Compartilhar via


Definir as configurações da autenticação multifator do Microsoft Entra

Para personalizar a experiência do usuário final para a MFA (autenticação multifator) do Microsoft Entra, você pode configurar opções para relatar atividades suspeitas. A tabela a seguir descreve as configurações de MFA do Microsoft Entra e as subseções abordam cada configuração com mais detalhes.

Observação

Relatar atividades suspeitas substitui os recursos herdados Bloquear/desbloquear usuários, Alerta de fraude e Notificações. Em 1º de março de 2025, as funcionalidades legadas foram removidas.

Recurso Descrição
Relatar atividade suspeita Defina as configurações que permitem aos usuários relatar solicitações de verificação fraudulenta.
OATH Tokens Usado em ambientes MFA do Microsoft Entra baseados em nuvem para gerenciar tokens OATH para usuários.
Configurações de chamada telefônica Defina as configurações relacionadas para chamadas telefônicas e saudações para ambientes de nuvem e locais.
Provedores Isso mostrará os provedores de autenticação existentes que você associou à sua conta. A adição de novos provedores está desabilitada desde 1º de setembro de 2018.

Relatar atividade suspeita

Quando um prompt MFA desconhecido e suspeito é recebido, os usuários podem relatar a atividade usando o Microsoft Authenticator ou por meio de seu telefone. O recurso Denunciar atividade suspeita é integrado ao Microsoft Entra ID Protection para correção controlada por risco, relatórios e administração com privilégios mínimos.

Os usuários que relatam um prompt de MFA como suspeito são definidos como Alto Risco do Usuário. Os administradores podem usar políticas baseadas em risco para limitar o acesso a esses usuários ou habilitar a SSPR (redefinição de senha por autoatendimento) para que os usuários corrijam problemas por conta própria.

Se você não tiver uma licença do Microsoft Entra ID P2 para políticas baseadas em risco, poderá usar eventos de detecção de risco para identificar e desabilitar manualmente usuários afetados ou configurar a automação usando fluxos de trabalho personalizados com o Microsoft Graph. Para mais informações sobre como investigar e corrigir o risco do usuário, consulte:

Para habilitar Relatar atividade suspeita nas Configurações da política de métodos de autenticação:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
  2. Navegue até Entra ID>Métodos de autenticação>Configurações.
  3. Defina Relatar atividade suspeita como Habilitado. O recurso permanecerá desabilitado se você escolher Gerenciado pela Microsoft. Para obter mais informações sobre valores gerenciados da Microsoft, consulte Proteção de métodos de autenticação na ID do Microsoft Entra. Captura de tela de como habilitar a função de relatar atividade suspeita.
  4. Selecione Todos os usuários ou um grupo específico.
  5. Se você também fizer upload de saudações personalizadas para seu locatário, selecione Código de relatório. O código de relatório é o número que os usuários inserem em seus telefones para relatar atividades suspeitas. O código de relatório só será aplicável se saudações personalizadas também forem carregadas por um Administrador de Política de Autenticação. Caso contrário, o código padrão será 0, independentemente de qualquer valor especificado na política.
  6. Clique em Salvar.

Correção de erros para locatários com licença do Microsoft Entra ID P1

Quando um usuário relata uma solicitação de MFA como suspeito, o evento aparece nos logs de entrada (como uma entrada que foi rejeitada pelo usuário), nos logs de auditoria e no relatório de detecções de risco.

Relatório Centro de administração Detalhes
Relatório de detecções de risco Proteção de ID>Painel>Detecção de risco Tipo de detecção: Atividade suspeita relatada pelo usuário
Nível de risco: Alto
Origem Usuário final relatou
Logs de entrada Entra ID>Monitoramento & Integridade>Logs de entradas>Detalhes da autenticação Detalhes do resultado serão mostrados como MFA negado
Logs de auditoria Entra ID>Monitoramento & Integridade>Logs de auditoria A atividade suspeita é exibida no tipo atividade

Observação

Um usuário não é relatado como alto risco se executar autenticação sem senha.

Você também pode consultar detecções de risco e usuários sinalizados como arriscados usando o Microsoft Graph.

