Editar

Gerenciar métodos de autenticação de usuário para autenticação multifator do Microsoft Entra

  • Como fazer

Os usuários no Microsoft Entra ID têm dois conjuntos distintos de informações de contato:

  • Informações de contato do perfil público, que são gerenciadas no perfil do usuário e visíveis para os membros da sua organização. Para os usuários sincronizados do Active Directory local, essas informações são gerenciadas no Windows Server Active Directory Domain Services local.
  • Os métodos de autenticação, que são sempre mantidos privados e são usados somente para autenticação, incluindo a autenticação multifator. Os administradores podem gerenciar esses métodos na folha do método de autenticação de um usuário e os usuários podem gerenciar seus métodos na página de informações de segurança de myaccount.

Ao gerenciar os métodos de autenticação multifator do Microsoft Entra para seus usuários, os administradores de autenticação podem:

  • Adicione métodos de autenticação para um usuário específico, incluindo números de telefone usados para MFA.
  • Redefina a senha de um usuário.
  • Exigir que um usuário registre novamente para MFA.
  • Revogar sessões de MFA existentes.
  • Excluir as senhas de aplicativo existentes de um usuário

Pré-requisitos

Autenticação multifator do Microsoft Entra, que está habilitada por padrão.

Adicionar os métodos de autenticação para um usuário

Você pode adicionar métodos de autenticação para um usuário por meio do centro de administração do Microsoft Entra ou do Microsoft Graph.

Observação

Por motivos de segurança, os campos de informações de contato do usuário público não devem ser usados para executar MFA. Em vez disso, os usuários devem preencher seus números de método de autenticação a serem usados para MFA.

Captura de tela de adicionar métodos de autenticação do centro de administração do Microsoft Entra.

Para adicionar métodos de autenticação para um usuário no centro de administração do Microsoft Entra:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Escolha o usuário para o qual você deseja adicionar um método de autenticação e selecione métodos de autenticação.
  4. Na parte superior da janela, selecione + Adicionar método de autenticação.
    • Selecione um método (número de telefone ou email). O email pode ser usado para redefinição de senha automática, mas não para autenticação. Ao adicionar um número de telefone, selecione um tipo de telefone e insira o número de telefone com um formato válido (por exemplo, + 1 4255551234).
    • Selecione Adicionar.

Observação

A experiência de visualização permite que os administradores adicionem quaisquer métodos de autenticação disponíveis para os usuários, enquanto a experiência original permite apenas a atualização de telefones e métodos de telefone alternativos.

Gerenciar os métodos usando o PowerShell

Instale o módulo Microsoft. Graph. Identity. entrada do PowerShell usando os comandos a seguir.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 3179e48a-750b-4051-897c-87b9720928f7

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Gerenciar as opções de autenticação de usuário

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Se você tiver atribuído a função de Administrador de Autenticação, poderá exigir que os usuários redefinam sua senha, registrem-se novamente para MFA ou revokem as sessões de MFA existentes de seu objeto de usuário. Para gerenciar essas configurações de usuário, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.

  2. Navegue até Identidade>Usuários>Todos os usuários.

  3. Escolha o usuário no qual você deseja executar uma ação e selecione Métodos de autenticação. Na parte superior da janela, escolha uma das seguintes opções para o usuário:

    • Redefinir senha redefine a senha do usuário e atribua uma senha temporária que deve ser alterada na próxima entrada.
    • Exigir o registro da nova MFA desativa os tokens OATH do hardware do usuário e exclui os seguintes métodos de autenticação desse usuário: números de telefone, aplicativos do Microsoft Authenticator e tokens OATH do software. Se necessário, o usuário será solicitado a configurar um novo método de autenticação de MFA na próxima vez que entrar.
    • Revogar sessões de MFA limpa as sessões de MFA lembradas pelo usuário e exige que elas executem a MFA na próxima vez que ela for exigida pela política no dispositivo.

    Captura de tela do gerenciamento de métodos de autenticação do centro de administração do Microsoft Entra.

Excluir senhas de aplicativo de usuários existentes

Para usuários que definiram senhas de aplicativo, os administradores também podem optar por excluir essas senhas, fazendo com que a autenticação herdada falhe nesses aplicativos. Essas ações poderão ser necessárias se você precisar fornecer assistência a um usuário ou precisar redefinir seus métodos de autenticação. Aplicativos sem navegador que estavam associados a essas senhas de aplicativo deixarão de funcionar até que uma nova senha de aplicativo seja criada.

Para excluir as senhas de aplicativo de um usuário, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.

  2. Navegue até Identidade>Usuários>Todos os usuários.

  3. Selecione Autenticação multifator. Role para a direita para ver esta opção de menu. Selecione a captura de tela de exemplo abaixo para ver a janela completa e o local do menu: Captura de tela da seleção da autenticação multifator na janela Usuários no Microsoft Entra ID..

  4. Marque a caixa ao lado do usuário ou usuários que você deseja gerenciar. Uma lista de opções de etapa rápida aparecem à direita.

  5. Selecione gerenciar configurações de usuárioe marque a caixa excluir todas as senhas de aplicativo existentes geradas pelos usuários selecionados, conforme mostrado no exemplo a seguir: Captura de tela da exclusão de todas as senhas de aplicativo existentes.

  6. Selecione salve, em seguida, fechar.

Conteúdo relacionado