Definir configurações de autenticação multifator do Microsoft Entra

Para personalizar a experiência do usuário final para a autenticação multifator do Microsoft Entra, você pode configurar opções para configurações como limites de bloqueio de conta ou alertas e notificações de fraude.

As seguintes configurações de autenticação multifator do Microsoft Entra estão disponíveis:

Funcionalidade Description
Bloqueio de conta (somente MFA Server) Bloqueie temporariamente as contas de usar a autenticação multifator do Microsoft Entra se houver muitas tentativas de autenticação negadas em uma linha. Esta funcionalidade aplica-se apenas a utilizadores que utilizam o MFA Server para introduzir um PIN para autenticação.
Bloquear/desbloquear utilizadores Bloqueie que usuários específicos possam receber solicitações de autenticação multifator do Microsoft Entra. Todas as tentativas de autenticação de utilizadores bloqueados são automaticamente negadas. Os usuários permanecem bloqueados por 90 dias a partir do momento em que são bloqueados ou até serem desbloqueados manualmente.
Alerta de fraude Defina configurações que permitam aos usuários relatar solicitações de verificação fraudulentas.
Comunicar atividades suspeitas Defina configurações que permitam aos usuários relatar solicitações de verificação fraudulentas.
Notificações Habilite notificações de eventos do MFA Server.
Tokens OATH Usado em ambientes de autenticação multifator Microsoft Entra baseados em nuvem para gerenciar tokens OATH para usuários.
Configurações de chamadas telefônicas Configure configurações relacionadas a chamadas telefônicas e saudações para ambientes locais e na nuvem.
Provedores Isso mostrará todos os provedores de autenticação existentes que você associou à sua conta. A adição de novos provedores será desativada a partir de 1º de setembro de 2018.

Microsoft Entra multifactor authentication settings

Bloqueio de conta (somente MFA Server)

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Nota

O bloqueio de conta afeta apenas os usuários que entram usando o MFA Server local.

Para evitar tentativas repetidas de MFA como parte de um ataque, as configurações de bloqueio de conta permitem especificar quantas tentativas falhadas devem ser permitidas antes que a conta seja bloqueada por um período de tempo. As configurações de bloqueio de conta são aplicadas somente quando um código PIN é inserido para o prompt de MFA usando o MFA Server local.

Estão disponíveis as seguintes definições:

  • Número de recusas de MFA que desencadeiam o bloqueio da conta
  • Minutos até que o contador de bloqueio de conta seja redefinido
  • Minutos até que a conta seja desbloqueada automaticamente

Para definir as configurações de bloqueio de conta, conclua estas etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Proteção>Autenticação> multifator Bloqueio de conta.

  3. Insira os valores para seu ambiente e selecione Salvar.

    Screenshot that shows the account lockout settings.

Bloquear e desbloquear utilizadores

Se o dispositivo de um usuário for perdido ou roubado, você poderá bloquear as tentativas de autenticação multifator do Microsoft Entra para a conta associada. Todas as tentativas de autenticação multifator do Microsoft Entra para usuários bloqueados são automaticamente negadas. Os usuários permanecem bloqueados por 90 dias a partir do momento em que são bloqueados. Para assistir a um vídeo que explica como fazer isso, veja como bloquear e desbloquear usuários em seu locatário.

Bloquear um utilizador

Para bloquear um usuário, conclua as etapas a seguir.

Veja um pequeno vídeo que descreve este processo.

  1. Navegue até Proteção>Autenticação> multifator Bloquear/desbloquear usuários.
  2. Selecione Adicionar para bloquear um usuário.
  3. Digite o nome de usuário do usuário bloqueado no formato username@domain.come, em seguida, forneça um comentário na caixa Motivo .
  4. Selecione OK para bloquear o usuário.

Desbloquear um utilizador

Para desbloquear um usuário, conclua as seguintes etapas:

  1. Vá para Proteção>Multifator autenticação>Bloquear/desbloquear usuários.
  2. Na coluna Ação ao lado do usuário, selecione Desbloquear.
  3. Insira um comentário na caixa Motivo do desbloqueio .
  4. Selecione OK para desbloquear o usuário.