API (Interface de Programação de Aplicativos) Detalhes
Tipo de recurso riskDetection tipoDeEventoDeRisco: userReportedSuspiciousActivity
Listar usuários arriscados riskLevel = alto

Para correção manual, os administradores ou o suporte técnico podem solicitar que os usuários redefinam a senha usando a SSPR (redefinição de senha self-service) ou fazer isso em seu nome. Para correção automatizada, use as APIs do Microsoft Graph ou use o PowerShell para criar um script que altere a senha do usuário, force a SSPR, revogue sessões de entrada ou desabilite temporariamente a conta de usuário.

Correção de erros para locatários com licença do Microsoft Entra ID P2

Os locatários com uma licença do Microsoft Entra ID P2 podem usar políticas de Acesso Condicional baseadas em risco para corrigir automaticamente o risco do usuário, além das opções da licença do Microsoft Entra ID P2.

Configure uma política que considera o risco do usuário em condições>Risco do usuário. Procure usuários em que risco = alto para impedi-los de entrar ou exigir que eles redefinam a senha.

Captura de tela de como habilitar uma política de Acesso Condicional baseada em risco.

Para obter mais informações, veja Política de acesso condicional baseada em risco de entrada.

Tokens OATH

O Microsoft Entra ID dá suporte ao uso de tokens OATH-TOTP SHA-1 que atualizam códigos a cada 30 ou 60 segundos. Você pode comprar esses tokens do fornecedor de sua escolha.

Os tokens de hardware OATH TOTP normalmente vêm com uma chave secreta ou semente previamente programada no token. Você precisa inserir essas chaves no Microsoft Entra ID, conforme descrito nas etapas a seguir. As chaves secretas são limitadas a 128 caracteres, o que pode não ser compatível com todos os tokens. A chave secreta pode conter apenas os caracteres a-z ou A-Z e dígitos 1-7. Ela precisa ser codificada em Base32.

Os tokens de hardware OATH TOTP programáveis que podem ser propagados também podem ser configurados com o Microsoft Entra ID no fluxo de instalação do token de software.

Os tokens de hardware OATH agora são compatíveis como parte de uma versão prévia pública. Para obter mais informações sobre versões prévias, consulte Termos de Uso Complementares para Versões Prévias do Microsoft Azure.

Captura de tela que mostra a seção de tokens OATH.

Depois de adquirir tokens, você precisará carregá-los em um formato de arquivo CSV (valores separados por vírgula). Inclua o UPN, o número de série, a chave secreta, o intervalo de tempo, o fabricante e o modelo, conforme mostrado neste exemplo:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Observação

Lembre-se de incluir a linha de cabeçalho no arquivo CSV.

  1. Entre no Centro de administração do Microsoft Entra como administrador global.
  2. Vá para Entra ID>Autenticação multifator>Tokens OATH e carregue o arquivo CSV.

Dependendo do tamanho do arquivo CSV, isso pode levar alguns minutos para ser processado. Selecione Atualizar para obter o status. Se houver erros no arquivo, baixe um arquivo CSV com a lista deles. Os nomes dos campos do arquivo CSV baixado são diferentes daqueles da versão carregada.

Depois que os erros forem resolvidos, o administrador poderá ativar cada chave selecionando Ativar para o token e inserindo o OTP exibido no token.

Os usuários podem ter uma combinação de até cinco tokens de hardware OATH ou aplicativos autenticadores, como o aplicativo Microsoft Authenticator, configurados para uso a qualquer momento.

Importante

Atribua cada token a apenas um único usuário. No futuro, o suporte para a atribuição de um único token a vários usuários será interrompido para evitar um risco de segurança.

Configurações de chamada telefônica

Se os usuários receberem chamadas telefônicas para prompts da MFA, você poderá configurar a experiência, como a ID do chamador ou a saudação de voz que eles escutarão.

Nos Estados Unidos, se você não tiver configurado a ID de chamadas de MFA, as chamadas de voz da Microsoft serão provenientes dos números a seguir. Os usuários com filtros de spam devem excluir estes números.

Números padrão: +1 (855) 330-8653, +1 (855) 336-2194, +1 (855) 341-5605

A tabela a seguir lista mais números para diferentes países/regiões.

