Compartilhar via

Autenticação multifator para o Microsoft 365

  • Artigo

As senhas são o método mais comum para autenticar uma entrada em um computador ou em um serviço online, mas também são as mais vulneráveis. As pessoas podem escolher senhas fáceis e usar as mesmas senhas para várias entradas em diferentes computadores e serviços.

Para fornecer um nível adicional de segurança para inícios de sessão, tem de utilizar a autenticação multifator (MFA), que utiliza uma palavra-passe, que deve ser forte, e um método de verificação adicional baseado em:

  • Algo que você tem com você, que não é facilmente duplicado, como um smartphone.
  • Algo que você tem de forma exclusiva e biológica, como suas impressões digitais, face ou outros atributos biométricos.

O método de verificação adicional só é utilizado após a verificação da palavra-passe do utilizador. Com a MFA, mesmo que uma senha de usuário forte seja comprometida, o invasor não tem seu telefone celular ou sua impressão digital para concluir a entrada.

Suporte da MFA no Microsoft 365

Por predefinição, o Microsoft 365 e o Office 365 suportam a MFA para contas de utilizador com:

  • Uma mensagem de texto enviada para um telefone que exige que o usuário digite um código de verificação.
  • Uma chamada telefônica.
  • O aplicativo Microsoft Authenticator para smartphone.

Em ambos os casos, o início de sessão da MFA está a utilizar o método "algo que tem consigo que não é facilmente duplicado" para a verificação adicional. Existem várias formas de ativar a MFA para o Microsoft 365 e Office 365:

  • Com padrões de segurança
  • Com políticas de Acesso Condicional
  • Para cada conta de usuário individual (não recomendado)

Estas formas baseiam-se no seu plano do Microsoft 365.

Planejar Recomendação Tipo de cliente
Todos os planos do Microsoft 365 Use padrões de segurança, que exigem MFA para todas as contas de usuário.

Também pode configurar a MFA por utilizador em contas de utilizador individuais, mas tal não é recomendado.

 Pequena empresa
Microsoft 365 Business Premium

Microsoft 365 E3

licenças do Microsoft Entra ID P1

 Utilize predefinições de segurança ou políticas de Acesso Condicional para exigir a MFA para contas de utilizador com base na associação a grupos, aplicações ou outros critérios. Pequenas empresas para empresas
Microsoft 365 E5

Licenças do Microsoft Entra ID P2

 Utilize Microsoft Entra ID Protection para exigir a MFA com base nos critérios de risco de início de sessão. Empresa

Padrões de segurança

Os padrões de segurança são um novo recurso para assinaturas pagas ou de avaliação do Microsoft 365 e Office 365 criadas após 21 de outubro de 2019. Estas assinaturas têm padrões de segurança ativados, que:

  • Requer que todos os seus utilizadores utilizem a MFA com a aplicação Microsoft Authenticator.
  • Bloquear a autenticação herdada.

Os usuários têm 14 dias para se registrar na MFA com o aplicativo Microsoft Authenticator em seus smartphones, que começa na primeira vez em que eles entram depois de os padrões de segurança terem sido habilitados. Após 14 dias, o usuário não poderá entrar até que o registro da MFA seja concluído.

Os padrões de segurança garantem que todas as organizações tenham um nível básico de segurança para a entrada do usuário, que é habilitado por padrão. Pode desativar as predefinições de segurança a favor da MFA com políticas de Acesso Condicional.

Pode ativar ou desativar as predefinições de segurança no painel Propriedades para Microsoft Entra ID no portal do Azure.

Imagem da página de propriedades do Diretório.

Pode utilizar as predefinições de segurança com qualquer plano do Microsoft 365.

Para obter mais informações, confira esta visão geral dos padrões de segurança.

Políticas de Acesso Condicional

As políticas de acesso condicional são um conjunto de regras que especificam as condições sob as quais as entradas são avaliadas e permitidas. Por exemplo, você pode criar uma política de acesso condicional que declare:

  • Se o nome da conta de usuário for membro de um grupo para usuários a quem são atribuídas as funções de administrador do Exchange, de usuário, de senha, de segurança, do SharePoint ou global, exija a MFA antes de permitir o acesso.

Essa política permite exigir a MFA com base na associação ao grupo, em vez de tentar configurar contas de usuário individuais para a MFA quando elas são atribuídas ou não a essas funções de administrador.