Alerta de fraudes

O recurso de alerta de fraude permite que os usuários denunciem tentativas fraudulentas de acessar seus recursos. Quando um prompt MFA desconhecido e suspeito é recebido, os usuários podem denunciar a tentativa de fraude usando o aplicativo Microsoft Authenticator ou pelo telefone.

A Microsoft recomenda o uso de Denunciar atividade suspeita em vez de Alerta de fraude devido à sua integração com a Proteção de Identidade para correção orientada por risco, melhores recursos de relatório e administração com privilégios mínimos.

As seguintes opções de configuração de alerta de fraude estão disponíveis:

  • Bloqueie automaticamente os utilizadores que denunciam fraudes. Se um usuário relatar fraude, as tentativas de Autenticação Multifator do Azure AD para a conta de usuário serão bloqueadas por 90 dias ou até que um administrador desbloqueie a conta. Um administrador pode rever os inícios de sessão utilizando o relatório de início de sessão e tomar as medidas adequadas para evitar fraudes futuras. Um administrador pode então desbloquear a conta do utilizador.

  • Código para denunciar fraudes durante a saudação inicial. Quando os usuários recebem uma chamada telefônica para executar a autenticação multifator, eles normalmente pressionam # para confirmar seu login. Para denunciar fraudes, o usuário insere um código antes de pressionar #. Esse código é 0 por padrão, mas você pode personalizá-lo. Se o bloqueio automático estiver habilitado, depois que o usuário pressionar 0# para denunciar fraude, ele precisará pressionar 1 para confirmar o bloqueio da conta.

    Nota

    As saudações de voz padrão da Microsoft instruem os usuários a pressionar 0# para enviar um alerta de fraude. Se você quiser usar um código diferente de 0, grave e carregue suas próprias saudações de voz personalizadas com instruções apropriadas para seus usuários.

Para habilitar e configurar alertas de fraude, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
  2. Navegue até Alerta de fraude de autenticação>multifator de proteção>.
  3. Defina Permitir que os usuários enviem alertas de fraude para Ativado.
  4. Configure a configuração Bloquear automaticamente os usuários que denunciam fraudes ou Código para denunciar fraudes durante a saudação inicial, conforme necessário.
  5. Selecione Guardar.

Comunicar atividades suspeitas

Denuncie atividades suspeitas, o recurso atualizado de Alerta de Fraude MFA, já está disponível. Quando um prompt MFA desconhecido e suspeito é recebido, os usuários podem denunciar a tentativa de fraude usando o Microsoft Authenticator ou através do telefone. Esses alertas são integrados ao Identity Protection para uma cobertura e capacidade mais abrangentes.

Os usuários que relatam um prompt de MFA como suspeito são definidos como Alto Risco do Usuário. Os administradores podem usar políticas baseadas em risco para limitar o acesso desses usuários ou habilitar a redefinição de senha de autoatendimento (SSPR) para que os usuários corrijam problemas por conta própria. Se você já usou o recurso de bloqueio automático Alerta de Fraude e não tem uma licença do Microsoft Entra ID P2 para políticas baseadas em risco, pode usar eventos de deteção de risco para identificar e desabilitar usuários afetados e impedir automaticamente sua entrada. Para obter mais informações sobre como usar políticas baseadas em risco, consulte Políticas de acesso baseadas em risco.

Para ativar a denúncia de atividades suspeitas a partir das Configurações de métodos de autenticação:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
  2. Navegue até Configurações de métodos>de autenticação de proteção.>
  3. Defina Denunciar atividade suspeita como Ativado. O recurso permanece desativado se você escolher gerenciado pela Microsoft. Para obter mais informações sobre valores gerenciados pela Microsoft, consulte Protegendo métodos de autenticação no Microsoft Entra ID.
  4. Selecione Todos os usuários ou um grupo específico.
  5. Selecione um código de relatório.
  6. Clique em Guardar.

Nota

Se você habilitar Denunciar atividade suspeita e especificar um valor de relatório de voz personalizado enquanto o locatário ainda tiver o Alerta de Fraude habilitado em paralelo com um número de relatório de voz personalizado configurado, o valor Denunciar atividade suspeita será usado em vez de Alerta de Fraude.

Ver eventos de atividade suspeita

Quando um usuário relata um prompt de MFA como suspeito, o evento aparece no relatório de entradas (como uma entrada que foi rejeitada pelo usuário), nos logs de auditoria e no relatório de deteções de risco.

