Editar

Compartilhar via


Perguntas frequentes sobre a autenticação multifator do Microsoft Entra

Essas perguntas frequentes respondem a perguntas comuns sobre a autenticação multifator do Microsoft Entra e o uso do serviço de autenticação multifator. Ele é dividido em perguntas sobre o serviço em geral, modelos, experiências do usuário, de cobrança e solução de problemas.

Importante

Em setembro de 2022, a Microsoft anunciou a substituição do Servidor de Autenticação Multifator. A partir de 30 de setembro de 2024, as implantações do Servidor de Autenticação Multifator não atenderão mais às solicitações de autenticação multifator, o que pode fazer com que as autenticações falhem para sua organização. Para garantir serviços de autenticação ininterruptos e permanecer em um estado com suporte, as organizações devem migrar os dados de autenticação de seus usuários para o serviço de autenticação multifator do Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização mais recente do Servidor da MFA. Para obter mais informações, confira Migração do Servidor MFA.

Geral

Como o Servidor de Autenticação Multifator do Azure manipula os dados do usuário?

Com o Servidor de Autenticação Multifator, os dados do usuário são armazenados apenas nos servidores locais. Nenhum dado de usuário persistente é armazenado na nuvem. Quando o usuário executa a verificação em duas etapas, o Servidor de Autenticação Multifator envia dados para o serviço de nuvem de autenticação multifator do Microsoft Entra para autenticação. A comunicação entre o Servidor de Autenticação Multifator e o serviço de nuvem de autenticação multifator usa SSL (Secure Sockets Layer) ou TLS (Transport Layer Security) na porta 443 de saída.

Quando solicitações de autenticação são enviadas ao serviço de nuvem, dados são coletados para relatórios de autenticação e uso. Os campos de dados a seguir estão incluídos em logs de verificação em duas etapas:

  • ID exclusiva (nome de usuário ou ID do Servidor de Autenticação Multifator local)
  • Nome e Sobrenome (opcional)
  • Endereço de Email (opcional)
  • Número de telefone (ao usar uma chamada de voz ou autenticação de mensagem de texto)
  • Token de Dispositivo (ao usar a autenticação de aplicativos móveis)
  • Modo de Autenticação
  • Resultado da autenticação
  • nome do servidor de autenticação multifator
  • ip do servidor de autenticação multifator
  • IP do Cliente (se disponível)

Os campos opcionais podem ser configurados no Servidor de Autenticação Multifator.

O resultado de verificação (sucesso ou negação) e o motivo se ele foi negado, é armazenado com os dados de autenticação. Esses dados estão disponíveis em relatórios de uso e de autenticação.

Para obter mais informações, confira Residência de dados e dados do cliente para a autenticação multifator do Microsoft Entra.

Quais códigos curtos são usados para enviar mensagens de texto aos meus usuários?

Nos Estados Unidos, usamos os seguintes códigos curtos:

  • 97671
  • 69829
  • 51789
  • 99399

No Canadá, usamos os seguintes códigos curtos:

  • 759731
  • 673801

Não há garantia de uma entrega contínua de prompt de autenticação multifator com base em voz ou mensagem de texto pelo mesmo número. Pensando no melhor para nossos usuários, podemos adicionar ou remover códigos curtos a qualquer momento, pois fazemos ajustes de rota para melhorar a capacidade de entrega de SMS.

Não damos suporte a códigos curtos para países ou regiões além dos Estados Unidos e do Canadá.

A autenticação multifator do Microsoft Entra limita as entradas do usuário?

Sim, em certos casos que normalmente envolvem solicitações de autenticação repetidas em um curto período de tempo, a autenticação multifator do Microsoft Entra limita as tentativas de entrada do usuário de proteger redes de telecomunicações, atenuar ataques no estilo de fadiga da MFA e proteger seus próprios sistemas em benefício de todos os clientes.

Embora não compartilhemos limites de limitação específicos, eles são baseados em uso razoável.

