Partilhar via


Visão geral do registro de informações de segurança combinadas para o Microsoft Entra

Antes do registro combinado, os usuários registraram métodos de autenticação para autenticação multifator do Microsoft Entra e redefinição de senha de autoatendimento (SSPR) separadamente. As pessoas estavam confusas que métodos semelhantes eram usados para autenticação multifator e SSPR, mas eles tinham que se registrar para ambos os recursos. Agora, com o registro combinado, os usuários podem se registrar uma vez e obter os benefícios da autenticação multifator e SSPR. Recomendamos este vídeo sobre Como habilitar e configurar o SSPR no Microsoft Entra ID.

Minha conta mostrando informações de segurança registradas para um usuário

Antes de habilitar a nova experiência, revise esta documentação focada no administrador e a documentação focada no usuário para garantir que você entenda a funcionalidade e o efeito desse recurso. Baseie seu treinamento na documentação do usuário para preparar os usuários para a nova experiência e ajudar a garantir uma implantação bem-sucedida.

O registo combinado foi implementado para todos os clientes no Azure e no Azure para o Governo dos EUA. O controle de portal que permite alternar da experiência de registro herdada para a experiência de registro combinada é removido depois que o locatário migra para o registro combinado.

As páginas Minha conta são localizadas com base nas configurações de idioma do computador que acessa a página. A Microsoft armazena o idioma mais recente usado no cache do navegador, portanto, as tentativas subsequentes de acessar as páginas continuam a ser renderizadas no último idioma usado. Se você limpar o cache, as páginas serão renderizadas novamente.

Se você quiser forçar um idioma específico, você pode adicionar ?lng=<language> ao final da URL, onde <language> é o código do idioma que você deseja renderizar.

Configurar SSPR ou outros métodos de verificação de segurança

Métodos disponíveis no registo combinado

O registro combinado suporta os métodos e ações de autenticação na tabela a seguir.

Método Registar Alteração Delete
Microsoft Authenticator Sim (máximo de 5) Não Sim
Outro aplicativo autenticador Sim (máximo de 5) Não Sim
Token de hardware Não Não Sim
Telemóvel Sim (máximo de 2) Sim Sim
Telefone alternativo Sim Sim Sim
Telefone do escritório* Sim Sim Sim
E-mail Sim Sim Sim
Perguntas de segurança Sim Não Sim
Palavras-chave Não Sim Não
Palavras-passe das aplicações* Sim Não Sim
Chave de acesso (FIDO2)* Sim (máximo de 10) Não Sim

Nota

Se você habilitar o Microsoft Authenticator para o modo de autenticação sem senha na política de métodos de autenticação, os usuários também precisarão habilitar a entrada sem senha no aplicativo Authenticator.

O telefone alternativo só pode ser registrado no modo de gerenciamento em Informações de segurança e requer que as chamadas de voz estejam habilitadas na política de métodos de autenticação.

O telefone do Office só pode ser registrado no modo de interrupção se a propriedade do telefone comercial dos usuários tiver sido definida. O telefone do Office pode ser adicionado pelos usuários no modo Gerenciar a partir das informações de segurança sem esse requisito.

As senhas de aplicativo estão disponíveis apenas para usuários que foram forçados para MFA por usuário. As senhas de aplicativo não estão disponíveis para usuários habilitados para autenticação multifator do Microsoft Entra por uma política de Acesso Condicional.

As chaves de acesso (FIDO2) também podem ser provisionadas usando uma integração personalizada de cliente ou parceiro com o Microsoft Graph. Para obter mais informações, consulte nossas APIs.

Os usuários podem definir uma das seguintes opções como o método de autenticação multifator padrão.

  • Microsoft Authenticator – notificação por push ou sem senha
  • Aplicativo autenticador ou token de hardware – código
  • Chamada telefónica
  • Mensagem de texto

Nota

Os números de telefone virtuais não são suportados para chamadas de voz ou mensagens SMS.