  • Para exibir o relatório de deteções de risco, selecione Deteção>de risco de proteção>de identidade de proteção. O evento de risco faz parte do relatório padrão de Deteções de Risco e aparecerá como Tipo de Deteção Atividade Suspeita Relatada pelo Usuário, Nível de Risco Alto, Relatório do Usuário Final de Origem.

  • Para exibir relatórios de fraude no relatório de entradas, selecione Monitoramento de identidade>& integridade>Logs>de entrada Detalhes de autenticação. O relatório de fraude faz parte do relatório de entradas padrão do Microsoft Entra e aparece no Detalhe do resultado como MFA negado, Código de fraude inserido.

  • Para exibir relatórios de fraude nos logs de auditoria, selecione Monitoramento de identidade>e logs de auditoria de integridade.> O relatório de fraude aparece em Tipo de atividade Fraude reportada - o utilizador está bloqueado para MFA ou Fraude comunicada - nenhuma ação foi tomada com base nas definições ao nível do inquilino para o relatório de fraude.

Nota

Um usuário não é relatado como Alto Risco se executar autenticação sem senha.

Gerenciar eventos de atividades suspeitas

Depois que um usuário denunciar uma solicitação como suspeita, o risco deve ser investigado e corrigido com a Proteção de Identidade.

Comunicar atividade suspeita e alerta de fraude

Denuncie atividades suspeitas e a implementação do Alerta de Fraude herdado pode operar em paralelo. Você pode manter a funcionalidade de alerta de fraude em todo o locatário enquanto começa a usar Denunciar atividades suspeitas com um grupo de teste direcionado.

Se o Alerta de Fraude estiver habilitado com o Bloqueio Automático e a Denúncia de atividades suspeitas estiver habilitada, o usuário será adicionado à lista de bloqueio e definido como de alto risco e no escopo para quaisquer outras políticas configuradas. Esses usuários precisarão ser removidos da lista de bloqueio e ter seu risco corrigido para permitir que eles entrem com MFA.

Notifications

Você pode configurar o Microsoft Entra ID para enviar notificações por e-mail quando os usuários relatarem alertas de fraude. Essas notificações geralmente são enviadas aos administradores de identidade, porque as credenciais da conta do usuário provavelmente estão comprometidas. O exemplo a seguir mostra a aparência de um e-mail de notificação de alerta de fraude:

Screenshot that shows a fraud alert notification email.

Para configurar notificações de alerta de fraude:

  1. Vá para Notificações de autenticação>multifator de proteção.>
  2. Digite o endereço de e-mail para o qual enviar a notificação.
  3. Para remover um endereço de e-mail existente, selecione ... junto ao endereço de e-mail e, em seguida, selecione Eliminar.
  4. Selecione Guardar.

Tokens OATH

O Microsoft Entra ID suporta o uso de tokens OATH TOTP SHA-1 que atualizam códigos a cada 30 ou 60 segundos. Você pode comprar esses tokens do fornecedor de sua escolha.

Os tokens de hardware OATH TOTP normalmente vêm com uma chave secreta, ou semente, pré-programada no token. Você precisa inserir essas chaves no Microsoft Entra ID conforme descrito nas etapas a seguir. As chaves secretas são limitadas a 128 caracteres, o que pode não ser compatível com todos os tokens. A chave secreta pode conter apenas os caracteres a-z ou A-Z e os dígitos 1-7. Ele deve ser codificado em Base32.

Os tokens de hardware OATH TOTP programáveis que podem ser repropagados também podem ser configurados com o ID do Microsoft Entra no fluxo de configuração do token de software.

Os tokens de hardware OATH são suportados como parte de uma visualização pública. Para obter mais informações sobre pré-visualizações, veja Termos de Utilização Suplementares do Microsoft Azure para Pré-visualizações do Microsoft Azure.

Screenshot that shows the OATH tokens section.

Depois de adquirir tokens, você precisa carregá-los em um formato de arquivo CSV (valores separados por vírgula). Inclua o UPN, o número de série, a chave secreta, o intervalo de tempo, o fabricante e o modelo, conforme mostrado neste exemplo:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Nota

Certifique-se de incluir a linha de cabeçalho no arquivo CSV.