A minha organização é cobrada por enviar as mensagens de texto e realizar as chamadas telefônicas usadas para autenticação?

Não, você não é cobrado por ligações individuais realizadas ou mensagens de texto enviadas aos usuários por meio da autenticação multifator do Microsoft Entra. Se usar um provedor MFA por autenticação, você será cobrado para cada autenticação, mas não para o método usado.

Os usuários podem ser cobrados por chamadas telefônicas ou mensagens de texto recebidas, de acordo com seu serviço de telefone pessoal.

O modelo de cobrança por usuário me cobra por todos os usuários habilitados ou somente pelos que executaram a verificação em duas etapas?

A cobrança tem como base o número de usuários configurados para usar a autenticação multifator, independentemente deles terem executado uma verificação de duas etapas naquele mês.

Como funciona a cobrança de autenticação multifator?

Quando você cria um provedor MFA por usuário ou por autenticação, a assinatura do Azure da sua organização é cobrada mensalmente com base no uso. Esse modelo de cobrança é semelhante às listas como o Azure para uso de máquinas virtuais e Aplicativos Web.

Quando você compra uma assinatura da autenticação multifator do Microsoft Entra, sua organização só paga o valor anual de licença para cada usuário. As licenças da MFA e os pacotes do Microsoft 365, do Microsoft Entra ID P1 ou P2 ou do Enterprise Mobility + Security são cobrados dessa forma.

Para obter mais informações, consulte Como obter a autenticação multifator do Microsoft Entra.

Existe uma versão gratuita de autenticação multifator do Microsoft Entra?

Os padrões de segurança podem ser habilitados na Camada gratuita do Microsoft Entra ID. Com os padrões de segurança, todos os usuários são habilitados para autenticação multifator usando o aplicativo do Microsoft Authenticator. Não há a possibilidade de usar a verificação por telefone ou mensagem de texto com padrões de segurança, apenas o aplicativo Microsoft Authenticator.

Para obter mais informações, leia O que são padrões de segurança?

Minha organização pode alternar entre os modelos de cobrança de consumo por usuário e por autenticação a qualquer momento?

Se sua organização adquirir o MFA como um serviço autônomo de cobrança com base em consumo, escolha um modelo de cobrança ao criar um provedor MFA. Depois que um provedor MFA for criado, você não poderá alterar o modelo de cobrança.

Se o provedor de MFA não estiver vinculado a um locatário do Microsoft Entra, ou se você vincular o novo provedor de MFA a um locatário diferente do Microsoft Entra, as opções de definições e configuração de usuário não serão transferidas. Além disso, os servidores MFA existentes precisarão ser reativados usando as credenciais de ativação geradas por meio do novo provedor de MFA. Reativar os servidores MFA para vinculá-los ao novo Provedor de MFA não afeta a autenticação de chamadas telefônicas e mensagens de texto, mas as notificações de aplicativo móvel param de funcionar para todos os usuários até que eles reativam o aplicativo móvel.

Saiba mais sobre provedores de MFA em Introdução a um provedor de autenticação multifator do Azure.

Minha organização pode trocar alternar entre a cobrança baseada no consumo e assinaturas (um modelo baseado em licença) a qualquer momento?

Em alguns casos, sim.

Se o seu diretório tiver um provedor de autenticação multifator do Microsoft Entra por usuário, você pode adicionar licenças do MFA. Os usuários com licenças não são somados na cobrança baseada em consumo por usuário. Os usuários sem licenças ainda podem ser habilitados para MFA através do provedor MFA. Se você comprar e atribuir licenças para todos os usuários configurados usarem a autenticação multifator, será possível excluir o provedor de autenticação multifator do Microsoft Entra. Você sempre pode criar outro provedor MFA por usuário, se você tiver mais usuários do que licenças no futuro.

