Como migrar as configurações de política de MFA e SSPR para a política Métodos de autenticação do Microsoft Entra ID
Migre as configurações de política herdadas do Microsoft Entra ID que controlam separadamente a autenticação multifator e a SSPR (redefinição de senha self-service) para o gerenciamento unificado com a política Métodos de autenticação.
Você migra as configurações de política em seu próprio agendamento e o processo é totalmente reversível. Você pode continuar a usar políticas de MFA e SSPR em todo o locatário, enquanto configura os métodos de autenticação com mais precisão para usuários e grupos na política Métodos de autenticação. Você conclui a migração sempre que estiver pronto para gerenciar todos os métodos de autenticação juntos na política Métodos de autenticação.
Para obter mais informações sobre como essas políticas funcionam juntas durante a migração, confira Gerenciar métodos de autenticação no Microsoft Entra ID.
Antes de começar
Comece fazendo uma auditoria das configurações de política existentes para cada método de autenticação disponível para os usuários. Se você reverter durante a migração, poderá querer um registro das configurações do método de autenticação de cada uma dessas políticas:
- Política do MFA
- Política SSPR (se usada)
- Política Métodos de autenticação (se usada)
Se você não estiver usando a SSPR e ainda não estiver usando a política Métodos de autenticação, só precisará obter as configurações da política de MFA.
Examinar a política de MFA herdada
Comece documentando quais métodos estão disponíveis na política de MFA herdada. Entre no centro de administração do Microsoft Entra como Administrador global. Acesse Identidade>Usuários>Todos os usuários>MFA por usuário>Configurações do serviço para exibir as configurações. Essas configurações são de todo o locatário, portanto, não há necessidade de informações de usuário ou grupo.
Para cada método, observe se ele está habilitado para o locatário. A tabela a seguir lista os métodos disponíveis na política de MFA herdada e os métodos correspondentes na política de método de Autenticação.
| Política da autenticação multifator | Política de método de autenticação |
|---|---|
| Ligue para o telefone | Chamada de voz |
| Mensagem de texto para telefone | SMS |
| Notificação pelo aplicativo móvel | Microsoft Authenticator |
| O código de verificação do aplicativo móvel ou token de hardware | Tokens OATH de software de terceiros Tokens OATH de hardware Microsoft Authenticator |
Examinar a política de SSPR herdada
Para obter os métodos de autenticação disponíveis na política de SSPR herdada, acesse Identidade>Usuários>Redefinição de senha>Métodos de autenticação. A tabela a seguir lista os métodos disponíveis na política de SSPR herdada e os métodos correspondentes na política de método de Autenticação.
Registre quais usuários estão no escopo da SSPR (todos os usuários, um grupo específico ou nenhum usuário) e os métodos de autenticação que eles podem usar. Embora as perguntas de segurança ainda não estejam disponíveis para gerenciamento na política Métodos de autenticação, registre-as para mais tarde quando estiverem disponíveis.
| Método de autenticação de SSPR | Política de método de autenticação |
|---|---|
| Notificação de aplicativo móvel | Microsoft Authenticator |
| Código do aplicativo móvel | Microsoft Authenticator Tokens OATH de software |
| OTP de email | |
| Telefone celular | Chamada de voz SMS |
| Telefone comercial | Chamada de voz |
| Perguntas de segurança | Ainda não disponível; copiar perguntas para uso posterior |
política de métodos de autenticação
Para verificar as configurações na política de Métodos de autenticação, entre no centro de administração do Microsoft Entra como, pelo menos, Administrador de Política de Autenticação e navegue até Proteção>Métodos de autenticação>Políticas. Um novo locatário tem todos os métodos Desativados por padrão, o que facilita a migração porque as configurações de política herdadas não precisam ser mescladas com as configurações existentes.
- Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
- Navegue até Proteção>Métodos de autenticação>
A política Métodos de autenticação tem outros métodos que não estão disponíveis nas políticas herdadas, como chave de segurança FIDO2, Senha de Acesso Temporária e autenticação baseada em certificado do Microsoft Entra. Esses métodos não estão no escopo da migração e você não precisará fazer alterações se eles já estiverem configurados.
Se você habilitou outros métodos na política Métodos de autenticação, anote os usuários e grupos que podem ou não usar esses métodos. Anote os parâmetros de configuração que regem como o método pode ser usado. Por exemplo, você pode configurar o Microsoft Authenticator para fornecer localização em notificações por push. Faça um registro de quais usuários e grupos estão habilitados para parâmetros de configuração semelhantes associados a cada método.
Inicie a migração
Depois de capturar os métodos de autenticação disponíveis das políticas que você está usando no momento, você pode iniciar a migração. Abra a política Métodos de autenticação, selecione Gerenciar migração e selecione Migração em andamento.
Convém definir essa opção antes de fazer alterações, pois ela aplicará a nova política a cenários de entrada e de redefinição de senha.
A próxima etapa é atualizar a política Métodos de autenticação para corresponder à sua auditoria. Convém examinar cada método um a um. Se o locatário estiver usando apenas a política de MFA herdada e não estiver usando a SSPR, a atualização será simples. Você pode habilitar cada método para todos os usuários e corresponder precisamente à política existente.
Se o locatário estiver usando a MFA e a SSPR, você precisará considerar cada método:
- Se o método estiver habilitado em ambas as políticas herdadas, habilite-o para todos os usuários na política Métodos de autenticação.
- Se o método estiver desativado em ambas as políticas herdadas, deixe-o desativado para todos os usuários na política Métodos de autenticação.
- Se o método estiver habilitado apenas em uma política, você precisa decidir se ele deve ou não estar disponível em todas as situações.
