Compartilhar via


Quais métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?

A Microsoft recomenda métodos de autenticação sem senha, como Windows Hello, chave de acesso (FIDO2) e o aplicativo Microsoft Authenticator porque eles oferecem a experiência de entrada mais segura. Embora um usuário possa entrar usando outros métodos comuns, como nome de usuário e senha, as senhas devem ser substituídas por métodos de autenticação mais seguros.

Ilustração dos pontos fortes e dos métodos de autenticação preferenciais no Microsoft Entra ID.

A autenticação multifator do Microsoft Entra fornece uma camada a mais de segurança quando comparada ao simples uso de uma senha para o logon do usuário. O usuário pode ser solicitado a obter outras formas de autenticação, como responder a uma notificação por push, inserir um código de um token de software ou hardware ou responder a uma mensagem de texto ou chamada telefônica.

Para simplificar a experiência de integração do usuário e registrar tanto na MFA quanto na SSPR (redefinição de senha por autoatendimento), recomenda-se habilitar o registro combinado de informações de segurança. Para obter resiliência, recomenda-se exigir dos usuários o registro de diversos métodos de autenticação. Quando um método não estiver disponível para um usuário durante o logon ou a SSPR, ele poderá autenticar-se com outro. Para obter mais informações, veja Criar uma estratégia resiliente de gerenciamento de controle de acesso no Microsoft Entra ID.

Como funciona cada método de autenticação

Alguns métodos de autenticação podem ser usados como o fator primário ao entrar em um aplicativo ou dispositivo, como o uso de uma chave de segurança FIDO2 ou de uma senha. Outros métodos de autenticação só estão disponíveis como fator secundário quando você deve usar a autenticação multifator do Microsoft Entra ou o SSPR.

A tabela a seguir descreve quando um método de autenticação pode ser usado durante um evento de entrada:

Método Autenticação primária Autenticação secundária
Windows Hello for Business Sim MFA*
Push do Microsoft Authenticator Não MFA e o SSPR
Microsoft Authenticator sem senha Sim Não*
Chave de acesso do Microsoft Authenticator Sim MFA
Authenticator Lite Não MFA
Chave de acesso (FIDO2) Yes MFA
Autenticação baseada em certificado Sim MFA
Tokens de hardware OATH (versão prévia) Não MFA e o SSPR
Tokens OATH de software Não MFA e o SSPR
Métodos de autenticação externa (versão prévia) Não MFA
Aprovação de Acesso Temporário (TAP) Sim MFA
Texto Sim MFA e o SSPR
Chamada de voz Não MFA e o SSPR
Senha Sim Não

* Windows Hello para Empresas, por si só, não serve como uma credencial de MFA step-up. Por exemplo, um desafio de MFA da frequência de entrada ou solicitação SAML que contém forceAuthn=true. O Windows Hello para Empresas pode servir como uma credencial de MFA de step-up sendo usada na autenticação FIDO2. Isso exige que os usuários sejam registrados para que a autenticação FIDO2 funcione com êxito.

* A entrada sem senha só poderá ser usada para autenticação secundária se a autenticação baseada em certificado (CBA) for usada para autenticação primária. Para obter mais informações, confira Aprofundamento técnico da autenticação baseada em certificado do Microsoft Entra.

Todos esses métodos de autenticação podem ser configurados no centro de administração do Microsoft Entra e, cada vez mais, por meio da API REST do Microsoft Graph.

Para saber mais sobre como funciona cada método de autenticação, confira os seguintes artigos conceituais:

Observação

No Microsoft Entra ID, uma senha geralmente é um dos métodos de autenticação primária. Não é possível desabilitar o método de autenticação de senha. Ao usar uma senha como o fator de autenticação primário, aumente a segurança de eventos de entrada com a autenticação multifator do Microsoft Entra.

Esses outros métodos de verificação podem ser usados em determinados cenários:

  • Senhas de aplicativo – são usadas para aplicativos antigos que não são compatíveis com a autenticação moderna e podem ser configuradas para a autenticação multifator do Microsoft Entra por usuário.
  • Perguntas de segurança – usadas somente para a SSPR
  • Endereço de email – usado somente para a SSPR

Métodos utilizáveis e não utilizáveis

Os administradores podem ver os métodos de autenticação do usuário no centro de administração do Microsoft Entra. Os métodos utilizáveis estão listados primeiro, seguidos por métodos não-utilizáveis.

Cada método de autenticação pode se tornar não-utilizável por motivos diferentes. Por exemplo, uma Senha de Acesso Temporária pode expirar ou a chave de segurança FIDO2 pode falhar no atestado. O portal é atualizado para fornecer o motivo pelo qual o método não é utilizável.

Os métodos de autenticação que não estão mais disponíveis devido a Exigir novo registro de autenticação multifator também aparecem aqui.

Captura de tela de métodos de autenticação não-utilizáveis.

Para começar, confira o tutorial da SSPR (redefinição de senha self-service) e a autenticação multifator do Microsoft Entra.

Para saber mais sobre os conceitos da SSPR, confira Como funciona a redefinição de senha self-service do Microsoft Entra.

Para saber mais sobre os conceitos da MFA, confira Como funciona a autenticação multifator do Microsoft Entra.

Saiba mais sobre a configuração de métodos de autenticação usando a API REST do Microsoft Graph.

Para examinar quais métodos de autenticação estão em uso, confira análise do método de autenticação da autenticação multifator do Microsoft Entra com o PowerShell.