Entre no centro de administração do Microsoft Entra como Administrador Global, vá para Tokens OATH de autenticação>multifator de proteção>e carregue o arquivo CSV.

Dependendo do tamanho do arquivo CSV, o processo pode levar alguns minutos. Selecione Atualizar para obter o status. Se houver erros no arquivo, você pode baixar um arquivo CSV que os lista. Os nomes dos campos no arquivo CSV baixado são diferentes daqueles na versão carregada.

Depois que quaisquer erros forem resolvidos, o administrador pode ativar cada chave selecionando Ativar para o token e inserindo a OTP exibida no token.

Os usuários podem ter uma combinação de até cinco tokens de hardware OATH ou aplicativos autenticadores, como o aplicativo Microsoft Authenticator, configurado para uso a qualquer momento.

Importante

Certifique-se de atribuir apenas cada token a um único usuário. No futuro, o suporte para a atribuição de um único token a vários usuários será interrompido para evitar um risco de segurança.

Definições de chamada telefónica

Se os usuários receberem chamadas telefônicas para solicitações de MFA, você poderá configurar sua experiência, como a identificação do chamador ou a saudação de voz que eles ouvem.

Nos Estados Unidos, se você não configurou a ID de chamada MFA, as chamadas de voz da Microsoft vêm dos seguintes números. Os utilizadores com filtros de spam devem excluir estes números.

Número padrão: +1 (855) 330-8653

A tabela a seguir lista mais números para diferentes países.

País/Região Número(s)
Áustria +43 6703062076
Bangladesh +880 9604606026
Croácia +385 15507766
Equador +593 964256042
Estónia +372 6712726
França +33 744081468
Gana +233 308250245
Grécia +30 2119902739
Guatemala +502 23055056
R.A.E. de Hong Kong +852 25716964
Índia +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600
Jordânia +962 797639442
Quénia +254 709605276
Países Baixos +31 202490048
Nigéria +234 7080627886
Paquistão +92 4232618686
Polónia +48 699740036
Arábia Saudita +966 115122726
África do Sul +27 872405062
Espanha +34 913305144
Sri Lanca +94 117750440
Suécia +46 701924176
Taiwan +886 277515260
Türkiye +90 8505404893
Ucrânia +380 443332393
Emirados Árabes Unidos +971 44015046
Vietname +84 2039990161

Nota

Quando as chamadas de autenticação multifator do Microsoft Entra são feitas através da rede telefónica pública, por vezes as chamadas são encaminhadas através de uma operadora que não suporta o ID do chamador. Por isso, a identificação do chamador não é garantida, embora a autenticação multifator do Microsoft Entra sempre a envie. Isso se aplica tanto a chamadas telefônicas quanto a mensagens de texto fornecidas pela autenticação multifator do Microsoft Entra. Se você precisar validar que uma mensagem de texto é da autenticação multifator do Microsoft Entra, consulte Quais códigos curtos são usados para enviar mensagens?.

Para configurar seu próprio número de identificação de chamada, conclua as seguintes etapas:

  1. Vá para Proteção>Multifator autenticação>Configurações de chamada telefônica.
  2. Defina o número de identificação do chamador MFA para o número que você deseja que os usuários vejam em seus telefones. Apenas números baseados nos EUA são permitidos.
  3. Selecione Guardar.

Nota

Quando as chamadas de autenticação multifator do Microsoft Entra são feitas através da rede telefónica pública, por vezes as chamadas são encaminhadas através de uma operadora que não suporta o ID do chamador. Por isso, a identificação do chamador não é garantida, embora a autenticação multifator do Microsoft Entra sempre a envie. Isso se aplica tanto a chamadas telefônicas quanto a mensagens de texto fornecidas pela autenticação multifator do Microsoft Entra. Se você precisar validar que uma mensagem de texto é da autenticação multifator do Microsoft Entra, consulte Quais códigos curtos são usados para enviar mensagens?.

Mensagens de voz personalizadas

Você pode usar suas próprias gravações ou saudações para autenticação multifator do Microsoft Entra. Essas mensagens podem ser usadas além das gravações padrão da Microsoft ou para substituí-las.

Antes de começar, esteja ciente das seguintes restrições:

  • Os formatos de ficheiro suportados são .wav e .mp3.
  • O limite de tamanho do ficheiro é de 1 MB.
  • As mensagens de autenticação devem ter menos de 20 segundos. Mensagens com mais de 20 segundos podem fazer com que a verificação falhe. Se o usuário não responder antes que a mensagem termine, a verificação expirará.