País/região Números
Áustria +43 6703062076
Bangladesh +880 9604606026
China +44 1235619418, +44 1235619536, +44 1235619537, +44 1235619538, +44 1235619539, +44 1235619535, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930, +86 1052026902, +86 1052026905, +86 1052026907
Croácia +385 15507766
Equador +593 964256042
Estônia +372 6712726
França +33 744081468
Gana +233 308250245
Grécia +30 2119902739
Guatemala +502 23055056
RAE de Hong Kong +852 25716964
Índia +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600
Jordânia +962 797639442
Quênia +254 709605276
Países Baixos +31 202490048
Nigéria +234 7080627886
Paquistão +92 4232618686, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930
Polônia +48 699740036
Arábia Saudita +966 115122726
África do Sul +27 872405062
Espanha +34 913305144
Sri Lanka +94 117750440
Suécia +46 701924176
Taiwan +886 277515260, +886 255686508
Turquia +90 8505404893
Ucrânia +380 443332393
Emirados Árabes Unidos +971 44015046
Vietnã +84 2039990161

Observação

Quando as chamadas da autenticação multifator do Microsoft Entra são feitas por meio de rede telefônica pública, às vezes, elas são roteadas por uma operadora que não é compatível com a ID de Chamadas. Sendo assim, a ID de Chamadas não é garantida, mesmo que a autenticação multifator do Microsoft Entra sempre a envie. Isso se aplica a chamadas telefônicas e mensagens de texto fornecidas pela autenticação multifator do Microsoft Entra. Se você precisar validar que uma mensagem de texto é da autenticação multifator do Microsoft Entra, confira Quais códigos curtos são usados para enviar mensagens?.

Para configurar o próprio número de ID de Chamadas, conclua as seguintes etapas:

  1. Vá para Entra ID>autenticação multifator>configurações de chamada telefônica.
  2. Defina o número da ID do chamador da MFA como o número que você deseja que os usuários vejam em seus telefones. São permitidos apenas números baseado nos EUA.
  3. Selecione Salvar.

Observação

Quando as chamadas da autenticação multifator do Microsoft Entra são feitas por meio de rede telefônica pública, às vezes, elas são roteadas por uma operadora que não é compatível com a ID de Chamadas. Sendo assim, a ID de Chamadas não é garantida, mesmo que a autenticação multifator do Microsoft Entra sempre a envie. Isso se aplica a chamadas telefônicas e mensagens de texto fornecidas pela autenticação multifator do Microsoft Entra. Se você precisar validar que uma mensagem de texto é da autenticação multifator do Microsoft Entra, confira Quais códigos curtos são usados para enviar mensagens?.

Mensagens de voz personalizadas

Você pode usar suas próprias gravações ou saudações para autenticação multifator do Microsoft Entra. Essas mensagens podem ser usadas além das gravações padrão da Microsoft ou para substituí-las.

Antes de começar, esteja ciente das seguintes restrições:

  • Os formatos de arquivo compatíveis são .wav e .mp3.
  • O limite de tamanho de arquivo é de 1 MB.
  • As mensagens de autenticação devem ter menos de 20 segundos. As mensagens que têm mais de 20 segundos podem causar falha na verificação. Se o usuário não responder antes que a mensagem termine, a verificação atingirá o tempo limite.

Comportamento de idioma de mensagem personalizada

Quando uma mensagem de voz personalizada é reproduzida para o usuário, o idioma da mensagem depende dos seguintes fatores:

  • O idioma do usuário.
    • O idioma detectado pelo navegador do usuário.
    • Outros cenários de autenticação podem se comportar de maneira diferente.
  • O idioma de quaisquer mensagens personalizadas disponíveis.
    • Esse idioma é escolhido pelo administrador quando uma mensagem personalizada é adicionada.

Por exemplo, se houver apenas uma mensagem personalizada e ela estiver em alemão:

  • Um usuário que se autentica em alemão ouvirá a mensagem personalizada em alemão.
  • Um usuário que se autentica em inglês ouvirá a mensagem em inglês padrão.

Padrões de mensagem de voz personalizada

Você pode usar os scripts de exemplo a seguir para criar suas mensagens personalizadas. Essas frases serão usadas por padrão se você não configurar suas próprias mensagens personalizadas.

Nome da mensagem Script
Solicitação de extensão OTP Esta é a Microsoft. Se você estiver tentando entrar, pressione a tecla #para continuar.
Saudação de fraude OTP Esta é a Microsoft. Se você estiver tentando entrar, pressione a tecla #para continuar. Se você não estiver tentando entrar, pressione 0 e #.
Confirmação de fraude OTP Se não estiver tentando entrar, proteja sua conta notificando sua equipe de TI pressionando 1.
Fraude OTP confirmada Notifiquemos sua equipe de TI, nenhuma ação adicional é necessária. Para obter ajuda, entre em contato com a equipe de TI da sua empresa. Até logo.
Adeus OTP Até logo.
Saudação OTP Esta é a Microsoft. Se você estiver tentando entrar, pressione a tecla #para continuar.
Último código de verificação OTP Novamente, seu código é
Saudação Esta é a Microsoft. Se você estiver tentando entrar, pressione a tecla #para concluir a entrada.
Saudação de fraude Esta é a Microsoft. Se você estiver tentando entrar, pressione a tecla #para concluir a entrada. Se você não estiver tentando entrar, pressione 0 e #.
Confirmação de fraude Se não estiver tentando entrar, proteja sua conta notificando sua equipe de TI pressionando 1.
Fraude confirmada Notifiquemos sua equipe de TI, nenhuma ação adicional é necessária. Para obter ajuda, entre em contato com a equipe de TI da sua empresa. Até logo.
Prompt de ramal Esta é a Microsoft. Se você estiver tentando entrar, pressione a tecla #para continuar.
Autenticação bem-sucedida Sua entrada foi bem-sucedida.
Authentication failed Desculpe, não é possível fazer a conexão no momento. Tente novamente mais tarde.

Configurar uma mensagem personalizada

Para usar as próprias mensagens personalizadas, conclua as seguintes etapas:

  1. Vá para Entra ID>autenticação multifator>configurações de chamada telefônica.
  2. Selecione Adicionar saudação.
  3. Escolha o tipo de saudação, como Saudação (padrão) ou Autenticação bem-sucedida.
  4. Selecione o Idioma. Consulte a seção anterior sobre o comportamento da linguagem de mensagem personalizada.
  5. Procure e selecione um arquivo de som .mp3 ou .wav para carregar.
  6. Selecione Adicionar e , em seguida, Salvar.

Configurações de serviço MFA

Configurações para senhas de aplicativo, IPs confiáveis, opções de verificação e memorização da autenticação multifator em dispositivos confiáveis estão disponíveis nas configurações do serviço. Este é um portal herdado.

Você pode acessar as configurações de serviço do Centro de Administração do Microsoft Entra indo para Entra ID>Autenticação Multifator>Introdução>Configurar>Configurações adicionais de MFA baseadas em nuvem. Uma janela ou uma guia é aberta com opções de configurações do serviço adicionais.

IPs confiáveis

As condições de localização são a maneira recomendada de configurar a MFA com acesso condicional devido ao suporte ao IPv6 e a outras melhorias. Para obter mais informações sobre as condições de localização, consulte Usando a condição de localização em uma política de Acesso Condicional. Para obter etapas para definir locais e criar uma política de Acesso Condicional, consulte Acesso Condicional: Bloquear o acesso por local.

O recurso IPs confiáveis da autenticação multifator do Microsoft Entra ignora os prompts de MFA aos usuários que entram por meio de um intervalo de endereços IP definido. Você pode definir intervalos de IP confiáveis para os ambientes locais. Quando os usuários estão em uma dessas localizações, não há uma solicitação da autenticação multifator do Microsoft Entra. O recurso de IPs confiáveis requer a edição P1 do Microsoft Entra ID.

Observação

Os IPs confiáveis poderão incluir intervalos de IP privados somente quando você usar o servidor MFA. Para a autenticação multifator do Microsoft Entra baseada em nuvem, você pode usar apenas intervalos de endereços IP públicos.

Há suporte para intervalos IPv6 em locais nomeados.

Se a sua organização usar a extensão NPS para fornecer a MFA aos aplicativos locais, o endereço IP de origem sempre parecerá ser o servidor NPS no qual a tentativa de autenticação flui.

Tipo de locatário do Microsoft Entra Opções do recurso de IP confiável
Gerenciada Intervalo específico de endereços IP: os administradores especificam um intervalo de endereços IP que podem ignorar autenticações multifator para usuários que entrarem da intranet da empresa. Podem ser configurados no máximo 50 intervalos de IP confiáveis.
Federado Todos os Usuários Federados: todos os usuários federados que entrarem de dentro da organização podem ignorar autenticações multifator. Os usuários ignoram as verificações usando uma declaração emitida pelo AD FS (Serviços de Federação do Active Directory).
Intervalo específico de endereços IP: os administradores especificam um intervalo de endereços IP que podem ignorar a autenticação multifator para usuários que entrarem da intranet da empresa.

O bypass de IP confiável funciona somente na intranet da empresa. Se você selecionar a opção Todos os Usuários Federados e um usuário entrar de fora da intranet da empresa, o usuário precisará se autenticar usando a autenticação multifator. O processo será o mesmo, ainda que o usuário apresente uma declaração do AD FS.

Observação

Se as políticas de Acesso Condicional e MFA por usuário estiverem configuradas no locatário, você precisará adicionar IPs confiáveis à política de Acesso Condicional e atualizar as configurações do serviço de MFA.

Experiência do usuário na rede corporativa

Quando o recurso de IPs confiáveis for desabilitado, a autenticação multifator será necessária para fluxos do navegador. As senhas de aplicativo são necessárias para aplicativos cliente sofisticados mais antigos.

Quando forem usados IPs confiáveis, a autenticação multifator não será necessária para fluxos de navegador. As senhas de aplicativo não são necessárias para aplicativos de cliente sofisticados mais antigos se o usuário não criou uma senha de aplicativo. Depois que uma senha de aplicativo estiver em uso, a senha será necessária.

Experiência do usuário fora da rede corporativa

Independentemente de os IPs confiáveis serem definidos, a autenticação multifator é necessária em fluxos de navegador. As senhas de aplicativo são necessárias para aplicativos cliente sofisticados mais antigos.

Habilitar locais nomeados usando o acesso condicional

Você pode usar regras de acesso condicional para definir localizações nomeadas usando as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Entra ID>Acesso Condicional>Localizações Nomeadas.
  3. Selecione Novo local.
  4. Insira um nome para o local.
  5. Selecione Marcar como local confiável.
  6. Insira o intervalo de IP para o ambiente na notação CIDR. Por exemplo, 40.77.182.32/27.
  7. Selecione Criar.

Habilitar o recurso de IPs confiáveis usando o acesso condicional

Para habilitar os IPs confiáveis usando políticas de acesso condicional, conclua as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.

  2. Navegue até Entra ID>Acesso Condicional>Localizações Nomeadas.

  3. Selecione Configurar IPs confiáveis para autenticação multifator.

  4. Na página Configurações de Serviço , em IPs Confiáveis, escolha uma destas opções:

    • Para solicitações de usuários federados provenientes da minha intranet: para escolher essa opção, marque a caixa de seleção. Todos os usuários federados que se conectam da rede corporativa ignoram autenticações multifator usando uma declaração emitida pelo AD FS. Verifique se o AD FS tem uma regra para adicionar a declaração de intranet ao tráfego apropriado. Se a regra não existir, crie a seguinte regra no AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

      Observação

      A opção Omitir autenticação multifator para solicitações de usuários federados na minha intranet afetará a avaliação de Acesso Condicional para locais. Qualquer solicitação com a declaração insidecorporatenetwork será tratada como proveniente de um local confiável se essa opção estiver selecionada.

    • Para solicitações de um intervalo específico de IPs públicos: para escolher essa opção, insira os endereços IP na caixa de texto, na notação CIDR.

      • Para endereços IP que estão no intervalo xxx.xxx.xxx.1 a xxx.xxx.xxx.254, use a notação como xxx.xxx.xxx.0/24.
      • Para um único endereço IP, use a notação como xxx.xxx.xxx.xxx/32.
      • Você pode inserir até 50 intervalos de endereço IP. Os usuários que entram por meio desses endereços IP ignoram autenticações multifator.
  5. Selecione Salvar.

