Autenticação multifator preferencial do sistema - Política de métodos de autenticação
A autenticação multifator preferencial do sistema (MFA) solicita que os usuários entrem usando o método mais seguro registrado. É um importante aprimoramento de segurança para usuários que se autenticam usando os transportes de telecomunicações. Os administradores podem habilitar a MFA preferencial do sistema para melhorar a segurança de entrada e desencorajar métodos de entrada menos seguros, como SMS (Serviço de Mensagens Curtas).
Por exemplo, se um usuário registrou notificações por push do Microsoft Authenticator e SMS como métodos para MFA, a MFA preferencial do sistema solicita que o usuário entre usando o método de notificação por push mais seguro. O usuário ainda pode optar por entrar usando outro método, mas primeiro é solicitado que tente o método mais seguro registrado.
A MFA preferencial do sistema é uma configuração gerenciada pela Microsoft, que é uma política tristate. O valor gerenciado pela Microsoft da MFA preferencial do sistema é Habilitado. Se você não quiser habilitar a MFA preferencial do sistema, altere o estado de Gerenciado pela Microsoft para Desabilitado ou exclua usuários e grupos da política.
Depois que a MFA preferencial do sistema é habilitada, o sistema de autenticação faz todo o trabalho. Os usuários não precisam definir nenhum método de autenticação como padrão, pois o sistema sempre determina e apresenta o método mais seguro registrado.
Habilitar a MFA preferencial do sistema no centro de administração do Microsoft Entra
Por padrão, a MFA preferencial do sistema é Gerenciada pela Microsoft e desativada para todos os usuários.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
Navegue até Proteção>Métodos de autenticação>Configurações.
Para Autenticação multifator preferencial do sistema, escolha se deseja habilitar ou desabilitar explicitamente o recurso e incluir ou excluir usuários. Os grupos excluídos têm precedência sobre os grupos de inclusão.
Por exemplo, a captura de tela a seguir mostra como habilitar explicitamente a MFA preferencial do sistema apenas para o grupo Engenharia.
Depois de concluir as alterações, clique em Salvar.
Habilitar a MFA preferencial do sistema usando APIs do Graph
Para habilitar a MFA preferencial do sistema com antecedência, você precisa escolher um único grupo de destino para a configuração do esquema, conforme mostrado no exemplo de Solicitação.
Propriedades de configuração do recurso do método de autenticação
Por padrão, a MFA preferencial do sistema é gerenciada pela Microsoft e ativada.
| Propriedade | Type | Descrição |
|---|---|---|
| excludeTarget | featureTarget | Uma única entidade que é excluída deste recurso. Você pode excluir apenas um grupo da MFA preferencial do sistema, que pode ser um grupo dinâmico ou aninhado. |
| includeTarget | featureTarget | Uma única entidade que é incluída neste recurso. Você só pode incluir um grupo para MFA preferencial do sistema, que pode ser um grupo dinâmico ou aninhado. |
| Estado | advancedConfigState | Os valores possíveis são: habilitado habilita explicitamente o recurso para o grupo selecionado. desabilitado desabilita explicitamente o recurso para o grupo selecionado. padrão permite que o Microsoft Entra ID gerencie se o recurso está habilitado ou não para o grupo selecionado. |
Propriedades de destino do recurso
A MFA preferencial do sistema pode ser habilitada apenas para um único grupo, que pode ser um grupo dinâmico ou aninhado.
| Propriedade | Type | Descrição |
|---|---|---|
| ID | String | ID da entidade de destino. |
| targetType | featureTargetType | O tipo de entidade de destino, como grupo, função ou unidade administrativa. Os valores possíveis são: 'group', 'administrativeUnit', 'role', 'unknownFutureValue'. |
Use o seguinte terminal de API para habilitar systemCredentialPreferences e incluir ou excluir grupos:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Observação
No Explorador do Graph, você precisa consentir com a permissão Policy.ReadWrite.AuthenticationMethod.
Solicitação
O exemplo a seguir exclui um grupo de destino de amostra e inclui todos os usuários. Para obter mais informações, confira Atualizar authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Perguntas frequentes
Como a MFA preferencial do sistema determina o método mais seguro?
Quando um usuário entra, o processo de autenticação verifica quais métodos de autenticação estão registrados para o usuário. O usuário é solicitado a entrar com o método mais seguro de acordo com a seguinte ordem. A ordem dos métodos de autenticação é dinâmica. Ela é atualizada à medida que o cenário de segurança muda e à medida que surgem melhores métodos de autenticação. Devido a problemas conhecidos com a CBA (autenticação baseada em certificado) e a MFA preferencial do sistema, movemos a CBA para a parte inferior da lista. Clique no link para obter mais informações sobre cada método.
- Senha de Acesso Temporária
- Chave de acesso (FIDO2)
- Notificações do Microsoft Authenticator
- Senhas Avulsas por Tempo Limitado (TOTP)1
- Telefonia2
- Autenticação baseada em certificado
1Inclui hardware ou software com TOTP do Microsoft Authenticator, Authenticator Lite ou aplicativos de terceiros.
2Inclui SMS e chamadas de voz.
Como a MFA preferida pelo sistema afeta a extensão do NPS?
A MFA preferida pelo sistema não afeta os usuários que entram usando a extensão Servidor de Política de Rede (NPS). Esses usuários não veem nenhuma alteração em sua experiência de entrada.
O que acontece com os usuários que não são especificados na política de métodos de autenticação, mas habilitados na política herdada de todo o locatário do MFA?
A MFA preferencial do sistema também se aplica a usuários habilitados para MFA na política de MFA herdada.