Se o diretório tiver um provedor de autenticação multifator do Microsoft Entra por autenticação, você será cobrado sempre por cada autenticação, desde que o provedor de MFA esteja vinculado à sua assinatura. Você pode atribuir licenças MFA para os usuários, mas você ainda será cobrado para cada solicitação de verificação em duas etapas, se se trata de uma pessoa com uma licença MFA atribuída ou não.

Minha organização precisa usar e sincronizar identidades para usar a autenticação multifator do Microsoft Entra?

Se a sua organização usa um modelo de cobrança baseado em consumo, o Microsoft Entra ID é opcional, mas não é necessário. Se o provedor de MFA não estiver vinculado a um locatário do Microsoft Entra, você só poderá implantar o Servidor de Autenticação Multifator do Azure localmente.

O Microsoft Entra ID é necessário para o modelo de licença porque as licenças são adicionadas ao locatário do Microsoft Entra quando você compra e as atribui aos usuários no diretório.

Gerenciar e dar suporte a contas de usuário

O que devo dizer para meus usuários fazerem se eles não receberem uma resposta no telefone deles?

Peça para os usuários tentarem até cinco vezes em cinco minutos para receberem uma chamada telefônica ou mensagem de texto para autenticação. A Microsoft usa vários provedores para entregar mensagens de texto e chamadas. Se essa abordagem não funcionar, abra um caso de suporte para solucionar problemas posteriormente.

Os aplicativos de segurança de terceiros também podem bloquear a mensagem de texto do código de verificação ou a chamada telefônica. Se estiver usando um aplicativo de segurança de terceiros, tente desabilitar a proteção e, em seguida, solicite o envio de outro código de verificação de MFA.

Se as etapas anteriores não funcionarem, verifique se os usuários estão configurados para mais de um método de verificação. Tente entrar novamente, mas selecione um método de verificação diferente na página de entrada.

Para obter mais informações, confira o guia de solução de problemas do usuário final.

O que devo fazer se um dos meus usuários não conseguir acessar a própria conta?

Você pode redefinir a conta do usuário fazendo com que ele refaça o processo de registro. Saiba mais sobre Como gerenciar configurações de usuário e dispositivo com a autenticação multifator na nuvem do Microsoft Entra.

O que devo fazer se um dos meus usuários perder um telefone que está usando senhas de aplicativo?

Para evitar acesso não autorizado, exclua as senhas do todos os usuários aplicativo. Depois que o usuário tiver outro dispositivo, ele poderá recriar as senhas. Saiba mais sobre Como gerenciar configurações de usuário e dispositivo com a autenticação multifator na nuvem do Microsoft Entra.

E se um usuário não conseguir entrar em aplicativos nonbrowser?

Se sua organização usa ainda clientes herdados e você permitido o uso de senhas de aplicativo, em seguida, os usuários não conseguem entrar nesses clientes herdados com seu nome de usuário e senha. Em vez disso, eles precisam configurar senhas de aplicativo. Os usuários devem limpar (excluir) suas informações de logon, reinicie o aplicativo e entre com seu nome de usuário e senha de aplicativo em vez de regulares de senha.

Se a sua organização não tiver clientes herdados, você não deverá permitir que os usuários criem senhas de aplicativo.

Observação

Autenticação moderna para clientes do Office 2013

Senhas de aplicativo são necessárias apenas para aplicativos que não suportam autenticação moderna. Clientes do Office 2013 oferece suporte aos protocolos de autenticação moderna, mas precisam ser configurados. A autenticação moderna está disponível para qualquer cliente que execute a atualização de março de 2015 ou posterior para o Office 2013. Para obter mais informações, consulte a postagem no blog Autenticação moderna do Office 365 atualizada.

Meus usuários dizem que, às vezes, não recebem a mensagem de texto ou que a verificação atinge o tempo limite.

A entrega de mensagens de texto não é garantida, pois há fatores incontroláveis que podem afetar a confiabilidade do serviço. Esses fatores incluem a região ou o país de destino, a operadora de celular e a intensidade do sinal.