Também pode utilizar políticas de Acesso Condicional para capacidades mais avançadas, como exigir a MFA para aplicações específicas ou que o início de sessão seja feito a partir de um dispositivo compatível, como o portátil com Windows 10.

Pode configurar políticas de Acesso Condicional a partir do painel Segurança para Microsoft Entra ID no portal do Azure.

Imagem da opção de menu para Acesso Condicional.

Você pode usar as políticas de Acesso Condicional com o:

  • Microsoft 365 Business Premium
  • Microsoft 365 E3 e E5
  • Licenças do Microsoft Entra ID P1 e Microsoft Entra ID P2

Para pequenas empresas com o Microsoft 365 Business Premium, você pode facilmente usar as políticas de acesso condicional usando as seguintes etapas:

  1. Crie um grupo para conter as contas de usuário que exigem MFA.
  2. Habilite o Exigir MFA para administradores globais política.
  3. Criar uma política de acesso condicional baseada em grupo com as seguintes configurações:
    • Atribuições > Utilizadores e grupos: o nome do seu grupo no Passo 1 acima.
    • Atribuições > aplicações ou ações na cloud: todas as aplicações na cloud.
    • Controlos de > acesso Conceder > acesso > Exigir autenticação multifator.
  4. Habilitar a política.
  5. Adicione uma conta de usuário ao grupo criado na etapa 1 acima e teste.
  6. Para exigir a MFA para contas de utilizador adicionais, adicione-as ao grupo criado no Passo 1.

Essa política de Acesso Condicional permite implementar o requisito da MFA aos seus usuários no seu próprio ritmo.

As empresas devem usar políticas de Acesso Condicional Comuns para configurar as seguintes políticas:

Para mais informações, confira esta visão geral do Acesso Condicional.

Microsoft Entra ID Protection

Com Microsoft Entra ID Protection, pode criar uma política de Acesso Condicional adicional para exigir a MFA quando o risco de início de sessão é médio ou elevado.

Você pode usar políticas de acesso condicional baseadas em risco e Microsoft Entra ID Protection com:

  • Microsoft 365 E5
  • Licenças do Microsoft Entra ID P2

Para obter mais informações, confira esta visão geral do Microsoft Entra ID Protection.

Deve utilizar as predefinições de segurança ou as políticas de Acesso Condicional para exigir a MFA para os inícios de sessão da conta de utilizador. No entanto, se uma destas opções não puder ser utilizada, a Microsoft recomenda vivamente a MFA para contas de utilizador que tenham funções de administrador, especialmente a função de administrador global, para qualquer subscrição de tamanho.

Ativa a MFA para contas de utilizador individuais a partir do painel Utilizadores ativos do Centro de administração do Microsoft 365.

Imagem da opção Autenticação multifator na página Utilizadores ativos.

Depois de ativado, da próxima vez que o utilizador iniciar sessão, ser-lhe-á pedido para se registar na MFA e para escolher e testar o método de verificação adicional.

Usando esses métodos juntos

Esta tabela mostra os resultados da ativação da MFA com padrões de segurança, políticas de Acesso Condicional e configurações de conta por usuário.

Item Habilitado Desabilitado Método de autenticação secundária
Padrões de segurança Não é possível utilizar políticas de Acesso Condicional Pode usar políticas de Acesso Condicional Aplicativo Microsoft Authenticator
Políticas de Acesso Condicional Se alguma estiver ativada, não pode ativar as predefinições de segurança Se todas estiverem desabilitadas, você poderá habilitar os padrões de segurança Especificado pelo usuário durante o registro da MFA
MFA herdada por usuário (não recomendado) Substitui as predefinições de segurança e as políticas de Acesso Condicional que requerem MFA em cada início de sessão Substituído por predefinições de segurança e políticas de Acesso Condicional Especificado pelo usuário durante o registro da MFA

Se os padrões de segurança estiverem ativados, todos os novos usuários serão solicitados a fazer o registro da MFA e usar o aplicativo Microsoft Authenticator.

Formas de gerir as definições da MFA

Existem duas formas de gerir as definições da MFA.

Na portal do Azure, pode:

  • Ativar e desativar as predefinições de segurança
  • Configurar as políticas de Acesso Condicional

No Centro de administração do Microsoft 365, pode configurar as definições de MFA por utilizador e serviço.

Próximas etapas

Configurar a MFA para o Microsoft 365

Conteúdo relacionado

Ativar a autenticação multifator (vídeo)
Ativar a autenticação multifator para seu telefone (vídeo)