Suporte a chaves de acesso no Authenticator no seu tenant do Microsoft Entra ID

Este artigo aborda problemas que os usuários podem ver quando usam chaves de acesso no Authenticator e possíveis maneiras de os administradores resolvê-los.

Armazenar chaves de acesso em perfis Android

As chaves de acesso no Android são usadas apenas a partir do perfil onde estão armazenadas. Se uma chave de acesso estiver armazenada em um perfil de trabalho do Android, ela será usada a partir desse perfil. Se uma chave de acesso estiver armazenada em um perfil pessoal do Android, ela será usada a partir desse perfil. Para garantir que os usuários possam acessar e usar a chave de acesso de que precisam, os usuários com um perfil Pessoal do Android e um perfil do Trabalho do Android devem criar suas chaves de acesso no Autenticador para cada perfil.

Soluções alternativas

Use as seguintes soluções alternativas para problemas de chave de acesso do Authenticator.

Soluções alternativas para um loop de política de Acesso Condicional de força de autenticação

Os usuários podem entrar em um loop quando tentam adicionar uma chave de acesso no Authenticator se uma política de Acesso Condicional exigir autenticação resistente a phishing para acessar Todos os recursos (anteriormente "Todos os aplicativos na nuvem"). Por exemplo:

• Condição: Todos os dispositivos (Windows, Linux, macOS, Windows, Android)
• Recurso direcionado: todos os recursos (anteriormente «Todas as aplicações na nuvem»)
• Controle de concessão: Força de autenticação – Exigir chave de acesso no Autenticador

A política obriga os utilizadores visados a utilizar uma chave de acesso para iniciar sessão em todas as aplicações na nuvem, o que inclui a aplicação Authenticator. Ele exige que os usuários usem uma chave de acesso quando tentarem adicionar uma chave de acesso no Authenticator no Android ou iOS.

Aqui estão algumas soluções alternativas:

• Você pode filtrar aplicativos e fazer a transição do destino da política de Todos os recursos (anteriormente "Todos os aplicativos na nuvem") para aplicativos específicos. Comece com uma revisão dos aplicativos que são usados em seu locatário. Use filtros para marcar o Autenticador e outros aplicativos.

• Para reduzir ainda mais os custos de suporte, você pode executar uma campanha interna para ajudar os usuários a adotar chaves de acesso antes de impô-las. Quando estiver pronto para impor o uso da chave de acesso, crie duas políticas de Acesso Condicional:

  • Uma política para versões de sistema operacional (SO) móvel
  • Uma política para versões de SO de ambiente de trabalho

  Exija uma força de autenticação diferente para cada política e defina outras configurações de política listadas na tabela a seguir. Você pode habilitar um Passe de Acesso Temporário (TAP) para utilizadores ou habilitar outros métodos de autenticação para ajudar os utilizadores a registrar a chave de autenticação.

  Um TAP limita o tempo em que os utilizadores podem registar uma chave de acesso. Você pode aceitá-lo apenas em plataformas móveis onde você permite o registro de chave de acesso.

  Política de Acesso Condicional	SO de secretária	SO móvel
  Nome	Exija uma chave de acesso no Authenticator para acessar um sistema operacional da área de trabalho.	Exija uma TAP, uma credencial resistente a phishing ou qualquer outro método de autenticação especificado para acessar um sistema operacional móvel.
  Condição	Dispositivos específicos (sistemas operativos de desktop).	Dispositivos específicos (sistemas operativos móveis).
  Dispositivos	N/A.	Android, iOS.
  Excluir dispositivos	Android, iOS.	N/A.
  Recurso direcionado	Todos os recursos.	Todos os recursos.
  Controlo de subvenções	Força de autenticação.	Força de autenticação.1
  Métodos	Chave de acesso no autenticador.	TAP, chave de acesso no Authenticator.
  Resultado da política	Os utilizadores que não conseguem entrar com uma chave de segurança no Authenticator são direcionados para o modo assistente Meus Inícios de Sessão. Após o registo, ser-lhes-á pedido que iniciem sessão no Authenticator no respetivo dispositivo móvel.	Os utilizadores que iniciam sessão no Autenticador com um TAP ou outro método permitido podem registar uma chave de acesso diretamente no Autenticador. Nenhum loop ocorre porque o usuário atende aos requisitos de autenticação.

