Autenticação multifator preferencial do sistema - Política de métodos de autenticação
A autenticação multifator (MFA) preferida pelo sistema solicita que os usuários entrem usando o método mais seguro que registraram. Os administradores podem habilitar a MFA preferida pelo sistema para melhorar a segurança de entrada e desencorajar métodos de entrada menos seguros, como o SMS.
Por exemplo, se um utilizador registou notificações push por SMS e Microsoft Authenticator como métodos para MFA, o MFA preferido pelo sistema solicitará ao utilizador que inicie sessão com o método de notificação push mais seguro. O usuário ainda pode optar por entrar usando outro método, mas primeiro será solicitado a tentar o método mais seguro que registrou.
O MFA preferencial do sistema é uma configuração gerenciada pela Microsoft, que é uma política triestadual. Para visualização, o estado padrão está desativado. Se você quiser ativá-lo para todos os usuários ou um grupo de usuários durante a visualização, será necessário alterar explicitamente o estado gerenciado pela Microsoft para Habilitado. Algum tempo após a disponibilidade geral, o estado gerenciado pela Microsoft para MFA preferencial do sistema mudará para Habilitado.
Depois de a MFA preferido pelo sistemas ser ativado, o sistema de autenticação faz todo o trabalho. Os utilizadores não precisam de definir nenhum método de autenticação como o predefinido, porque o sistema determina e apresenta sempre o método mais seguro que registaram.
Nota
O MFA preferido pelo sistema é um importante aprimoramento de segurança para usuários que se autenticam usando transportes de telecomunicações. A partir de 07 de julho de 2023, o valor gerenciado pela Microsoft de MFA preferencial do sistema mudará de Desabilitado para Habilitado. Se você não quiser habilitar o MFA preferencial do sistema, altere o estado de Padrão para Desabilitado ou exclua usuários e grupos da política.
Habilitar MFA preferencial do sistema no centro de administração do Microsoft Entra
Por padrão, o MFA preferido pelo sistema é gerenciado e desabilitado pela Microsoft para todos os usuários.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Configurações dos métodos>de autenticação de proteção.>
Para autenticação multifator preferencial do sistema, escolha se deseja habilitar ou desabilitar explicitamente o recurso e incluir ou excluir usuários. Os grupos excluídos têm precedência sobre os grupos incluídos.
Por exemplo, a captura de tela a seguir mostra como tornar a MFA preferida do sistema explicitamente habilitada apenas para o grupo Engenharia.
Depois de concluir as alterações, clique em Salvar.
Habilitar MFA preferencial do sistema usando APIs do Graph
Para habilitar a MFA preferencial do sistema com antecedência, você precisa escolher um único grupo de destino para a configuração do esquema, conforme mostrado no exemplo Request .
Propriedades de configuração do recurso do método de autenticação
Por padrão, o MFA preferido do sistema é gerenciado pela Microsoft e desabilitado durante a visualização. Após a disponibilidade geral, o valor padrão do estado gerenciado da Microsoft será alterado para habilitar o MFA preferencial do sistema.
| Propriedade | Type | Description |
|---|---|---|
| excludeTarget | featureTarget | Uma única entidade que é excluída desse recurso. Você só pode excluir um grupo do MFA preferencial do sistema, que pode ser um grupo dinâmico ou aninhado. |
| incluirTarget | featureTarget | Uma única entidade incluída neste recurso. Você só pode incluir um grupo para MFA preferencial do sistema, que pode ser um grupo dinâmico ou aninhado. |
| Estado | advancedConfigState | Os valores possíveis são: ativado habilita explicitamente o recurso para o grupo selecionado. desativado desativa explicitamente o recurso para o grupo selecionado. default permite que o Microsoft Entra ID gerencie se o recurso está habilitado ou não para o grupo selecionado. |
Propriedades de destino do recurso
O MFA preferencial do sistema pode ser habilitado apenas para um único grupo, que pode ser um grupo dinâmico ou aninhado.
| Propriedade | Type | Descrição |
|---|---|---|
| ID | String | ID da entidade visada. |
| Tipo de destino | featureTargetType | O tipo de entidade visada, como grupo, função ou unidade administrativa. Os valores possíveis são: 'group', 'administrativeUnit', 'role', 'unknownFutureValue'. |
Use o seguinte ponto de extremidade da API para habilitar systemCredentialPreferences e incluir ou excluir grupos:
https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Nota
No Graph Explorer, você precisa consentir com a permissão Policy.ReadWrite.AuthenticationMethod .
Pedir
O exemplo a seguir exclui um grupo de destino de exemplo e inclui todos os usuários. Para obter mais informações, consulte Update authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
FAQ
Como o MFA preferido pelo sistema determina o método mais seguro?
Quando um usuário entra, o processo de autenticação verifica quais métodos de autenticação estão registrados para o usuário. O usuário é solicitado a entrar com o método mais seguro de acordo com a seguinte ordem. A ordem dos métodos de autenticação é dinâmica. Ele é atualizado à medida que o cenário de segurança muda e à medida que melhores métodos de autenticação surgem. Devido a problemas conhecidos com a autenticação baseada em certificado e MFA preferencial do sistema, mudamos o CBA para o final da lista. Clique no link para obter informações sobre cada método.
- Passe de Acesso Temporário
- Chave de segurança FIDO2
- Notificações do Microsoft Authenticator
- Palavra-passe única baseada no tempo (TOTP)1
- Telefonia2
- Autenticação baseada em certificado
1 Inclui hardware ou software TOTP do Microsoft Authenticator, Authenticator Lite ou aplicativos de terceiros.
2 Inclui SMS e chamadas de voz.
Como o MFA preferido pelo sistema afeta a extensão NPS?
O MFA preferencial do sistema não afeta os usuários que entram usando a extensão NPS (Servidor de Diretivas de Rede). Esses usuários não veem nenhuma alteração em sua experiência de login.
O que acontece para os usuários que não estão especificados na política de métodos de autenticação, mas habilitados na política de todo o locatário do MFA herdado?
A MFA preferencial do sistema também se aplica a usuários habilitados para MFA na política de MFA herdada.
