Partilhar via


Que métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?

A Microsoft recomenda métodos de autenticação sem senha, como o Windows Hello, Passkeys (FIDO2) e o aplicativo Microsoft Authenticator, pois eles fornecem a experiência de entrada mais segura. Embora um usuário possa entrar usando outros métodos comuns, como um nome de usuário e senha, as senhas devem ser substituídas por métodos de autenticação mais seguros.

Ilustração dos pontos fortes e métodos de autenticação preferidos no Microsoft Entra ID.

A autenticação multifator do Microsoft Entra adiciona outra camada de segurança ao usar apenas uma senha quando um usuário entra. O usuário pode ser solicitado a fornecer outras formas de autenticação, como responder a uma notificação por push, inserir um código de um token de software ou hardware ou responder a uma mensagem de texto ou chamada telefônica.

Para simplificar a experiência de integração do usuário e registrar-se para MFA e redefinição de senha de autoatendimento (SSPR), recomendamos que você habilite o registro combinado de informações de segurança. Para maior resiliência, recomendamos que você exija que os usuários registrem vários métodos de autenticação. Quando um método não está disponível para um usuário durante a entrada ou SSPR, ele pode optar por autenticar com outro método. Para obter mais informações, consulte Criar uma estratégia de gerenciamento de controle de acesso resiliente no Microsoft Entra ID.

Como funciona cada método de autenticação

Alguns métodos de autenticação podem ser usados como o fator principal quando você entra em um aplicativo ou dispositivo, como usar uma chave de segurança FIDO2 ou uma senha. Outros métodos de autenticação só estão disponíveis como um fator secundário quando você usa a autenticação multifator do Microsoft Entra ou SSPR.

A tabela a seguir descreve quando um método de autenticação pode ser usado durante um evento de entrada:

Método Autenticação primária Autenticação secundária
Windows Hello para empresas Sim AMF*
Push do Microsoft Authenticator Não MFA e SSPR
Microsoft Authenticator sem senha Sim Não*
Chave de acesso do Microsoft Authenticator Sim MFA
Autenticador Lite Não MFA
Chave de acesso (FIDO2) Sim MFA
Autenticação baseada em certificado Sim MFA
Tokens OATH de hardware (visualização) Não MFA e SSPR
Tokens OATH de software Não MFA e SSPR
Métodos de autenticação externa (visualização) Não MFA
Passe de Acesso Temporário (TAP) Sim MFA
Texto Sim MFA e SSPR
Chamada de voz Não MFA e SSPR
Password Sim No

* O Windows Hello for Business, por si só, não serve como uma credencial MFA graduada. Por exemplo, um desafio MFA de frequência de entrada ou solicitação SAML contendo forceAuthn=true. O Windows Hello for Business pode servir como uma credencial MFA incremental sendo usado na autenticação FIDO2. Isso requer que os usuários estejam registrados para autenticação FIDO2 para funcionar com êxito.

* O login sem senha pode ser usado para autenticação secundária somente se a autenticação baseada em certificado (CBA) for usada para autenticação primária. Para obter mais informações, consulte Microsoft Entra certificate-based authentication technical deep dive.

Todos esses métodos de autenticação podem ser configurados no centro de administração do Microsoft Entra e usando cada vez mais a API REST do Microsoft Graph.

Para saber mais sobre como cada método de autenticação funciona, consulte os seguintes artigos conceituais separados:

Nota

No Microsoft Entra ID, uma senha geralmente é um dos principais métodos de autenticação. Não é possível desativar o método de autenticação de senha. Se você usar uma senha como fator de autenticação principal, aumente a segurança dos eventos de entrada usando a autenticação multifator do Microsoft Entra.

Esses outros métodos de verificação podem ser usados em determinados cenários:

  • Senhas de aplicativos - usadas para aplicativos antigos que não suportam autenticação moderna e podem ser configurados para autenticação multifator Microsoft Entra por usuário.
  • Perguntas de segurança - usadas apenas para SSPR
  • Endereço de e-mail - usado apenas para SSPR

Métodos utilizáveis e não utilizáveis

Os administradores podem visualizar os métodos de autenticação do usuário no centro de administração do Microsoft Entra. Os métodos utilizáveis são listados primeiro, seguidos pelos métodos não utilizáveis.

Cada método de autenticação pode tornar-se inutilizável por diferentes motivos. Por exemplo, um Passe de Acesso Temporário pode expirar ou a chave de segurança FIDO2 pode falhar no atestado. O portal é atualizado para fornecer o motivo pelo qual o método não é utilizável.

Os métodos de autenticação que não estão mais disponíveis devido a Exigir autenticação multifator de registro novo também aparecem aqui.

Captura de ecrã de métodos de autenticação não utilizáveis.

Para começar, consulte o tutorial para redefinição de senha de autoatendimento (SSPR) e autenticação multifator do Microsoft Entra.

Para saber mais sobre os conceitos de SSPR, consulte Como funciona a redefinição de senha de autoatendimento do Microsoft Entra.

Para saber mais sobre os conceitos de MFA, consulte Como funciona a autenticação multifator do Microsoft Entra.

Saiba mais sobre como configurar métodos de autenticação usando a API REST do Microsoft Graph.

Para revisar quais métodos de autenticação estão em uso, consulte Análise do método de autenticação multifator do Microsoft Entra com o PowerShell.