Suporte a chaves de acesso no Microsoft Authenticator em seu locatário do Microsoft Entra ID
Este tópico aborda problemas que os usuários podem ver quando usam chaves de acesso no Microsoft Authenticator e possíveis maneiras de os administradores resolvê-los.
Armazenamento de chaves de acesso em perfis Android
As chaves de acesso no Android só podem ser utilizadas a partir do perfil onde estão armazenadas. Uma chave de acesso armazenada em um Perfil de Trabalho do Android só pode ser usada a partir desse perfil. Uma chave de acesso num perfil Pessoal Android só pode ser utilizada a partir desse perfil. Para garantir que os usuários possam acessar e usar a chave de acesso de que precisam, os usuários com perfil Android Personal e Android Work devem criar suas chaves de acesso no Microsoft Authenticator para cada perfil.
Soluções alternativas para um loop de política de Acesso Condicional de força de autenticação
Os usuários podem entrar em um loop quando tentam adicionar uma chave de acesso no Microsoft Authenticator se uma política de Acesso Condicional exigir autenticação resistente a phishing para acessar Todos os recursos (anteriormente "Todos os aplicativos na nuvem"). Por exemplo:
- Condição: Todos os dispositivos (Windows, Linux, macOS, Windows, Android)
- Recurso direcionado: todos os recursos (anteriormente «Todas as aplicações na nuvem»)
- Controle de concessão: Força de autenticação – Exigir chave de acesso no Autenticador
A política força os utilizadores visados a utilizar uma chave de acesso para iniciar sessão em todas as aplicações na nuvem, o que inclui a aplicação Microsoft Authenticator. Ele exige que os usuários usem uma chave de acesso quando tentarem adicionar uma chave de acesso no Authenticator no Android ou iOS.
Existem algumas soluções alternativas:
Você pode filtrar aplicativos e fazer a transição do destino da política de Todos os recursos (anteriormente "Todos os aplicativos na nuvem") para aplicativos específicos. Comece com uma revisão dos aplicativos usados em seu locatário e use filtros para marcar o Microsoft Authenticator e outros aplicativos.
Para reduzir ainda mais os custos de suporte, você pode executar uma campanha interna para ajudar os usuários a adotar chaves de acesso antes de impô-las. Quando estiver pronto para impor o uso da chave de acesso, crie duas políticas de Acesso Condicional:
- Uma política para versões de sistema operacional (SO) móvel
- Uma política para versões de SO de ambiente de trabalho
Exija uma força de autenticação diferente para cada política e defina outras configurações de política listadas na tabela a seguir. Pode habilitar um Passe de Acesso Temporário (TAP) para usuários, ou habilitar outros métodos de autenticação para ajudar os usuários a registrar a chave digital.
A TAP limita o tempo em que os utilizadores podem registar uma chave de acesso e só a pode aceitar em plataformas móveis onde permite o registo de chave de acesso.
Política de Acesso Condicional SO de secretária SO móvel Nome Exigir uma chave de acesso no Authenticator para acessar um sistema operacional de desktop Exigir uma TAP, uma credencial resistente a phishing ou qualquer outro método de autenticação especificado para acessar um sistema operacional móvel Condição Dispositivos específicos (sistemas operativos de ambiente de trabalho) Dispositivos específicos (sistemas operativos móveis) Dispositivos N/A Android, iOS Excluir dispositivos Android, iOS N/A Recurso direcionado Todos os recursos Todos os recursos Controlo de subvenções Força de autenticação Força de autenticação1 Métodos Chave de acesso no Microsoft Authenticator TAP, chave de acesso no Microsoft Authenticator. Resultado da política Os usuários que não conseguem entrar com uma chave de acesso no Authenticator são direcionados para o modo do assistente Meus Logins. Após o registo, ser-lhes-á pedido que iniciem sessão no Authenticator no respetivo dispositivo móvel. Os utilizadores que iniciam sessão no Autenticador com um TAP ou outro método permitido podem registar uma chave de acesso diretamente no Autenticador. Nenhum loop ocorre porque o usuário atende aos requisitos de autenticação. 1 Para que os utilizadores registem novos métodos de início de sessão, o controlo de concessão para a política móvel tem de corresponder à sua política de Acesso Condicional para registar informações de segurança.
