Como as diferentes tecnologias afetam o início de sessão do Microsoft Teams
Se precisar de compreender como tecnologias como o início de sessão único (SSO), a autenticação moderna (MS) e a autenticação multifator (MA) afetam a experiência de início de sessão dos utilizadores, este artigo ajuda a esclarecer o que os utilizadores e administradores podem esperar ver. Também descreve o comportamento de início de sessão para dispositivos macOS, Android e iOS, como o início de sessão funciona com várias contas, como remover credenciais preenchidas automaticamente ou "pré-preenchimento" no ecrã de início de sessão, como restringir o início de sessão e como simplificar a experiência de início de sessão com o início de sessão sem domínio em dispositivos móveis partilhados e geridos.
Marque este artigo se a sua função envolver conhecer os comportamentos esperados do Microsoft Team durante o início de sessão.
Utilizadores do Microsoft Teams e Windows: recomendações de início de sessão
A Microsoft recomenda que as organizações utilizem versões recentes do Windows 10 com a Associação a Um Domínio Híbrido ou Microsoft Entra configuração de associação. O uso de versões recentes garante que as contas dos usuários sejam preparadas no Gerenciador de Contas da Web do Windows, que por sua vez permite o logon único no Teams e em outros aplicativos da Microsoft. A entrada única fornece uma melhor experiência do usuário (logon silencioso) e uma melhor postura de segurança.
O Microsoft Teams usa autenticação moderna para manter a experiência de inscrição simples e segura. Para ver como os usuários entram no Teams, leia Entrar no Teams.
Como a autenticação moderna (MA) afeta o início de sessão: o que os utilizadores verão quando o MA estiver ativado
A autenticação moderna faz parte de um processo que permite ao Teams saber que os utilizadores já introduziram as respetivas credenciais ( como o respetivo e-mail de trabalho e palavra-passe) noutro local e que não devem ser obrigados a introduzi-las novamente para iniciar a aplicação. A experiência varia consoante alguns fatores, como se os utilizadores estiverem a trabalhar num sistema operativo Windows ou num Mac.
O comportamento de início de sessão também irá variar consoante a sua organização tenha ativado a autenticação de fator único ou a autenticação multifator. A autenticação multifator geralmente envolve a verificação de credenciais por meio de um telefone, fornecendo um código exclusivo, inserindo um PIN ou apresentando uma impressão digital.
A autenticação moderna está disponível para todas as organizações que usam Microsoft Teams. Se os utilizadores não conseguirem concluir o processo, poderá existir um problema subjacente à configuração Microsoft Entra da sua organização. Para obter mais informações, confira Por que estou tendo problemas para entrar no Microsoft Teams?
Eis um resumo do comportamento que os utilizadores podem esperar em cada cenário de autenticação moderna.
Se os utilizadores já iniciarem sessão no Windows ou noutras aplicações do Office com a respetiva conta escolar ou profissional, quando iniciarem o Teams, serão diretamente levados para a aplicação. Não é necessário que eles insiram suas credenciais.
A Microsoft recomenda a utilização Windows 10 versão 1903 ou posterior para obter a melhor experiência de início de sessão único.
Se os utilizadores não tiverem sessão iniciada na respetiva conta escolar ou profissional da Microsoft em qualquer outro lugar, quando iniciam o Teams, é-lhes pedido que forneçam autenticação multifator ou de fator único (SFA ou MFA). Este processo depende do que sua organização decidiu que gostaria que fosse exigido pelo procedimento de entrada.
Se os usuários estiverem conectados a um computador ingressado no domínio, quando iniciarem o Teams, poderão ser solicitados a executar mais uma etapa de autenticação, dependendo se sua organização optou por exigir MFA ou se o computador já exige que o MFA faça logon. Se o computador deles já exigir MFA para entrar, quando eles abrirem o Teams, o aplicativo será iniciado automaticamente.
Em PCs associados a um domínio, quando o SSO não é possível, o Teams pode pré-preenchimento do ecrã de início de sessão com o nome principal de utilizador (UPN). Existem casos em que poderá não querer isto, especialmente se a sua organização utilizar UPNs diferentes no local e no Microsoft Entra ID. Se for esse o caso, pode utilizar a seguinte chave de registo do Windows para desativar a pré-população do UPN:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\Teams
SkipUpnPrefill(REG_DWORD)
0x00000001 (1)Nota
Ignorar ou ignorar o preenchimento do nome de utilizador para nomes de utilizador que terminem em ".local" ou ".corp" está ativado por predefinição, pelo que não precisa de definir uma chave de registo para os desativar.
