Configurar e habilitar usuários para autenticação baseada em SMS usando o Microsoft Entra ID
Para simplificar e proteger o início de sessão em aplicações e serviços, o Microsoft Entra ID fornece várias opções de autenticação. A autenticação baseada em SMS permite que os usuários entrem sem fornecer, ou mesmo saber, seu nome de usuário e senha. Depois que a conta for criada por um administrador de identidade, eles poderão inserir seu número de telefone no prompt de entrada. Eles recebem um código de autenticação por SMS que podem fornecer para concluir o login. Esse método de autenticação simplifica o acesso a aplicativos e serviços, especialmente para trabalhadores da linha de frente.
Este artigo mostra como habilitar a autenticação baseada em SMS para usuários ou grupos selecionados no Microsoft Entra ID. Para obter uma lista de aplicações que suportam a utilização do início de sessão baseado em SMS, consulte Suporte de aplicações para autenticação baseada em SMS.
Antes de começar
Para concluir este artigo, você precisa dos seguintes recursos e privilégios:
- Uma subscrição ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
- Um locatário do Microsoft Entra associado à sua assinatura.
- Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
- Você precisa de pelo menos a função de Administrador de Política de Autenticação em seu locatário do Microsoft Entra para habilitar a autenticação baseada em SMS.
- Cada usuário habilitado na política de método de autenticação por SMS deve ser licenciado, mesmo que não o use. Cada usuário habilitado deve ter uma das seguintes licenças Microsoft Entra ID, EMS, Microsoft 365:
Problemas conhecidos
Aqui estão alguns problemas conhecidos:
- Atualmente, a autenticação baseada em SMS não é compatível com a autenticação multifator do Microsoft Entra.
- Com exceção do Teams, a autenticação baseada em SMS não é compatível com aplicativos nativos do Office.
- A autenticação baseada em SMS não é suportada para contas B2B.
- Os usuários federados não serão autenticados no locatário inicial. Eles só se autenticam na nuvem.
- Se o método de início de sessão predefinido de um utilizador for uma mensagem de texto ou uma chamada para o seu número de telefone, o código SMS ou a chamada de voz é enviado automaticamente durante a autenticação multifator. A partir de junho de 2021, alguns aplicativos pedirão aos usuários que escolham Texto ou Ligar primeiro. Esta opção impede o envio de demasiados códigos de segurança para aplicações diferentes. Se o método de entrada padrão for o aplicativo Microsoft Authenticator (que recomendamos fortemente), a notificação do aplicativo será enviada automaticamente.
Habilite o método de autenticação baseado em SMS
Há três etapas principais para habilitar e usar a autenticação baseada em SMS em sua organização:
- Habilite a política de método de autenticação.
- Selecione usuários ou grupos que possam usar o método de autenticação baseado em SMS.
- Atribua um número de telefone para cada conta de usuário.
- Esse número de telefone pode ser atribuído no centro de administração do Microsoft Entra (que é mostrado neste artigo) e em Minha equipe ou Minha conta.
Primeiro, vamos habilitar a autenticação baseada em SMS para seu locatário do Microsoft Entra.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Políticas de métodos>de autenticação de proteção>.
Na lista de métodos de autenticação disponíveis, selecione SMS.
Clique em Ativar e selecione Usuários de destino. Você pode optar por habilitar a autenticação baseada em SMS para Todos os usuários ou Selecionar usuários e grupos.
Nota
Para configurar a autenticação baseada em SMS para o primeiro fator (ou seja, para permitir que os usuários entrem com esse método), marque a caixa de seleção Usar para entrar . Deixar isso desmarcado torna a autenticação baseada em SMS disponível apenas para autenticação multifator e redefinição de senha de autoatendimento.
Atribuir o método de autenticação a usuários e grupos
Com a autenticação baseada em SMS habilitada em seu locatário do Microsoft Entra, agora selecione alguns usuários ou grupos para ter permissão para usar esse método de autenticação.
- Na janela da política de autenticação por SMS, defina Destino para Selecionar usuários.
- Escolha Adicionar usuários ou grupos e selecione um usuário ou grupo de teste, como Usuário Contoso ou Usuários SMS Contoso.
- Quando tiver selecionado os seus utilizadores ou grupos, selecione Selecionar e, em seguida , Guarde a política de método de autenticação atualizada.
Cada usuário habilitado na política de método de autenticação por SMS deve ser licenciado, mesmo que não o use. Verifique se você tem as licenças apropriadas para os usuários habilitados na política de método de autenticação, especialmente quando você habilita o recurso para grandes grupos de usuários.
Definir um número de telefone para contas de utilizador
Os usuários agora estão habilitados para autenticação baseada em SMS, mas seu número de telefone deve ser associado ao perfil de usuário no Microsoft Entra ID antes de poderem entrar. O próprio usuário pode definir esse número de telefone em Minha Conta ou você pode atribuir o número de telefone usando o Centro de administração do Microsoft Entra. Os números de telefone podem ser definidos por aqueles com pelo menos a função de Administrador de Autenticação .
Quando um número de telefone é definido para entrada baseada em SMS, ele também fica disponível para uso com a autenticação multifator do Microsoft Entra e a redefinição de senha de autoatendimento.
Procure e selecione Microsoft Entra ID.
No menu de navegação no lado esquerdo da janela do Microsoft Entra, selecione Usuários.
Selecione o usuário habilitado para autenticação baseada em SMS na seção anterior, como Usuário Contoso, e selecione Métodos de autenticação.
Selecione + Adicionar método de autenticação e, em seguida, no menu suspenso Escolher método , escolha Número de telefone.
Insira o número de telefone do usuário, incluindo o código do país, como +1 xxxxxxxxx. O centro de administração do Microsoft Entra valida que o número de telefone está no formato correto.
Em seguida, no menu suspenso Tipo de telefone , selecione Celular, Celular alternativo ou Outro , conforme necessário.
O número de telefone deve ser exclusivo no seu inquilino. Se você tentar usar o mesmo número de telefone para vários usuários, uma mensagem de erro será exibida.
Para aplicar o número de telefone à conta de um usuário, selecione Adicionar.
Quando provisionado com êxito, uma marca de seleção aparece para SMS Sign-in habilitado.
Testar o início de sessão baseado em SMS
Para testar a conta de usuário que agora está habilitada para entrada baseada em SMS, conclua as seguintes etapas:
Abra uma nova janela do navegador da Web InPrivate ou Incognito para https://www.office.com
No canto superior direito, selecione Iniciar sessão.
No prompt de entrada, digite o número de telefone associado ao usuário na seção anterior e selecione Avançar.
Uma mensagem SMS é enviada para o número de telefone fornecido. Para concluir o processo de início de sessão, introduza o código de 6 dígitos fornecido na mensagem SMS no pedido de início de sessão.
O usuário agora está conectado sem a necessidade de fornecer um nome de usuário ou senha.
Resolução de problemas de início de sessão baseado em SMS
Os cenários a seguir e as etapas de solução de problemas podem ser usados se você tiver problemas com a habilitação e o uso do login baseado em SMS. Para obter uma lista de aplicações que suportam a utilização do início de sessão baseado em SMS, consulte Suporte de aplicações para autenticação baseada em SMS.
Número de telefone já definido para uma conta de utilizador
Se um usuário já se registrou para autenticação multifator do Microsoft Entra e/ou redefinição de senha de autoatendimento (SSPR), ele já tem um número de telefone associado à sua conta. Este número de telefone não está automaticamente disponível para utilização com início de sessão baseado em SMS.
Um usuário que tenha um número de telefone já definido para sua conta é exibido um botão para Ativar para entrada por SMS em sua página Meu perfil . Selecione este botão e a conta está habilitada para uso com entrada baseada em SMS e o registro anterior de autenticação multifator ou SSPR do Microsoft Entra.
Para obter mais informações sobre a experiência do usuário final, consulte Experiência do usuário de entrada por SMS para número de telefone.
Erro ao tentar definir um número de telefone na conta de um usuário
Se receber um erro quando tenta definir um número de telefone para uma conta de utilizador no centro de administração do Microsoft Entra, reveja os seguintes passos de resolução de problemas:
- Certifique-se de que está ativado para o início de sessão baseado em SMS.
- Confirme se a conta de usuário está habilitada na política de método de autenticação do SMS .
- Certifique-se de definir o número de telefone com a formatação adequada, conforme validado no centro de administração do Microsoft Entra (como +1 4251234567).
- Certifique-se de que o número de telefone não é utilizado noutro local do seu inquilino.
- Verifique se não há um número de voz definido na conta. Se um número de voz estiver definido, exclua e tente acessar o número de telefone novamente.
Próximos passos
- Para obter uma lista de aplicações que suportam a utilização do início de sessão baseado em SMS, consulte Suporte de aplicações para autenticação baseada em SMS.
- Para obter mais maneiras de entrar no Microsoft Entra ID sem uma senha, como o Microsoft Authenticator App ou as chaves de segurança FIDO2, consulte Opções de autenticação sem senha para o Microsoft Entra ID.
- Também pode utilizar a API REST do Microsoft Graph para ativar ou desativar o início de sessão baseado em SMS.