Nota
Com qualquer uma das soluções alternativas, os usuários também devem satisfazer qualquer política de Acesso Condicional direcionada às informações de segurança do Registro ou não podem registrar a chave de acesso. Além disso, se você tiver outras condições configuradas com as políticas de Todos os recursos , elas terão que ser atendidas ao registrar a chave de acesso.
Soluções alternativas para usuários que não conseguem registrar chaves de acesso devido a Exigir aplicativo cliente aprovado ou Exigir política de proteção de aplicativo Controles de concessão de acesso condicional
Os usuários não poderão registrar chaves de acesso no Autenticador se estiverem incluídas na seguinte política de Acesso Condicional:
- Condição: Todos os dispositivos (Windows, Linux, macOS, Windows, Android)
- Recurso direcionado: todos os recursos (anteriormente «Todas as aplicações na nuvem»)
- Controle de concessão: Exigir aplicativo cliente aprovado ou Exigir uma política de proteção de aplicativo
A política força os utilizadores a iniciar sessão em todas as aplicações na nuvem utilizando uma aplicação que suporte políticas de proteção de aplicações do Microsoft Intune. O Microsoft Authenticator não suporta esta política, nem no Android nem no iOS.
Existem algumas soluções alternativas:
Você pode filtrar aplicaçõese substituir o alvo da política de Todos os recursos (anteriormente 'Todos os aplicativos na nuvem') para aplicações específicas. Comece com uma revisão dos aplicativos usados em seu locatário e use filtros para marcar os aplicativos apropriados.
Você pode usar o gerenciamento de dispositivos móveis (MDM) e a Exigir que o dispositivo seja marcado como compatível com o controle. O Microsoft Authenticator pode satisfazer esse controle de concessão se o MDM gerenciar totalmente o dispositivo e ele estiver em conformidade. Por exemplo:
- Condição: Todos os dispositivos (Windows, Linux, macOS, Windows, Android)
- Recurso direcionado: todos os recursos (anteriormente «Todas as aplicações na nuvem»)
- Controle de concessão: Exigir aplicativo cliente aprovado ou Exigir política de proteção de aplicativo ou Exigir que o dispositivo seja marcado como conforme
Você pode conceder aos usuários uma isenção temporária da política de Acesso Condicional. A Microsoft recomenda o uso de um ou mais controles de compensação:
- Permitir a isenção apenas por um período de tempo limitado. Comunique-se ao usuário final quando ele tiver permissão para registrar uma chave de acesso. Remova a isenção após o período de tempo e oriente os usuários a ligar para o suporte técnico se perderem o tempo.
- Use outra política de Acesso Condicional para exigir que os usuários se registrem apenas de um local de rede específico ou de um dispositivo compatível.
Nota
Com qualquer solução alternativa proposta, os utilizadores também devem satisfazer qualquer política de acesso condicional direcionada Registrar informações de segurança, ou não podem registrar a chave de autenticação. Se tiver outras condições configuradas com as políticas Todos os recursos, elas também precisam ser atendidas antes de os utilizadores poderem registar uma chave de acesso.
Restringir o uso do Bluetooth a chaves de acesso no Authenticator
Algumas organizações restringem o uso de Bluetooth, o que inclui o uso de chaves de acesso. Nesses casos, as organizações podem permitir chaves de acesso permitindo o emparelhamento Bluetooth exclusivamente com autenticadores FIDO2 habilitados para chave de acesso. Para obter mais informações sobre como configurar o uso de Bluetooth apenas para chaves de acesso, consulte Chaves de acesso em ambientes com restrição de Bluetooth.
Conteúdo relacionado
Para obter mais informações sobre chaves de acesso no Authenticator, consulte Método de autenticação do Microsoft Authenticator. Para habilitar chaves de acesso no Authenticator como uma maneira de os usuários entrarem, consulte Habilitar chaves de acesso no Microsoft Authenticator .