Júlio César Gonçalves VasconcelosNo artigo de hoje, irei abordar um tópico muito interessante: o Web sign-in for Windows, recurso que é combinado com o Entra ID para a geração de senhas temporárias para o acesso às contas que já têm senha definida pelo usuário, facilitando assim a vida dos administradores de ambientes 365.
Web sign-in for Windows : O que é e como ele pode ajudar no dia a dia no suporte do administradores?
O Web sign-in for Windows é um provedor de credenciais e foi inicialmente introduzido no Windows 10 com suporte apenas para TAP (Temporary Access Pass). Com o lançamento do Windows 11, os cenários e recursos suportados do login na Web foram ampliados.
Por exemplo, você pode entrar com o aplicativo Microsoft Authenticator ou com uma identidade federada SAML-P.
A partir do Windows 11, versão 22H2 com KB5030310, você pode habilitar uma experiência de entrada baseada na Web em dispositivos com Entra ID. Esse recurso é chamado de entrada na Web e desbloqueia novas opções e recursos de entrada.
O que você irá precisar para isso:
- Edições do Windows que oferecem suporte ao Web Sign-in:
- Windows Pro
- Windows Enterprise
- Windows Pro Education/SE
- Windows Education
- Licenças que concedem a utilização ao Web Sign-In:
- Windows Pro/Pro Education/SE
- Windows Enterprise E3
- Windows Enterprise E5
- Windows Education A3
- Windows Education A5
IMPORTANTE: Infelizmente, o Web Sign-in não funciona em ambientes híbridos ou ingressados apenas no domínio On-Premises. Esse recurso se aplica somente a ambientes Cloud-Only.
ATENÇÃO: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção.
Passo a passo – Hands On
1. Vamos acessar o portal do Intune.
2. No menu lateral esquerdo, clique em “Devices”. Em seguida, no submenu, clique em “Configuration” e, na tela que se abrir, clique em “Policies”. Depois, clique em “+Create” e selecione “+New Policy”. Em “Platform”, selecione “Windows 10 and later” e, em “Profile type”, selecione “Settings catalog”. Por fim, clique em “Create”.
3. Em “Create profile”, defina um nome para a política e clique em “Next”.
4. Agora, em “Configuration settings”, vamos clicar em “+Add settings”. Na janela que se abriu, vamos procurar por “Enable Web Sign In” e, depois, selecionar “Authentication” e, em seguida, escolher “Enable Web Sign In”, na opção que sera adicionada vamos selecionar “Enable. Web Sign-in will be enable for signing in to Windows”. Por fim, clique em “Next”.
5. Em “Assignments”, selecione o grupo “+Add All devices” ao qual a política será aplicada e clique em “Next”.
6. Em “Review + create” revise a politica e clique em “Create”.
Com a politica criada e aplicada, agora vamos seguir para a configuração no Entra ID.
1. Vamos acessar o portal do Entra ID.
2. No menu lateral esquerdo, vamos clicar em “Protection” e depois selecionar “Authentication methods”. Dentro da opção “Policies”, vamos selecionar “Temporary Access Pass”, em “Enable and Target” deixar como “Enable” e selecionar “All users” em “Target”.
Em “Configure”, você pode definir os requisitos do “Temporary Access Pass” de acordo com sua necessidade e regras de segurança. Aqui, vou deixar os valores padrão. Por fim, clique em “Update” e depois em “Save”.
Observação: Podemos definir um tenant padrão para aparecer na tela inicial de login do usuário, mas como os usuários costumam estranhar qualquer mudança, não vamos definir isso, pois o recurso de TAP é para ser usado pelos administradores do ambiente e não pelos usuários finais. Além disso, não é recomendado pela própria Microsoft deixar essa opção habilitada, para que os usuários realizem o login comum pela tela do Web Sign-in.
Agora com as políticas e regras configuradas e devidamente aplicadas, chegou a hora de testarmos esse recurso incrível.
3. Ainda no “Entra ID“, clique no menu esquerdo em “Identity” e depois selecione “Users”. Em seguida, clique em “All Users” e selecione o usuário para o qual iremos gerar o “TAP”. Com o usuário selecionado, vamos navegar até “Authentication methods” e selecionar “+Add authentication method”. Depois, em “Choose method”, vamos selecionar “Temporary Access Pass”. Como podemos ver, temos algumas opções que podem ser definidas conforme sua necessidade, como o atraso no início da utilização e se o TAP será usado apenas em um login ou se poderá ser usado em mais logins até o tempo definido em “Activation duration”. Por fim, clique em “Add” para resgatar a TAP e depois podemos clicar em “Ok”.
Nota: Copie o TAP e cole em algum bloco de notas, pois no momento em que clicarmos em “Ok”, a senha não será mais exibida. Mesmo se você selecionar o TAP e for em “Details”, ele não será exibido, apenas as informações sobre quando foi criado, validade e duração.
Caso você perca a senha, será necessário gerar outra, seguindo os mesmos passos mostrados acima.
Agora chegou a hora de visualizarmos como é exibido o Web Sign-in na tela de login do Windows e como fazemos para usar o TAP.
Na tela inicial de login, já com o usuário autenticado, mas em estado de bloqueio, clique em “Opções de entrada” e verifique que agora temos um novo ícone em forma de globo com o nome “Logon na web” para escolhermos como método de autenticação.
Ao selecioná-lo, clique em “Entrar” e será exibida a tela exigindo o “TAP” que geramos no “Entra ID“. Digite-o e clique em “Entrar”.
E, como podemos ver, alcançamos nosso objetivo utilizando o “TAP” para acessar a máquina com o usuário do usuário e a senha temporária.
Atenção a problemas conhecidos: Se você tentar fazer login enquanto o dispositivo está offline, aparecerá a seguinte mensagem: “Parece que você não está conectado à Internet. Verifique sua conexão e tente novamente.” Selecionar a opção “Voltar para a tela de login” não o levará de volta à tela de bloqueio. Como solução alternativa, você pode pressionar Ctrl+Alt+Delete para voltar à tela de bloqueio.
Considerações finais: O Temporary Access Pass veio para agilizar a vida dos administradores, permitindo que, com esse recurso incrível, eles possam fazer o suporte na máquina do usuário diretamente na conta dele, sem que o usuário precise estar presente. Como sabemos, muitas vezes os usuários acabam saindo da máquina enquanto você está prestando o suporte e, quando você para de mexer por alguns minutos para verificar a sua base de conhecimento e tratar o problema do usuário, o dispositivo é bloqueado, fazendo com que você perca tempo esperando o usuário retornar para a máquina e assim poder continuar prestando o suporte.
Isso também se estende para novos usuários que vão entrar na empresa, que já receberam os dados do onboarding pelo e-mail pessoal para configurar sua senha inicial e MFA, e nos quais você precisa configurar o dispositivo do usuário sem ter que resetar a senha já definida por ele. Além disso, pode ser usado em migrações de máquinas de ambientes on-premises para full cloud, sem ter que ficar pedindo ao usuário para desbloquear a máquina de 10 em 10 minutos ou ter que ficar mexendo no mouse na maquina para ela não bloquear.
Mas agora, com o TAP, seus problemas com isso acabaram, e o ganho de tempo e produtividade vão a mil, hehehe
E chegamos ao final de mais uma jornada do conhecimento, onde pudemos aprender juntos como habilitar e configurar o Temporary Access Pass para agilizar a vida dos administradores enquanto prestam suporte.
Me diga nos comentários: vocês já implementaram o Temporary Access Pass em seu ambiente? Compartilhe sua experiencia, faça você também parte desta jornada. ☁️
