O que é a autenticação do Microsoft Entra?

  • Artigo

Um dos principais recursos de uma plataforma de identidade é verificar ou autenticar credenciais quando um usuário entra em um dispositivo, aplicativo ou serviço. No Microsoft Entra ID, a autenticação envolve mais do que apenas a verificação de um nome de usuário e senha. Para melhorar a segurança e reduzir a necessidade de assistência técnica, a autenticação do Microsoft Entra inclui os seguintes componentes:

  • Reposição personalizada de palavra-passe
  • Autenticação multifator Microsoft Entra
  • Integração híbrida para gravar alterações de senha de volta ao ambiente local
  • Integração híbrida para aplicar políticas de proteção por senha para um ambiente local
  • Autenticação sem palavra-passe

Dê uma olhada em nosso pequeno vídeo para saber mais sobre esses componentes de autenticação.

Melhorar a experiência do utilizador final

O Microsoft Entra ID ajuda a proteger a identidade de um utilizador e a simplificar a sua experiência de início de sessão. Recursos como a redefinição de senha de autoatendimento permitem que os usuários atualizem ou alterem suas senhas usando um navegador da Web de qualquer dispositivo. Este recurso é especialmente útil quando o usuário esqueceu sua senha ou sua conta está bloqueada. Sem esperar que um helpdesk ou administrador forneça suporte, um usuário pode se desbloquear e continuar a trabalhar.

A autenticação multifator do Microsoft Entra permite que os usuários escolham uma forma adicional de autenticação durante o login, como uma chamada telefônica ou notificação de aplicativo móvel. Essa capacidade reduz a necessidade de uma única forma fixa de autenticação secundária, como um token de hardware. Se o usuário não tiver atualmente uma forma de autenticação adicional, ele poderá escolher um método diferente e continuar a trabalhar.

Authentication methods in use at the sign-in screen

A autenticação sem senha elimina a necessidade de o usuário criar e lembrar uma senha segura. Recursos como o Windows Hello for Business ou chaves de segurança FIDO2 permitem que os usuários entrem em um dispositivo ou aplicativo sem uma senha. Essa capacidade pode reduzir a complexidade do gerenciamento de senhas em diferentes ambientes.

Reposição personalizada de palavra-passe

A redefinição de senha de autoatendimento oferece aos usuários a capacidade de alterar ou redefinir sua senha, sem envolvimento de administrador ou suporte técnico. Se a conta de um utilizador estiver bloqueada ou se se esquecer da palavra-passe, pode seguir as instruções para se desbloquear e voltar ao trabalho. Essa capacidade reduz as chamadas de suporte técnico e a perda de produtividade quando um usuário não consegue entrar em seu dispositivo ou aplicativo.

A redefinição de senha de autoatendimento funciona nos seguintes cenários:

  • Alteração de senha - quando um usuário sabe sua senha, mas quer alterá-la para algo novo.
  • Redefinição de senha - quando um usuário não consegue entrar, como quando esqueceu a senha e deseja redefinir sua senha.
  • Desbloqueio de conta - quando um utilizador não consegue iniciar sessão porque a sua conta está bloqueada e pretende desbloquear a sua conta.

Quando um usuário atualiza ou redefine sua senha usando a redefinição de senha de autoatendimento, essa senha também pode ser gravada novamente em um ambiente do Ative Directory local. O write-back de senha garante que um usuário possa usar imediatamente suas credenciais atualizadas com dispositivos e aplicativos locais.

Autenticação multifator Microsoft Entra

A autenticação multifator é um processo em que um usuário é solicitado durante o processo de login para uma forma adicional de identificação, como inserir um código em seu celular ou fornecer uma digitalização de impressão digital.

Se você usar apenas uma senha para autenticar um usuário, isso deixará um vetor inseguro para ataque. Se a senha é fraca ou foi exposta em outro lugar, é realmente o usuário entrando com o nome de usuário e senha, ou é um invasor? Quando você precisa de uma segunda forma de autenticação, a segurança é aumentada, pois esse fator adicional não é algo fácil para um invasor obter ou duplicar.

Conceptual image of the different forms of multifactor authentication

A autenticação multifator do Microsoft Entra funciona exigindo dois ou mais dos seguintes métodos de autenticação:

  • Algo que você sabe, normalmente uma senha.
  • Algo que você tem, como um dispositivo confiável que não é facilmente duplicado, como um telefone ou chave de hardware.
  • Algo que você é - biometria como uma impressão digital ou escaneamento facial.

Os usuários podem se registrar para redefinição de senha de autoatendimento e autenticação multifator do Microsoft Entra em uma etapa para simplificar a experiência de integração. Os administradores podem definir quais formas de autenticação secundária podem ser usadas. A autenticação multifator Microsoft Entra também pode ser necessária quando os usuários executam uma redefinição de senha de autoatendimento para proteger ainda mais esse processo.

Proteção por palavra-passe

Por padrão, o Microsoft Entra ID bloqueia senhas fracas, como Password1. Uma lista global de senhas proibidas é automaticamente atualizada e aplicada, incluindo senhas fracas conhecidas. Se um usuário do Microsoft Entra tentar definir sua senha para uma dessas senhas fracas, ele receberá uma notificação para escolher uma senha mais segura.

Para aumentar a segurança, você pode definir políticas personalizadas de proteção por senha. Essas políticas podem usar filtros para bloquear qualquer variação de uma senha que contenha um nome como Contoso ou um local como Londres, por exemplo.

Para segurança híbrida, você pode integrar a proteção por senha do Microsoft Entra com um ambiente do Ative Directory local. Um componente instalado no ambiente local recebe a lista global de senhas proibidas e as políticas personalizadas de proteção por senha da ID do Microsoft Entra, e os controladores de domínio as usam para processar eventos de alteração de senha. Essa abordagem híbrida garante que, não importa como ou onde um usuário altere suas credenciais, você imponha o uso de senhas fortes.

Autenticação sem palavra-passe

O objetivo final para muitos ambientes é remover o uso de senhas como parte de eventos de entrada. Recursos como a proteção por senha do Azure ou a autenticação multifator Microsoft Entra ajudam a melhorar a segurança, mas um nome de usuário e senha continuam sendo uma forma fraca de autenticação que pode ser exposta ou atacada por força bruta.

Security versus convenience with the authentication process that leads to passwordless

Quando inicia sessão com um método sem palavra-passe, as credenciais são fornecidas utilizando métodos como a biometria com o Windows Hello para Empresas ou uma chave de segurança FIDO2. Esses métodos de autenticação não podem ser facilmente duplicados por um invasor.

O Microsoft Entra ID fornece maneiras de autenticar nativamente usando métodos sem senha para simplificar a experiência de entrada para os usuários e reduzir o risco de ataques.

Próximos passos

Para começar, consulte o tutorial para redefinição de senha de autoatendimento (SSPR) e autenticação multifator do Microsoft Entra.

Para saber mais sobre os conceitos de redefinição de senha de autoatendimento, consulte Como funciona a redefinição de senha de autoatendimento do Microsoft Entra.

Para saber mais sobre os conceitos de autenticação multifator, consulte Como funciona a autenticação multifator do Microsoft Entra.