Comportamento personalizado do idioma da mensagem

Quando uma mensagem de voz personalizada é reproduzida para o usuário, o idioma da mensagem depende dos seguintes fatores:

  • O idioma do usuário.
    • O idioma detetado pelo navegador do usuário.
    • Outros cenários de autenticação podem se comportar de forma diferente.
  • O idioma de todas as mensagens personalizadas disponíveis.
    • Este idioma é escolhido pelo administrador quando uma mensagem personalizada é adicionada.

Por exemplo, se houver apenas uma mensagem personalizada e ela estiver em alemão:

  • Um usuário autenticado no idioma alemão ouvirá a mensagem personalizada em alemão.
  • Um usuário que se autenticar em inglês ouvirá a mensagem padrão em inglês.

Padrões de mensagens de voz personalizadas

Você pode usar os seguintes scripts de exemplo para criar suas próprias mensagens personalizadas. Essas frases são os padrões se você não configurar suas próprias mensagens personalizadas.

Nome da mensagem Script
Autenticação bem-sucedida O seu início de sessão foi verificado com sucesso. Adeus;.
Prompt de extensão Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para continuar.
Confirmação de fraude Foi enviado um alerta de fraude. Para desbloquear sua conta, entre em contato com o suporte técnico de TI da sua empresa.
Saudação de fraude (padrão) Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para concluir a sua verificação. Se você não iniciou essa verificação, alguém pode estar tentando acessar sua conta. Por favor, pressione zero libra para enviar um alerta de fraude. Isso notificará a equipe de TI da sua empresa e bloqueará novas tentativas de verificação.
Fraudes comunicadas Foi enviado um alerta de fraude. Para desbloquear sua conta, entre em contato com o suporte técnico de TI da sua empresa.
Ativação Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para concluir a sua verificação.
Autenticação negada nova tentativa Verificação negada.
Repetir (padrão) Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para concluir a sua verificação.
Saudação (padrão) Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para concluir a sua verificação.
Saudação (PIN) Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Introduza o seu PIN seguido da chave de libra para concluir a sua verificação.
Saudação de fraude (PIN) Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Introduza o seu PIN seguido da chave de libra para concluir a sua verificação. Se você não iniciou essa verificação, alguém pode estar tentando acessar sua conta. Por favor, pressione zero libra para enviar um alerta de fraude. Isso notificará a equipe de TI da sua empresa e bloqueará novas tentativas de verificação.
Repetir (PIN) Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Introduza o seu PIN seguido da chave de libra para concluir a sua verificação.
Prompt de extensão após dígitos Se já estiver nessa extensão, pressione a tecla pound para continuar.
Autenticação negada Sinto muito, não podemos entrar você no momento. Tente novamente mais tarde.
Saudação de ativação (padrão) Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para concluir a sua verificação.
Repetição de ativação (padrão) Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para concluir a sua verificação.
Saudação de ativação (PIN) Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Introduza o seu PIN seguido da chave de libra para concluir a sua verificação.
Prompt de extensão antes dos dígitos Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, transfira esta chamada para a extensão de> extensão<.

Configurar uma mensagem personalizada

Para usar suas próprias mensagens personalizadas, conclua as seguintes etapas:

  1. Vá para Proteção>Multifator autenticação>Configurações de chamada telefônica.
  2. Selecione Adicionar saudação.
  3. Escolha o Tipo de saudação, como Saudação (padrão) ou Autenticação bem-sucedida.
  4. Selecione o idioma. Consulte a seção anterior sobre o comportamento do idioma da mensagem personalizada.
  5. Procure e selecione um arquivo de som .mp3 ou .wav para carregar.
  6. Selecione Adicionar e, em seguida, Guardar.

Configurações do serviço MFA

Configurações para senhas de aplicativos, IPs confiáveis, opções de verificação e lembrar a autenticação multifator em dispositivos confiáveis estão disponíveis nas configurações do serviço. Este é um portal legado.

Pode aceder às definições do serviço a partir do centro de administração do Microsoft Entra acedendo a Proteção>Autenticação>multifator Introdução>Configure>definições adicionais de MFA baseadas na nuvem. Uma janela ou guia é aberta com opções adicionais de configurações de serviço.

