Gerenciar métodos de autenticação para o Microsoft Entra ID
O Microsoft Entra ID permite o uso de uma variedade de métodos de autenticação para oferecer suporte a uma ampla variedade de cenários de entrada. Os administradores podem configurar especificamente cada método para atingir suas metas de experiência do usuário e segurança. Este tópico explica como gerenciar métodos de autenticação para o Microsoft Entra ID e como as opções de configuração afetam os cenários de entrada do usuário e redefinição de senha.
Política de métodos de autenticação
A política de métodos de autenticação é a maneira recomendada de gerenciar métodos de autenticação, incluindo métodos modernos, como autenticação sem senha. Política de autenticação Os administradores podem editar essa política para habilitar métodos de autenticação para todos os usuários ou grupos específicos.
Os métodos habilitados na política de métodos de autenticação normalmente podem ser usados em qualquer lugar no ID do Microsoft Entra, para cenários de autenticação e redefinição de senha. A exceção é que alguns métodos são inerentemente limitados ao uso na autenticação, como FIDO2 e Windows Hello for Business, e outros são limitados ao uso na redefinição de senha, como perguntas de segurança. Para obter mais controle sobre quais métodos são utilizáveis em um determinado cenário de autenticação, considere usar o recurso Pontos fortes da autenticação.
A maioria dos métodos também tem parâmetros de configuração para controlar com mais precisão como esse método pode ser usado. Por exemplo, se você habilitar Chamadas de voz, também poderá especificar se um telefone do escritório pode ser usado além de um telefone celular.
Ou digamos que você queira habilitar a autenticação sem senha com o Microsoft Authenticator. Você pode definir parâmetros extras, como mostrar o local de entrada do usuário ou o nome do aplicativo que está sendo conectado. Essas opções fornecem mais contexto para os usuários quando eles entram e ajudam a evitar aprovações acidentais de MFA.
Para gerenciar a política de métodos de autenticação, entre no centro de administração do Microsoft Entra como pelo menos um administrador de política de autenticação e navegue até Políticas
Somente a experiência de registro convergente está ciente da política de métodos de autenticação. Os usuários no escopo da política de métodos de autenticação, mas não a experiência de registro convergente, não verão os métodos corretos para se registrar.
Políticas herdadas de MFA e SSPR
Duas outras políticas, localizadas em Configurações de autenticação multifator e Configurações de redefinição de senha, fornecem uma maneira herdada de gerenciar alguns métodos de autenticação para todos os usuários no locatário. Você não pode controlar quem usa um método de autenticação habilitado ou como o método pode ser usado.
Importante
Em março de 2023, anunciamos a descontinuação do gerenciamento de métodos de autenticação nas políticas herdadas de autenticação multifator e redefinição de senha de autoatendimento (SSPR). A partir de 30 de setembro de 2025, os métodos de autenticação não poderão ser gerenciados nessas políticas herdadas de MFA e SSPR. Recomendamos que os clientes usem o controle de migração manual para migrar para a política de métodos de autenticação até a data de preterição.
Para gerir a política de MFA herdada, navegue até Proteção>Autenticação multifator>Configurações adicionais de autenticação multifator baseadas em nuvem.
Para gerir métodos de autenticação para autorredefinição de palavra-passe (SSPR), navegue até Protection>Redefinição de palavra-passe>Métodos de autenticação. A opção Telemóvel nesta política permite que sejam enviadas chamadas de voz ou mensagens de texto para um telemóvel. A opção Telefone do Office permite apenas chamadas de voz.
Como funcionam as políticas em conjunto
As configurações não são sincronizadas entre as políticas, o que permite que os administradores gerenciem cada política de forma independente. O Microsoft Entra ID respeita as configurações em todas as políticas para que um usuário habilitado para um método de autenticação em qualquer política possa registrar e usar esse método. Para impedir que os usuários usem um método, ele deve ser desabilitado em todas as políticas.
Vamos percorrer um exemplo em que um usuário que pertence ao grupo Contabilidade deseja registrar o Microsoft Authenticator. O processo de registro primeiro verifica a política de métodos de autenticação. Se o grupo Contabilidade estiver habilitado para o Microsoft Authenticator, o usuário poderá registrá-lo.
Caso contrário, o processo de registro verifica a política de MFA herdada. Nessa política, qualquer usuário pode registrar o Microsoft Authenticator se uma destas configurações estiver habilitada para MFA:
- Notificação através da aplicação móvel
- Código de verificação de aplicativo móvel ou token de hardware
Se o usuário não puder registrar o Microsoft Authenticator com base em qualquer uma dessas políticas, o processo de registro verificará a política SSPR herdada. Nessa política também, um usuário pode registrar o Microsoft Authenticator se o usuário estiver habilitado para SSPR e qualquer uma destas configurações estiver habilitada:
- Notificação de aplicativo móvel
- Código da aplicação móvel
Para os utilizadores que estão ativados para Telemóvel para SSPR, o controlo independente entre políticas pode afetar o comportamento de início de sessão. Onde as outras políticas têm opções separadas para mensagens de texto e chamadas de voz, o telefone celular para SSPR habilita ambas as opções. Como resultado, qualquer pessoa que use o telefone celular para SSPR também pode usar chamadas de voz para redefinição de senha, mesmo que as outras políticas não permitam chamadas de voz.
