Gerenciar métodos de autenticação de usuário para autenticação multifator do Microsoft Entra

Os usuários no Microsoft Entra ID têm dois conjuntos distintos de informações de contato:

  • Informações de contato do perfil público, que são gerenciadas no perfil do usuário e visíveis para os membros da sua organização. Para os usuários sincronizados do Active Directory local, essas informações são gerenciadas no Windows Server Active Directory Domain Services local.
  • Os métodos de autenticação, que são sempre mantidos privados e são usados somente para autenticação, incluindo a autenticação multifator. Os administradores podem gerenciar esses métodos na folha do método de autenticação de um usuário e os usuários podem gerenciar seus métodos na página de informações de segurança de myaccount.

Ao gerenciar os métodos de autenticação multifator do Microsoft Entra para seus usuários, os administradores de autenticação podem:

  1. Adicione métodos de autenticação para um usuário específico, incluindo números de telefone usados para MFA.
  2. Redefina a senha de um usuário.
  3. Exigir que um usuário registre novamente para MFA.
  4. Revogar sessões de MFA existentes.
  5. Excluir as senhas de aplicativo existentes de um usuário

Adicionar os métodos de autenticação para um usuário

Você pode adicionar métodos de autenticação para um usuário por meio do centro de administração do Microsoft Entra ou do Microsoft Graph.

Observação

Por motivos de segurança, os campos de informações de contato do usuário público não devem ser usados para executar MFA. Em vez disso, os usuários devem preencher seus números de método de autenticação a serem usados para MFA.

Add authentication methods from the Microsoft Entra admin center

Para adicionar métodos de autenticação para um usuário no centro de administração do Microsoft Entra:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Escolha o usuário para o qual você deseja adicionar um método de autenticação e selecione métodos de autenticação.
  4. Na parte superior da janela, selecione + Adicionar método de autenticação.
    1. Selecione um método (número de telefone ou email). O email pode ser usado para redefinição de senha automática, mas não para autenticação. Ao adicionar um número de telefone, selecione um tipo de telefone e insira o número de telefone com um formato válido (por exemplo, + 1 4255551234).
    2. Selecione Adicionar.

Observação

A experiência de visualização permite que os administradores adicionem quaisquer métodos de autenticação disponíveis para os usuários, enquanto a experiência original permite apenas a atualização de telefones e métodos de telefone alternativos.

Gerenciar os métodos usando o PowerShell

Instale o módulo Microsoft. Graph. Identity. entrada do PowerShell usando os comandos a seguir.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

Listar métodos de autenticação baseados em telefone para um usuário específico.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Crie um método de autenticação de telefone celular para um usuário específico.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remover um método de telefone específico para um usuário

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 3179e48a-750b-4051-897c-87b9720928f7

Os métodos de autenticação também podem ser gerenciados utilizando as APIs do Microsoft Graph. Para obter mais informações, confira Noções básicas de autenticação e autorização.

Gerenciar as opções de autenticação de usuário

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Se você tiver atribuído a função de Administrador de Autenticação, poderá exigir que os usuários redefinam sua senha, registrem-se novamente para MFA ou revokem as sessões de MFA existentes de seu objeto de usuário. Para gerenciar essas configurações de usuário, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.

  2. Navegue até Identidade>Usuários>Todos os usuários.

  3. Escolha o usuário no qual você deseja executar uma ação e selecione Métodos de autenticação. Na parte superior da janela, escolha uma das seguintes opções para o usuário:

    • Redefinir senha redefine a senha do usuário e atribua uma senha temporária que deve ser alterada na próxima entrada.
    • Exigir o registro da nova MFA desativa os tokens OATH do hardware do usuário e exclui os seguintes métodos de autenticação desse usuário: números de telefone, aplicativos do Microsoft Authenticator e tokens OATH do software. Se necessário, o usuário será solicitado a configurar um novo método de autenticação de MFA na próxima vez que entrar.
    • Revogar sessões de MFA limpa as sessões de MFA lembradas pelo usuário e exige que elas executem a MFA na próxima vez que ela for exigida pela política no dispositivo. Manage authentication methods from the Microsoft Entra admin center

    Excluir senhas de aplicativo de usuários existentes

    Para usuários que definiram senhas de aplicativo, os administradores também podem optar por excluir essas senhas, fazendo com que a autenticação herdada falhe nesses aplicativos. Essas ações poderão ser necessárias se você precisar fornecer assistência a um usuário ou precisar redefinir seus métodos de autenticação. Aplicativos sem navegador que estavam associados a essas senhas de aplicativo deixarão de funcionar até que uma nova senha de aplicativo seja criada.

    Para excluir as senhas de aplicativo de um usuário, conclua as seguintes etapas:

  4. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.

  5. Navegue até Identidade>Usuários>Todos os usuários.

  6. Selecione Autenticação multifator. Role para a direita para ver esta opção de menu. Selecione a captura de tela de exemplo abaixo para ver a janela completa e o local do menu: Select multifactor authentication from the Users window in Microsoft Entra ID..

  7. Marque a caixa ao lado do usuário ou usuários que você deseja gerenciar. Uma lista de opções de etapa rápida aparecem à direita.

  8. Selecione gerenciar configurações de usuárioe marque a caixa excluir todas as senhas de aplicativo existentes geradas pelos usuários selecionados, conforme mostrado no exemplo a seguir: Delete all existing app passwords

    1. Selecione salve, em seguida, fechar.

Próximas etapas

Este artigo mostrou como definir configurações de usuário individuais. Para definir as configurações gerais do serviço de autenticação multifator do Microsoft Entra, consulte Definir configurações de autenticação multifator do Microsoft Entra.

Se os usuários precisarem de ajuda, confira o Guia do usuário para autenticação multifator do Microsoft Entra.