Início de sessão do Microsoft Teams noutra conta num computador associado a um domínio
Os usuários em um computador Associado a um Domínio podem não conseguir entrar no Microsoft Teams com outra conta no mesmo domínio do Active Directory.
Utilizadores do macOS e pedidos de início de sessão do Microsoft Teams
No macOS, o Teams irá pedir aos utilizadores que introduzam o respetivo nome de utilizador e credenciais e poderá pedir a autenticação multifator consoante as definições da sua organização. Quando os usuários inserem suas credenciais, eles não precisarão fornecê-las novamente. A partir desse ponto em diante, o Teams será iniciado automaticamente sempre que estiverem trabalhando no mesmo computador.
Início de sessão do Microsoft Teams para utilizadores iOS e Android
Ao entrar, os usuários de dispositivos móveis verão uma lista de todas as contas do Microsoft 365 que estão atualmente conectadas ou que já haviam feito login em seus dispositivos. Os usuários podem utilizar qualquer uma das contas para entrar. Há dois cenários para se conectar no celular:
Se a conta selecionada tiver sessão iniciada noutros Office 365 ou aplicações do Microsoft 365, o utilizador será diretamente levado para o Teams. Não há necessidade do usuário inserir suas credenciais.
Se o utilizador não tiver sessão iniciada na respetiva conta do Microsoft 365 em qualquer outro lugar, ser-lhe-á pedido para fornecer autenticação multifator ou de fator único (SFA ou MFA), consoante o que a sua organização configurou para políticas de início de sessão móvel.
Nota
Para que os utilizadores experimentem a experiência de início de sessão, conforme descrito nesta secção, os respetivos dispositivos têm de executar o Teams para iOS versão 2.0.13 (compilação 2020061704) ou posterior, ou o Teams para Android versão 1416/1.0.0.2020061702 ou posterior.
Utilizar o Microsoft Teams com várias contas
O Microsoft Teams para iOS e Android suporta o uso de várias contas corporativas ou estudantes e várias contas pessoais lado a lado. Os aplicativos de área de trabalho do Microsoft Teams oferecerão suporte a uma conta trabalho/escola e uma conta pessoal lado a lado em dezembro de 2020, com suporte para várias contas corporativa/estudante em uma data posterior.
As imagens a seguir mostram como os usuários podem adicionar várias contas nos aplicativos móveis do Microsoft Teams.
Restringir o início de sessão no Microsoft Teams
A organização poderá querer restringir a forma como as aplicações aprovadas pela empresa são utilizadas em dispositivos geridos, por exemplo, para restringir a capacidade dos estudantes ou funcionários de acederem a dados de outras organizações ou utilizarem aplicações aprovadas pela empresa para cenários pessoais. Essas restrições podem ser aplicadas pela configuração de Políticas de Dispositivos que os aplicativos o Microsoft Teams reconhece.
Como restringir o início de sessão do Microsoft Teams em dispositivos móveis
A aplicação Teams para iOS e Android em dispositivos inscritos só pode ser configurada para permitir que uma única conta empresarial seja aprovisionada na aplicação. Esta capacidade funciona com qualquer fornecedor de MDM que utilize o canal de Configuração de Aplicativos Gerido para iOS ou o canal Android Enterprise para Android.
Para os utilizadores inscritos no Microsoft Intune, pode implementar as definições de configuração da conta com o portal Intune.
Uma vez que a definição da configuração da conta tiver sido configurada no provedor de MDM e depois que o usuário registrar seu dispositivo, na página de login, o Teams for iOS e Android mostrará apenas as contas permitidas na página de login do Microsoft Teams. O usuário pode tocar em qualquer uma das contas permitidas nesta página para entrar.
Defina os seguintes parâmetros de configuração no portal do Azure Intune para dispositivos gerenciados.
| Plataforma | Chave | Valor |
|---|---|---|
| iOS | IntuneMAMAllowedAccountsOnly |
Habilitado: a única conta permitida é a conta de usuário gerenciada definida pela chave IntuneMAMUPN. Desativado (ou qualquer valor que não seja sensível a maiúsculas e minúsculas a Ativado): é permitida qualquer conta. |
| iOS | IntuneMAMUPN | UPN da conta que pode entrar no Teams. Para dispositivos registrados do Intune, o token {{userprincipalname}} pode ser usado para representar a conta de usuário registrada. |
| Android | com.microsoft.intune.mam.AllowedAccountUPNs | Somente as contas permitidas são as contas de usuário gerenciadas definidas por essa chave. Um ou mais pontos e vírgulas;] - UPNs delimitados. Para dispositivos registrados do Intune, o token {{userprincipalname}} pode ser usado para representar a conta de usuário registrada. |
Depois que a configuração da instalação da conta for definida, o Teams restringirá a capacidade de entrar, para que somente as contas permitidas nos dispositivos registrados tenham acesso concedido.
