Configurar e habilitar usuários para autenticação baseada em SMS usando o Microsoft Entra ID

A autenticação baseada em SMS entra permite que os usuários entrem usando apenas um número de telefone registrado e uma senha única (OTP) enviada via SMS, nenhum nome de usuário ou senha necessário. Isso é diferente da autenticação multifator do Entra SMS, que normalmente requer um nome de usuário, senha e SMS como método MFA. Esse método de autenticação foi projetado principalmente para simplificar a experiência de entrada de trabalhadores do fronline e não é recomendado para IW (Trabalhos de Informações).

Entra também tem uma visualização pública de uma abordagem alternativa para trabalhadores da linha de frente chamada autenticação de código QR, que as organizações podem querer considerar para cenários de uso de dispositivos compartilhados na linha de frente.

O restante deste artigo mostra como habilitar a autenticação baseada em SMS como um primeiro fator para usuários ou grupos selecionados na ID do Microsoft Entra. Para obter uma lista de aplicativos que dão suporte ao uso de entrada baseada em SMS, consulte o suporte do aplicativo para autenticação baseada em SMS.

Antes de começar

Aqui estão alguns pontos importantes antes de começar:

• Você deve habilitar a autenticação por SMS apenas para os trabalhadores da linha de frente.
• Se você habilitar a autenticação por SMS, siga as práticas recomendadas para usar controles de segurança para acesso doméstico ou de trabalho para trabalhadores de linha de frente. Para obter mais informações, consulte As práticas recomendadas para proteger os trabalhadores da linha de frente.
• Se você habilitar a autenticação de SMS para os trabalhadores da linha de frente, sugerimos que você mude para o uso da autenticação de código QR (prévia), que não pode ser alvo de phishing. Para obter mais informações, consulte métodos de autenticação no Microsoft Entra ID – método de autenticação de código QR (versão prévia).

Para simplificar e proteger a entrada em aplicativos e serviços, o Microsoft Entra ID oferece diversas opções de autenticação. A autenticação baseada em SMS permite que usuários, como os trabalhadores de frontlone, insiram um código SMS como um primeiro fator para entrar. Os usuários não precisam fornecer ou mesmo saber o nome de usuário e a senha.

Depois que a conta for criada por um administrador de identidade, será possível inserir o número de telefone na solicitação de entrada. Eles recebem um código de autenticação por SMS que podem fornecer para concluir a entrada. Esse método de autenticação simplifica o acesso a aplicativos e serviços, especialmente para profissionais de linha de frente.

Pré-requisitos

Para concluir este artigo, você precisará dos seguintes recursos e privilégios:

• Uma assinatura ativa do Azure.
  • Se você não tiver uma assinatura do Azure, crie uma conta.
• Um locatário do Microsoft Entra associado à sua assinatura.
  • Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
• Você precisa, pelo menos, da função administrador de política de autenticação em seu locatário do Microsoft Entra para habilitar a autenticação baseada em SMS.
• Cada usuário habilitado na política do método de autenticação por SMS deve ser licenciado, mesmo que não o utilize. Cada usuário habilitado deve ter uma das seguintes licenças do Microsoft Entra ID, EMS e Microsoft 365:
  • Microsoft 365 F1 ou F3
  • Microsoft Entra ID P1 ou P2
  • Enterprise Mobility + Security (EMS) E3 ou E5 ou Microsoft 365 E3 ou E5
  • Office 365 F3

Problemas conhecidos

Alguns problemas conhecidos são:

• Atualmente, a autenticação baseada em SMS não é compatível com a autenticação multifator do Microsoft Entra.
• Com exceção do Teams, a autenticação baseada em SMS não é compatível com os aplicativos nativos do Office.
• Não há suporte para autenticação baseada em SMS para contas B2B.
• Os usuários federados não serão autenticados no locatário inicial. Eles se autenticam apenas na nuvem.
• Se o método de login padrão do usuário for um texto ou uma chamada para seu número de telefone, o código SMS ou a chamada de voz serão enviados automaticamente durante a autenticação multifator. A partir de junho de 2021, alguns aplicativos pedirão aos usuários que escolham Texto ou Chamada primeiro. Essa opção evita o envio de muitos códigos de segurança para aplicativos diferentes. Se o método de entrada padrão for o aplicativo Microsoft Authenticator (que altamente recomendamos), a notificação do aplicativo será enviada automaticamente.
• Sincronização entre locatários não dá suporte a usuários com entrada por SMS habilitada.

Habilitar o método de autenticação baseada em SMS

Há três etapas principais para habilitar e usar a autenticação baseada em SMS em sua organização:

• Habilite a política de método de autenticação.
• Selecione usuários ou grupos que podem usar o método de autenticação baseado em SMS.
• Atribua um número de telefone para cada conta de usuário.
  • Esse número de telefone pode ser atribuído no Centro de administração do Microsoft Entra (que é mostrado neste artigo) e em Minha Equipe ou Minha Conta.

Primeiro, vamos habilitar a autenticação baseada em SMS para seu locatário do Microsoft Entra.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

2. Navegue até Entra ID>Métodos de autenticação>Políticas.

3. Na lista de métodos de autenticação disponíveis, selecione SMS.

   

4. Selecione Habilitar e selecionar Usuários de destino. Você pode optar por habilitar a autenticação baseada em SMS para todos os usuários ou Selecionar usuários e grupos.

   Observação

   Para configurar a autenticação baseada em SMS para o primeiro fator (ou seja, para permitir que os usuários entrem com esse método), marque a caixa de seleção Usar para entrar . Deixar essa opção desmarcada torna a autenticação baseada em SMS disponível apenas para autenticação multifator e redefinição de senha self-service.

   

Atribuir o método de autenticação a usuários e grupos

Com a autenticação baseada em SMS habilitada no seu locatário do Microsoft Entra, agora selecione alguns usuários ou grupos para ter permissão para usar esse método de autenticação.

1. Na janela de política de autenticação de SMS, defina Destino para Selecionar usuários.
2. Escolha Adicionar usuários ou grupos e selecione um usuário ou grupo de teste, como Usuário contoso ou usuários de SMS da Contoso.
3. Quando você selecionar seus usuários ou grupos, escolha Selecionar e salve a política de método de autenticação atualizada.

Cada usuário habilitado na política de método de autenticação por SMS deve ser licenciado, mesmo que não o utilize. Verifique se você tem as licenças apropriadas para os usuários habilitados na política de método de autenticação, especialmente ao habilitar o recurso para grandes grupos de usuários.

Definir um número de telefone para contas de usuário

Agora, os usuários estão habilitados para autenticação baseada em SMS, mas o número de telefone deles deve ser associado ao perfil do usuário no Microsoft Entra ID para que eles possam entrar. O usuário pode definir esse número de telefone emMinha Conta ou você pode atribuir o número de telefone usando o Centro de administração do Microsoft Entra. Os números de telefone podem ser definidos por aqueles com pelo menos a função administrador de autenticação .

Quando um número de telefone é definido para login baseado em SMS, ele também está disponível para uso com a autenticação multifator do Microsoft Entra e a redefinição de senha de autoatendimento.

1. Pesquise e selecione a ID do Microsoft Entra.

2. No menu de navegação no lado esquerdo da janela do Microsoft Entra, selecione Usuários.

3. Selecione o usuário habilitado para autenticação baseada em SMS na seção anterior, como o Usuário contoso, e selecione métodos de autenticação.

4. Selecione + Adicionar método de autenticação e, no menu suspenso Escolher método , escolha Número de telefone.

   Insira o número de telefone do usuário, incluindo o código do país, como +1 xxxxxxxxxxx. O centro de administração do Microsoft Entra valida que o número de telefone está no formato correto.

   Em seguida, no menu suspenso tipo Telefone , selecione Móvel, Móvel Alternativo ou Outro , conforme necessário.

   

   O número de telefone precisa ser exclusivo em seu locatário. Se você tentar usar o mesmo número de telefone para vários usuários, uma mensagem de erro será mostrada.

5. Para aplicar o número de telefone à conta de um usuário, selecione Adicionar.

Quando provisionado com sucesso, uma marca de seleção é exibida para Entrada de SMS habilitada.

Testar entrada baseada em SMS

Para testar a conta de usuário que agora está habilitada para entrada baseada em SMS, conclua as seguintes etapas:

1. Abra uma nova janela InPrivate ou anônima no navegador da Web para https://www.office.com

2. No canto superior direito, selecione Entrar.

3. No prompt de entrada, insira o número de telefone associado ao usuário na seção anterior e selecione Avançar.

   

4. Uma mensagem por SMS será enviada para o número de telefone fornecido. Para concluir o processo de entrada, insira o código de 6 dígitos fornecido na mensagem SMS no prompt de entrada.

   

5. O usuário agora está conectado sem a necessidade de fornecer um nome de usuário ou uma senha.

Solucionar problemas de entrada baseada em SMS

Você pode usar os cenários a seguir e as etapas de solução de problemas se tiver problemas com a habilitação e o uso da entrada baseada em SMS. Para obter uma lista de aplicativos que dão suporte ao uso de entrada baseada em SMS, consulte o suporte do aplicativo para autenticação baseada em SMS.

Número de telefone já definido para uma conta de usuário

Se um usuário já estiver sido registrado para a autenticação multifator do Microsoft Entra e/ou SSPR (redefinição de senha self-service), ele já terá um número de telefone associado à sua conta. Esse número de telefone não está disponível automaticamente para uso com a entrada baseada em SMS.

Um usuário que tem um número de telefone já definido para sua conta é exibido um botão para habilitar a entrada por SMS na página Meu Perfil . Selecione esse botão e a conta será habilitada para uso com a entrada baseada em SMS e a autenticação multifator do Microsoft Entra ou o registro SSPR anterior.

Para obter mais informações sobre a experiência do usuário final, consulte experiência de login por SMS no número de telefone.

Erro ao tentar definir um número de telefone na conta de um usuário

Se você receber um erro ao tentar definir um número de telefone para uma conta de usuário no centro de administração do Microsoft Entra, examine as seguintes etapas de solução de problemas:

1. Verifique se você está habilitado para a entrada baseada em SMS.
2. Confirme se a conta de usuário está habilitada na política de método de autenticação de SMS .
3. Defina o número de telefone com a formatação adequada, conforme validado no Centro de administração do Microsoft Entra (como +1 4251234567).
4. Verifique se o número de telefone não é usado em outro lugar em seu locatário.
5. Verifique se não há número de voz definido na conta. Se um número de voz estiver definido, exclua e tente novamente o número de telefone.

Próximas etapas

• Para obter uma lista de aplicativos que dão suporte ao uso de entrada baseada em SMS, consulte o suporte do aplicativo para autenticação baseada em SMS.
• Para obter mais maneiras de entrar na ID do Microsoft Entra sem senha, como o Aplicativo Microsoft Authenticator ou as chaves de segurança FIDO2, consulte as opções de autenticação sem senha para a ID do Microsoft Entra.
• Você também pode usar a API REST do Microsoft Graph para habilitar ou desabilitar a entrada baseada em SMS.