Ativar o início de sessão sem palavra-passe com o Microsoft Authenticator
O Microsoft Authenticator pode ser usado para entrar em qualquer conta do Microsoft Entra sem usar uma senha. O Microsoft Authenticator usa a autenticação baseada em chave para habilitar uma credencial de usuário vinculada a um dispositivo, onde o dispositivo usa um PIN ou biometria. O Windows Hello for Business usa uma tecnologia semelhante.
Esta tecnologia de autenticação pode ser utilizada em qualquer plataforma de dispositivo, incluindo dispositivos móveis. Essa tecnologia também pode ser usada com qualquer aplicativo ou site que se integre às Bibliotecas de Autenticação da Microsoft.
As pessoas que ativaram o início de sessão por telefone a partir do Microsoft Authenticator veem uma mensagem que lhes pede para tocar num número na respetiva aplicação. Nenhum nome de usuário ou senha é solicitado. Para concluir o processo de entrada no aplicativo, um usuário deve executar as seguintes ações:
- Introduza o número que vê no ecrã de início de sessão na caixa de diálogo Microsoft Authenticator.
- Escolha Aprovar.
- Forneça o seu PIN ou biometria.
Várias contas
Pode ativar o início de sessão por telemóvel sem palavra-passe para várias contas no Microsoft Authenticator em qualquer dispositivo Android ou iOS suportado. Consultores, estudantes e outras pessoas com várias contas no Microsoft Entra ID podem adicionar cada conta ao Microsoft Authenticator e usar a entrada por telefone sem senha para todas elas a partir do mesmo dispositivo.
Anteriormente, os administradores podiam não exigir o início de sessão sem palavra-passe para utilizadores com várias contas, porque exige que carreguem mais dispositivos para iniciar sessão. Ao remover a limitação de um login de usuário de um dispositivo, os administradores podem incentivar com mais confiança os usuários a registrar o login do telefone sem senha e usá-lo como seu método de login padrão.
As contas do Microsoft Entra podem estar no mesmo locatário ou em locatários diferentes. As contas de convidado não são suportadas para entradas de várias contas a partir de um dispositivo.
Pré-requisitos
Para usar o logon por telefone sem senha com o Microsoft Authenticator, os seguintes pré-requisitos devem ser atendidos:
- Recomendado: autenticação multifator Microsoft Entra, com notificações por push permitidas como método de verificação. As notificações push para o seu smartphone ou tablet ajudam a aplicação Authenticator a impedir o acesso não autorizado a contas e a impedir transações fraudulentas. O aplicativo Authenticator gera códigos automaticamente quando configurado para fazer notificações push. Um utilizador tem um método de início de sessão de cópia de segurança, mesmo que o dispositivo não tenha conectividade.
- Versão mais recente do Microsoft Authenticator instalada em dispositivos com iOS ou Android.
- O dispositivo tem de ser registado em cada inquilino onde é utilizado para iniciar sessão. Por exemplo, o seguinte dispositivo deve ser registrado na Contoso e na Wingtiptoys para permitir que todas as contas entrem:
- balas@contoso.com
- balas@wingtiptoys.com e bsandhu@wingtiptoys
Para usar a autenticação sem senha no Microsoft Entra ID, primeiro habilite a experiência de registro combinada e, em seguida, habilite os usuários para o método sem senha.
Habilite métodos de autenticação de login por telefone sem senha
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
O Microsoft Entra ID permite que os administradores de políticas de autenticação escolham quais métodos de autenticação podem ser usados para entrar. Eles podem habilitar o Microsoft Authenticator na política de métodos de autenticação para gerenciar o método tradicional de MFA por push e o método de autenticação sem senha.
Depois que o Microsoft Authenticator estiver habilitado como um método de autenticação, os usuários poderão acessar suas informações de segurança para registrar o Microsoft Authenticator como uma maneira de entrar. Eles verão o Microsoft Authenticator listado como um método nas Informações de Segurança. Por exemplo, eles verão o Microsoft Authenticator-Passwordless ou o Microsoft Authenticator-MFA Push , dependendo do que estiver habilitado e registrado.