Para criar uma política de configuração de aplicativo para dispositivos iOS/iPadOS gerenciados, confira Adicionar políticas de configuração de aplicativo para dispositivos iOS/iPadOS gerenciados.
Para criar uma política de configuração de aplicativo para dispositivos Android gerenciados, confira Adicionar políticas de configuração de aplicativo para dispositivos Android gerenciados.
Como restringir o início de sessão do Teams em dispositivos de ambiente de trabalho
As aplicações do Microsoft Teams no Windows e macOS estão a obter suporte para políticas de dispositivos que restringem o início de sessão na sua organização. As políticas podem ser definidas por meio de soluções usuais de Gerenciamento de Dispositivos, como MDM (Gerenciamento de dispositivos Móveis) ou GPO (Objeto de Política de Grupo).
Quando esta política está configurada num dispositivo, os utilizadores só podem iniciar sessão com contas alojadas num inquilino Microsoft Entra incluído na "Lista de Permissões de Inquilino" definida na política. A política se aplica a todos os logins, incluindo contas iniciais e adicionais. Se a sua organização abranger vários inquilinos Microsoft Entra, pode incluir vários IDs de Inquilino na Lista de Permissões. As ligações para adicionar outra conta podem continuar visíveis na aplicação Teams, mas não serão operáveis.
Nota
- A política apenas restringe os inícios de sessão. Não restringe a capacidade de os utilizadores serem convidados como convidados noutros inquilinos Microsoft Entra ou mudar para os outros inquilinos (onde os utilizadores foram convidados como convidados).
- A política requer o Teams para Windows versão 1.3.00.30866 ou superior e o Teams para macOS versão 1.3.00.30882 (lançado em meados de novembro de 2020).
Políticas para Windows Arquivos de Modelo Administrativo (ADMX/ADML) estão disponíveis no Centro de Download. (o nome descritivo da política no arquivo do modelo administrativo é "Restringir no Teams a entrada de contas de locatários específicos"). Além disso, você pode definir manualmente as chaves no Registro do Windows:
- Nome do valor: RestrictTeamsSignInToAccountsFromTenantList
- Tipo de Valor: Cadeia de Caracteres
- Dados do Valor: ID do Locatário ou lista separada por vírgulas de IDs do Locatário
- Caminho: use um dos seguintes
Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Cloud\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Office\16.0\Teams Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Teams
Exemplo: SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = ID do Locatário ou SOFTWARE\Policies\Microsoft\Office\16.0\Teams\RestrictTeamsSignInToAccountsFromTenantList = ID do Locatário 1, ID do Locatário 2, ID do Locatário 3
Políticas para macOS Para dispositivos gerenciados macOS, use .plist para implantar restrições de login. O perfil de configuração é um arquivo .plist que consiste em entradas identificadas por uma chave (que denota o nome da preferência), seguida por um valor, que depende da natureza da preferência. Os valores podem ser simples (como um valor numérico) ou complexos, como uma lista aninhada de preferências.
- Domínio: com.microsoft.teams
- Chave: RestrictTeamsSignInToAccountsFromTenantList
- Tipo de Dados: Cadeia de Caracteres
- Comentários: introduza uma lista separada por vírgulas de Microsoft Entra ID(s) de inquilino
Início de sessão global e Microsoft Teams
A nossa experiência de início de sessão melhorada em dispositivos partilhados fornece um início de sessão gratuito para Trabalhadores da Linha da Frente. Os funcionários podem escolher um dispositivo do grupo de dispositivos compartilhados e fazer uma única entrada para "torná-la deles" durante todo o período do turno. No final do turno, eles devem ser capazes de fazer o logoff para fazer o logoff globalmente no dispositivo. Consulte Sair do Teams para saber mais. Isto removerá do dispositivo todas as informações pessoais e da empresa para que eles possam devolver o dispositivo ao grupo de dispositivos. Para obter esta capacidade, o dispositivo tem de ser definido no modo partilhado. Certifique-se de que termina qualquer reunião ou chamada ativa no dispositivo antes de terminar sessão.
