Planeje sua implantação de autenticação multifator
Antes de começar a implantar a autenticação multifator do Microsoft Entra, há vários aspectos que você deve decidir.
Primeiro, considere implementar o MFA em fases. Comece com um pequeno grupo de usuários piloto para avaliar a complexidade do seu ambiente e identificar problemas de configuração ou aplicativos ou dispositivos sem suporte. Em seguida, amplie esse grupo com o passar do tempo e avalie os resultados a cada passagem até que sua empresa esteja toda registrada.
Em seguida, crie um plano de comunicação completo. A autenticação multifator do Microsoft Entra tem vários requisitos de interação do usuário, incluindo um processo de registro. Mantenha os usuários informados em cada etapa do processo. Informe-os sobre o que devem fazer, datas importantes e como obter respostas a perguntas se tiverem problemas. A Microsoft fornece modelos de comunicação para ajudar a elaborar suas comunicações, incluindo pôsteres e modelos de e-mail.
Políticas de autenticação multifator do Microsoft Entra
A Autenticação Multifator do Microsoft Entra é imposta com políticas de Acesso Condicional. As políticas de Acesso Condicional são instruções IF-THEN. SE um usuário desejar acessar um recurso, ENTÃO ele deverá concluir uma ação. Por exemplo, um gerente de folha de pagamento deseja acessar o aplicativo de folha de pagamento e deve executar a autenticação multifator para acessá-lo. Outras solicitações de acesso comuns que podem exigir o MFA incluem:
- SE um aplicativo de nuvem específico for acessado.
- SE um usuário estiver acessando uma rede específica.
- SE um usuário estiver acessando um aplicativo cliente específico.
- SE um usuário estiver registrando um novo dispositivo.
Decidir métodos de autenticação com suporte
Ao ativar a autenticação multifator do Microsoft Entra, você poderá escolher os métodos de autenticação que deseja disponibilizar. Você sempre deve dar suporte a mais de um método para que os usuários tenham uma opção de backup caso seu método principal não esteja disponível. Você pode escolher entre os métodos a seguir:
| Método | Descrição |
|---|---|
| Código de verificação do aplicativo móvel | Um aplicativo de autenticação móvel, como o aplicativo Microsoft Authenticator, pode ser usado para recuperar um código de verificação OATH que é inserido na interface de entrada. Esse código é alterado a cada 30 segundos e o aplicativo funcionará mesmo se a conectividade for limitada. Essa abordagem não funciona na China em dispositivos Android. |
| Notificação de aplicativo móvel | O Azure pode enviar uma notificação por push para um aplicativo de autenticação móvel, como o Microsoft Authenticator. O usuário pode selecionar a notificação por push e verificar a entrada. |
| Ligue para um telefone | O Azure pode ligar para um número de telefone fornecido. O usuário aprova a autenticação usando o teclado. Esse método é preferencial para backups. |
| Chave de segurança FIDO2 | As chaves de segurança FIDO2 são um método de autenticação sem senha baseado em padrões à prova de phishing. Essas chaves normalmente são dispositivos USB, mas também podem usar Bluetooth ou NFC. |
| Windows Hello for Business | O Windows Hello para Empresas substitui senhas com autenticação forte de dois fatores nos dispositivos. Essa autenticação consiste em um tipo de credencial de usuário que está associada a um dispositivo e usa um PIN ou biometria. |
| Tokens OATH | Os tokens OATH podem ser aplicativos de software, como o aplicativo Microsoft Authenticator e outros aplicativos autenticadores. Eles também podem ser tokens baseados em hardware que os clientes podem comprar de diferentes fornecedores. |
Os administradores podem habilitar uma ou mais dessas opções. Em seguida, os usuários podem aceitar cada método de autenticação de suporte que querem usar.
Selecionar um método de autenticação
Por fim, você deve decidir como os usuários registrarão seus métodos selecionados. A abordagem mais fácil é usar o Microsoft Entra ID Protection. Se a sua organização tiver uma licença para o Identity Protection, você poderá configurá-lo para solicitar que os usuários se registrem no MFA na próxima vez em que entrarem.
Você também pode solicitar que os usuários se registrem na MFA quando tentarem usar um aplicativo ou serviço que requeira a autenticação multifator. Por fim, você pode impor um registro usando a política de Acesso Condicional aplicada a um grupo do Azure que contém todos os usuários em sua organização. Essa abordagem requer algum trabalho manual para examinar periodicamente o grupo para remover usuários registrados. Para obter alguns scripts úteis para automatizar parte desse processo, consulte Planejar uma implantação de autenticação multifator do Microsoft Entra.