Como migrar as definições de política de MFA e SSPR para a política de métodos de autenticação para o Microsoft Entra ID
Você pode migrar as configurações de diretiva herdada do Microsoft Entra ID que controlam separadamente a autenticação multifator e a redefinição de senha de autoatendimento (SSPR) para o gerenciamento unificado com a política de métodos de autenticação.
Você migra as configurações de política em seu próprio cronograma e o processo é totalmente reversível. Você pode continuar a usar políticas de MFA e SSPR em todo o locatário enquanto configura métodos de autenticação com mais precisão para usuários e grupos na política de métodos de autenticação. Você conclui a migração sempre que estiver pronto para gerenciar todos os métodos de autenticação juntos na política de métodos de autenticação.
Para obter mais informações sobre como essas políticas funcionam juntas durante a migração, consulte Gerenciar métodos de autenticação para o Microsoft Entra ID.
Antes de começar
Comece fazendo uma auditoria das configurações de política existentes para cada método de autenticação disponível para os usuários. Se você reverter durante a migração, convém um registro das configurações do método de autenticação de cada uma destas políticas:
- Política MFA
- Política SSPR (se usada)
- Política de métodos de autenticação (se usada)
Se você não estiver usando SSPR e ainda não estiver usando a política de métodos de autenticação, você só precisará obter configurações da política de MFA.
Rever a política de AMF herdada
Comece documentando quais métodos estão disponíveis na política de MFA herdada. Entre no centro de administração do Microsoft Entra como Administrador Global. Vá para Identidade>de usuários Todos os usuários>>Configurações do serviço MFA>por usuário para exibir as configurações. Essas configurações abrangem todo o locatário, portanto, não há necessidade de informações de usuário ou grupo.
Para cada método, observe se ele está habilitado ou não para o locatário. A tabela a seguir lista os métodos disponíveis na política de MFA herdada e os métodos correspondentes na política de método de autenticação.
| Política de autenticação multifator | Política do método de autenticação |
|---|---|
| Ligar para telefone | Chamadas de voz |
| Mensagem de texto para um telefone | SMS |
| Notificação através da aplicação móvel | Microsoft Authenticator |
| Código de verificação da aplicação para dispositivos móveis ou token de hardware | Tokens OATH de software de terceiros Tokens OATH de hardware Microsoft Authenticator |
Rever a política SSPR herdada
Para obter os métodos de autenticação disponíveis na política SSPR herdada, vá para Métodos de autenticação de redefinição de>senha de usuários>de identidade.> A tabela a seguir lista os métodos disponíveis na política SSPR herdada e os métodos correspondentes na política de método de autenticação.
Registre quais usuários estão no escopo do SSPR (todos os usuários, um grupo específico ou nenhum usuário) e os métodos de autenticação que eles podem usar. Embora as perguntas de segurança ainda não estejam disponíveis para gerenciar na política de métodos de autenticação, certifique-se de gravá-las para mais tarde, quando estiverem.
| Métodos de autenticação de SSPR | Política do método de autenticação |
|---|---|
| Notificação da aplicação móvel | Microsoft Authenticator |
| Código da aplicação móvel | Microsoft Authenticator Tokens OATH de software |
| E-mail OTP | |
| Telemóvel | Chamadas de voz SMS |
| Telefone do escritório | Chamadas de voz |
| Perguntas de segurança | Ainda não disponível; copiar perguntas para utilização posterior |
Política de métodos de autenticação
Para verificar as configurações na política de Métodos de autenticação, entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação e navegue até Políticas de métodos>de Autenticação de Proteção.> Um novo locatário tem todos os métodos desativados por padrão, o que facilita a migração porque as configurações de política herdadas não precisam ser mescladas com as configurações existentes.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue até Métodos de autenticação de proteção>>
A política de métodos de autenticação tem outros métodos que não estão disponíveis nas políticas herdadas, como chave de segurança FIDO2, Passe de Acesso Temporário e autenticação baseada em certificado Microsoft Entra. Esses métodos não estão no escopo da migração e você não precisará fazer nenhuma alteração neles se já os tiver configurado.
Se você habilitou outros métodos na política de métodos de autenticação, anote os usuários e grupos que podem ou não usar esses métodos. Anote os parâmetros de configuração que regem como o método pode ser usado. Por exemplo, você pode configurar o Microsoft Authenticator para fornecer localização em notificações por push. Faça um registro de quais usuários e grupos estão habilitados para parâmetros de configuração semelhantes associados a cada método.
Iniciar a migração
Depois de capturar os métodos de autenticação disponíveis das políticas que você está usando no momento, você pode iniciar a migração. Abra a política de métodos de autenticação, selecione Gerenciar migração e selecione Migração em andamento.
Convém definir essa opção antes de fazer alterações, pois ela aplicará sua nova política a cenários de entrada e redefinição de senha.
A próxima etapa é atualizar a política de métodos de autenticação para corresponder à sua auditoria. Você vai querer rever cada método um por um. Se o seu locatário estiver usando apenas a política de MFA herdada e não estiver usando SSPR, a atualização será simples - você pode habilitar cada método para todos os usuários e corresponder com precisão à sua política existente.
Se o locatário estiver usando MFA e SSPR, você precisará considerar cada método:
- Se o método estiver habilitado em ambas as políticas herdadas, habilite-o para todos os usuários na política de métodos de autenticação.
- Se o método estiver desativado em ambas as políticas herdadas, deixe-o desativado para todos os usuários na política de métodos de autenticação.
- Se o método estiver habilitado apenas em uma política, você precisará decidir se, ou não, ele deve estar disponível em todas as situações.