Habilitar o recurso de IPs confiáveis usando as configurações do serviço

Caso não deseje usar políticas de acesso condicional para habilitar IPs confiáveis, defina as configurações do serviço para a autenticação multifator do Microsoft Entra usando as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Entra ID>autenticação multifator>Configurações adicionais de MFA baseadas em nuvem.

  3. Na página Configurações de Serviço , em IPs Confiáveis, escolha uma ou ambas as seguintes opções:

    • Para solicitações de usuários federados na minha intranet: para escolher essa opção, marque a caixa de seleção. Todos os usuários federados que se conectam da rede corporativa ignoram a autenticação multifator usando uma declaração emitida pelo AD FS. Verifique se o AD FS tem uma regra para adicionar a declaração de intranet ao tráfego apropriado. Se a regra não existir, crie a seguinte regra no AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Para solicitações de um intervalo especificado de sub-redes de endereço IP: para escolher essa opção, insira os endereços IP na caixa de texto, na notação CIDR.

      • Para endereços IP que estão no intervalo xxx.xxx.xxx.1 a xxx.xxx.xxx.254, use a notação como xxx.xxx.xxx.0/24.
      • Para um único endereço IP, use a notação como xxx.xxx.xxx.xxx/32.
      • Você pode inserir até 50 intervalos de endereço IP. Os usuários que entram por meio desses endereços IP ignoram autenticações multifator.
  4. Selecione Salvar.

Métodos de verificação

Você pode escolher os métodos de verificação que estarão disponíveis para os usuários no portal de configurações do serviço. Quando os usuários registram as respectivas contas para a autenticação multifator do Microsoft Entra, eles escolhem o método de verificação preferencial nas opções que você habilitou. As diretrizes para o processo de registro de usuário são fornecidas em Configurar minha conta para autenticação multifator.

Importante

Em março de 2023, anunciamos que os métodos de gerenciamento de autenticação nas políticas herdadas de autenticação multifator e políticas de redefinição de senha self-service (SSPR) seriam preteridos. A partir de 30 de setembro de 2025, os métodos de autenticação não poderão mais ser gerenciados nessas políticas herdadas de MFA e SSPR. Recomendamos que os clientes usem o controle de migração manual para migrar para a política de métodos de Autenticação antes da data da descontinuação. Para obter ajuda com o controle de migração, consulte Como migrar as configurações de política de MFA e SSPR para a política de métodos de autenticação para a ID do Microsoft Entra.

Os seguintes métodos de verificação estão disponíveis:

Método Descrição
Ligue para o telefone Faz uma chamada de voz automatizada para o usuário. O usuário responde à chamada e pressiona # no telefone para autenticação. O número de telefone não é sincronizado com o Active Directory local.
Mensagem de texto para telefone Envia para o usuário uma mensagem de texto que contém um código de verificação. É solicitado que o usuário digite o código de verificação na interface de acesso. Esse processo é chamado de SMS unidirecional. SMS bidirecional significa que o usuário deve retornar um determinado código por SMS. O SMS bidirecional foi preterido e não terá compatibilidade depois de 14 de novembro de 2018. Os administradores devem habilitar outro método para os usuários que já usaram o SMS bidirecional.
Notificação pelo aplicativo móvel Envia uma notificação por push para o telefone do usuário ou para o dispositivo registrado. O usuário exibe a notificação e seleciona Verificar para concluir a verificação. O aplicativo Microsoft Authenticator está disponível para Windows Phone, Android e iOS.
O código de verificação do aplicativo móvel ou o token de hardware O aplicativo Microsoft Authenticator gera um novo código de verificação OATH a cada 30 segundos. O usuário digita o código de verificação na interface de entrada. O aplicativo Microsoft Authenticator está disponível para Windows Phone, Android e iOS.

Para obter mais informações, consulte Quais métodos de autenticação e verificação estão disponíveis na ID do Microsoft Entra?.

Habilitar e desabilitar métodos de verificação

Para habilitar ou desabilitar os métodos de verificação, conclua as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
  2. Acesse Entra ID>Usuários.
  3. Selecione MFA por usuário.
  4. Sob autenticação multifator na parte superior da página, selecione Configurações de serviço.
  5. Na página Configurações do Serviço , em Opções de Verificação, selecione ou desmarque as caixas de seleção apropriadas.
  6. Selecione Salvar.

Lembrar a autenticação multifator

O recurso Lembrar a autenticação multifator permite que os usuários ignorem as verificações posteriores por um número de dias especificado, depois de entrarem com êxito em um dispositivo usando a MFA. Para aumentar a usabilidade e minimizar o número de vezes que um usuário precisa executar a MFA em um dispositivo especificado, selecione uma duração de 90 dias ou menos.

Importante

Se uma conta ou um dispositivo for comprometido, o recurso “Lembrar MFA” em dispositivos confiáveis poderá afetar a segurança. Se uma conta corporativa ficar comprometida ou um dispositivo confiável for perdido ou roubado, você deverá revogar sessões de MFA.

A ação Revogar revoga o status confiável de todos os dispositivos, e o usuário precisa executar a autenticação multifator novamente. Você também pode instruir seus usuários a restaurar o status de MFA original em seus próprios dispositivos, conforme observado em Gerenciar suas configurações de autenticação multifator.

Como o recurso funciona

O recurso lembrar autenticação multifator define um cookie persistente no navegador quando um usuário seleciona a opção Não solicitar novamente por X dias no login. O usuário não é solicitado novamente para MFA nesse navegador até que o cookie expire. Se o usuário abrir outro navegador no mesmo dispositivo ou limpar os cookies, ele precisará fazer a verificação novamente.

A opção Don't ask again for X days não é mostrada em aplicativos que não são do navegador, independentemente de o aplicativo dar suporte à autenticação moderna. Esses aplicativos usam tokens de atualização que fornecem novos tokens de acesso a cada hora. Quando um token de atualização é validado, o Microsoft Entra verifica se a última autenticação multifator ocorreu dentro do número especificado de dias.

O recurso reduz o número de autenticações em aplicativos Web, que normalmente solicitam todas as vezes. O recurso poderá aumentar o número de autenticações para clientes de autenticação modernos que normalmente são solicitadas a cada 180 dias, se uma duração menor for configurada. Ele também pode aumentar o número de autenticações quando combinado com as políticas de acesso condicional.

Importante

O recurso lembrar autenticação multifator não é compatível com o recurso manter-me conectado do AD FS, quando os usuários executam a autenticação multifator para o AD FS por meio do Servidor MFA ou de uma solução de autenticação multifator de terceiros.

Se os usuários selecionarem Manter-me conectado no AD FS e marcarem o dispositivo como confiável para MFA, o usuário não será verificado automaticamente após o número de dias da opção Lembrar a autenticação multifator expirar. O Microsoft Entra ID solicita uma nova autenticação multifator, mas o AD FS retorna um token com a declaração e a data da MFA original, em vez de executar novamente a autenticação multifator. Essa reação define um loop de verificação entre o Microsoft Entra ID e o AD FS.

O recurso lembrar a autenticação multifator não é compatível com os usuários B2B e não será visível para os usuários B2B quando eles entrarem nos locatários convidados.

O recurso Lembrar a autenticação multifator não dá suporte ao controle de acesso condicional de frequência de entrada. Para obter mais informações, consulte Configurar o gerenciamento de sessão de autenticação com Acesso Condicional.

Habilitar “Lembrar a autenticação multifator”

Para habilitar e configurar a opção para permitir que os usuários lembrem o status da MFA e ignorem os prompts, conclua as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
  2. Acesse Entra ID>Usuários.
  3. Selecione MFA por usuário.
  4. Na autenticação multifator na parte superior da página, selecione as configurações de serviço.
  5. Na página de configurações de serviço , em lembrar autenticação multifator, selecione Permitir que os usuários se lembrem da autenticação multifator em dispositivos em que confiam.
  6. Defina o número de dias necessários para permitir que os dispositivos confiáveis ignorem autenticações multifator. Para obter a melhor experiência do usuário, estenda a duração para 90 ou mais dias.
  7. Selecione Salvar.

Marcar um dispositivo como confiável

Depois de habilitar o recurso lembrar autenticação multifator, os usuários podem marcar um dispositivo como confiável ao entrarem, selecionando Não perguntar novamente.

Próximas etapas

Para saber mais, confira Quais métodos de autenticação e verificação estão disponíveis na ID do Microsoft Entra?