O que é o login único da Microsoft para Linux?

O login único (SSO) da Microsoft para Linux é alimentado pelo Microsoft Identity Broker, um componente de software que integra dispositivos Linux com o Microsoft Entra ID. Esta solução permite aos utilizadores autenticar-se uma vez com as suas credenciais Microsoft Entra ID e aceder a múltiplas aplicações e recursos sem repetidos pedidos de autenticação. A funcionalidade simplifica o processo de início de sessão para os utilizadores e reduz a sobrecarga de gestão de palavras-passe para os administradores.

Features

Esse recurso permite que os usuários em clientes de desktop Linux registrem seus dispositivos com a ID do Microsoft Entra, se inscrevam no gerenciamento do Intune e satisfaçam as políticas de Acesso Condicional baseadas em dispositivos ao acessar seus recursos corporativos.

Fornece registo e inscrição Microsoft Entra ID para desktops Linux
Fornece capacidades SSO para aplicações nativas e web (por exemplo, Azure CLI, Microsoft Edge, Teams PWA) para aceder a recursos protegidos do Microsoft 365 e Azure
Fornece SSO para contas Microsoft Entra em aplicações que utilizam MSAL para .NET ou MSAL para Python, permitindo que os clientes utilizem a Microsoft Authentication Library (MSAL) para integrar SSO em aplicações personalizadas
Habilita políticas de Acesso Condicional que protegem aplicativos Web por meio do Microsoft Edge
Permite políticas de conformidade padrão do Intune
Habilita o suporte para scripts Bash para políticas de conformidade personalizadas

A aplicação web Teams e uma Progressive Web App (PWA) para Linux utilizam a configuração de Acesso Condicional aplicada através do Microsoft Intune para permitir que utilizadores Linux acedam ao Teams usando o Microsoft Edge.

Pré-requisitos

Sistemas Operativos Suportados

O início de sessão único da Microsoft para Linux é suportado nos seguintes sistemas operativos (físicos ou computadores Hyper-V com CPUs x86/64):

Ubuntu Desktop 24.04 LTS (Suporte a Longo Prazo)
Ubuntu Desktop 22.04 LTS (Suporte a Longo Prazo)
Red Hat Enterprise Linux 8 (Suporte a Longo Prazo)
Red Hat Enterprise Linux 9 (Suporte a Longo Prazo)

Requisitos do sistema

Conectividade à Internet para instalação de pacotes e comunicação com ID Microsoft Entra
Privilégios administrativos para a instalação
Ambiente de trabalho (GNOME, KDE ou similar)

Requisitos do ID Microsoft Entra

Inquilino do Microsoft Entra ID
Contas de utilizador sincronizadas ou criadas no Microsoft Entra ID
Licenciamento apropriado para políticas de acesso condicional (se aplicável)

Experiência em SSO

A animação seguinte mostra a experiência de início de sessão para fluxos intermediados no Linux.

Autenticação por palavra-passe
MFA resistente a ataques de phishing

Usar autenticação por palavra-passe no Linux, como mostrado na animação seguinte.

Demonstração da experiência de login Linux com PRMFA.

Observação

microsoft-identity-broker a versão 2.0.1 e versões anteriores não suportam atualmente conformidade com FIPS.

Installation

Execute os seguintes comandos em uma linha de comando para instalar manualmente o logon único da Microsoft (microsoft-identity-broker) e suas dependências no dispositivo.

Instalar o Curl.
```
sudo apt install curl gpg
```

Instale a chave de assinatura do pacote Microsoft.

curl https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor > microsoft.gpg
sudo install -o root -g root -m 644 microsoft.gpg /usr/share/keyrings
rm microsoft.gpg

Adicione e atualize o Microsoft Linux Repository à lista de repositórios do sistema.

sudo sh -c 'echo "deb [arch=amd64 signed-by=/usr/share/keyrings/microsoft.gpg] https://packages.microsoft.com/ubuntu/$(lsb_release -rs)/prod $(lsb_release -cs) main" >> /etc/apt/sources.list.d/microsoft-ubuntu-$(lsb_release -cs)-prod.list'
sudo apt update

Instala a aplicação Microsoft single log-on (microsoft-identity-broker).
```
sudo apt install microsoft-identity-broker
```
Reinicie o dispositivo.

É um pré-requisito potencial dependendo da configuração do teu sistema.