  1 Para que os utilizadores registem novos métodos de início de sessão, o controlo de concessão para a política móvel tem de corresponder à sua política de Acesso Condicional para registar informações de segurança.

Nota

Com qualquer uma das soluções alternativas, os utilizadores também devem satisfazer qualquer política de Acesso Condicional direcionada a Register security info ou não podem registrar a chave de acesso. Se tiver outras condições configuradas com as políticas de Todos os recursos, essas condições devem ser cumpridas quando a chave de acesso for registada.

Usuários que não conseguem registrar chaves de acesso devido a Exigir aplicativo cliente aprovado ou Exigir política de proteção de aplicativo Controles de concessão de acesso condicional

Os usuários não poderão registrar chaves de acesso no Autenticador se estiverem incluídas na seguinte política de Acesso Condicional:

• Condição: Todos os dispositivos (Windows, Linux, macOS, Windows, Android)
• Recurso direcionado: todos os recursos (anteriormente «Todas as aplicações na nuvem»)
• Controle de concessão: Exigir aplicativo cliente aprovado ou Exigir uma política de proteção de aplicativo

A política força os utilizadores a iniciar sessão em todas as aplicações na nuvem utilizando uma aplicação que suporte políticas de proteção de aplicações do Microsoft Intune. O Authenticator não suporta esta política no Android ou iOS.

Aqui estão algumas soluções alternativas:

• Você pode filtrar aplicativos e fazer a transição do destino da política de Todos os recursos (anteriormente "Todos os aplicativos na nuvem") para aplicativos específicos. Comece com uma revisão dos aplicativos que são usados em seu locatário. Use filtros para marcar aplicativos apropriados.

• Você pode usar o gerenciamento de dispositivos móveis (MDM) e a Exigir que o dispositivo seja marcado como compatível com o controle. O autenticador pode satisfazer esse controle de concessão se o MDM gerenciar totalmente o dispositivo e ele estiver em conformidade. Por exemplo:

  • Condição: Todos os dispositivos (Windows, Linux, macOS, Windows, Android)
  • Recurso direcionado: todos os recursos (anteriormente «Todas as aplicações na nuvem»)
  • Conceder controlo: Exigir aplicação cliente aprovada, ou Exigir política de proteção da aplicação, ou Exigir que o dispositivo seja marcado como conforme

• Você pode conceder aos usuários uma isenção temporária da política de Acesso Condicional. Recomendamos que você use um ou mais controles de compensação:

  • Permitir a isenção apenas por um período de tempo limitado. Comunique-se ao usuário quando ele tiver permissão para registrar uma chave de acesso. Suprimir a isenção após o período de tempo. Em seguida, oriente os usuários a ligar para o suporte técnico se perderem tempo.
  • Use outra política de Acesso Condicional para exigir que os usuários se registrem apenas de um local de rede específico ou de um dispositivo compatível.

Nota

Com qualquer solução alternativa proposta, os utilizadores também devem satisfazer qualquer política de Acesso Condicional direcionada a informações de segurança do registo ou não podem registrar a chave de acesso. Se tiver outras condições configuradas com as políticas Todos os recursos, elas também deverão ser atendidas antes que os utilizadores possam registar uma chave de acesso.

Restringir o uso do Bluetooth a chaves de acesso no Authenticator

Algumas organizações restringem o uso de Bluetooth, o que inclui o uso de chaves de acesso. Nesses casos, as organizações podem permitir chaves de acesso permitindo o emparelhamento Bluetooth exclusivamente com autenticadores FIDO2 habilitados para chave de acesso. Para obter mais informações sobre como configurar o uso de Bluetooth apenas para chaves de acesso, consulte Chaves de acesso em ambientes com restrição de Bluetooth.

Conteúdo relacionado

• Para obter mais informações sobre chaves de acesso no Authenticator, consulte Método de autenticação do Microsoft Authenticator.
• Para habilitar chaves de acesso no Authenticator como uma maneira de os usuários entrarem, consulte Habilitar chaves de acesso no Microsoft Authenticator.