Visão geral do registro combinado de informações de segurança do Azure Active Directory

Antes do registro combinado, os usuários se registravam separadamente em métodos de autenticação diferentes para a Autenticação Multifator do Azure AD e a SSPR (redefinição de senha self-service). As pessoas ficavam confusas porque, embora fossem usados métodos semelhantes para a Autenticação Multifator do Azure AD e a SSPR, elas tinham que se registrar em ambos os recursos. Agora, com o registro combinado, os usuários só precisam se registrar uma vez para obter os benefícios tanto da Autenticação Multifator como da SSPR. Recomendamos este vídeo sobre como habilitar e configurar o SSPR no Azure AD

Observação

A partir de 15 de agosto de 2020, todos os novos locatários do Azure AD serão habilitados automaticamente para o registro combinado.

Após 30 de setembro de 2022, todos os usuários registrarão informações de segurança por meio da experiência de registro combinado.

Este artigo descreve o que é o registro combinado de segurança. Para começar a usar o registro combinado de segurança, confira o seguinte artigo:

My Account showing registered Security info for a user

Antes de habilitar a nova experiência, examine esta documentação voltada para o administrador e a documentação voltada para o usuário para ter certeza de que você entendeu a funcionalidade e o efeito desse recurso. Baseie seu treinamento na documentação do usuário para preparar os usuários para a nova experiência e ajudar a garantir uma distribuição bem-sucedida.

O registro combinado de informações de segurança do Azure AD está disponível para o Azure US Government, mas não para o Azure China 21Vianet.

Importante

Os usuários que estão habilitados para a versão prévia original e a experiência avançada de registro combinado visualizam o novo comportamento. Os usuários que estão habilitados para as duas experiências visualizam apenas a experiência de Minha Conta. Minha Conta está alinhada com a aparência do registro combinado e oferece uma experiência perfeita aos usuários. Os usuários podem ver Minha Conta acessando https://myaccount.microsoft.com.

Você pode definir Exigir que os usuários se registrem ao entrar para Sim a fim de exigir que todos os usuários se registrem ao entrar, garantindo que todos os usuários estejam protegidos.

Talvez você encontre uma mensagem de erro ao tentar acessar a opção Informações de segurança, como "Infelizmente não foi possível conectá-lo". Confirme se não há nenhum objeto de política de grupo ou de configuração que bloqueie cookies de terceiros no navegador da Web.

As páginas Minha Conta são localizadas de acordo com as configurações de idioma do computador que está acessando a página. Como a Microsoft armazena o idioma mais recente usado no cache do navegador, as tentativas subsequentes de acessar as páginas continuam a ser renderizadas no último idioma usado. Se você limpar o cache, elas serão renderizadas novamente.

Caso você queira forçar um idioma específico, adicione ?lng=<language> ao final da URL, em que <language> é o código do idioma a ser renderizado.

Set up SSPR or other security verification methods

Métodos disponíveis no registro combinado

O registro combinado é compatível com os seguintes métodos e ações de autenticação:

Método Registrar Alteração Excluir
Microsoft Authenticator Sim (no máximo 5) Não Sim
Outro aplicativo autenticador Sim (no máximo 5) Não Sim
Token de hardware Não Não Sim
Telefone Sim Sim Sim
Telefone alternativo Sim Sim Sim
Telefone comercial Sim Sim Sim
Email Sim Sim Sim
Perguntas de segurança Sim Não Sim
Senhas de aplicativo Sim Não Sim
Chaves de segurança FIDO2
Modo gerenciado somente na página Informações de segurança
Sim Sim Sim

Observação

As senhas de aplicativo estão disponíveis somente para usuários aos quais foi imposta a Autenticação Multifator. As senhas de aplicativo não estão disponíveis para usuários habilitados para a Autenticação Multifator por meio de uma política de Acesso Condicional.

Os usuários podem definir uma das seguintes opções como método de padrão de Autenticação Multifator:

  • Microsoft Authenticator - notificação por push ou sem senha
  • Código do token de hardware ou aplicativo do autenticador
  • chamada telefônica
  • mensagem de texto

Observação

Não há suporte para números de telefone virtuais para chamadas de voz ou mensagens de SMS.

Aplicativos autenticadores de terceiros não fornecem notificação por push. Conforme adicionamos mais métodos de autenticação ao Azure AD, eles vão sendo disponibilizados no registro combinado.

Modos de registro combinado

Existem dois modos de registro combinado: Interrupção e Gerenciamento.

  • Modo Interrupção: semelhante a um assistente, é apresentado aos usuários quando eles registram ou atualizam suas informações de segurança na entrada.
  • Modo Gerenciamento: faz parte do perfil do usuário e permite que os usuários gerenciem suas informações de segurança.

Em ambos os modos, os usuários que tenham registrado anteriormente um método que pode ser usado para a Autenticação Multifator precisam executá-la para conseguirem acessar suas informações de segurança. Os usuários devem confirmar as informações antes de continuarem usando os métodos registrados anteriormente.

Modo Interrupção

O registro combinado respeita as políticas de Autenticação Multifator e SSPR quando as duas estão habilitadas para o locatário. Essas políticas controlam se um usuário é interrompido para registro durante a entrada e quais métodos estão disponíveis para o registro. Se apenas uma política de SSPR estiver habilitada, os usuários poderão ignorar a interrupção do registro e concluí-la posteriormente.