Para habilitar o método de autenticação para entrada por telefone sem senha, conclua as seguintes etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Políticas de métodos>de autenticação de proteção>.
Em Microsoft Authenticator, escolha as seguintes opções:
- Ativar - Sim ou Não
- Destino - Todos os usuários ou Selecionar usuários
Cada grupo ou usuário adicionado é habilitado por padrão para usar o Microsoft Authenticator nos modos sem senha e de notificação por push (modo "Qualquer"). Para alterar o modo, para cada linha para o modo de autenticação - escolha Qualquer ou Sem senha. Escolher Push impede o uso da credencial de login do telefone sem senha.
Para aplicar a nova política, clique em Guardar.
Nota
Se vir um erro quando tentar guardar, a causa poderá dever-se ao número de utilizadores ou grupos que estão a ser adicionados. Como solução alternativa, substitua os usuários e grupos que você está tentando adicionar por um único grupo, na mesma operação, e selecione Salvar novamente.
Registo de utilizador
Os usuários se registram para o método de autenticação sem senha do Microsoft Entra ID. Para usuários que já registraram o aplicativo Microsoft Authenticator para autenticação multifator, pule para a próxima seção, habilitar o login por telefone.
Telefone direto Registo de início de sessão
Os usuários podem se registrar para entrar por telefone sem senha diretamente no aplicativo Microsoft Authenticator sem a necessidade de primeiro registrar o Microsoft Authenticator com sua conta, sem nunca acumular uma senha. Saiba como:
- Adquira um Passe de Acesso Temporário do seu Administrador ou Organização.
- Transfira e instale a aplicação Microsoft Authenticator no seu dispositivo móvel.
- Abra o Microsoft Authenticator e clique em Adicionar conta e, em seguida, escolha Conta corporativa ou de estudante.
- Escolha Entrar.
- Siga as instruções para iniciar sessão com a sua conta utilizando o Passe de Acesso Temporário fornecido pelo seu Administrador ou Organização.
- Depois de iniciar sessão, continue a seguir os passos adicionais para configurar o início de sessão por telefone.
Registo guiado com Os Meus Inícios de Sessão
Nota
Os usuários só poderão registrar o Microsoft Authenticator por meio de registro combinado se o modo de autenticação do Microsoft Authenticator for para Any ou Push.
Para registar a aplicação Microsoft Authenticator, siga estes passos:
- Navegue para https://aka.ms/mysecurityinfo.
- Inicie sessão e, em seguida, selecione Adicionar método>>Aplicação autenticadora Adicionar para adicionar o Microsoft Authenticator.
- Siga as instruções para instalar e configurar a aplicação Microsoft Authenticator no seu dispositivo.
- Selecione Concluído para concluir a configuração do Microsoft Authenticator.
Ativar início de sessão por telefone
Depois que os usuários se registrarem no aplicativo Microsoft Authenticator, eles precisam habilitar a entrada por telefone:
- No Microsoft Authenticator, selecione a conta registrada.
- Selecione Ativar início de sessão por telefone.
- Siga as instruções na aplicação para concluir o registo da conta para iniciar sessão por telemóvel sem palavra-passe.
Uma organização pode direcionar seus usuários para entrar com seus telefones, sem usar uma senha. Para obter mais assistência para configurar o Microsoft Authenticator e habilitar a entrada por telefone, consulte Entrar em suas contas usando o aplicativo Microsoft Authenticator.
Nota
Os usuários que não têm permissão pela política para usar a entrada por telefone não podem mais habilitá-la no Microsoft Authenticator.
Iniciar sessão com credenciais sem palavra-passe
Um usuário pode começar a usar o login sem senha depois que todas as seguintes ações forem concluídas:
- Um administrador habilitou o locatário do usuário.
