Partilhar via


Como executar uma campanha de registro para configurar o Microsoft Authenticator

Você pode incentivar os usuários a configurar o Microsoft Authenticator durante o login. Os usuários passam por sua entrada regular, executam a autenticação multifator como de costume e, em seguida, são solicitados a configurar o Microsoft Authenticator. Você pode incluir ou excluir usuários ou grupos para controlar quem é empurrado para configurar o aplicativo. Isso permite que campanhas direcionadas movam os usuários de métodos de autenticação menos seguros para o Authenticator.

Você também pode definir quantos dias um usuário pode adiar, ou "sonecar", o empurrão. Se um usuário tocar em Ignorar por enquanto para adiar a configuração do aplicativo, ele será empurrado novamente na próxima tentativa de MFA depois que a duração da soneca tiver decorrido. Você pode decidir se o usuário pode dormir indefinidamente ou até três vezes (após o qual o registro é necessário).

Nota

À medida que os utilizadores iniciam sessão regularmente, as políticas de Acesso Condicional que regem o registo de informações de segurança aplicam-se antes de o utilizador ser solicitado a configurar o Autenticador. Por exemplo, se uma política de Acesso Condicional exigir que as atualizações de informações de segurança só possam ocorrer em uma rede interna, os usuários não serão solicitados a configurar o Autenticador, a menos que estejam na rede interna.

Pré-requisitos

  • Sua organização deve ter habilitado a autenticação multifator do Microsoft Entra. Todas as edições do Microsoft Entra ID incluem a autenticação multifator do Microsoft Entra. Nenhuma outra licença é necessária para uma campanha de registo.
  • Os usuários ainda não podem ter configurado o aplicativo Autenticador para notificações por push em suas contas.
  • Os administradores precisam habilitar os usuários para o aplicativo Autenticador usando uma destas políticas:
    • Política de Registro de MFA: Os usuários precisarão estar habilitados para Notificação por meio de aplicativo móvel.
    • Política de Métodos de Autenticação: os usuários precisarão estar habilitados para o aplicativo Autenticador e o modo de Autenticação definido como Qualquer ou Push. Se a política estiver definida como Sem senha, o usuário não será elegível para o empurrão. Para obter mais informações sobre como definir o modo de autenticação, consulte Habilitar entrada sem senha com o Microsoft Authenticator.

Experiência de utilizador

  1. Primeiro, você precisa autenticar com êxito usando a autenticação multifator (MFA) do Microsoft Entra.

  2. Se tiver ativado as notificações push do Autenticador e ainda não as tiver configurado, ser-lhe-á pedido que configure o Autenticador para melhorar a sua experiência de início de sessão.

    Nota

    Outros recursos de segurança, como chave de acesso sem senha, redefinição de senha de autoatendimento ou padrões de segurança, também podem solicitar a configuração.

    Captura de ecrã da autenticação multifator.

  3. Toque em Avançar e percorra a configuração do aplicativo Authenticator.

  4. Primeiro, baixe o aplicativo.

    Captura de ecrã da transferência para o Microsoft Authenticator.

    1. Veja como configurar o aplicativo Authenticator.

      Captura de ecrã do Microsoft Authenticator.

    2. Digitalize o QR Code.

      Screenshot do QR Code.

    3. Verifique a sua identidade.

      Captura de ecrã do ecrã Verificar a sua identidade.

    4. Aprove a notificação de teste no seu dispositivo.

      Captura de tela da notificação de teste.

    5. O aplicativo autenticador agora está configurado com êxito.

      Captura de ecrã da instalação concluída.

  5. Se não quiser instalar o aplicativo Authenticator, toque em Ignorar por enquanto para adiar o prompt por até 14 dias, que pode ser definido por um administrador. Os utilizadores com subscrições gratuitas e de avaliação podem adiar o aviso até três vezes.

    Screenshot da opção snooze.