As aplicações autenticadoras de terceiros não fornecem notificações push. À medida que continuamos a adicionar mais métodos de autenticação ao Microsoft Entra ID, esses métodos ficam disponíveis no registro combinado.

Modos de registo combinados

Existem dois modos de registo combinado:

  • O modo de interrupção é uma experiência semelhante a um assistente, apresentada aos utilizadores quando estes registam ou atualizam as suas informações de segurança no início de sessão.
  • O modo de gerenciamento faz parte do perfil do usuário e permite que os usuários gerenciem suas informações de segurança.

Para ambos os modos, os usuários que registraram anteriormente um método que pode ser usado para autenticação multifator do Microsoft Entra precisam executar a autenticação multifator antes de poderem acessar suas informações de segurança. Os utilizadores devem confirmar as suas informações antes de continuarem a utilizar os seus métodos previamente registados.

Modo de interrupção

O registro combinado adere às políticas de autenticação multifator e SSPR, se ambas estiverem habilitadas para seu locatário. Essas políticas controlam se um usuário é interrompido para registro durante o login e quais métodos estão disponíveis para registro. Se apenas uma política SSPR estiver habilitada, os usuários poderão ignorar (indefinidamente) a interrupção do registro e concluí-la posteriormente.

A seguir estão exemplos de cenários em que os usuários podem ser solicitados a registrar ou atualizar suas informações de segurança:

  • registro de autenticação multifator imposto por meio da Proteção de ID do Microsoft Entra: os usuários são solicitados a se registrar durante o login. Eles registram métodos de autenticação multifator e métodos SSPR (se o usuário estiver habilitado para SSPR).
  • Registro de autenticação multifator imposto por meio de autenticação multifator por usuário: os usuários são solicitados a se registrar durante o login. Eles registram métodos de autenticação multifator e métodos SSPR (se o usuário estiver habilitado para SSPR).
  • registro de autenticação multifator imposto por meio de Acesso Condicional ou outras políticas: os usuários são solicitados a se registrar quando usam um recurso que requer autenticação multifator. Eles registram métodos de autenticação multifator e métodos SSPR (se o usuário estiver habilitado para SSPR).
  • Registro SSPR imposto: os usuários são solicitados a se registrar durante o login. Eles registram apenas métodos SSPR.
  • Atualização SSPR imposta: os usuários são obrigados a revisar suas informações de segurança em um intervalo definido pelo administrador. Os usuários recebem suas informações e podem confirmar as informações atuais ou fazer alterações, se necessário.

Quando o registro é imposto, os usuários recebem o número mínimo de métodos necessários para estarem em conformidade com a autenticação multifator e as políticas SSPR, do mais ao menos seguro. Os usuários que passam pelo registro combinado onde o registro MFA e SSPR são aplicados e a política SSPR requer dois métodos primeiro serão necessários para registrar um método MFA como o primeiro método e podem selecionar outro método específico MFA ou SSPR como o segundo método registrado (como e-mail, perguntas de segurança e assim por diante)

Considere o seguinte cenário de exemplo:

  • Um usuário está habilitado para SSPR. A política SSPR requer dois métodos para redefinir e habilitou o aplicativo Microsoft Authenticator, email e telefone.
  • Quando o utilizador opta por se registar, são necessários dois métodos:
    • O usuário é mostrado o aplicativo Microsoft Authenticator e telefone por padrão.
    • O usuário pode optar por registrar e-mail em vez de aplicativo autenticador ou telefone.

Quando eles configuram o Microsoft Authenticator, o usuário pode clicar em Desejo configurar um método diferente para registrar outros métodos de autenticação. A lista de métodos disponíveis é determinada pela política de métodos de autenticação para o locatário. 

Captura de tela de como escolher outro método ao configurar o Microsoft Authenticator.

