Compartilhar via

Autenticação multifator preferencial do sistema - Política de métodos de autenticação

  • Artigo

A autenticação multifator preferencial do sistema (MFA) solicita que os usuários entrem usando o método mais seguro registrado. Os administradores podem habilitar a MFA preferencial do sistema para melhorar a segurança de entrada e desencorajar métodos de entrada menos seguros, como SMS.

Por exemplo, se um usuário registrou notificações por push do Microsoft Authenticator e SMS como métodos para MFA, a MFA preferencial do sistema solicita que o usuário entre usando o método de notificação por push mais seguro. O usuário ainda pode optar por entrar usando outro método, mas primeiro é solicitado que tente o método mais seguro registrado.

A MFA preferencial do sistema é uma configuração gerenciada pela Microsoft, que é uma política tristate. Para a versão prévia, o estado padrão está desabilitado. Se você quiser ativá-lo para todos os usuários ou para um grupo de usuários durante a versão prévia, será necessário alterar explicitamente o estado gerenciado da Microsoft para Habilitado. Algum tempo após a disponibilidade geral, o estado gerenciado pela Microsoft para MFA preferencial do sistema mudará para Habilitado.

Depois que a MFA preferencial do sistema é habilitada, o sistema de autenticação faz todo o trabalho. Os usuários não precisam definir nenhum método de autenticação como padrão, pois o sistema sempre determina e apresenta o método mais seguro registrado.

Observação

A MFA preferida pelo sistema é um importante aprimoramento de segurança para usuários que se autenticam usando os transportes de telecomunicações. A partir de 7 de julho de 2023, o valor gerenciado pela Microsoft da MFA preferida pelo sistema será alterado de Desabilitado para Habilitado. Se você não quiser habilitar a MFA preferida do sistema, altere o estado de Padrão para Desabilitado ou exclua usuários e grupos da política.

Habilitar a MFA preferencial do sistema no centro de administração do Microsoft Entra

Por padrão, a MFA preferencial do sistema é Gerenciada pela Microsoft e desativada para todos os usuários.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.

  2. Navegue até Proteção>Métodos de autenticação>Configurações.

  3. Para Autenticação multifator preferencial do sistema, escolha se deseja habilitar ou desabilitar explicitamente o recurso e incluir ou excluir usuários. Os grupos excluídos têm precedência sobre os grupos de inclusão.

    Por exemplo, a captura de tela a seguir mostra como habilitar explicitamente a MFA preferencial do sistema apenas para o grupo Engenharia.

    Captura de tela de como ativar as configurações do Microsoft Authenticator para o modo de autenticação por Push.

  4. Depois de concluir as alterações, clique em Salvar.

Habilitar a MFA preferencial do sistema usando APIs do Graph

Para habilitar a MFA preferencial do sistema com antecedência, você precisa escolher um único grupo de destino para a configuração do esquema, conforme mostrado no exemplo de Solicitação.

Propriedades de configuração do recurso do método de autenticação

Por padrão, a MFA preferencial do sistema é Gerenciada pela Microsoft e desativada durante a versão prévia. Após a disponibilidade geral, o valor padrão do estado gerenciado pela Microsoft será alterado para habilitar a MFA preferencial do sistema.

Propriedade Type Descrição
excludeTarget featureTarget Uma única entidade que é excluída deste recurso.
Você pode excluir apenas um grupo da MFA preferencial do sistema, que pode ser um grupo dinâmico ou aninhado.
includeTarget featureTarget Uma única entidade que é incluída neste recurso.
Você só pode incluir um grupo para MFA preferencial do sistema, que pode ser um grupo dinâmico ou aninhado.
Estado advancedConfigState Os valores possíveis são:
habilitado habilita explicitamente o recurso para o grupo selecionado.
desabilitado desabilita explicitamente o recurso para o grupo selecionado.
padrão permite que o Microsoft Entra ID gerencie se o recurso está habilitado ou não para o grupo selecionado.

Propriedades de destino do recurso

A MFA preferencial do sistema pode ser habilitada apenas para um único grupo, que pode ser um grupo dinâmico ou aninhado.

Propriedade Type Descrição
ID String ID da entidade de destino.
targetType featureTargetType O tipo de entidade de destino, como grupo, função ou unidade administrativa. Os valores possíveis são: 'group', 'administrativeUnit', 'role', 'unknownFutureValue'.

Use o seguinte terminal de API para habilitar systemCredentialPreferences e incluir ou excluir grupos:

https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy

Observação

No Explorador do Graph, você precisa consentir com a permissão Policy.ReadWrite.AuthenticationMethod.

Solicitação

O exemplo a seguir exclui um grupo de destino de amostra e inclui todos os usuários. Para obter mais informações, confira Atualizar authenticationMethodsPolicy.

PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json

{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [
            {
                "id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
                "targetType": "group"
            }
        ],
        "includeTargets": [
            {
                "id": "all_users",
                "targetType": "group"
            }
        ]
    }
}

Perguntas frequentes

Como a MFA preferencial do sistema determina o método mais seguro?

Quando um usuário entra, o processo de autenticação verifica quais métodos de autenticação estão registrados para o usuário. O usuário é solicitado a entrar com o método mais seguro de acordo com a seguinte ordem. A ordem dos métodos de autenticação é dinâmica. Ela é atualizada à medida que o cenário de segurança muda e à medida que surgem melhores métodos de autenticação. Devido a problemas conhecidos com a autenticação baseada em certificado e a MFA preferencial do sistema, movemos a CBA para a parte inferior da lista. Clique no link para obter informações sobre cada método.

  1. Senha de Acesso Temporária
  2. Chave de segurança FIDO2
  3. Notificações do Microsoft Authenticator
  4. Senhas Avulsas por Tempo Limitado (TOTP)1
  5. Telefonia2
  6. Autenticação baseada em certificado

1 Inclui hardware ou software com TOTP do Microsoft Authenticator, Authenticator Lite ou aplicativos de terceiros.

2 Inclui SMS e chamadas de voz.

Como a MFA preferida pelo sistema afeta a extensão do NPS?

A MFA preferida pelo sistema não afeta os usuários que entram usando a extensão Servidor de Política de Rede (NPS). Esses usuários não veem nenhuma alteração em sua experiência de entrada.

O que acontece com os usuários que não são especificados na política de métodos de autenticação, mas habilitados na política herdada de todo o locatário do MFA?

A MFA preferencial do sistema também se aplica a usuários habilitados para MFA na política de MFA herdada.

Captura de tela das configurações herdadas da MFA.

Próximas etapas