Os aplicativos de segurança de terceiros também podem bloquear a mensagem de texto do código de verificação ou a chamada telefônica. Se estiver usando um aplicativo de segurança de terceiros, tente desabilitar a proteção e, em seguida, solicite o envio de outro código de verificação de MFA.

Se os usuários geralmente têm problemas de forma segura, receber mensagens de texto, informe ao usar o método de chamada telefônica ou o aplicativo Microsoft Authenticator. O Microsoft Authenticator pode receber notificações em conexões de Wi-Fi e celular. Além disso, o aplicativo móvel pode gerar códigos de verificação mesmo quando o dispositivo não tem sinal. O aplicativo Microsoft Authenticator está disponível para Android, iOS e Windows Phone.

Posso alterar a quantidade de tempo que meus usuários precisam inserir o código de verificação de uma mensagem de texto antes do sistema expira?

Em alguns casos, Sim.

Para o SMS unidirecional com o Servidor MFA v7.0 ou posterior, você pode configurar o tempo limite de configuração definindo uma chave do registro. Depois que o serviço de nuvem MFA envia a mensagem de texto, o código de verificação (ou a senha de uso único) é retornada para o Servidor MFA. O Servidor MFA armazena o código na memória para 300 segundos por padrão. Se o usuário insere seu código depois de 300 segundos, a autenticação será negada. Siga estas etapas para alterar a configuração de tempo limite padrão:

  1. Ir para HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
  2. Crie uma chave de registro DWORD chamada pfsvc_pendingSmsTimeoutSeconds e defina o tempo em segundos que você deseja que o servidor MFA armazene senhas de uso único.

Dica

Se você tiver vários Servidores MFA, apenas aquele que processam a solicitação de autenticação original sabem o código de verificação que foi enviado ao usuário. Quando o usuário insere o código, a solicitação de autenticação para validação deve ser enviada para o mesmo servidor. Se a validação de código é enviada para um servidor diferente, a autenticação será negada.

Se os usuários não responderem ao SMS dentro do período de tempo limite definido, a autenticação será negada.

Para SMS unidirecional com a autenticação multifator do Microsoft Entra na nuvem (incluindo o adaptador do AD FS ou a extensão do Servidor de Política de Rede), você não pode definir a configuração de tempo limite. O Microsoft Entra ID armazena o código de verificação por 180 segundos.

Posso usar tokens de hardware com o Servidor de Autenticação Multifator?

Se você estiver usando o Servidor de Autenticação Multifator, poderá importar tokens DE SENHA (TOTP) baseados em tempo de autenticação aberta (OATH) de terceiros e usá-los para verificação em duas etapas.

Você pode usar tokens ActiveIdentity que são tokens OATH TOTP se você colocar a chave secreta em um arquivo CSV e importar para o Servidor de Autenticação Multifator. É possível usar tokens OATH com os Serviços de Federação do Active Directory (ADFS), a autenticação baseada em formulários do Servidor de Informações da Internet (IIS) e o serviço RADIUS, quando o sistema cliente aceita entradas do usuário.

Você pode importar tokens OATH TOTP de terceiros com os seguintes formatos:

  • PSKC (Contêiner Portátil de Chave Simétrica)
  • CSV se o arquivo contiver um número de série, uma chave secreta no formato de Base 32 e um intervalo de tempo

Posso usar o Servidor de Autenticação Multifator para proteger os Serviços de Terminal?

Sim, mas se estiver usando o Windows Server 2012 R2 ou posterior apenas, você poderá proteger os Serviços de Terminal usando o Gateway de Área de Trabalho Remota (Gateway RD).

As alterações de segurança no Windows Server 2012 R2 alteraram a forma como o Servidor de Autenticação Multifator se conecta ao pacote de segurança LSA (Autoridade de Segurança Local) no Windows Server 2012 e versões anteriores. Para versões dos Serviços de Terminal no Windows Server 2012 ou anteriores, você pode proteger um aplicativo com a Autenticação do Windows. Se estiver usando o Windows Server 2012 R2, você precisará do Gateway RD.