Quando as políticas correspondem, você pode corresponder facilmente ao estado atual. Quando houver uma incompatibilidade, você precisará decidir se deseja habilitar ou desabilitar o método completamente. Por exemplo, suponha que a Notificação por meio do aplicativo móvel esteja habilitada para permitir notificações por push para MFA. Na política de SSPR herdada, o método de Notificação de aplicativo móvel não está habilitado. Nesse caso, as políticas herdadas permitem notificações por push para MFA, mas não para SSPR.
Na política Métodos de autenticação, você precisará escolher se deseja habilitar o Microsoft Authenticator para SSPR e MFA ou desabilitá-lo (recomendamos habilitar o Microsoft Authenticator).
Observe que, na política Métodos de autenticação, você tem a opção de habilitar métodos para grupos de usuários, além de todos os usuários, e você também pode excluir grupos de usuários de poder usar um determinado método. Isso significa que você tem muita flexibilidade para controlar quais usuários podem usar quais métodos. Por exemplo, você pode habilitar Microsoft Authenticator para todos os usuários e limitar a chamada SMS e Chamada de voz a um grupo de 20 usuários que precisam desses métodos.
À medida que você atualiza cada método na política Métodos de autenticação, alguns métodos têm parâmetros configuráveis que permitem controlar como esse método pode ser usado. Por exemplo, se você ativar as Chamadas de voz como método de autenticação, poderá optar por permitir telefone comercial e celulares ou somente celular. Siga o processo para configurar cada método de autenticação a partir da auditoria.
Você não precisa corresponder à política existente! É uma ótima oportunidade para examinar os métodos habilitados e escolher uma nova política que maximize a segurança e a usabilidade para o locatário. Apenas observe que desabilitar métodos para usuários que já os estão usando pode exigir que esses usuários registrem novos métodos de autenticação e os impeça de usar métodos registrados anteriormente.
As próximas seções abordam diretrizes de migração específicas para cada método.
Enviar senha de uso único por email
Existem dois controles para Senha de uso único de email:
O direcionamento usando inclusão e exclusão na seção Habilitar e direcionar da configuração é usado para habilitar o OTP de email para membros de um locatário para uso na Redefinição de senha.
Existe um controle separado Permitir que usuários externos usem o OTP de email na seção Configurar, que controla o uso de OTP de email para entrada de usuários B2B. O método de autenticação não poderá ser desabilitado, se esse controle estiver habilitado.
Microsoft Authenticator
Se a Notificação por meio de aplicativo móvel estiver habilitada na política de MFA herdada, habilite o Microsoft Authenticator para Todos os usuários na política Métodos de autenticação. Defina o modo de autenticação como Qualquer para permitir notificações por push ou autenticação sem senha.
Se o Código de verificação do aplicativo móvel ou token de hardware estiver habilitado na política de MFA herdada, defina Permitir uso do Microsoft Authenticator OTP como Sim.
SMS e chamadas de voz
A política de MFA herdada tem controles separados para SMS e Chamadas telefônicas. Mas também há um controle de Telefone celular que permite telefones celulares tanto para SMS quanto para chamadas de voz. E outro controle para Telefone comercial habilita um telefone comercial somente para chamada de voz.
A política Métodos de autenticação tem controles para SMS e Chamadas de voz, que correspondem à política de MFA herdada. Se o locatário estiver usando a SSPR e o Telefone celular estiver habilitado, convém habilitar o SMS e as Chamadas de voz na política Métodos de autenticação. Se o locatário estiver usando a SSPR e o Telefone comercial estiver habilitado, convém habilitar as Chamadas de voz na política Métodos de autenticação e garantir que a opção Telefone comercial esteja habilitada.
Observação
A opção Usar para entrada é habilitada por padrão em configurações de SMS. Essa opção permite a entrada por SMS. Se a entrada por SMS estiver habilitada para os usuários, eles serão ignorados da sincronização entre locatários. Se você estiver usando a sincronização entre locatários ou não quiser habilitar a entrada por SMS, desabilite a entrada por SMS para usuários de destino.
Tokens OATH
Os controles de token OATH nas políticas herdadas de MFA e SSPR eram controles avulsos que habilitavam o uso de três tipos diferentes de tokens OATH: o aplicativo Microsoft Authenticator, aplicativos geradores de código OATH TOTP de software de terceiros e tokens OATH de hardware.
A política Métodos de autenticação tem um controle granular com controles separados para cada tipo de token OATH. O uso do OTP no Microsoft Authenticator é controlado pelo recurso Permitir uso do Microsoft Authenticator OTP na seção Microsoft Authenticator da política. Os aplicativos de terceiros são controlados pela seção Tokens OATH de software de terceiros da política. Os tokens OATH de hardware são controlados pela seção Tokens OATH de hardware da política.
Perguntas de segurança
Um controle para Perguntas de segurança estará disponível em breve. Se você usar as perguntas de segurança e não quiser desabilitá-las, mantenha-as habilitadas na política de SSPR herdada até que o novo controle esteja disponível. Você pode concluir a migração conforme descrito na próxima seção, com as perguntas de segurança habilitadas.
Concluir a migração
Depois de atualizar a política Métodos de autenticação, siga as políticas de MFA e SSPR herdadas e remova cada método de autenticação um a um. Teste e valide as alterações para cada método.
Quando você determinar que a MFA e a SSPR funcionam conforme o esperado e não precisar mais das políticas herdadas de MFA e SSPR, pode alterar o processo de migração para Migração Concluída. Nesse modo, o Microsoft Entra segue apenas a política Métodos de autenticação. Nenhuma alteração poderá ser feita nas políticas herdadas, se a Migração Concluída estiver definida, exceto para perguntas de segurança na política de SSPR. Se você precisar voltar para as políticas herdadas por algum motivo, poderá retornar o estado de migração para Migração em Andamento a qualquer momento.