Veja a seguir alguns exemplos de cenários em que pode ser solicitado que os usuários registrem ou atualizem suas informações de segurança:

  • Registro de Autenticação Multifator imposto por meio do Identity Protection: os usuários precisam se registrar durante a entrada. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
  • Registro de Autenticação Multifator imposto por meio da Autenticação Multifator por usuário: os usuários precisam se registrar durante a entrada. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
  • Registro de Autenticação Multifator imposto por meio da política de Acesso Condicional ou outras políticas: os usuários precisam se registrar quando usam um recurso que requer Autenticação Multifator. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
  • Registro de SSPR imposto: os usuários precisam se registrar durante a entrada. Eles registram apenas métodos de SSPR.
  • Atualização de SSPR imposta: os usuários são obrigados a revisar suas informações de segurança em um intervalo definido pelo administrador. As informações são exibidas para os usuários, que podem confirmá-las ou fazer alterações, se necessário.

Quando o registro é imposto, é exibido para os usuários o número mínimo de métodos necessários para manter a compatibilidade com as políticas de Autenticação Multifator e SSPR, do mais seguro para o menos seguro. Os usuários que passarem pelo registro combinado em que o registro de MFA e SSPR é aplicado e a política de SSPR exige dois métodos serão solicitados primeiro a registrar um método de MFA como o primeiro método e podem selecionar outro método específico de MFA ou SSPR como o segundo método registrado (por exemplo, e-mail, perguntas de segurança etc.)

Considere o seguinte exemplo de cenário:

  • Um usuário está habilitado para SSPR. A política de SSPR exige dois métodos para redefinição e habilitou o aplicativo autenticador, o e-mail e o telefone.
  • Quando o usuário opta por se registrar, dois métodos são necessários:
    • Por padrão, são exibidos o aplicativo autenticador e o telefone.
    • O usuário pode optar por registrar o e-mail em vez do aplicativo autenticador ou do telefone.

O fluxograma a seguir descreve quais métodos são exibidos para um usuário quando ele é interrompido para registro durante a entrada:

Combined security info flowchart

Se você tem a Autenticação Multifator e a SSPR habilitadas, é recomendável impor o registro da Autenticação Multifator.

Se a política de SSPR exigir que os usuários revisem suas informações de segurança em intervalos regulares, os usuários serão interrompidos durante a entrada e todos os métodos registrados serão exibidos. Eles poderão confirmar se as informações atuais estão atualizadas ou fazer as alterações necessárias. Os usuários devem executar a autenticação multifator ao acessar essa página.

Modo Gerenciamento

Os usuários podem acessar o modo Gerenciamento indo para https://aka.ms/mysecurityinfo ou selecionando Informações de segurança em Minha Conta. A partir daí, eles podem adicionar métodos, excluir ou alterar métodos existentes, alterar o método padrão e muito mais.

Principais cenários de uso

Configurar informações de segurança durante a entrada

Um administrador impôs o registro.

Um usuário não configurou todas as informações de segurança necessárias e vai para o portal do Azure. Após o usuário inserir o nome de usuário e a senha, o usuário precisará configurar as informações de segurança. Ele segue as etapas mostradas no assistente para configurar as informações de segurança necessárias. Se as configurações permitirem, o usuário poderá optar por configurar métodos diferentes daqueles mostrados por padrão. Após o usuário concluir o assistente, eles revisam os métodos que foram configurados e o método padrão para a Autenticação Multifator. Para finalizar o processo de instalação, o usuário confirma as informações e vai para o portal do Azure.

Configurar informações de segurança em Minha Conta

Um administrador não impôs o registro.

Um usuário que ainda não configurou todas as informações de segurança necessárias vai para https://myaccount.microsoft.com. O usuário seleciona Informações de segurança no painel esquerdo. A partir daí, o usuário opta por adicionar um método, seleciona um dos métodos disponíveis e segue as etapas para configurar esse método. Quando terminar, o usuário verá o método que foi configurado na página Informações de segurança.

Excluir informações de segurança de Minha Conta

Um usuário que tenha configurado anteriormente pelo menos um método navega para https://aka.ms/mysecurityinfo. O usuário opta por excluir um dos métodos registrados anteriormente. Quando terminar, o usuário não verá mais esse método na página Informações de segurança.

Alterar o método padrão de Minha Conta

Um usuário que tenha configurado anteriormente pelo menos um método que pode ser usado para a Autenticação Multifator navega para https://aka.ms/mysecurityinfo. O usuário altera o método padrão atual para outro diferente. Quando terminar, o usuário verá o novo método padrão na página Informações de segurança.

Mudar diretório

Uma identidade externa, como um usuário B2B, pode precisar alternar o diretório para mudar as informações do registro de segurança para um locatário de terceiros. Além disso, os usuários que acessam um locatário de recursos podem ficar confusos quando alteram as configurações em seu locatário de residência, mas não veem as alterações refletidas no locatário do recurso.

Por exemplo, um usuário define a notificação por push do aplicativo Microsoft Authenticator como a autenticação primária para entrar no locatário base e também tem SMS/Texto como outra opção. Esse usuário também é configurado com a opção SMS/Texto em um locatário de recurso. Se esse usuário remover SMS/Texto como uma das opções de autenticação em seu locatário base, ele se confundirá quando o acesso ao locatário do recurso pedir que ele responda à mensagem SMS/Texto.

Para alternar o diretório no portal do Azure, clique no nome da conta de usuário no canto superior direito e clique em Alternar diretório.

External users can switch directory.

Próximas etapas

Para começar, consulte o tutorial para habilitar a redefinição de senha self-service e habilitar a Autenticação Multifator do Azure AD.

Saiba como habilitar o registro combinado no locatário ou forçar os usuários a registrarem novamente os métodos de autenticação.

Também é possível examinar os métodos disponíveis para a Autenticação Multifator do Azure AD e a SSPR.