Da mesma forma, vamos supor que você habilite as chamadas de voz para um grupo. Depois de ativá-lo, você descobrirá que até mesmo os usuários que não são membros do grupo podem entrar com uma chamada de voz. Nesse caso, é provável que esses usuários estejam habilitados para Celular na política SSPR herdada ou Chamada para telefone na política de MFA herdada.
Migração entre políticas
A política de métodos de autenticação fornece um guia de migração para ajudar a unificar a administração de todos os métodos de autenticação. Todos os métodos desejados podem ser habilitados na política de métodos de autenticação se a política tiver como alvo grupos de usuários pretendidos ou todos os usuários. O guia de migração de métodos de autenticação automatiza as etapas para auditar suas configurações de política atuais para MFA e SSPR e as consolida na política de métodos de autenticação. Você pode acessar o guia no centro de administração do Microsoft Entra navegando até
Você também pode migrar as configurações de política manualmente. A migração tem três configurações para permitir que você se mova no seu próprio ritmo e evitar problemas com entrada ou SSPR durante a transição.
Após a conclusão da migração, os métodos nas políticas de MFA e SSPR herdadas podem ser desabilitados. Você pode centralizar o controle sobre os métodos de autenticação para entrada e SSPR em um único local, e as políticas herdadas de MFA e SSPR serão desabilitadas.
Nota
As perguntas de segurança só podem ser ativadas hoje mediante a utilização da política SSPR herdada. Se você estiver usando perguntas de segurança e não quiser desativá-las, certifique-se de mantê-las habilitadas na política SSPR herdada até que um controle de migração esteja disponível. Pode migrar o restante dos seus métodos de autenticação e ainda gerir perguntas de segurança na política SSPR herdada.
Para exibir as opções de migração, abra a política de métodos de autenticação e clique em Gerenciar migração.
A tabela a seguir descreve cada opção.
Opção | Description |
---|---|
Pré-migração | A política de métodos de autenticação é usada apenas para autenticação. As configurações de política herdadas são respeitadas. |
Migração em Curso | A política de métodos de autenticação é usada para autenticação e SSPR. As configurações de política herdadas são respeitadas. |
Migração concluída | Somente a política de métodos de autenticação é usada para autenticação e SSPR. As configurações de política herdadas são ignoradas. |
Os locatários são definidos como Pré-migração ou Migração em Andamento por padrão, dependendo do estado atual do locatário. Se você começar na Pré-migração, poderá se mover para qualquer um dos estados a qualquer momento. Se você começou em Migração em Andamento, pode alternar entre Migração em Andamento e Microsoft Complete a qualquer momento, mas não terá permissão para migrar para Pré-migração. Se você mudar para Migração concluída e, em seguida, optar por reverter para um estado anterior, perguntaremos por que para que possamos avaliar o desempenho do produto.
Nota
Depois que todos os métodos de autenticação forem totalmente migrados, os seguintes elementos da política SSPR herdada permanecerão ativos:
- O número de métodos necessários para redefinir o controle: os administradores podem continuar a alterar quantos métodos de autenticação devem ser verificados antes que um usuário possa executar o SSPR.
- A política de administrador do SSPR: os administradores podem continuar a registrar e usar quaisquer métodos listados na política de administrador do SSPR herdada ou nos métodos que estão habilitados a usar na política de Métodos de autenticação.
No futuro, ambos os recursos serão integrados à política de métodos de autenticação.
Problemas e limitações conhecidos
Em atualizações recentes, removemos a capacidade de segmentar usuários individuais. Os usuários segmentados anteriormente permanecerão na política, mas recomendamos movê-los para um grupo-alvo.
O registro de um método de autenticação pode falhar se muitos grupos forem incluídos na política de métodos de autenticação ou em uma campanha de registro. Recomendamos consolidar vários grupos em um único grupo para cada método de autenticação. Para manter o registro de usuários durante a consolidação, adicione o novo grupo e remova os grupos atuais na mesma operação.
Nota
Talvez não seja possível salvar atualizações na política de métodos de autenticação se ela se destinar a muitos grupos e o tamanho da política exceder 20 KB. Enquanto trabalhamos para aumentar o limite de tamanho da política, consolidamos grupos-alvo tanto quanto possível.