Onde as políticas correspondem, você pode facilmente corresponder ao seu estado atual. Quando houver uma incompatibilidade, você precisará decidir se deseja habilitar ou desabilitar o método completamente. Por exemplo, suponha que a Notificação por meio de aplicativo móvel esteja habilitada para permitir notificações por push para MFA. Na política SSPR herdada, o método de notificação do aplicativo móvel não está habilitado. Nesse caso, as políticas herdadas permitem notificações por push para MFA, mas não SSPR.
Na política de métodos de autenticação, você precisará escolher se deseja habilitar o Microsoft Authenticator para SSPR e MFA ou desabilitá-lo (recomendamos habilitar o Microsoft Authenticator ).
Observe que na política de métodos de autenticação você tem a opção de habilitar métodos para grupos de usuários, além de todos os usuários, e também pode excluir grupos de usuários de poder usar um determinado método. Isso significa que você tem muita flexibilidade para controlar quais métodos os usuários podem usar. Por exemplo, você pode habilitar o Microsoft Authenticator para todos os usuários e limitar as chamadas SMS e Voice a 1 grupo de 20 usuários que precisam desses métodos.
À medida que você atualiza cada método na política de métodos de autenticação, alguns métodos têm parâmetros configuráveis que permitem controlar como esse método pode ser usado. Por exemplo, se ativar as chamadas de voz como método de autenticação, pode optar por permitir tanto o telefone do escritório como os telemóveis, ou apenas dispositivos móveis. Percorra o processo para configurar cada método de autenticação da sua auditoria.
No é obrigado a corresponder à sua política existente! É uma ótima oportunidade para rever os seus métodos ativados e escolher uma nova política que maximize a segurança e a usabilidade para o seu inquilino. Tenha apenas em consideração que a desativação dos métodos para utilizadores que já os estão a utilizar pode exigir que esses utilizadores registem novos métodos de autenticação e impedi-los de utilizar métodos registados anteriormente.
As próximas seções abordam orientações específicas de migração para cada método.
Senha única por e-mail
Há dois controles para a senha única de e-mail:
A segmentação usando incluir e excluir na seção Habilitar e destino da configuração é usada para habilitar a OTP de e-mail para membros de um locatário para uso na redefinição de senha.
Há uma seção separada Permitir que usuários externos usem o controle OTP de e-mail na seção Configurar que controla o uso de OTP de e-mail para entrada por usuários B2B. O método de autenticação não pode ser desativado se esse controle estiver habilitado.
Microsoft Authenticator
Se a Notificação por meio de aplicativo móvel estiver habilitada na política de MFA herdada, habilite o Microsoft Authenticator para Todos os usuários na política de métodos de autenticação. Defina o modo de autenticação como Qualquer para permitir notificações por push ou autenticação sem senha.
Se o código de verificação do aplicativo móvel ou token de hardware estiver habilitado na política de MFA herdada, defina Permitir uso da OTP do Microsoft Authenticator como Sim.
SMS e chamadas de voz
A política de MFA herdada tem controles separados para SMS e chamadas telefônicas. Mas há também um controle de telefone celular que permite telefones celulares para SMS e chamadas de voz. E outro controle para o telefone do Office habilita um telefone do escritório apenas para chamadas de voz.
A política de métodos de autenticação tem controles para chamadas SMS e de voz, correspondendo à política de MFA herdada. Se o seu locatário estiver usando SSPR e o telefone celular estiver habilitado, você desejará habilitar as chamadas SMS e de voz na política de métodos de autenticação. Se o seu locatário estiver usando SSPR e o telefone do Office estiver habilitado, você desejará habilitar as chamadas de voz na política de métodos de autenticação e garantir que a opção Telefone do Office esteja habilitada.
Nota
A opção Usar para login está habilitada por padrão nas configurações do SMS . Esta opção permite o início de sessão por SMS. Se o login por SMS estiver habilitado para usuários, eles serão ignorados da sincronização entre locatários. Se estiver a utilizar a sincronização entre inquilinos ou não pretender ativar o início de sessão por SMS, desative o Início de sessão por SMS para utilizadores de destino.
Tokens OATH
Os controles de token OATH nas políticas herdadas de MFA e SSPR eram controles únicos que permitiam o uso de três tipos diferentes de tokens OATH: o aplicativo Microsoft Authenticator, aplicativos geradores de código OATH TOTP de software de terceiros e tokens OATH OATH de hardware.
A política de métodos de autenticação tem controle granular com controles separados para cada tipo de token OATH. O uso da OTP do Microsoft Authenticator é controlado pela seção Permitir o uso do controle OTP do Microsoft Authenticator na seção Microsoft Authenticator da política. Os aplicativos de terceiros são controlados pela seção de tokens OATH de software de terceiros da política. Os tokens OATH de hardware são controlados pela seção Tokens OATH de hardware da política.
Perguntas de segurança
Um controle para questões de segurança será lançado em breve. Se você usar perguntas de segurança e não quiser desativá-las, certifique-se de mantê-las habilitadas na política SSPR herdada até que o novo controle esteja disponível. Você pode concluir a migração conforme descrito na próxima seção com as perguntas de segurança habilitadas.
Concluir a migração
Depois de atualizar a política de métodos de autenticação, examine as políticas de MFA e SSPR herdadas e remova cada método de autenticação um por um. Teste e valide as alterações para cada método.
Quando você determinar que MFA e SSPR funcionam conforme o esperado e não precisa mais das políticas herdadas de MFA e SSPR, poderá alterar o processo de migração para Migração Concluída. Neste modo, o Microsoft Entra-only segue a política de métodos de autenticação. Nenhuma alteração poderá ser feita nas políticas herdadas se a opção Migração concluída estiver definida, exceto para perguntas de segurança na política SSPR. Se você precisar voltar às políticas herdadas por algum motivo, poderá mover o estado de migração de volta para Migração em Andamento a qualquer momento.