IPs Fidedignos

A funcionalidade IPs fidedignos da autenticação multifator do Microsoft Entra ignora os pedidos da autenticação multifator dos utilizadores que iniciam sessão a partir de um intervalo de endereços IP definido. Você pode definir intervalos de IP confiáveis para seus ambientes locais. Quando os utilizadores estão numa destas localizações, não há pedidos da autenticação multifator do Microsoft Entra. A funcionalidade IPs fidedignos requer a edição Microsoft Entra ID P1.

Nota

Os IPs confiáveis podem incluir intervalos de IP privados somente quando você usa o Servidor MFA. Para autenticação multifator do Microsoft Entra baseada em nuvem, você pode usar apenas intervalos de endereços IP públicos.

Os intervalos IPv6 são suportados apenas na interface Localizações nomeadas (pré-visualização ).

Se sua organização usa a extensão NPS para fornecer MFA a aplicativos locais, o endereço IP de origem sempre parecerá ser o servidor NPS pelo qual a tentativa de autenticação flui.

Tipo de locatário do Microsoft Entra Opções de recursos de IP confiáveis
Não gerido Intervalo específico de endereços IP: os administradores especificam um intervalo de endereços IP que pode ignorar autenticações multifator para usuários que entram na intranet da empresa. Um máximo de 50 intervalos de IP confiáveis podem ser configurados.
Federados Todos os usuários federados: todos os usuários federados que entram de dentro da organização podem ignorar as autenticações multifator. Os usuários ignoram as verificações usando uma declaração emitida pelos Serviços de Federação do Ative Directory (AD FS).
Intervalo específico de endereços IP: os administradores especificam um intervalo de endereços IP que pode ignorar a autenticação multifator para usuários que entram na intranet da empresa.

O bypass de IP confiável funciona apenas de dentro da intranet da empresa. Se você selecionar a opção Todos os usuários federados e um usuário entrar de fora da intranet da empresa, o usuário terá que autenticar usando a autenticação multifator. O processo é o mesmo, mesmo que o usuário apresente uma declaração do AD FS.

Nota

Se as políticas de MFA por usuário e de Acesso Condicional estiverem configuradas no locatário, você precisará adicionar IPs confiáveis à política de Acesso Condicional e atualizar as configurações do serviço de MFA.

Experiência do usuário dentro da rede corporativa

Quando o recurso IPs confiáveis está desativado, a autenticação multifator é necessária para os fluxos do navegador. As senhas de aplicativos são necessárias para aplicativos rich-client mais antigos.

Quando IPs confiáveis são usados, a autenticação multifator não é necessária para os fluxos do navegador. As senhas de aplicativo não são necessárias para aplicativos rich client mais antigos se o usuário não tiver criado uma senha de aplicativo. Depois que uma senha de aplicativo estiver em uso, a senha será necessária.

Experiência do usuário fora da rede corporativa

Independentemente de IPs confiáveis estarem definidos, a autenticação multifator é necessária para os fluxos do navegador. As senhas de aplicativos são necessárias para aplicativos rich-client mais antigos.

Habilitar locais nomeados usando o Acesso Condicional

Você pode usar regras de Acesso Condicional para definir locais nomeados usando as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Locais nomeados de acesso>condicional de proteção.>
  3. Selecione Novo local.
  4. Introduza um nome para a localização.
  5. Selecione Marcar como local confiável.
  6. Insira o intervalo de IP para seu ambiente na notação CIDR. Por exemplo, 40.77.182.32/27.
  7. Selecione Criar.

Ativar a funcionalidade IPs fidedignos com o Acesso Condicional

Para habilitar IPs confiáveis usando políticas de Acesso Condicional, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.

  2. Navegue até Locais nomeados de acesso>condicional de proteção.>

  3. Selecione Configurar IPs confiáveis de MFA.

  4. Na página Configurações do Serviço, em IPs confiáveis, escolha uma destas opções:

    • Para solicitações de usuários federados originados da minha intranet: para escolher essa opção, marque a caixa de seleção. Todos os usuários federados que entram na rede corporativa ignoram as autenticações multifator usando uma declaração emitida pelo AD FS. Verifique se o AD FS tem uma regra para adicionar a declaração da intranet ao tráfego apropriado. Se a regra não existir, crie a seguinte regra no AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

      Nota

      A opção Ignorar autenticação multifator para solicitações de usuários federados na minha intranet afetará a avaliação de Acesso Condicional para locais. Qualquer solicitação com a declaração insidecorporatenetwork será tratada como proveniente de um local confiável se essa opção for selecionada.

