Experiência sem palavra-passe do Windows
A partir de Windows 11, versão 22H2 com KB5030310, a experiência sem palavra-passe do Windows é uma política de segurança que promove uma experiência de utilizador sem palavras-passe em dispositivos associados Microsoft Entra.
Quando a política está ativada, determinados cenários de autenticação do Windows não oferecem aos utilizadores a opção de utilizar uma palavra-passe, ajudando as organizações e preparando os utilizadores para se afastarem gradualmente das palavras-passe.
Com a experiência sem palavra-passe do Windows, os utilizadores que iniciam sessão com Windows Hello ou uma chave de segurança FIDO2:
Não é possível utilizar o fornecedor de credenciais de palavra-passe no ecrã de bloqueio do Windows
Não é pedido para utilizar uma palavra-passe durante as autenticações na sessão (por exemplo, elevação UAC, gestor de palavras-passe no browser, etc.)
Não tem a opção Contas > Alterar palavra-passe na aplicação Definições
Observação
Os utilizadores podem repor a palavra-passe com CTRL+ALT+DEL>Gerir a sua conta
A experiência sem palavra-passe do Windows não afeta a experiência de início de sessão inicial e as contas locais. Aplica-se apenas aos inícios de sessão subsequentes para contas Microsoft Entra. Também não impede que um utilizador inicie sessão com uma palavra-passe ao utilizar a opção Outro utilizador no ecrã de bloqueio.
O fornecedor de credenciais de palavra-passe está oculto apenas para o último utilizador com sessão iniciada que iniciou sessão Windows Hello ou uma chave de segurança FIDO2. A experiência sem palavra-passe do Windows não tem a ver com impedir que os utilizadores utilizem palavras-passe, em vez de os orientar e informar de que não utilizam palavras-passe.
Este artigo explica como ativar a experiência sem palavra-passe do Windows e descreve as experiências de utilizador.
Dica
Windows Hello para Empresas utilizadores podem obter o início de sessão sem palavra-passe a partir do primeiro início de sessão com a funcionalidade de início de sessão na Web. Para obter mais informações sobre o início de sessão na Web, consulte Início de sessão na Web para dispositivos Windows.
Requisitos de sistema
A experiência sem palavra-passe do Windows tem os seguintes requisitos:
- Windows 11, versão 22H2 com KB5030310 ou posterior
- Microsoft Entra aderido
- Windows Hello para Empresas credenciais inscritas para o utilizador ou uma chave de segurança FIDO2
- Gerido pela MDM: Microsoft Intune ou outra solução de MDM
Observação
Microsoft Entra dispositivos associados híbridos e dispositivos associados a um domínio do Active Directory estão atualmente fora do âmbito.
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam a experiência sem palavra-passe do Windows:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sim | Sim | Sim | Sim |
As licenças de experiência sem palavra-passe do Windows são concedidas pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sim | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Ativar a experiência sem palavra-passe do Windows com Intune
Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:
| Categoria | Nome da configuração | Valor |
|---|---|---|
| Authentication | Ativar Experiência sem Palavra-passe | Habilitada |
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Em alternativa, pode configurar dispositivos com uma política personalizada com o CSP de Política.
| Configuração |
|---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/Authentication/EnablePasswordlessExperience- Tipo de dados: int - Valor: 1 |
Experiências de utilizador
Experiência de ecrã de bloqueio
Experiência sem palavra-passe desativada: os utilizadores podem iniciar sessão com uma palavra-passe, conforme indicado pela presença do fornecedor 
de credenciais de palavra-passe no ecrã de bloqueio do Windows.
Experiência sem palavra-passe ativada: o fornecedor de credenciais de palavra-passe está em falta para o último utilizador que iniciou sessão com credenciais fortes. Um utilizador pode iniciar sessão com uma credencial forte ou optar por utilizar a opção Outro utilizador para iniciar sessão com uma palavra-passe.
Experiências de autenticação na sessão
Quando a experiência sem palavra-passe do Windows está ativada, os utilizadores não podem utilizar o fornecedor de credenciais de palavra-passe para cenários de autenticação na sessão. Os cenários de autenticação na sessão incluem:
- Gestor de Palavras-passe num browser
- Ligar a partilhas de ficheiros ou sites da intranet
- Elevação do Controlo de Conta de Utilizador (UAC), exceto se for utilizada uma conta de utilizador local para elevação
Observação
O início de sessão RDP é predefinido para o fornecedor de credenciais utilizado durante o início de sessão. No entanto, um utilizador pode selecionar a opção Utilizar uma conta diferente para iniciar sessão com uma palavra-passe.
A execução como utilizador diferente não é afetada pela experiência sem palavra-passe do Windows.
Exemplo de experiência de elevação UAC:
Experiência sem palavra-passe desativada: a elevação UAC permite que o utilizador se autentique com uma palavra-passe.
Experiência sem palavra-passe ativada: a elevação UAC não permite que o utilizador utilize o fornecedor de credenciais de palavra-passe para o utilizador com sessão iniciada atualmente. O utilizador pode autenticar com Windows Hello, uma chave de segurança FIDO2 ou uma conta de utilizador local, se disponível.
Recomendações
Eis uma lista de recomendações a considerar antes de ativar a experiência sem palavra-passe do Windows:
- Se Windows Hello para Empresas estiver ativada, configure a funcionalidade de reposição do PIN para permitir que os utilizadores reponham o PIN a partir do ecrã de bloqueio. A experiência de reposição do PIN é melhorada a partir do Windows 11, versão 22H2 com KB5030310
- Não configure a política de segurança Início de sessão interativo: não apresente o último início de sessão, pois impede que a experiência sem palavra-passe do Windows funcione
- Não desative o fornecedor de credenciais de palavra-passe com a política Excluir fornecedores de credenciais . As principais diferenças entre as duas políticas são:
- A política Excluir fornecedores de credenciais desativa palavras-passe para todas as contas, incluindo contas locais. A experiência sem palavra-passe do Windows aplica-se apenas a contas Microsoft Entra que iniciam sessão com Windows Hello ou uma chave de segurança FIDO2. Também exclui Outro Utilizador da política, pelo que os utilizadores têm uma opção de início de sessão de cópia de segurança
- Excluir a política de fornecedores de credenciais impede a utilização de palavras-passe para cenários de autenticação RDP e Executar como
- Para facilitar as operações de suporte técnico, considere ativar a conta de administrador local ou criar uma separada, aleatoriamente ao utilizar a Solução de Palavra-passe de Administrador Local do Windows (LAPS)
Problemas conhecidos
Existe um problema conhecido que afeta a experiência de autenticação na sessão ao utilizar chaves de segurança FIDO2, em que as chaves de segurança nem sempre são uma opção disponível. O grupo de produtos está ciente deste comportamento e planeia melhorá-lo no futuro.
Fornecer comentários
Para fornecer feedback sobre a experiência sem palavra-passe do Windows, abra o Hub de Comentários e utilize a categoria Segurança e Privacidade > Experiência sem palavra-passe.