Habilitar a autenticação multifator individual do Microsoft Entra para proteger eventos de entrada

  • Artigo

Para proteger eventos de entrada de usuário no Microsoft Entra ID, você pode exigir a autenticação multifator. Habilitar a autenticação multifator do Microsoft Entra usando as políticas de Acesso Condicional é a abordagem recomendada para proteger os usuários. O Acesso Condicional é um recurso Microsoft Entra ID P1 ou P2 que permite aplicar regras a fim de exigir a MFA, se necessário, em determinados cenários. Para começar a usar o Acesso Condicional, confira Tutorial: Proteger eventos de entrada do usuário com a autenticação multifator do Microsoft Entra.

Para os locatários gratuitos do Microsoft Entra ID sem Acesso Condicional, você pode usar os padrões de segurança para proteger os usuários. A MFA será solicitada dos usuários conforme necessário, mas você não pode definir regras próprias para controlar o comportamento.

Se necessário, em vez disso, você pode habilitar cada conta para a autenticação multifator individual do Microsoft Entra. Quando os usuários são habilitados individualmente, eles executam a autenticação multifator em cada entrada (com algumas exceções, como quando eles acessam por meio de endereços IP confiáveis ou quando o recurso lembrar da MFA em dispositivos confiáveis está ativado).

Não é recomendável alterar os estados do usuário, a menos que suas licenças do Microsoft Entra ID não incluam o Acesso Condicional e você não queira usar os padrões de segurança. Para obter mais informações sobre as diferentes maneiras de habilitar a MFA, confira Recursos e licenças para a autenticação multifator do Microsoft Entra.

Importante

Este artigo fornece detalhes sobre como exibir e alterar o status da autenticação multifator individual do Microsoft Entra. Se você usa o Acesso Condicional ou os padrões de segurança, não examine ou habilite as contas de usuário usando essas etapas.

Habilitar a Autenticação Multifator do Microsoft Entra por meio de uma política de Acesso Condicional não altera o estado do usuário. Não se assuste se os usuários parecem desabilitados. O Acesso Condicional não altera o estado.

Não habilite nem imponha a autenticação multifator individual do Microsoft Entra se você usa políticas de Acesso Condicional.

Estados de usuário da autenticação multifator do Microsoft Entra

O estado de um usuário reflete se um administrador o registrou na autenticação multifator individual do Microsoft Entra. As contas de usuário na autenticação multifator do Microsoft Entra apresentam os três seguintes estados distintos:

State Descrição Autenticação herdada afetada Aplicativos que usam o navegador afetados Autenticação moderna afetada
Desabilitadas O estado padrão para um usuário não inscrito na autenticação multifator individual do Microsoft Entra. Não No Não
Habilitado O usuário está inscrito na autenticação multifator individual do Microsoft Entra, mas ainda pode usar a própria senha para autenticação herdada. Se o usuário ainda não tiver registrado os métodos de autenticação MFA, ele receberá uma solicitação para se registrar da próxima vez que entrar usando a autenticação moderna (como por meio de um navegador da Web). Não. A autenticação herdada continuará funcionando até que o processo de registro seja concluído. Sim. Depois que a sessão expirar, o registro da autenticação multifator do Microsoft Entra será exigido. Sim. Depois que o token de acesso expirar, o registro da autenticação multifator do Microsoft Entra será exigido.
Imposto Cada usuário é registrado individualmente na autenticação multifator do Microsoft Entra. Se o usuário ainda não tiver registrado os métodos de autenticação, ele receberá uma solicitação para se registrar da próxima vez que entrar usando a autenticação moderna (como por meio de um navegador da Web). Os usuários que concluírem o registro enquanto estiverem no estado Habilitado serão automaticamente movidos para o estado Imposto. Sim. Os aplicativos exigem senhas de aplicativo. Sim. A autenticação multifator do Microsoft Entra é necessária na entrada. Sim. A autenticação multifator do Microsoft Entra é necessária na entrada.

Todos os usuários começam com o status Desabilitado. Quando você inscreve os usuários na autenticação multifator individual do Microsoft Entra, o estado deles é alterado para Habilitado. Quando usuários habilitados entram e concluem o processo de registro, seu estado é alterado para Imposto. Os administradores podem mover os usuários entre os estados disponíveis, como de Imposto para Habilitado ou Desabilitado.

Observação

Se a MFA individual for habilitada novamente em um usuário e ele não se registrar, o estado de MFA dele não fará a transição de Habilitado para Imposto na interface do usuário do gerenciamento da MFA. O administrador deverá mover o usuário diretamente para Imposto.

Exibir o status de um usuário

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Para gerenciar essas configurações de usuário, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Selecione MFA por usuário. Screenshot of select multifactor authentication from the Users window in Azure AD.
  4. Uma nova página abre e exibe o estado do usuário, conforme mostrado no exemplo a seguir. Screenshot that shows example user state information for Microsoft Entra multifactor authentication

Alterar o status de um usuário

Para alterar o estado de autenticação multifator individual do Microsoft Entra para um usuário, execute as seguintes etapas:

  1. Use as etapas anteriores (que permitiram ver o status de um usuário) a fim de acessar a página de usuários da autenticação multifator do Microsoft Entra.

  2. Localize o usuário que você deseja habilitar para a autenticação multifator por usuário do Microsoft Entra. Altere o modo de exibição na parte superior para usuários, se necessário. Select the user to change status for from the users tab

  3. Marque a caixa ao lado do nome de um usuário para alterar o seu estado.

  4. No lado direito, em etapas rápidas, escolha Habilitar ou Desabilitar. No exemplo a seguir, o usuário John Smith tem uma marca de seleção ao lado do seu nome e está habilitado para uso: Enable selected user by clicking Enable on the quick steps menu

    Dica

    Os usuários com status Habilitado têm esse status alterado automaticamente para o status Imposto ao se registrarem para a autenticação multifator do Microsoft Entra. Não altere manualmente o estado do usuário para Imposto, a menos que o usuário já esteja registrado ou se for aceitável que ele enfrente interrupções nas conexões com os protocolos de autenticação herdados.

  5. Confirme sua seleção na janela pop-up que é aberta.

Depois de habilitar os usuários, notifique-os por email. Informe aos usuários que um aviso é exibido para pedir que eles se registrem no próximo acesso. Além disso, se sua organização usar aplicativos sem navegador que não dão suporte à autenticação moderna, eles precisam criar senhas de aplicativo. Para obter mais informações, confira o Guia do usuário final para a autenticação multifator do Microsoft Entra para ajudar a apresentar esse recurso aos usuários finais.

Próximas etapas

Para definir as configurações de autenticação multifator do Microsoft Entra, consulte Definir configurações de autenticação multifator do Microsoft Entra.

Para gerenciar as configurações do usuário para a autenticação multifator do Microsoft Entra, consulte Gerenciar as configurações de usuário com a autenticação multifator do Microsoft Entra.

Para entender por que um usuário foi solicitado ou não a executar a MFA, confira Relatórios de autenticação multifator do Microsoft Entra.