    • Para solicitações de um intervalo específico de IPs públicos: Para escolher essa opção, digite os endereços IP na caixa de texto, na notação CIDR.

      • Para endereços IP que estão no intervalo xxx.xxx.xxx.1 a xxx.xxx.xxx.254, use notação como xxx.xxx.xxx.0/24.
      • Para um único endereço IP, use notação como xxx.xxx.xxx.xxx/32.
      • Insira até 50 intervalos de endereços IP. Os utilizadores que iniciam sessão a partir destes endereços IP ignoram as autenticações multifator.
  5. Selecione Guardar.

Ativar a funcionalidade IPs fidedignos com as definições de serviço

Se não quiser usar políticas de Acesso Condicional para habilitar IPs confiáveis, você pode definir as configurações de serviço para autenticação multifator do Microsoft Entra usando as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Configurações do Serviço de autenticação>multifator de proteção.>

  3. Na página Configurações do serviço, em IPs confiáveis, escolha uma ou ambas as seguintes opções:

    • Para solicitações de usuários federados na minha intranet: para escolher essa opção, marque a caixa de seleção. Todos os usuários federados que entram na rede corporativa ignoram a autenticação multifator usando uma declaração emitida pelo AD FS. Verifique se o AD FS tem uma regra para adicionar a declaração da intranet ao tráfego apropriado. Se a regra não existir, crie a seguinte regra no AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Para solicitações de um intervalo especificado de sub-redes de endereços IP: Para escolher essa opção, digite os endereços IP na caixa de texto, em notação CIDR.

      • Para endereços IP que estão no intervalo xxx.xxx.xxx.1 a xxx.xxx.xxx.254, use notação como xxx.xxx.xxx.0/24.
      • Para um único endereço IP, use notação como xxx.xxx.xxx.xxx/32.
      • Insira até 50 intervalos de endereços IP. Os utilizadores que iniciam sessão a partir destes endereços IP ignoram as autenticações multifator.
  4. Selecione Guardar.

Métodos de verificação

Você pode escolher os métodos de verificação disponíveis para seus usuários no portal de configurações de serviço. Quando seus usuários registram suas contas para autenticação multifator do Microsoft Entra, eles escolhem seu método de verificação preferido entre as opções que você habilitou. A orientação para o processo de inscrição do usuário é fornecida em Configurar minha conta para autenticação multifator.

Estão disponíveis os seguintes métodos de verificação:

Método Description
Ligar para telefone Faz uma chamada de voz automatizada. O usuário atende a chamada e pressiona # no telefone para autenticar. O número de telefone não está sincronizado com o Ative Directory local.
Mensagem de texto para um telefone Envia uma mensagem de texto que contém um código de verificação. O usuário é solicitado a inserir o código de verificação na interface de entrada. Esse processo é chamado de SMS unidirecional. SMS bidirecional significa que o usuário deve enviar uma mensagem de texto de volta um código específico. O SMS bidirecional foi preterido e não é suportado após 14 de novembro de 2018. Os administradores devem habilitar outro método para usuários que anteriormente usavam SMS bidirecional.
Notificação através da aplicação móvel Envia uma notificação por push para o telefone ou dispositivo registrado do usuário. O usuário visualiza a notificação e seleciona Verificar para concluir a verificação. O aplicativo Microsoft Authenticator está disponível para Windows Phone, Android e iOS.
Código de verificação da aplicação para dispositivos móveis ou token de hardware O aplicativo Microsoft Authenticator gera um novo código de verificação OATH a cada 30 segundos. O utilizador introduz o código de verificação na interface de início de sessão. O aplicativo Microsoft Authenticator está disponível para Windows Phone, Android e iOS.

Para obter mais informações, consulte Quais métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?.

