Compartilhar via

Suporte a chaves de acesso no Microsoft Authenticator no locatário do Microsoft Entra ID

  • Artigo

Este tópico aborda problemas que os usuários podem ver quando usam chaves de acesso no Microsoft Authenticator e possíveis maneiras de os administradores resolvê-los.

Soluções alternativas para um loop de política de acesso condicional de força de autenticação

As organizações que estão implantando chaves de passagem e têm políticas de Acesso Condicional que exigem autenticação resistente a phishing ao acessar Rodos os recursos (anteriormente "Todos os aplicativos de nuvem') podem encontrar um problema de loop quando os usuários tentam adicionar uma chave de acesso ao Microsoft Authenticator. Um exemplo dessa configuração de política:

  • Condição: todos os dispositivos (Windows, Linux, MacOS, Windows, Android)
  • Recurso de destino: todos os recursos (anteriormente "Todos os aplicativos de nuvem")
  • Controle de concessão: Força de autenticação – Exigir chave de passagem no Authenticator

A política efetivamente impõe que os usuários direcionados devem usar uma chave de acesso para autenticar em todos os aplicativos de nuvem, o que inclui o aplicativo Microsoft Authenticator. Isso significa que os usuários precisam usar uma chave de passagem para provisionar uma chave de passagem quando passam pelo fluxo de registro no aplicativo dentro do aplicativo Authenticator. Isso afeta o Android e o iOS.

Há algumas soluções alternativas:

  • Você pode filtrar aplicativos e fazer a transição do destino da política de Todos os recursos (anteriormente '"Todos os aplicativos de nuvem") para aplicativos específicos. Comece com uma revisão dos aplicativos que são usados em seu locatário e use filtros para marcar o Microsoft Authenticator e outros aplicativos.

  • Para reduzir ainda mais os custos de suporte, você pode executar uma campanha interna para ajudar os usuários a adotar chaves de acesso antes de impor o uso de chaves de passagem. Quando estiver pronto para impor o uso da chave de acesso, crie duas políticas de Acesso Condicional:

    • Uma política para versões do sistema operacional móvel (SO)
    • Uma política para versões do sistema operacional da área de trabalho

    Exija uma força de autenticação diferente para cada política e defina outras configurações de política listadas na tabela a seguir. Você provavelmente desejará habilitar o uso de uma Senha de Acesso Temporária (TAP) ou habilitar outros métodos de autenticação que os usuários podem usar para registrar a chave de acesso. Ao emitir um TAP para um usuário somente quando ele estiver registrando uma credencial e aceitando-a apenas em plataformas móveis em que o registro de chave de acesso pode ocorrer, você pode garantir que os usuários estejam usando métodos de autenticação permitidos para todos os fluxos e usando o TAP apenas por um período limitado de tempo durante o registro.

    Política de Acesso Condicional Sistema operacional da área de trabalho SO móvel
    Nome Exigir uma chave de passagem no Authenticator para acessar um sistema operacional da área de trabalho Exigir um TAP, uma credencial resistente a phishing ou qualquer outro método de autenticação especificado para acessar um sistema operacional móvel
    Condição Dispositivos específicos (sistemas operacionais da área de trabalho) Dispositivos específicos (sistemas operacionais móveis)
    Dispositivos N/D Android, iOS
    Excluir Dispositivos Android, iOS N/D
    Recurso direcionado Todos os recursos Todos os recursos
    Controles de Concessão: Força de autenticação Força de autenticação1
    Métodos Chave de acesso no Microsoft Authenticator TAP, chave de acesso no Microsoft Authenticator.
    Resultado da política Os usuários que não podem entrar com uma chave de acesso no Authenticator são direcionados para o modo assistente Minhas Entradas. Após o registro, eles são solicitados a entrar no Authenticator em seu dispositivo móvel. Os usuários que entrarem no Authenticator com um TAP ou outro método permitido podem registrar uma chave de acesso diretamente no Authenticator. Nenhum loop ocorre porque o usuário atende aos requisitos de autenticação.

    1Para que os usuários registrem novos métodos de entrada, seu controle de concessão para a política móvel precisa corresponder à política de Acesso Condicional para registrar Informações de segurança.

Observação

Com uma solução alternativa, os usuários também devem atender a qualquer política de Acesso Condicional direcionada ao Registro de informações de segurança ou não podem registrar a chave de acesso. Além disso, se você tiver outras condições configuradas com políticas de Todos os recursos, elas precisarão ser atendidas ao registrar a chave de acesso.

Restringir o uso de Bluetooth a chaves de acesso no Authenticator

Algumas organizações restringem o uso de Bluetooth, o que inclui o uso de chaves de acesso. Nesses casos, as organizações podem permitir chaves de acesso permitindo o emparelhamento do Bluetooth exclusivamente com autenticadores de FIDO2 habilitados para chave de acesso. Para obter mais informações sobre como configurar o uso do Bluetooth apenas para chaves de acesso, confira Chaves de Acesso em Ambientes com Restrição de Bluetooth.

Próximas etapas

Para obter mais informações sobre chaves de passagem no Authenticator, consulte o método de autenticação do Microsoft Authenticator. Para habilitar as chaves de acesso no Authenticator como uma forma de os usuários entrarem, consulte Habilitar chaves de passagem no Microsoft Authenticator .