Android: para saber como configurar dispositivos Android no modo partilhado, consulte Como utilizar um modo de dispositivo partilhado no Android.
iOS: para definir um dispositivo no modo partilhado no iOS, consulte Como utilizar o modo de dispositivo partilhado no iOS. Transfira a aplicação Teams a partir da loja de aplicações assim que o dispositivo estiver definido no modo partilhado.
A experiência de entrada é semelhante à nossa experiência de entrada padrão do Teams.
Simplificar a experiência de início de sessão com o início de sessão sem domínio
Pode simplificar a experiência de início de sessão no Teams para iOS e Android ao pré-encher o nome de domínio no ecrã de início de sessão para utilizadores em dispositivos partilhados e geridos. Os utilizadores iniciam sessão ao introduzir a primeira parte do respetivo UPN (sem o nome de domínio). Por exemplo, se o nome de utilizador for 123456@contoso.com ou adelev@contoso.com, os utilizadores podem iniciar sessão utilizando apenas "123456" ou "adelev", respetivamente, e a respetiva palavra-passe.
Iniciar sessão no Teams é mais rápido e fácil, especialmente para funcionários como trabalhadores de primeira linha em dispositivos partilhados, que iniciam e saem regularmente.
Nota
Para que os utilizadores experimentem a experiência de início de sessão descrita nesta secção, os respetivos dispositivos têm de estar a executar o Teams para iOS versão 6.6.0 ou posterior ou o Teams para Android versão 1416/1.0.0.2024053003 ou posterior.
| Nome | Valor |
|---|---|
| domain_name | Um valor de cadeia que fornece o domínio do inquilino a acrescentar. Utilize um valor delimitado por ponto e vírgula para adicionar vários domínios. |
| enable_numeric_emp_id_keypad | Um valor booleano utilizado para indicar que o ID do funcionário é numérico e que o teclado numérico deve ser ativado para uma entrada fácil. Se o valor não estiver definido, o teclado alfanumérico é aberto. |
O Teams utiliza a configuração de aplicações que funciona com qualquer fornecedor de MDM que utilize o canal de Configuração de Aplicativos Gerido para iOS ou o canal Android Enterprise para Android.
Se estiver a utilizar Microsoft Intune, consulte Gerir experiências de colaboração no Teams para iOS e Android com Microsoft Intune.
Para aplicar a política de configuração da aplicação com API do Graph, veja managedDeviceMobileAppConfiguration resource type (Tipo de recurso managedDeviceMobileAppConfiguration).
Ativar o início de sessão sem domínio para as suas aplicações personalizadas
O início de sessão sem domínio no Teams baseia-se no canal de configuração da aplicação, que é suportado por todos os principais fornecedores de MDM. Todas as aplicações LOB personalizadas ou de terceiros no Android e iOS podem suportar o início de sessão sem domínio, com algum trabalho adicional.
Siga estes passos para implementar o início de sessão sem domínio na sua aplicação:
Configure a chave de configuração da aplicação domain_name para a sua aplicação.
Utilize o Managed Configuração de Aplicativos e o Android na Enterprise para ler a configuração. Eis um exemplo de como ler o valor no código iOS e Android.
iOS:
UserDefaults.standard.object(forKey:"com.apple.configuration.managed")["domain_name"]Android:
appRestrictions.getString("domain_name")Saiba mais sobre como ler e aplicar configurações geridas e configurar e testar a configuração com TestDPC.
Personalize a sua experiência de início de sessão para recolher o nome de utilizador e pré-preenchimento do domain_name adquirido no ecrã. Se estiver a utilizar a Biblioteca de Autenticação da Microsoft (MSAL), pode efetuar a seguinte chamada para adquirir uma mensagem de token a recolher o nome de utilizador no ecrã.
Início de sessão por SMS
A autenticação baseada em SMS permite que os utilizadores iniciem sessão sem fornecer, ou mesmo saber, o respetivo nome de utilizador e palavra-passe. Os utilizadores introduzem o respetivo número de telefone no pedido de início de sessão e recebem um código de autenticação POR SMS que utilizam para concluir o início de sessão. Este método de autenticação simplifica o acesso a aplicações e serviços, especialmente para trabalhadores de primeira linha.
Para saber mais, veja Configurar e ativar os utilizadores para autenticação baseada em SMS com Microsoft Entra ID.
URLs e intervalos de endereços IP para o Microsoft Teams
O Teams exige conectividade com a Internet. Para entender os terminais que devem ser alcançados pelos clientes que usam o Teams em planos do Office 365, Governo e outras nuvens, leia URLs do Office 365 e intervalos de endereços IP.