A Microsoft começou a bloquear o funcionamento da aplicação Authenticator em smartphones com jailbreak (iOS) ou root (Android), quando estes são usados para autenticar contas empresariais ou escolares. A medida, confirmada pela empresa em documentação de suporte e no portal de administração do Microsoft 365, está a ser implementada de forma faseada e deverá estar totalmente em vigor até meados de 2026 — sem possibilidade de desativação por parte de utilizadores ou organizações.
O que muda
O Microsoft Authenticator passou a incluir um mecanismo de deteção de dispositivos modificados. Quando a aplicação identifica que o sistema operativo foi alterado — jailbreak num iPhone ou root num Android —, as contas de trabalho ou de escola deixam progressivamente de funcionar nesse equipamento: o utilizador não consegue adicionar novas contas deste tipo nem aprovar autenticações com as já existentes.
Segundo a Microsoft, trata-se de uma funcionalidade de segurança ativada por defeito, que não exige qualquer configuração por parte dos administradores de TI e que não pode ser desligada. O objetivo declarado é impedir que credenciais organizacionais sejam usadas em dispositivos cujas proteções de base foram removidas.
Quem é afetado — e quem não é
Depois de semanas de dúvidas sobre o alcance da medida, a empresa clarificou que o bloqueio se aplica exclusivamente a credenciais do Microsoft Entra — ou seja, contas de trabalho ou de escola usadas para aceder a serviços como Microsoft 365, Teams, Outlook empresarial, SharePoint, Azure ou Intune.
- Afetados: utilizadores que usam o Authenticator para autenticar contas de empresa, escola ou universidade em dispositivos com jailbreak ou root.
- Não afetados: contas Microsoft pessoais (Outlook.com, Hotmail, etc.) e códigos de autenticação de serviços de terceiros guardados na aplicação — como Facebook, Instagram, GitHub ou serviços bancários —, que continuam a funcionar mesmo em dispositivos modificados.
Um rollout em três fases
A implementação, iniciada em fevereiro de 2026, decorre em três fases, com cerca de um mês de intervalo entre cada uma:
- Aviso: a aplicação mostra uma mensagem a informar que o dispositivo está modificado e que, em breve, as contas de trabalho ou escola deixarão de poder ser usadas. O alerta pode ser dispensado, mas permanece visível na página inicial.
- Bloqueio: deixa de ser possível adicionar novas contas empresariais ou escolares e aprovar autenticações no dispositivo afetado.
- Remoção: as credenciais Entra existentes são eliminadas da aplicação nesse dispositivo, ficando o acesso definitivamente vedado até o utilizador mudar para um equipamento não modificado.
A conclusão do processo está prevista para meados de 2026, com as últimas alterações a chegarem aos utilizadores até ao final de julho.
Como funciona a deteção
No Android, o Authenticator recorre à Play Integrity API da Google, que verifica sinais de root, bootloaders desbloqueados, partições de sistema alteradas e a presença de ferramentas de gestão de root. No iOS, a aplicação procura artefactos típicos de jailbreak, como modificações no sistema de ficheiros, fugas à sandbox ou repositórios não autorizados.
O que fazer se for afetado
Quem receber o aviso tem duas opções: repor o dispositivo no estado original — removendo o root ou o jailbreak e regressando ao firmware oficial — ou transferir o registo de autenticação multifator para outro equipamento não modificado. As organizações devem garantir que os utilizadores têm métodos de autenticação alternativos registados, para evitar que alguém descubra a restrição apenas no momento em que um início de sessão falha.
Porque é que isto importa
Dispositivos com root ou jailbreak perdem parte das proteções do sistema operativo, o que os torna mais expostos a malware, roubo de credenciais e acessos não autorizados — um risco acrescido quando servem de segundo fator de autenticação para contas organizacionais. A decisão da Microsoft insere-se numa tendência mais ampla de ligar a identidade digital à integridade do dispositivo, tratando o smartphone como parte do perímetro de segurança da organização.
Para as organizações portuguesas, a mudança reforça uma prática que o CNCS há muito recomenda — a autenticação multifator — e alinha-se com as exigências de gestão de acessos e de segurança das redes previstas no Regime Jurídico da Cibersegurança (Decreto-Lei n.º 125/2025, que transpõe a diretiva NIS2). As equipas de TI devem antecipar o impacto em colaboradores com dispositivos modificados e planear a migração da autenticação antes da fase de bloqueio total.
Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Microsoft e por meios especializados internacionais.
