URL de informações de segurança |
|---|---|
| Comercial do Azure (inclui O GCC (Government Community Cloud)) | https://aka.ms/MySecurityInfo |
| Azure para o governo dos EUA (inclui GCC High e DoD) | https://aka.ms/MySecurityInfo-us |
Atualizações do Authenticator
A Microsoft atualiza continuamente o Authenticator para manter um alto nível de segurança. Para garantir que seus usuários tenham a melhor experiência possível, recomendamos que eles atualizem continuamente o aplicativo Authenticator. No caso de atualizações de segurança críticas, as versões de aplicativo que não estão atualizadas podem não funcionar e podem impedir que os usuários conclamem sua autenticação. Se um usuário estiver usando uma versão do aplicativo que não tem suporte, ele será solicitado a atualizar para a versão mais recente antes de continuar a entrar.
A Microsoft também desativa periodicamente versões mais antigas do Aplicativo Authenticator para manter uma barra de segurança alta para sua organização. Se o dispositivo de um usuário não der suporte a versões modernas do Microsoft Authenticator, ele não poderá assinar com o aplicativo. Recomendamos que esses usuários entrem com um código de verificação OATH no Microsoft Authenticator para concluir a MFA.
Próximas etapas
Para começar a usar chaves de acesso, consulte Como habilitar chaves de acesso no Microsoft Authenticator para Microsoft Entra ID.
Para obter mais informações sobre a entrada sem senha, consulte Habilitar a entrada sem senha com o Microsoft Authenticator.
Saiba mais sobre a configuração de métodos de autenticação usando a API REST do Microsoft Graph.