Autenticação multifator preferencial do sistema - Política de métodos de autenticação
A autenticação multifator preferencial do sistema (MFA) solicita que os usuários entrem usando o método mais seguro registrado. Os administradores podem habilitar a MFA preferencial do sistema para melhorar a segurança de entrada e desencorajar métodos de entrada menos seguros, como SMS.
Por exemplo, se um usuário registrou notificações por push do Microsoft Authenticator e SMS como métodos para MFA, a MFA preferencial do sistema solicita que o usuário entre usando o método de notificação por push mais seguro. O usuário ainda pode optar por entrar usando outro método, mas primeiro é solicitado que tente o método mais seguro registrado.
A MFA preferencial do sistema é uma configuração gerenciada pela Microsoft, que é uma política tristate. Para a versão prévia, o estado padrão está desabilitado. Se você quiser ativá-lo para todos os usuários ou para um grupo de usuários durante a versão prévia, será necessário alterar explicitamente o estado gerenciado da Microsoft para Habilitado. Algum tempo após a disponibilidade geral, o estado gerenciado pela Microsoft para MFA preferencial do sistema mudará para Habilitado.
Depois que a MFA preferencial do sistema é habilitada, o sistema de autenticação faz todo o trabalho. Os usuários não precisam definir nenhum método de autenticação como padrão, pois o sistema sempre determina e apresenta o método mais seguro registrado.
Observação
A MFA preferida pelo sistema é um importante aprimoramento de segurança para usuários que se autenticam usando os transportes de telecomunicações. A partir de 7 de julho de 2023, o valor gerenciado pela Microsoft da MFA preferida pelo sistema será alterado de Desabilitado para Habilitado. Se você não quiser habilitar a MFA preferida do sistema, altere o estado de Padrão para Desabilitado ou exclua usuários e grupos da política.
Habilitar a MFA preferencial do sistema no centro de administração do Microsoft Entra
Por padrão, a MFA preferencial do sistema é Gerenciada pela Microsoft e desativada para todos os usuários.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
Navegue até Proteção>Métodos de autenticação>Configurações.
Para Autenticação multifator preferencial do sistema, escolha se deseja habilitar ou desabilitar explicitamente o recurso e incluir ou excluir usuários. Os grupos excluídos têm precedência sobre os grupos de inclusão.
Por exemplo, a captura de tela a seguir mostra como habilitar explicitamente a MFA preferencial do sistema apenas para o grupo Engenharia.
Depois de concluir as alterações, clique em Salvar.
Habilitar a MFA preferencial do sistema usando APIs do Graph
Para habilitar a MFA preferencial do sistema com antecedência, você precisa escolher um único grupo de destino para a configuração do esquema, conforme mostrado no exemplo de Solicitação.
Propriedades de configuração do recurso do método de autenticação
Por padrão, a MFA preferencial do sistema é Gerenciada pela Microsoft e desativada durante a versão prévia. Após a disponibilidade geral, o valor padrão do estado gerenciado pela Microsoft será alterado para habilitar a MFA preferencial do sistema.
Propriedade | Type | Descrição |
---|---|---|
excludeTarget | featureTarget | Uma única entidade que é excluída deste recurso. Você pode excluir apenas um grupo da MFA preferencial do sistema, que pode ser um grupo dinâmico ou aninhado. |
includeTarget | featureTarget | Uma única entidade que é incluída neste recurso. Você só pode incluir um grupo para MFA preferencial do sistema, que pode ser um grupo dinâmico ou aninhado. |
Estado | advancedConfigState | Os valores possíveis são: habilitado habilita explicitamente o recurso para o grupo selecionado. desabilitado desabilita explicitamente o recurso para o grupo selecionado. padrão permite que o Microsoft Entra ID gerencie se o recurso está habilitado ou não para o grupo selecionado. |
Propriedades de destino do recurso
A MFA preferencial do sistema pode ser habilitada apenas para um único grupo, que pode ser um grupo dinâmico ou aninhado.
Propriedade | Type | Descrição |
---|---|---|
ID | String | ID da entidade de destino. |
targetType | featureTargetType | O tipo de entidade de destino, como grupo, função ou unidade administrativa. Os valores possíveis são: 'group', 'administrativeUnit', 'role', 'unknownFutureValue'. |
Use o seguinte terminal de API para habilitar systemCredentialPreferences e incluir ou excluir grupos:
https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Observação
No Explorador do Graph, você precisa consentir com a permissão Policy.ReadWrite.AuthenticationMethod.
Solicitação
O exemplo a seguir exclui um grupo de destino de amostra e inclui todos os usuários. Para obter mais informações, confira Atualizar authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Perguntas frequentes
Como a MFA preferencial do sistema determina o método mais seguro?
Quando um usuário entra, o processo de autenticação verifica quais métodos de autenticação estão registrados para o usuário. O usuário é solicitado a entrar com o método mais seguro de acordo com a seguinte ordem. A ordem dos métodos de autenticação é dinâmica. Ela é atualizada à medida que o cenário de segurança muda e à medida que surgem melhores métodos de autenticação. Devido a problemas conhecidos com a autenticação baseada em certificado e a MFA preferencial do sistema, movemos a CBA para a parte inferior da lista. Clique no link para obter informações sobre cada método.
- Senha de Acesso Temporária
- Chave de segurança FIDO2
- Notificações do Microsoft Authenticator
- Senhas Avulsas por Tempo Limitado (TOTP)1
- Telefonia2
- Autenticação baseada em certificado
1 Inclui hardware ou software com TOTP do Microsoft Authenticator, Authenticator Lite ou aplicativos de terceiros.
2 Inclui SMS e chamadas de voz.
Como a MFA preferida pelo sistema afeta a extensão do NPS?
A MFA preferida pelo sistema não afeta os usuários que entram usando a extensão Servidor de Política de Rede (NPS). Esses usuários não veem nenhuma alteração em sua experiência de entrada.
O que acontece com os usuários que não são especificados na política de métodos de autenticação, mas habilitados na política herdada de todo o locatário do MFA?
A MFA preferencial do sistema também se aplica a usuários habilitados para MFA na política de MFA herdada.
Próximas etapas
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de