Partilhar via


Autenticação multifator preferencial do sistema - Política de métodos de autenticação

A autenticação multifator (MFA) preferida pelo sistema solicita que os usuários entrem usando o método mais seguro que registraram. É um importante aprimoramento de segurança para usuários que se autenticam usando transportes de telecomunicações. Os administradores podem habilitar o MFA preferido do sistema para melhorar a segurança de entrada e desencorajar métodos de entrada menos seguros, como o SMS (Short Message Service).

Por exemplo, se um utilizador registou notificações push por SMS e Microsoft Authenticator como métodos para MFA, o MFA preferido pelo sistema solicitará ao utilizador que inicie sessão com o método de notificação push mais seguro. O usuário ainda pode optar por entrar usando outro método, mas primeiro será solicitado a tentar o método mais seguro que registrou.

O MFA preferencial do sistema é uma configuração gerenciada pela Microsoft, que é uma política triestadual. O valor gerenciado pela Microsoft de MFA preferencial do sistema é Enabled. Se você não quiser habilitar o MFA preferencial do sistema, altere o estado de Microsoft managed para Disabled, ou exclua usuários e grupos da política.

Depois de a MFA preferido pelo sistemas ser ativado, o sistema de autenticação faz todo o trabalho. Os utilizadores não precisam de definir nenhum método de autenticação como o predefinido, porque o sistema determina e apresenta sempre o método mais seguro que registaram.

Habilitar MFA preferencial do sistema no centro de administração do Microsoft Entra

Por padrão, o MFA preferido pelo sistema é gerenciado e desabilitado pela Microsoft para todos os usuários.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Configurações dos métodos>de autenticação de proteção.>

  3. Para autenticação multifator preferencial do sistema, escolha se deseja habilitar ou desabilitar explicitamente o recurso e incluir ou excluir usuários. Os grupos excluídos têm precedência sobre os grupos incluídos.

    Por exemplo, a captura de tela a seguir mostra como tornar a MFA preferida do sistema explicitamente habilitada apenas para o grupo Engenharia.

    Captura de tela de como habilitar as configurações do Microsoft Authenticator para o modo de autenticação por push.

  4. Depois de concluir as alterações, clique em Salvar.

Habilitar MFA preferencial do sistema usando APIs do Graph

Para habilitar a MFA preferencial do sistema com antecedência, você precisa escolher um único grupo de destino para a configuração do esquema, conforme mostrado no exemplo Request .

Propriedades de configuração do recurso do método de autenticação

Por padrão, o MFA preferido do sistema é gerenciado e habilitado pela Microsoft.

Propriedade Type Description
excludeTarget featureTarget Uma única entidade que é excluída desse recurso.
Você só pode excluir um grupo do MFA preferencial do sistema, que pode ser um grupo dinâmico ou aninhado.
incluirTarget featureTarget Uma única entidade incluída neste recurso.
Você só pode incluir um grupo para MFA preferencial do sistema, que pode ser um grupo dinâmico ou aninhado.
Estado advancedConfigState Os valores possíveis são:
ativado habilita explicitamente o recurso para o grupo selecionado.
desativado desativa explicitamente o recurso para o grupo selecionado.
default permite que o Microsoft Entra ID gerencie se o recurso está habilitado ou não para o grupo selecionado.

Propriedades de destino do recurso

O MFA preferencial do sistema pode ser habilitado apenas para um único grupo, que pode ser um grupo dinâmico ou aninhado.

Propriedade Type Descrição
ID String ID da entidade visada.
Tipo de destino featureTargetType O tipo de entidade visada, como grupo, função ou unidade administrativa. Os valores possíveis são: 'group', 'administrativeUnit', 'role', 'unknownFutureValue'.

Use o seguinte ponto de extremidade da API para habilitar systemCredentialPreferences e incluir ou excluir grupos:

https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy

Nota

No Graph Explorer, você precisa consentir com a permissão Policy.ReadWrite.AuthenticationMethod .

Pedir

O exemplo a seguir exclui um grupo de destino de exemplo e inclui todos os usuários. Para obter mais informações, consulte Update authenticationMethodsPolicy.

PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json

{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [
            {
                "id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
                "targetType": "group"
            }
        ],
        "includeTargets": [
            {
                "id": "all_users",
                "targetType": "group"
            }
        ]
    }
}

FAQ

Como o MFA preferido pelo sistema determina o método mais seguro?

Quando um usuário entra, o processo de autenticação verifica quais métodos de autenticação estão registrados para o usuário. O usuário é solicitado a entrar com o método mais seguro de acordo com a seguinte ordem. A ordem dos métodos de autenticação é dinâmica. Ele é atualizado à medida que o cenário de segurança muda e à medida que melhores métodos de autenticação surgem. Devido a problemas conhecidos com autenticação baseada em certificado (CBA) e MFA preferencial do sistema, mudamos o CBA para o final da lista. Clique no link para obter mais informações sobre cada método.

  1. Passe de Acesso Temporário
  2. Chave de acesso (FIDO2)
  3. Notificações do Microsoft Authenticator
  4. Palavra-passe única baseada no tempo (TOTP)1
  5. Telefonia2
  6. Autenticação baseada em certificado

1 Inclui hardware ou software TOTP do Microsoft Authenticator, Authenticator Lite ou aplicativos de terceiros.

2 Inclui SMS e chamadas de voz.

Como o MFA preferido pelo sistema afeta a extensão NPS?

O MFA preferencial do sistema não afeta os usuários que entram usando a extensão NPS (Servidor de Diretivas de Rede). Esses usuários não veem nenhuma alteração em sua experiência de login.

O que acontece para os usuários que não estão especificados na política de métodos de autenticação, mas habilitados na política de todo o locatário do MFA herdado?

A MFA preferencial do sistema também se aplica a usuários habilitados para MFA na política de MFA herdada.

Captura de tela das configurações de MFA herdadas.

Próximos passos