# This fixes gpg key issues
sudo dnf update redhat-release

# Update to the latest release
sudo dnf upgrade -y

# RHEL 10 does not ship `webkitgtk6.0` in its default repos. You must enable EPEL first:
sudo dnf install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-10.noarch.rpm

Adicione o repositório da Microsoft.

sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
sudo dnf install -y dnf-plugins-core
sudo dnf config-manager --add-repo https://packages.microsoft.com/yumrepos/microsoft-rhel$(rpm -E %rhel).0-prod

Instala a aplicação Microsoft single log-on (microsoft-identity-broker).
```
sudo dnf install microsoft-identity-broker
```
Instala a aplicação Microsoft single log-on (microsoft-identity-broker).
```
sudo dnf update
sudo dnf install microsoft-identity-broker
```
Reinicie o dispositivo.

Potenciais pré-requisitos dependendo da configuração do teu sistema.

# This fixes any gpg key issues
sudo dnf update redhat-release

# Update to the latest release
sudo dnf upgrade -y

# RHEL 10 does not ship `webkitgtk6.0` in its default repos. You must enable EPEL first:
sudo dnf install -y https://dl.fedoraproject.org/pub/epel/epel-release-latest-10.noarch.rpm

Instala a chave de assinatura do pacote de produção da Microsoft. Os pacotes RHEL 10 são assinados com uma chave Microsoft GPG mais recente (RSA-4096), diferente da microsoft.asc chave usada para RHEL 8/9.

# Legacy key (needed for Edge)
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

# New key for RHEL 10 packages
sudo rpm --import https://packages.microsoft.com/rhel/10/prod/repodata/repomd.xml.key

Depois, adicione o repositório criando um novo ficheiro de repositório abaixo /etc/yum.repos.d/ com o seguinte conteúdo:

sudo tee /etc/yum.repos.d/microsoft-prod.repo > /dev/null <<EOF
[microsoft-prod]
name=Microsoft prod - RHEL 10
baseurl=https://packages.microsoft.com/rhel/10/prod
enabled=1
gpgcheck=1
gpgkey=https://packages.microsoft.com/rhel/10/prod/repodata/repomd.xml.key
EOF

Atualizar o Microsoft Identity Broker

Execute os seguintes comandos para atualizar manualmente o Microsoft Identity Broker.

Ubuntu
Red Hat Enterprise Linux

Atualize o repositório de pacotes e os metadados.
```
sudo apt update
```

Atualize o pacote Microsoft Identity Broker.

sudo apt upgrade microsoft-identity-broker

Execute um dos seguintes comandos para atualizar o Microsoft Identity Broker.

Atualização para a versão mais recente, que inclui o pacote Microsoft Identity Broker mais recente.
```
sudo dnf update
```
Atualize apenas o pacote Microsoft Identity Broker.
```
sudo dnf update microsoft-identity-broker
```

Desinstalar o Microsoft Identity Broker

Execute os seguintes comandos para desinstalar o Microsoft Identity Broker e remover os dados de configuração local.

Ubuntu
Red Hat Enterprise Linux

Remova o Microsoft Identity Broker do seu sistema.
```
sudo apt remove microsoft-identity-broker
```

Remova os dados de configuração local.

sudo apt purge intune-portal
sudo apt purge microsoft-identity-broker

Execute os seguintes comandos para desinstalar o Microsoft Identity Broker e remover os dados de registo local no Red Hat Enterprise Linux.

Remova o pacote Microsoft Identity Broker.

sudo dnf remove microsoft-identity-broker

Remova os dados de registro locais.

sudo rm -rf /var/opt/microsoft/identity-broker
sudo rm -rf /etc/opt/microsoft/identity-broker
sudo rm -rf /opt/microsoft/identity-broker

Advertência

Note que desinstalar o Microsoft Identity Broker não desregista automaticamente o seu dispositivo do Microsoft Entra ID, nem o desinscrive da gestão do Intune. Para remover o registo do dispositivo, pode usar a ferramenta dsregcmd ou remover o dispositivo do portal Microsoft Entra ID.

Desregistar dispositivo usando dsregc

Com o lançamento da versão 2.5.x do microsoft-identity-broker, incluímos uma nova ferramenta dsreg chamada ferramenta que lhe permite gerir o registo do seu dispositivo com o Microsoft Entra ID.

Para desregistar o seu dispositivo do Microsoft Entra ID utilizando a ferramenta dsreg, execute o seguinte comando no seu terminal, substituindo <tenant-guid> pelo seu GUID de tenant do Microsoft Entra ID:

sudo dsreg --tenant-id <tenant-guid> --unregister

Se o seu sistema ficar em mau estado e quiser limpar todos os dados de registo local e o material-chave, pode usar a --cleanup opção com a dsreg ferramenta. Este modo utilitário é útil em cenários em que se pretende garantir que todos os vestígios locais do Microsoft Identity Broker são removidos do dispositivo, como durante a resolução de problemas ou a preparação do dispositivo para um novo utilizador.