O fluxograma a seguir descreve quais métodos são mostrados a um usuário quando interrompido para se registrar durante o login:

Fluxograma combinado de informações de segurança

Se você tiver a autenticação multifator e o SSPR habilitados, recomendamos que você imponha o registro de autenticação multifator.

Se a política SSPR exigir que os usuários revisem suas informações de segurança em intervalos regulares, os usuários serão interrompidos durante a entrada e mostrados todos os seus métodos registrados. Eles podem confirmar as informações atuais se estiverem atualizadas ou podem fazer alterações se necessário. Os usuários devem executar a autenticação multifator para acessar esta página.

Modo de gestão

Os utilizadores podem aceder a Informações de segurança ou selecionar Informações de segurança a partir de A Minha Conta. A partir daí, os usuários podem adicionar métodos, excluir ou alterar métodos existentes, alterar o método padrão e muito mais.

Controles de sessão para registro combinado

Por padrão, o registro combinado impõe que todos os usuários capazes de MFA se autentiquem fortemente antes de registrar ou gerenciar suas informações de segurança. Se um usuário estiver conectado no momento e tiver concluído anteriormente a MFA como parte de uma sessão válida, nenhuma MFA adicional será necessária por padrão, a menos que um usuário esteja tentando adicionar ou modificar um método de chave de acesso (FIDO2). Adicionar ou modificar um método de chave de acesso (FIDO2) requer que os usuários tenham autenticado fortemente nos últimos 5 minutos. Se a MFA não tiver sido concluída nos últimos 5 minutos, o usuário será solicitado a entrar e concluir a nova MFA. As organizações podem modificar os requisitos de autenticação definindo políticas de Acesso Condicional para proteger o registro de informações de segurança.

As sessões de inscrição combinadas são válidas apenas por 15 minutos. Se as ações de registro ou gerenciamento de um usuário levarem mais do que esse período de tempo, a sessão expirará e o usuário será solicitado a entrar novamente para continuar.

Principais cenários de utilização

Alterar uma palavra-passe em MySignIns

Um usuário navega até Informações de segurança. Depois de entrar, o usuário pode alterar sua senha. Se o usuário se autenticar com uma senha e um método de autenticação multifator, ele poderá usar a experiência aprimorada do usuário para alterar sua senha sem digitar sua senha existente. Quando terminar, o usuário terá a nova senha atualizada na página Informações de segurança. Métodos de autenticação como o Temporary Access Pass (TAP) não são suportados para alteração de senha, a menos que o usuário saiba sua senha existente.

Nota

Se você tiver links que apontem para a experiência de alteração de senha herdada, atualize-os para o seguinte link de encaminhamento para direcionar os usuários para a nova experiência Meus Logins Alterar Senha : https://go.microsoft.com/fwlink/?linkid=2224198.

Proteja o registro de informações de segurança com acesso condicional

Para proteger quando e como os usuários se registram para autenticação multifator do Microsoft Entra e redefinição de senha de autoatendimento, você pode usar ações do usuário na política de Acesso Condicional. Essa funcionalidade pode ser habilitada em organizações que desejam que os usuários se registrem para autenticação multifator do Microsoft Entra e SSPR a partir de um local central, como um local de rede confiável durante a integração de RH. Saiba mais sobre como configurar políticas comuns de Acesso Condicional para proteger o registo de informações de segurança.

Configurar informações de segurança durante o início de sessão

Um administrador impôs o registo.

Um usuário não configurou todas as informações de segurança necessárias e vai para o centro de administração do Microsoft Entra. Depois que o usuário insere o nome de usuário e a senha, o usuário é solicitado a configurar as informações de segurança. Em seguida, o usuário segue as etapas mostradas no assistente para configurar as informações de segurança necessárias. Se as suas configurações permitirem, o usuário pode optar por configurar métodos diferentes dos mostrados por padrão. Depois que os usuários concluírem o assistente, eles revisarão os métodos que configuraram e seu método padrão para autenticação multifator. Para concluir o processo de instalação, o usuário confirma as informações e continua para o centro de administração do Microsoft Entra.