- O usuário adicionou o Microsoft Authenticator como um método de entrada.
Na primeira vez que um usuário inicia o processo de entrada por telefone, ele executa as seguintes etapas:
- Introduz o respetivo nome na página de início de sessão.
- Seleciona Avançar.
- Se necessário, selecione Outras formas de iniciar sessão.
- Seleciona Aprovar uma solicitação no meu aplicativo Authenticator.
O usuário é então apresentado com um número. O aplicativo solicita que o usuário se autentique digitando o número apropriado, em vez de digitar uma senha.
Depois que o usuário tiver utilizado o login do telefone sem senha, o aplicativo continuará a guiá-lo através desse método. No entanto, o usuário verá a opção de escolher outro método.
Passe de Acesso Temporário
Se o administrador do locatário tiver habilitado a Redefinição de Senha de Autoatendimento (SSPR) e um usuário estiver configurando o login sem senha com o aplicativo Autenticador pela primeira vez usando uma Senha de Acesso Temporária, as seguintes etapas deverão ser seguidas:
- O usuário deve abrir um navegador em um dispositivo móvel ou desktop e navegar até a página mySecurity info.
- O usuário deve registrar o aplicativo autenticador como seu método de login. Esta ação vincula a conta do usuário ao aplicativo.
- O utilizador deve então regressar ao seu dispositivo móvel e ativar o início de sessão sem palavra-passe através da aplicação Authenticator.
Gestão
A política de métodos de autenticação é a maneira recomendada de gerenciar o Microsoft Authenticator. Política de autenticação Os administradores podem editar essa política para habilitar ou desabilitar o Microsoft Authenticator. Os administradores podem incluir ou excluir usuários e grupos específicos de usá-lo.
Os administradores também podem configurar parâmetros para controlar melhor como o Microsoft Authenticator pode ser usado. Por exemplo, eles podem adicionar local ou nome do aplicativo à solicitação de entrada para que os usuários tenham maior contexto antes de aprovar.
Problemas conhecidos
Existem os seguintes problemas conhecidos.
Não ver a opção de início de sessão por telemóvel sem palavra-passe
Em um cenário, um usuário pode ter uma verificação de entrada por telefone sem senha não respondida que está pendente. Se o utilizador tentar iniciar sessão novamente, poderá ver apenas a opção para introduzir uma palavra-passe.
Para resolver este cenário, siga estes passos:
- Abra o Microsoft Authenticator.
- Responda a todas as solicitações de notificação.
Em seguida, o utilizador pode continuar a utilizar o início de sessão por telemóvel sem palavra-passe.
AuthenticatorAppSignInPolicy não suportado
O AuthenticatorAppSignInPolicy é uma política herdada que não é suportada com o Microsoft Authenticator. Para habilitar seus usuários para notificações por push ou login por telefone sem senha com o aplicativo Authenticator, use a política de Métodos de Autenticação.
Contas federadas
Quando um usuário habilita qualquer credencial sem senha, o processo de login do Microsoft Entra para de usar o login_hint. Portanto, o processo não acelera mais o usuário em direção a um local de login federado.
Essa lógica geralmente impede que um usuário em um locatário híbrido seja direcionado para os Serviços Federados do Ative Directory (AD FS) para verificação de entrada. No entanto, o usuário mantém a opção de clicar em Usar sua senha.
Usuários locais
Um usuário final pode ser habilitado para autenticação multifator por meio de um provedor de identidade local. O usuário ainda pode criar e utilizar uma única credencial de login de telefone sem senha.
Se o usuário tentar atualizar várias instalações (5+) do Microsoft Authenticator com a credencial de entrada do telefone sem senha, essa alteração pode resultar em um erro.
Próximos passos
Para saber mais sobre a autenticação do Microsoft Entra e métodos sem senha, consulte os seguintes artigos: