Gerir métodos de autenticação do utilizador para Azure AD autenticação multi-factor

Os utilizadores em Azure AD têm dois conjuntos distintos de informações de contacto:

  • Informações de contacto de perfil público, que são geridas no perfil do utilizador e visíveis para membros da sua organização. Para os utilizadores sincronizados a partir de Ative Directory no local, esta informação é gerida em serviços de domínio Windows Server Ative Directory no local.
  • Métodos de autenticação, que são sempre mantidos privados e utilizados apenas para a autenticação, incluindo a autenticação de vários fatores (MFA). Os administradores podem gerir estes métodos na lâmina do método de autenticação de um utilizador e os utilizadores podem gerir os seus métodos na página de Informações de Segurança do MyAccount.

Ao gerir Azure AD métodos de autenticação multi-factor para os seus utilizadores, os administradores de autenticação podem:

  1. Adicione métodos de autenticação para um utilizador específico, incluindo números de telefone utilizados para MFA.
  2. Reinicie a senha de um utilizador.
  3. Exigir que um utilizador se registe para MFA.
  4. Revogar as sessões de MFA existentes.
  5. Eliminar as palavras-passe de aplicações existentes de um utilizador

Adicionar métodos de autenticação para um utilizador

Pode adicionar métodos de autenticação para um utilizador através do portal do Azure ou Microsoft Graph.

Nota

Por razões de segurança, os campos de informações de contacto do utilizador público não devem ser utilizados para a realização de MFA. Em vez disso, os utilizadores devem preencher os seus números de métodos de autenticação para serem utilizados para mFA.

Adicione métodos de autenticação do portal do Azure

Para adicionar métodos de autenticação para um utilizador através do portal do Azure:

  1. Inicie sessão no portal do Azure.
  2. Navegue paraUtilizadoresde Diretório> Ativo AzureTodos os utilizadores>.
  3. Escolha o utilizador para quem deseja adicionar um método de autenticação e selecione métodos de autenticação.
  4. Na parte superior da janela, selecione + Adicione o método de autenticação.
    1. Selecione um método (número de telefone ou e-mail). Email podem ser utilizados para reposição de auto-password, mas não para autenticação. Ao adicionar um número de telefone, selecione um tipo de telefone e introduza o número de telefone com formato válido (por exemplo, +1 4255551234).
    2. Selecione Adicionar.

Nota

A experiência de pré-visualização permite aos administradores adicionar quaisquer métodos de autenticação disponíveis para os utilizadores, enquanto a experiência original apenas permite a atualização de métodos de telefone e telefone alternativos.

Gerir métodos utilizando o PowerShell:

Instale o Microsoft. Graph.Identity.Signins PowerShell module utilizando os seguintes comandos.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes UserAuthenticationMethod.ReadWrite.All
Select-MgProfile -Name beta

Listar métodos de autenticação baseados no telefone para um utilizador específico.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Crie um método de autenticação de telemóvel para um utilizador específico.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remova um método de telefone específico para um utilizador

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 3179e48a-750b-4051-897c-87b9720928f7

Os métodos de autenticação também podem ser geridos através de APIs de gráfico Microsoft, mais informações podem ser encontradas no documento Azure AD métodos de autenticação API

Gerir opções de autenticação do utilizador

Se lhe for atribuída a função de Administrador de Autenticação , pode exigir que os utilizadores repensem a sua palavra-passe, re-registem-se para MFA ou revoguem as sessões de MFA existentes do seu objeto de utilizador. Para gerir as definições do utilizador, complete os seguintes passos:

  1. Inicie sessão no portal do Azure.

  2. À esquerda, selecione Azure Active Directory>Utilizadores>Todos os utilizadores.

  3. Escolha o utilizador que deseja realizar uma ação e selecione métodos de autenticação. Na parte superior da janela, em seguida, escolha uma das seguintes opções para o utilizador:

    • A Palavra-passe reinicializar a palavra-passe do utilizador e atribui uma palavra-passe temporária que deve ser alterada no próximo sessão de sessão.

    • Exigir re-registrar MFA faz com que quando o utilizador assinar na próxima vez, eles são solicitados a configurar um novo método de autenticação MFA.

      Nota

      Os métodos de autenticação atualmente registados do utilizador não são eliminados quando um administrador requer re-inscrição para MFA. Depois de um utilizador voltar a registar-se para MFA, recomendamos que revejam as suas informações de segurança e apaguem quaisquer métodos de autenticação previamente registados que já não sejam utilizáveis.

    • A Revogação das Sessões de MFA limpa as sessões de MFA lembradas do utilizador e obriga-as a realizar MFA da próxima vez que for exigida pela política do dispositivo.

    Gerir métodos de autenticação a partir do portal do Azure

Eliminar as palavras-passe existentes dos utilizadores

Para os utilizadores que tenham definido as palavras-passe da aplicação, os administradores também podem optar por eliminar estas palavras-passe, fazendo com que a autenticação antiga falhe nessas aplicações. Estas ações podem ser necessárias se precisar de prestar assistência a um utilizador, ou se precisar de redefinir os seus métodos de autenticação. As aplicações não-navegador que estavam associadas a estas palavras-passe de aplicações vão deixar de funcionar até que seja criada uma nova senha de aplicação.

Para eliminar as palavras-passe da aplicação de um utilizador, complete os seguintes passos:

  1. Inicie sessão no portal do Azure.
  2. No lado esquerdo, selecioneUtilizadores>do Diretório> Azure AtiveTodos os utilizadores.
  3. Selecione Multi-Factor Authentication. Pode ser necessário deslocar-se para a direita para ver esta opção de menu. Selecione a imagem de exemplo abaixo para ver a janela e a localização completa do portal do Azure do menu: Selecione a autenticação multi-factor da janela do Utilizadores em Azure AD.
  4. Verifique a caixa ao lado do utilizador ou utilizadores que deseja gerir. Uma lista de opções de passo rápido aparece à direita.
  5. Selecione Gerir as definições do utilizador e, em seguida, verificar a caixa para Eliminar todas as palavras-passe de aplicações existentes geradas pelos utilizadores selecionados, como mostrado no seguinte exemplo: Eliminar todas as palavras-passe de aplicações existentes
  6. Selecione guardar e, em seguida, fechar.

Passos seguintes

Este artigo mostrou-lhe como configurar as definições individuais do utilizador. Para configurar as definições globais Azure AD do serviço de autenticação multi-factor, consulte configurar Azure AD configurações de autenticação multi-factor.

Se os seus utilizadores precisarem de ajuda, consulte o guia do Utilizador para Azure AD autenticação multi-factor.