Para desregistar e remover qualquer material-chave usando a ferramenta dsreg, execute o seguinte comando no seu terminal:

# Clean broker state including certificates (requires sudo)
sudo dsreg --cleanup

Advertência

A --cleanup opção é irreversível e remove todo o material chave do dispositivo. Use com cautela.

Ativação Phish-Resistant MFA (PRMFA) em dispositivos Linux

A partir da versão 2.0.2 do microsoft-identity-broker, Phish-Resistant MFA (PRMFA) é suportado em dispositivos Linux que utilizam:

Cartão Inteligente
Autenticação baseada em certificado (CBA)
Tokens USB com um applet de PIV/Smartcard

A integração do Cartão Inteligente é suportada apenas nas seguintes distribuições:

Ubuntu Desktop 24.04 LTS (Suporte a Longo Prazo)
Ubuntu Desktop 22.04 LTS (Suporte a Longo Prazo)
Red Hat Enterprise Linux 10 (Suporte a Longo Prazo)

A autenticação de cliente baseada em certificados é implementada através do protocolo Secure Sockets Layer (TLS/SSL). Neste processo, o cliente assina um bloco de dados gerado aleatoriamente com a sua chave privada e depois transmite tanto o certificado como os dados assinados para o servidor. O servidor verifica a assinatura e valida o certificado antes de conceder o acesso.

A forma mais fácil de configurar Certificate-Based Autenticação (CBA) é usar uma solução de Infraestrutura de Chave Privada (PKI) que emite certificados de utilizador para dispositivos Linux. Estes certificados podem então ser usados para autenticação contra o Microsoft Entra ID. Para configurar o Linux para aceitar estes certificados para autenticação, normalmente é necessário configurar os depósitos de certificados apropriados e garantir que os mecanismos de autenticação do sistema estão configurados para usar estes certificados.

Autenticação de cartão inteligente

A autenticação por cartão inteligente estende os métodos baseados em certificados ao introduzir um token físico que armazena certificados de utilizador. Quando o cartão é inserido num leitor, o sistema recupera os certificados e realiza a validação.

Configurar o suporte a SmartCard envolve configurar as bibliotecas e módulos necessários para permitir a autenticação baseada em certificados usando tokens físicos. Existem várias soluções de SmartCard disponíveis, como o YubiKey, que pode ser integrado com várias distribuições Linux. Para instruções nas duas plataformas suportadas, consulte a documentação de distribuição:

Exemplo de configuração de Cartão Inteligente

Os passos seguintes configuram um exemplo de referência de utilização da integração da ponte YubiKey/Edge, mas outros fornecedores de cartões inteligentes podem ser configurados de forma semelhante. Esta é apenas uma configuração de exemplo e a sua configuração pode variar consoante o fornecedor. Consulte a documentação do fornecedor do seu cartão inteligente para instruções de configuração específicas.

Ubuntu
RHEL 10

Instalar os drivers de Smart Card e o suporte para YubiKey:
```
sudo apt install pcscd yubikey-manager
```

Instale componentes YubiKey/Edge Bridge:

sudo apt install opensc libnss3-tools openssl

Configurar a base de dados do Serviço de Segurança de Rede (NSS) para o utilizador atual:

mkdir -p $HOME/.pki/nssdb
chmod 700 $HOME/.pki
chmod 700 $HOME/.pki/nssdb
modutil -force -create -dbdir sql:$HOME/.pki/nssdb
modutil -force -dbdir sql:$HOME/.pki/nssdb -add 'SC Module' -libfile /usr/lib/x86_64-linux-gnu/pkcs11/opensc-pkcs11.so

Instalar suporte para controladores de Smart Card. Nota: a maioria destes pacotes provavelmente já está instalada como dependências do microsoft-identity-broker, mas caso não esteja, pode instalá-los com o seguinte comando:
```
sudo dnf install -y pcsc-lite pcsc-lite-libs opensc nss-tools p11-kit p11-kit-devel
```
Permitir que o serviço pcscd leia cartões inteligentes do leitor e inicialize a base de dados do Serviço de Segurança de Rede (NSS) para o utilizador atual:
```
sudo systemctl enable --now pcscd

mkdir -p $HOME/.pki/nssdb
certutil -d sql:$HOME/.pki/nssdb -N --empty-password
```

Para obter mais informações, consulte a seguinte documentação do Intune:

Comentários

Esta página foi útil?

Last updated on 2026-03-31