Habilite a política de campanha de registro usando o centro de administração do Microsoft Entra

Para habilitar uma campanha de registro no centro de administração do Microsoft Entra, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Métodos>de autenticação de proteção>Campanha de registro e clique em Editar.

  3. Para o Estado:

    • Selecione Ativado para ativar a campanha de registo para todos os utilizadores.
    • Selecione Microsoft managed to enable the registration campaign only for voice call or text message users. A configuração gerenciada pela Microsoft permite que a Microsoft defina o valor padrão. Para obter mais informações, consulte Protegendo métodos de autenticação no Microsoft Entra ID.

    Se o estado da campanha de registro estiver definido como Habilitado ou gerenciado pela Microsoft, você poderá configurar a experiência para usuários finais usando Número limitado de sonos:

    • Se Número limitado de sonecas estiver Ativado, os usuários poderão ignorar o prompt de interrupção 3 vezes, após o que serão forçados a registrar o Autenticador.
    • Se a opção Número limitado de sonecas estiver desativada, os usuários poderão adiar um número ilimitado de vezes e evitar registrar o Autenticador.

    Dias permitidos para dormir define o período entre dois prompts de interrupção sucessivos. Por exemplo, se estiver definido como 3 dias, os utilizadores que ignoraram o registo só serão solicitados novamente após 3 dias.

    Captura de ecrã a mostrar a ativação de uma campanha de registo.

  4. Selecione quaisquer utilizadores ou grupos a excluir da campanha de registo e, em seguida, clique em Guardar.

Habilitar a política de campanha de registro usando o Graph Explorer

Além de usar o centro de administração do Microsoft Entra, você também pode habilitar a política de campanha de registro usando o Graph Explorer. Para habilitar a política de campanha de registro, você deve usar a Política de Métodos de Autenticação usando APIs do Graph. Aqueles a quem foi atribuída pelo menos a função de Administrador da Política de Autenticação podem atualizar a política.

Para configurar a política usando o Graph Explorer:

  1. Entre no Graph Explorer e verifique se você consentiu com as permissões Policy.Read.All e Policy.ReadWrite.AuthenticationMethod .

    Para abrir o painel Permissões:

    Screenshot do Graph Explorer.

  2. Recupere a política de métodos de autenticação:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
    
  3. Atualize a seção registrationEnforcement e authenticationMethodsRegistrationCampaign da política para habilitar o empurrão em um usuário ou grupo.

    Captura de tela da resposta da API.

    Para atualizar a política, execute um PATCH na Política de Métodos de Autenticação com apenas a seção registrationEnforcement atualizada:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
    

A tabela a seguir lista as propriedades authenticationMethodsRegistrationCampaign .

Nome Valores possíveis Description
snoozeDurationInDays Intervalo: 0 - 14 Define o número de dias antes de o usuário ser cutucado novamente.
Se o valor for 0, o usuário será empurrado durante cada tentativa de MFA.
Padrão: 1 dia
enforceRegistrationAfterAllowedSnoozes "true"
"falso"
Determina se um usuário é obrigado a executar a configuração após 3 sonos.
Se verdadeiro, o usuário é obrigado a se registrar.
Se falso, o usuário pode dormir indefinidamente.
Predefinição: true
state "habilitado"
"deficientes"
"Padrão"
Permite ativar ou desativar o recurso.
O valor padrão é usado quando a configuração não foi definida explicitamente e usará o valor padrão do Microsoft Entra ID para essa configuração. O estado padrão está habilitado para usuários de chamadas de voz e mensagens de texto em todos os locatários.
Altere o estado para ativado (para todos os usuários) ou desativado, conforme necessário.
excludeTargets N/A Permite excluir diferentes usuários e grupos que você deseja omitir do recurso. Se um usuário estiver em um grupo excluído e um grupo incluído, o usuário será excluído do recurso.
incluirAlvos N/A Permite que você inclua diferentes usuários e grupos que você deseja que o recurso segmente.

A tabela a seguir lista as propriedades includeTargets .

Nome Valores possíveis Description
Tipo de destino "utilizador"
"grupo"
O tipo de entidade visada.
ID Um identificador guid A ID do usuário ou grupo de destino.
targetedAuthenticationMethod "MicrosoftAuthenticator" O usuário do método de autenticação é solicitado a se registrar. O único valor permitido é "microsoftAuthenticator".

A tabela a seguir lista as propriedades excludeTargets .

Nome Valores possíveis Description
Tipo de destino "utilizador"
"grupo"
O tipo de entidade visada.
ID Uma cadeia de caracteres A ID do usuário ou grupo de destino.

Exemplos

Aqui estão alguns exemplos de JSONs que você pode usar para começar!

  • Incluir todos os utilizadores

    Se você quiser incluir TODOS os usuários em seu locatário, atualize o exemplo JSON a seguir com os GUIDs relevantes de seus usuários e grupos. Em seguida, cole-o no Graph Explorer e execute PATCH no ponto de extremidade.

    {
    "registrationEnforcement": {
            "authenticationMethodsRegistrationCampaign": {
                "snoozeDurationInDays": 1,
                "enforceRegistrationAfterAllowedSnoozes": true,
                "state": "enabled",
                "excludeTargets": [],
                "includeTargets": [
                    {
                        "id": "all_users",
                        "targetType": "group",
                        "targetedAuthenticationMethod": "microsoftAuthenticator"
                    }
                ]
            }
        }
    }
    
  • Incluir usuários ou grupos de usuários específicos

    Se você quiser incluir determinados usuários ou grupos em seu locatário, atualize o exemplo JSON a seguir com os GUIDs relevantes de seus usuários e grupos. Em seguida, cole o JSON no Graph Explorer e execute PATCH no ponto de extremidade.

    {
    "registrationEnforcement": {
          "authenticationMethodsRegistrationCampaign": {
              "snoozeDurationInDays": 1,
              "enforceRegistrationAfterAllowedSnoozes": true,
              "state": "enabled",
              "excludeTargets": [],
              "includeTargets": [
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "group",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  },
                  {
                      "id": "*********PLEASE ENTER GUID***********",
                      "targetType": "user",
                      "targetedAuthenticationMethod": "microsoftAuthenticator"
                  }
              ]
          }
      }
    }  
    
  • Incluir e excluir usuários ou grupos específicos

    Se você quiser incluir E excluir determinados usuários ou grupos em seu locatário, atualize o exemplo JSON a seguir com os GUIDs relevantes de seus usuários e grupos. Em seguida, cole-o no Graph Explorer e execute PATCH no ponto de extremidade.

    {
    "registrationEnforcement": {
            "authenticationMethodsRegistrationCampaign": {
                "snoozeDurationInDays": 1,
                "enforceRegistrationAfterAllowedSnoozes": true,
                "state": "enabled",
                "excludeTargets": [
                    {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "group"
                    },
                  {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "user"
                    }
                ],
                "includeTargets": [
                    {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "group",
                        "targetedAuthenticationMethod": "microsoftAuthenticator"
                    },
                    {
                        "id": "*********PLEASE ENTER GUID***********",
                        "targetType": "user",
                        "targetedAuthenticationMethod": "microsoftAuthenticator"
                    }
                ]
            }
        }
    }
    

Identificar os GUIDs dos usuários a serem inseridos nos JSONs

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Na folha Gerenciar, toque em Usuários.

  3. Na página Usuários, identifique o usuário específico que você deseja segmentar.

  4. Ao tocar no usuário específico, você verá a ID do objeto dele, que é o GUID do usuário.

    ID do objeto do usuário

Identificar os GUIDs de grupos a serem inseridos nos JSONs

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Na folha Gerenciar, toque em Grupos.

  3. Na página Grupos, identifique o grupo específico que você deseja segmentar.

  4. Toque no grupo e obtenha a ID do objeto.

    Grupo de empurrão

Limitações

O empurrão não aparecerá em dispositivos móveis que executam Android ou iOS.

Perguntas mais frequentes

A campanha de registro está disponível para o MFA Server?

Não, a campanha de registo está disponível apenas para utilizadores que utilizem a autenticação multifator Microsoft Entra.

Os usuários podem ser cutucados dentro de um aplicativo?

Sim, suportamos visualizações incorporadas do navegador em determinadas aplicações. Não incentivamos os utilizadores em experiências prontas a utilizar ou em vistas do browser incorporadas nas definições do Windows.

Os usuários podem ser cutucados em um dispositivo móvel?

A campanha de registo não está disponível em dispositivos móveis.

Quanto tempo dura a campanha?

Você pode ativar a campanha pelo tempo que quiser. Sempre que quiser terminar de executar a campanha, use o centro de administração ou as APIs para desativá-la.

Cada grupo de usuários pode ter uma duração de soneca diferente?

N.º A duração da suspensão do prompt é uma configuração de todo o locatário e se aplica a todos os grupos no escopo.

Os utilizadores podem ser incentivados a configurar o início de sessão por telemóvel sem palavra-passe?

O recurso visa capacitar os administradores a configurar os usuários com MFA usando o aplicativo Authenticator e não o login por telefone sem senha.

Um usuário que entrar com um aplicativo autenticador de 3ª parte verá o empurrão?

Sim. Se um usuário estiver habilitado para a campanha de registro e não tiver o Microsoft Authenticator configurado para notificações por push, o usuário será incentivado a configurar o Authenticator.

Um usuário que tenha o Authenticator configurado apenas para códigos TOTP verá o empurrão?

Sim. Se um usuário estiver habilitado para a campanha de registro e o aplicativo Authenticator não estiver configurado para notificações push, o usuário será incentivado a configurar a notificação por push com o Authenticator.

Se um usuário acabou de passar pelo registro de MFA, ele é empurrado na mesma sessão de login?

N.º Para fornecer uma boa experiência ao usuário, os usuários não serão incentivados a configurar o Autenticador na mesma sessão em que registraram outros métodos de autenticação.

Posso incentivar meus usuários a registrar outro método de autenticação?

N.º O recurso, por enquanto, visa incentivar os usuários a configurar apenas o aplicativo Authenticator.

Existe uma maneira de ocultar a opção de soneca e forçar meus usuários a configurar o aplicativo Authenticator?

Defina o Número limitado de adiamentos como Habilitado para que os usuários possam adiar a configuração do aplicativo até três vezes, após o que a configuração é necessária.

Poderei cutucar meus usuários se não estiver usando a autenticação multifator do Microsoft Entra?

N.º O nudge só funciona para usuários que estão fazendo MFA usando o serviço de autenticação multifator Microsoft Entra.

Os utilizadores Guest/B2B no meu inquilino serão cutucados?

Sim. Se eles foram definidos para o empurrão usando a política.

E se o utilizador fechar o navegador?

É o mesmo que dormir. Se a configuração for necessária para um usuário depois que ele dormiu três vezes, o usuário será solicitado na próxima vez que entrar.

Por que alguns usuários não veem um empurrão quando há uma política de Acesso Condicional para "Registrar informações de segurança"?

Um empurrão não aparecerá se um usuário estiver no escopo de uma política de Acesso Condicional que bloqueie o acesso à página Registrar informações de segurança.

Os usuários veem um empurrão quando há uma tela de termos de uso (ToU) apresentada ao usuário durante o login?

Um empurrão não aparecerá se um usuário receber a tela de termos de uso (ToU) durante o login.

Os usuários veem um empurrão quando os controles personalizados de Acesso Condicional são aplicáveis ao login?

Um empurrão não aparecerá se um usuário for redirecionado durante o login devido às configurações de controles personalizados do Acesso Condicional.

Existem planos para descontinuar o SMS e a Voz como métodos utilizáveis para MFA?

Não, não existem tais planos.

Próximos passos

Ativar o início de sessão sem palavra-passe com o Microsoft Authenticator