Que métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?
A Microsoft recomenda métodos de autenticação sem senha, como o Windows Hello, Passkeys (FIDO2) e o aplicativo Microsoft Authenticator, pois eles fornecem a experiência de entrada mais segura. Embora um usuário possa entrar usando outros métodos comuns, como um nome de usuário e senha, as senhas devem ser substituídas por métodos de autenticação mais seguros.
A autenticação multifator do Microsoft Entra adiciona segurança adicional ao usar apenas uma senha quando um usuário entra. Podem ser solicitadas ao utilizador formas adicionais de autenticação, como responder a uma notificação push, introduzir um código de um token de software ou hardware, ou responder a uma mensagem de texto ou chamada telefónica.
Para simplificar a experiência de integração do usuário e registrar-se para MFA e redefinição de senha de autoatendimento (SSPR), recomendamos que você habilite o registro combinado de informações de segurança. Para maior resiliência, recomendamos que você exija que os usuários registrem vários métodos de autenticação. Quando um método não está disponível para um usuário durante a entrada ou SSPR, ele pode optar por autenticar com outro método. Para obter mais informações, consulte Criar uma estratégia de gerenciamento de controle de acesso resiliente no Microsoft Entra ID.
Aqui está um vídeo que criamos para ajudá-lo a escolher o melhor método de autenticação para manter sua organização segura.
Força e segurança do método de autenticação
Ao implantar recursos como a autenticação multifator do Microsoft Entra em sua organização, revise os métodos de autenticação disponíveis. Escolha os métodos que atendem ou excedem seus requisitos em termos de segurança, usabilidade e disponibilidade. Sempre que possível, use métodos de autenticação com o mais alto nível de segurança.
A tabela a seguir descreve as considerações de segurança para os métodos de autenticação disponíveis. A disponibilidade é uma indicação de que o usuário pode usar o método de autenticação, não da disponibilidade do serviço no Microsoft Entra ID:
| Método de autenticação | Segurança | Capacidade de utilização | Disponibilidade |
|---|---|---|---|
| Windows Hello para empresas | Alto | Alto | Alto |
| Microsoft Authenticator | Alto | Alto | Alto |
| Autenticador Lite | Alto | Alto | Alto |
| Chave de acesso (FIDO2) | Alto | Alto | Alto |
| Autenticação baseada em certificado | Alto | Alto | Alto |
| Tokens de hardware OATH (visualização) | Médio | Médio | Alto |
| Tokens de software OATH | Médio | Médio | Alto |
| Passe de Acesso Temporário (TAP) | Médio | Alto | Alto |
| SMS | Médio | Alto | Médio |
| Voz | Médio | Médio | Médio |
| Palavra-passe | Baixa | Alta | Alto |
Para obter as informações mais recentes sobre segurança, confira nossas postagens no blog:
- É hora de desligar os transportes telefônicos para autenticação
- Vulnerabilidades de autenticação e vetores de ataque
Gorjeta
Para flexibilidade e usabilidade, recomendamos que você use o aplicativo Microsoft Authenticator. Esse método de autenticação fornece a melhor experiência do usuário e vários modos, como sem senha, notificações por push MFA e códigos OATH.
Como funciona cada método de autenticação
Alguns métodos de autenticação podem ser usados como o fator principal quando você entra em um aplicativo ou dispositivo, como usar uma chave de segurança FIDO2 ou uma senha. Outros métodos de autenticação só estão disponíveis como um fator secundário quando você usa a autenticação multifator do Microsoft Entra ou SSPR.
A tabela a seguir descreve quando um método de autenticação pode ser usado durante um evento de entrada:
| Método | Autenticação primária | Autenticação secundária |
|---|---|---|
| Windows Hello para empresas | Sim | AMF* |
| Microsoft Authenticator (Push) | Não | MFA e SSPR |
| Microsoft Authenticator (sem senha) | Sim | Não* |
| Autenticador Lite | Não | MFA |
| Chave de acesso (FIDO2) | Sim | MFA |
| Autenticação baseada em certificado | Sim | MFA |
| Tokens de hardware OATH (visualização) | Não | MFA e SSPR |
| Tokens de software OATH | Não | MFA e SSPR |
| Passe de Acesso Temporário (TAP) | Sim | MFA |
| SMS | Sim | MFA e SSPR |
| Chamada de voz | Não | MFA e SSPR |
| Password | Sim | No |
* O Windows Hello for Business, por si só, não serve como uma credencial MFA graduada. Por exemplo, um desafio MFA de frequência de entrada ou solicitação SAML contendo forceAuthn=true. O Windows Hello for Business pode servir como uma credencial MFA incremental sendo usado na autenticação FIDO2. Isso requer que os usuários estejam registrados para autenticação FIDO2 para funcionar com êxito.
* O login sem senha pode ser usado para autenticação secundária somente se a autenticação baseada em certificado (CBA) for usada para autenticação primária. Para obter mais informações, consulte Microsoft Entra certificate-based authentication technical deep dive.
Todos esses métodos de autenticação podem ser configurados no centro de administração do Microsoft Entra e usando cada vez mais a API REST do Microsoft Graph.
Para saber mais sobre como cada método de autenticação funciona, consulte os seguintes artigos conceituais separados:
- Windows Hello para empresas
- Aplicação Microsoft Authenticator
- Chave de acesso (FIDO2)
- Autenticação baseada em certificado
- Tokens de hardware OATH (visualização)
- Tokens de software OATH
- Passe de Acesso Temporário (TAP)
- Login e verificação por SMS
- Verificação de chamadas de voz
- Palavra-passe
Nota
No Microsoft Entra ID, uma senha geralmente é um dos principais métodos de autenticação. Não é possível desativar o método de autenticação de senha. Se você usar uma senha como fator de autenticação principal, aumente a segurança dos eventos de entrada usando a autenticação multifator do Microsoft Entra.
Os seguintes métodos de verificação adicionais podem ser usados em determinados cenários:
- Senhas de aplicativos - usadas para aplicativos antigos que não suportam autenticação moderna e podem ser configurados para autenticação multifator Microsoft Entra por usuário.
- Perguntas de segurança - usadas apenas para SSPR
- Endereço de e-mail - usado apenas para SSPR
Métodos utilizáveis e não utilizáveis
Os administradores podem visualizar os métodos de autenticação do usuário no centro de administração do Microsoft Entra. Os métodos utilizáveis são listados em primeiro lugar, seguidos pelos métodos não utilizáveis.
Cada método de autenticação pode tornar-se inutilizável por diferentes motivos. Por exemplo, um Passe de Acesso Temporário pode expirar ou a chave de segurança FIDO2 pode falhar no atestado. O portal será atualizado para fornecer a razão pela qual o método não é utilizável.
Os métodos de autenticação que não estão mais disponíveis devido a "Exigir autenticação multifator de novo registro" também são exibidos aqui.
Próximos passos
Para começar, consulte o tutorial para redefinição de senha de autoatendimento (SSPR) e autenticação multifator do Microsoft Entra.
Para saber mais sobre os conceitos de SSPR, consulte Como funciona a redefinição de senha de autoatendimento do Microsoft Entra.
Para saber mais sobre os conceitos de MFA, consulte Como funciona a autenticação multifator do Microsoft Entra.
Saiba mais sobre como configurar métodos de autenticação usando a API REST do Microsoft Graph.
Para revisar quais métodos de autenticação estão em uso, consulte Análise do método de autenticação multifator do Microsoft Entra com o PowerShell.