Configurar informações de segurança a partir de A Minha Conta

Um administrador não impôs o registo.

Um usuário que ainda não configurou todas as informações de segurança necessárias vai para https://myaccount.microsoft.com. O usuário seleciona Informações de segurança no painel esquerdo. A partir daí, o usuário escolhe adicionar um método, seleciona qualquer um dos métodos disponíveis e segue as etapas para configurar esse método. Quando terminar, o usuário verá o método que foi configurado na página Informações de segurança.

Configurar outros métodos após o registo parcial

Se um usuário tiver satisfeito parcialmente o registro MFA ou SSPR devido a registros de método de autenticação existentes realizados pelo usuário ou administrador, os usuários só serão solicitados a registrar informações adicionais permitidas pelas configurações de política de métodos de autenticação quando o registro for necessário. Se mais de um outro método de autenticação estiver disponível para o usuário escolher e registrar, uma opção na experiência de registro intitulada Quero configurar outro método será mostrada e permitirá que o usuário configure o método de autenticação desejado.

Captura de tela de como configurar outro método.

Eliminar informações de segurança de A Minha Conta

Um usuário que configurou anteriormente pelo menos um método navega para Informações de segurança. O utilizador opta por eliminar um dos métodos previamente registados. Quando terminar, o usuário não verá mais esse método na página Informações de segurança.

Alterar o método padrão de Minha Conta

Um usuário que configurou anteriormente pelo menos um método que pode ser usado para autenticação multifator navega para Informações de segurança. O usuário altera o método padrão atual para um método padrão diferente. Quando terminar, o usuário verá o novo método padrão na página Informações de segurança.

Trocar diretório

Uma identidade externa, como um usuário B2B, pode precisar alternar o diretório para alterar as informações de registro de segurança de um locatário de terceiros. Além disso, os usuários que acessam um locatário de recurso podem ficar confusos quando alteram as configurações em seu locatário doméstico, mas não veem as alterações refletidas no locatário de recurso.

Por exemplo, um usuário define a notificação por push do aplicativo Microsoft Authenticator como a autenticação principal para entrar no locatário doméstico e também tem SMS/Text como outra opção. Este usuário também é configurado com a opção SMS/Text em um locatário de recurso. Se esse usuário remover SMS/Text como uma das opções de autenticação em seu locatário doméstico, ele ficará confuso quando o acesso ao locatário do recurso solicitar que ele responda a SMS/mensagem de texto.

Para alternar o diretório no centro de administração do Microsoft Entra, clique no nome da conta de usuário no canto superior direito e clique em Alternar diretório.

Os usuários externos podem alternar de diretório.

Ou, você pode especificar um locatário por URL para acessar informações de segurança.

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

Nota

Os clientes que tentam registrar ou gerenciar informações de segurança por meio de registro combinado ou da página Meus Logins devem usar um navegador moderno, como o Microsoft Edge.

O IE11 não é oficialmente suportado para a criação de um webview ou navegador em aplicativos, pois não funcionará como esperado em todos os cenários.

Os aplicativos que não foram atualizados e ainda estão usando a Biblioteca de Autenticação do Azure AD (ADAL) que dependem de exibições da Web herdadas podem fazer fallback para versões mais antigas do Internet Explorer. Nesses cenários, os usuários terão uma página em branco quando direcionados para a página Meus Logins. Para resolver esse problema, alterne para um navegador moderno.

Próximos passos

Para começar, consulte os tutoriais para habilitar a redefinição de senha de autoatendimento e habilitar a autenticação multifator do Microsoft Entra.

Saiba como habilitar o registro combinado em seu locatário ou forçar os usuários a registrar novamente os métodos de autenticação.

Você também pode examinar os métodos disponíveis para autenticação multifator Microsoft Entra e SSPR.