Ativar e desativar métodos de verificação

Para habilitar ou desabilitar os métodos de verificação, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
  2. Navegue até Identidade>de usuários.
  3. Selecione MFA por utilizador.
  4. Em Autenticação multifator, na parte superior da página, selecione Configurações de serviço.
  5. Na página Configurações do serviço, em Opções de verificação, marque ou desmarque as caixas de seleção apropriadas.
  6. Selecione Guardar.

Lembre-se da autenticação multifator

O recurso de autenticação multifator de memória permite que os usuários ignorem as verificações subsequentes por um número especificado de dias, depois de entrarem com êxito em um dispositivo usando MFA. Para melhorar a usabilidade e minimizar o número de vezes que um usuário tem que executar MFA em um determinado dispositivo, selecione uma duração de 90 dias ou mais.

Importante

Se uma conta ou dispositivo estiver comprometido, lembrar a MFA para dispositivos confiáveis pode afetar a segurança. Se uma conta corporativa for comprometida ou um dispositivo confiável for perdido ou roubado, você deve revogar as sessões de MFA.

A ação revogar revoga o status confiável de todos os dispositivos e o usuário deve executar a autenticação multifator novamente. Você também pode instruir seus usuários a restaurar o status de MFA original em seus próprios dispositivos, conforme observado em Gerenciar suas configurações para autenticação multifator.

Como funciona a característica

O recurso de autenticação multifator de memória define um cookie persistente no navegador quando um usuário seleciona a opção Não pedir novamente X dias no login. O usuário não será solicitado novamente para MFA a partir desse navegador até que o cookie expire. Se o utilizador abrir um navegador diferente no mesmo dispositivo ou limpar os cookies, ser-lhe-á pedido novamente que verifique.

A opção Não pedir novamente X dias não é mostrada em aplicativos que não sejam navegadores, independentemente de o aplicativo suportar autenticação moderna. Esses aplicativos usam tokens de atualização que fornecem novos tokens de acesso a cada hora. Quando um token de atualização é validado, o ID do Microsoft Entra verifica se a última autenticação multifator ocorreu dentro do número de dias especificado.

O recurso reduz o número de autenticações em aplicativos Web, que normalmente são solicitadas sempre. O recurso pode aumentar o número de autenticações para clientes de autenticação moderna que normalmente solicitam a cada 180 dias, se uma duração menor for configurada. Também pode aumentar o número de autenticações quando combinado com políticas de Acesso Condicional.

Importante

O recurso de autenticação multifator de lembrar não é compatível com o recurso manter-me conectado do AD FS, quando os usuários executam a autenticação multifator para AD FS por meio do MFA Server ou de uma solução de autenticação multifator de terceiros.

Se os usuários selecionarem manter-me conectado no AD FS e também marcarem o dispositivo como confiável para MFA, o usuário não será verificado automaticamente depois que o número de dias de autenticação multifator de memória expirar. O Microsoft Entra ID solicita uma nova autenticação multifator, mas o AD FS retorna um token com a declaração MFA original e a data, em vez de executar a autenticação multifator novamente. Essa reação desencadeia um loop de verificação entre o Microsoft Entra ID e o AD FS.

O recurso de autenticação multifator de lembrete não é compatível com usuários B2B e não será visível para usuários B2B quando entrarem nos locatários convidados.

O recurso de autenticação multifator lembrar não é compatível com o controle de acesso condicional de frequência de entrada. Para obter mais informações, consulte Configurar o gerenciamento de sessão de autenticação com acesso condicional.

Ativar autenticação multifator de memória

Para habilitar e configurar a opção para permitir que os usuários se lembrem de seus prompts de status de MFA e bypass, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
  2. Navegue até Identidade>de usuários.
  3. Selecione MFA por utilizador.
  4. Em Autenticação multifator, na parte superior da página, selecione as configurações do serviço.
  5. Na página de configurações de serviço, em lembrar autenticação multifator, selecione Permitir que os usuários se lembrem da autenticação multifator em dispositivos em que confiam.
  6. Defina o número de dias para permitir que dispositivos confiáveis ignorem as autenticações multifator. Para uma experiência de usuário ideal, estenda a duração para 90 ou mais dias.
  7. Selecione Guardar.

Marcar um dispositivo como confiável

Depois de ativar o recurso de autenticação multifator de memória, os usuários podem marcar um dispositivo como confiável quando entrarem selecionando Não perguntar novamente.

Próximos passos

Para saber mais, consulte Que métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?