Encontrar e resolver lacunas na cobertura de autenticação forte para seus administradores

  • Artigo

Exigir a MFA (autenticação multifator) para os administradores em seu locatário é uma das primeiras etapas que você pode seguir para aumentar a segurança do seu locatário. Neste artigo, vamos abranger como garantir que todos os administradores sejam cobertos pela autenticação multifator.

Detectar o uso atual para funções de administrador integrado do Microsoft Entra

A Classificação de Segurança do Microsoft Entra ID fornece uma pontuação para Exigir a MFA para funções administrativas em seu locatário. Essa ação de melhoria acompanha o uso de MFA Administrador global, Administrador de segurança, Exchange administrador e Administrador de serviços do SharePoint.

Há diferentes maneiras de verificar se os administradores são cobertos por uma política de MFA.

  • Para solucionar problemas de credenciais para um administrador específico, você pode usar os logs de conexão. Os logs de credenciais permitem filtrar o requisito de Autenticação para usuários específicos. Qualquer credencial em que o requisito de Autenticação é Autenticação de fator único significa que não havia nenhuma política de autenticação multifator necessária para a login.

    Captura de tela do registo de credenciais.

    Ao visualizar os detalhes de um logon específico, selecione a guia Detalhes de autenticação para obter detalhes sobre os requisitos de MFA. Para obter mais informações, consulte Detalhes da atividade do log de entrada.

    Captura de tela dos detalhes da atividade de autenticação.

  • Para escolher qual política habilitar com base em suas licenças de usuário, temos um novo assistente de habilitação de MFA para ajudá-lo a comparar políticas de MFA e ver quais etapas são corretas para sua organização. O assistente mostra os administradores que foram protegidos pela MFA nos últimos 30 dias.

    Captura de tela do assistente de habilitação de autenticação multifator.

  • Você pode executar esse script para gerar programaticamente um relatório de todos os usuários com atribuições de função de diretório que entraram com ou sem MFA nos últimos 30 dias. Esse script enumerará todas as atribuições de função internas e personalizadas ativas, todas as atribuições de função personalizadas e internas qualificadas e grupos com funções atribuídas.

Impor a autenticação multifator em seus administradores

Se você encontrar administradores que não são protegidos pela autenticação multifator, você pode protegê-los de uma das seguintes maneiras:

  • Se os administradores estão licenciados para Microsoft Entra ID P1 ou P2, você pode criar uma política de Acesso Condicional para impor a MFA para administradores. Você também pode atualizar essa política para exigir MFA de usuários que estão em funções personalizadas.

  • Execute o assistente de habilitação de MFA para escolher sua política de MFA.

  • Se você atribuir funções de administrador personalizadas ou integradas no Privileged Identity Management, exigirá a autenticação multifator após a ativação da função.

Usar métodos de autenticação resistentes a phishing e sem senha para seus administradores

Depois que os administradores são impostos para autenticação multifator e a usam há algum tempo, é hora de aumentar a barra em autenticação forte e usar o método de autenticação resistente a phishing e sem senha:

Você pode ler mais sobre esses métodos de autenticação e suas considerações de segurança nos métodos de autenticação do Microsoft Entra.

Próximas etapas

Habilitar a entrada sem senha com o Microsoft Authenticator