Como funciona: Autenticação Multifator do Azure AD

Pelo processo de autenticação multifator é solicitado ao usuário outra forma de identificação durante a entrada, como inserir um código no celular ou digitalizar a impressão digital.

Se você usar apenas uma senha para autenticar um usuário, isso deixará um vetor inseguro para ataque. Se a senha for fraca ou tiver sido exposta em outro lugar, um invasor poderá usá-la para obter acesso indevido. Quando você exige uma segunda forma de autenticação, a segurança é aprimorada porque esse fator adicional não é algo fácil de ser obtido ou duplicado por um invasor.

Imagem conceitual das várias formas de autenticação multifator.

A Autenticação Multifator do Azure AD funciona exigindo dois ou mais dos seguintes métodos de autenticação:

  • Algo que você sabe, normalmente, uma senha.
  • Algo que você tem, como um dispositivo confiável que não seja facilmente duplicado, como um telefone ou uma chave de hardware.
  • Algo que você é: uma biometria, como uma impressão digital ou uma verificação facial.

A autenticação multifator do Azure AD também pode proteger ainda mais a redefinição de senha. Quando os usuários se registram para a autenticação multifator do Azure AD, eles também podem se registrar para redefinição de senha de autoatendimento em uma única etapa. Os administradores podem escolher formas de autenticação secundária e configurar os desafios para MFA com base nas decisões de configuração.

Você não precisa alterar aplicativos e serviços para usar a Autenticação Multifator do Azure AD. Os prompts de verificação fazem parte do processo de entrada do Azure AD, que solicita e processa automaticamente o desafio de MFA quando necessário.

Observação

O idioma do prompt é determinado pelas configurações de localidade do navegador. Se você usa saudações personalizadas, mas não tem uma definida para o idioma identificado na localidade do navegador, será usado o inglês por padrão. O NPS (Servidor de Políticas de Rede) sempre usará o inglês por padrão, independentemente das saudações personalizadas. O inglês também será usado por padrão se a localidade do navegador não puder ser determinada.

Tela de entrada da MFA.

Métodos de verificação disponíveis

Quando os usuários entram em um aplicativo ou serviço e recebem um prompt de MFA, eles podem escolher uma das formas registradas de verificação adicional. Os usuários podem acessar o Meu perfil para editar ou adicionar métodos de verificação.

É possível usar estas formas de verificação adicional com a Autenticação Multifator do Azure AD:

  • Aplicativo Microsoft Authenticator
  • Windows Hello for Business
  • Chave de segurança FIDO2
  • Token de hardware OATH (versão prévia)
  • Token de software OATH
  • sms
  • Chamada de voz

Como habilitar e usar a Autenticação Multifator do Azure AD

Você pode usar os padrões de segurança em locatários do Azure AD para habilitar rapidamente o Microsoft Authenticator para todos os usuários. Você pode habilitar a Autenticação Multifator do Azure AD para solicitar a usuários e grupos a verificação adicional durante o processo de entrada.

Para controles mais granulares, você pode usar políticas de Acesso Condicional a fim de definir eventos ou aplicativos que exigem MFA. Essas políticas podem permitir a entrada normal quando o usuário estiver na rede corporativa ou em um dispositivo registrado, mas solicitar fatores de verificação adicionais quando o usuário estiver em ambiente remoto ou em um dispositivo pessoal.

Diagrama que mostra como o Acesso Condicional funciona para proteger o processo de entrada.

Próximas etapas

Para saber mais sobre o licenciamento, confira Recursos e licenças para a Autenticação Multifator do Azure AD.

Para saber mais sobre diferentes métodos de validação e autenticação, consulte Métodos de autenticação no Azure Active Directory.

Para ver como a MFA funciona na prática, siga este tutorial e habilite a Autenticação Multifator do Azure AD para um grupo de usuários de teste: