Planeje sua implantação de autenticação multifator

Concluído

Antes de começar a implantar a autenticação multifator do Microsoft Entra, há várias coisas que você deve decidir.

Primeiro, considere implementar a MFA de forma faseada. Comece com um pequeno grupo de utilizadores piloto para avaliar a complexidade do seu ambiente e identificar quaisquer problemas de configuração ou aplicações ou dispositivos não suportados. Em seguida, amplie esse grupo ao longo do tempo e avalie os resultados a cada aprovação até que toda a sua empresa esteja inscrita.

Depois, certifique-se de que cria um plano de comunicação completo. A autenticação multifator do Microsoft Entra tem vários requisitos de interação do usuário, incluindo um processo de registro. Mantenha os usuários informados a cada passo do caminho. Deixe-os saber o que eles são obrigados a fazer, datas importantes e como obter respostas para perguntas se tiverem problemas. A Microsoft fornece modelos de comunicação para ajudar a redigir as suas comunicações, incluindo cartazes e modelos de e-mail.

Políticas de autenticação multifator do Microsoft Entra

A autenticação multifator do Microsoft Entra é imposta com políticas de Acesso Condicional. As políticas de Acesso Condicional são instruções IF-THEN. SE (IF) um utilizador quiser aceder a um recurso, ENTÃO (THEN) tem de concluir uma ação. Por exemplo, um gerente de folha de pagamento deseja acessar o aplicativo de folha de pagamento e é obrigado a executar a autenticação multifator para acessá-lo. Eis outros pedidos de acesso comuns que poderão exigir a MFA:

  • SE um aplicativo de nuvem específico for acessado.
  • SE um usuário estiver acessando uma rede específica.
  • SE um usuário estiver acessando um aplicativo cliente específico.
  • SE um usuário estiver registrando um novo dispositivo.

Decidir os métodos de autenticação suportados

Ao ativar a autenticação multifator do Microsoft Entra, você pode escolher os métodos de autenticação que deseja disponibilizar. Deverá suportar sempre mais do que um método para que os utilizadores tenham uma alternativa caso o método principal esteja indisponível. Pode escolher entre os métodos seguintes:

Método Description
Código de Verificação de Aplicação Móvel. Um aplicativo de autenticação móvel, como o aplicativo Microsoft Authenticator, pode ser usado para recuperar um código de verificação OATH, que é então inserido na interface de entrada. Este código é alterado de 30 em 30 segundos e a aplicação funciona mesmo se a conectividade for limitada. Esta abordagem não funciona na China em dispositivos Android.
Notificação de aplicativo móvel O Azure pode enviar uma notificação por push para um aplicativo de autenticação móvel, como o Microsoft Authenticator. O usuário pode selecionar a notificação por push e verificar o login.
Chamada para um telefone O Azure pode efetuar uma chamada para um número de telefone fornecido. Depois, o utilizador aprova a autenticação através do teclado. Esse método é preferido para backups.
Chave de segurança FIDO2 As chaves de segurança FIDO2 são um método de autenticação sem senha baseado em padrões não phishable. Essas chaves são normalmente dispositivos USB, mas também podem usar Bluetooth ou NFC.
Windows Hello para empresas O Windows Hello for Business substitui senhas por autenticação forte de dois fatores nos dispositivos. Essa autenticação consiste em um tipo de credencial de usuário que está vinculada a um dispositivo e usa uma biométrica ou PIN.
Tokens OATH Os tokens OATH podem ser aplicativos de software, como o aplicativo Microsoft Authenticator e outros aplicativos autenticadores. Eles também podem ser tokens baseados em hardware que os clientes podem comprar de diferentes fornecedores.

Os administradores podem habilitar uma ou mais dessas opções. Em seguida, os usuários podem optar por cada método de autenticação de suporte que desejam usar.

Selecionar um método de autenticação

Finalmente, você deve decidir como os usuários registram seus métodos selecionados. A abordagem mais fácil é usar o Microsoft Entra ID Protection. Se sua organização tiver uma licença para Proteção de Identidade, você poderá configurá-la para solicitar que os usuários se registrem para MFA na próxima vez que entrarem.

Você também pode solicitar que os usuários se registrem para MFA quando tentarem usar um aplicativo ou serviço que exija autenticação multifator. Por fim, pode impor o registo ao utilizar uma política de Acesso Condicional aplicada a um grupo do Azure que contém todos os utilizadores na sua organização. Esta abordagem exige algum trabalho manual para rever periodicamente o grupo para remover utilizadores registados. Para obter alguns scripts úteis para automatizar parte desse processo, consulte Planejar uma implantação de autenticação multifator do Microsoft Entra.