Eu configurei uma ID de chamadas no servidor de MFA, mas os usuários ainda recebem chamadas de autenticação multifator de um chamador anônimo.

Quando chamadas de autenticação multifator são feitas por meio da rede telefônica pública, às vezes elas são roteadas por meio de uma operadora que não dá suporte à ID do chamador. Devido a esse comportamento da operadora, a ID de chamadas não é garantida, mesmo que o sistema da autenticação multifator sempre a envie.

Por que meus usuários estão sendo solicitados para registrar as informações de segurança?

Há vários motivos que os usuários podem ser solicitados para registrar as informações de segurança:

  • O usuário foi habilitado para obter MFA pelo administrador no Microsoft Entra ID, mas ainda não tem informações de segurança registradas em sua conta.
  • O usuário foi habilitado para fazer a redefinição de senha self-service no Microsoft Entra ID. As informações de segurança ajudará a redefinir sua senha no futuro, se ele esquecerem.
  • O usuário acessou um aplicativo que tem uma política de acesso condicional para exigir a MFA e não foi registrado anteriormente para MFA.
  • O usuário está registrando um dispositivo com o Microsoft Entra ID (incluindo a junção do Microsoft Entra) e sua organização exige a MFA para registrar dispositivos, mas o usuário não foi registrado anteriormente para MFA.
  • O usuário está gerando Windows Hello para Empresas no Windows 10 (que exige MFA) e não foi registrado anteriormente para MFA.
  • A organização criou e ativado uma diretiva de registro de MFA que foi aplicada ao usuário.
  • O usuário registrado para MFA anteriormente, mas escolher um método de verificação que um administrador como desabilitado. O usuário, portanto, deve passar pelo registro MFA novamente para selecionar um novo método de verificação padrão.

Errors

O que os usuários devem fazer se virem uma mensagem de erro "A solicitação de autenticação não é para uma conta ativada" ao usar notificações de aplicativo móvel?

Peça ao usuário para concluir o procedimento a seguir para remover sua conta da Microsoft Authenticator e, em seguida, adicioná-la novamente:

  1. Acesse o perfil da sua conta e entre com uma conta organizacional.
  2. Escolha Verificação de Segurança Adicional.
  3. Remova a conta existente do aplicativo Microsoft Authenticator.
  4. Selecione Configurare siga as instruções para reconfigurar o Microsoft Authenticator.

O que os usuários devem fazer se virem uma mensagem de erro 0x800434D4L ao entrar em um aplicativo nonbrowser?

O erro 0x800434D4L ocorre quando você tenta entrar em um aplicativo nonbrowser, instalado em um computador local, que não funciona com contas que exigem verificação em duas etapas.

Uma solução alternativa para esse erro é ter contas de usuário separadas para operações de administrador e não administrador. Posteriormente, você pode vincular caixas de correio entre sua conta de administrador e sua conta não administrador para que você possa entrar no Outlook usando sua conta não administradora. Para obter mais detalhes sobre isso, saiba como fornecer a um administrador a capacidade de abrir e exibir o conteúdo da caixa de correio de um usuário.

Quais são os possíveis motivos pelos quais um usuário falha, com o código de erro "LsaLogonUser falhou com NTSTATUS-1073741715 para o servidor MFA"?

Erro 1073741715 = falha de logon de status -> A tentativa de logon é inválida. Isso ocorre devido a um nome de usuário ou autenticação inválidos.

Um motivo plausível para esse erro: se as credenciais primárias inseridas estiverem corretas, poderá haver uma incompatibilidade entre a versão NTLM compatível no servidor MFA e no controlador de domínio. O Servidor MFA dá suporte apenas a NTLMv1 (LmCompatabilityLevel=1 a 4) e não NTLMv2 (LmCompatabilityLevel=5).

Próximas etapas

Se sua pergunta não tiver sido respondida aqui, as seguintes opções de suporte estarão disponíveis: