Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Para personalizar a experiência do usuário final para a autenticação multifator (MFA) do Microsoft Entra, você pode configurar opções para relatar atividades suspeitas. A tabela a seguir descreve as configurações do Microsoft Entra MFA e as subseções abordam cada configuração com mais detalhes.
Nota
Denunciar atividades suspeitas substitui os recursos herdados Bloquear/desbloquear usuários, Alerta de fraude e Notificações. Em 1º de março de 2025, as funcionalidades antigas foram removidas.
| Funcionalidade | Descrição |
|---|---|
| Comunicar atividades suspeitas | Defina configurações que permitam aos usuários relatar solicitações de verificação fraudulentas. |
| Tokens de OATH | Usado em ambientes Microsoft Entra MFA baseados em nuvem para gerenciar tokens OATH para usuários. |
| Configurações de chamadas telefônicas | Configure configurações relacionadas a chamadas telefônicas e saudações para ambientes locais e na nuvem. |
| Provedores | Isso mostrará todos os provedores de autenticação existentes que você associou à sua conta. A adição de novos provedores será desativada a partir de 1º de setembro de 2018. |
Comunicar atividades suspeitas
Quando um prompt MFA desconhecido e suspeito é recebido, os usuários podem relatar a atividade usando o Microsoft Authenticator ou através do telefone. Relatar atividades suspeitas é integrado ao Microsoft Entra ID Protection para remediação baseada em risco, relatórios e administração com o menor privilégio possível.
Os usuários que relatam um prompt de MFA como suspeito são definidos como Alto Risco do Usuário. Os administradores podem usar políticas baseadas em risco para limitar o acesso desses usuários ou habilitar a redefinição de senha de autoatendimento (SSPR) para que os usuários corrijam problemas por conta própria.
Se você não tiver uma licença P2 do Microsoft Entra ID para políticas baseadas em risco, poderá usar eventos de deteção de risco para identificar e desabilitar manualmente os usuários afetados ou configurar a automação usando fluxos de trabalho personalizados com o Microsoft Graph. Para obter mais informações sobre como investigar e remediar o risco do usuário, consulte:
Para ativar a denúncia de atividades suspeitas a partir das Configurações da política de métodos de autenticação:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue até Entra ID>métodos de autenticação>configurações.
- Defina Denunciar atividade suspeita como Ativado. O recurso permanece desativado se você escolher gerenciado pela Microsoft. Para obter mais informações sobre valores gerenciados pela Microsoft, consulte Protegendo métodos de autenticação no Microsoft Entra ID.
- Selecione Todos os usuários ou um grupo específico.
- Se você também carregar saudações personalizadas para seu locatário, selecione um código de relatório. O código de denúncia é o número que os usuários inserem em seus telefones para relatar atividades suspeitas. O código de relatório só é aplicável se as saudações personalizadas também forem carregadas por um Administrador de Política de Autenticação. Caso contrário, o código padrão é 0, independentemente de qualquer valor especificado na política.
- Clique em Salvar.
Remediação de risco para locatários com licença Microsoft Entra ID P1
Quando um utilizador reporta um prompt de MFA como suspeito, o evento aparece nos registos de entrada (como uma entrada que foi rejeitada pelo utilizador), nos registos de auditoria e no relatório de deteção de riscos.
| Relatório | Centro de Administração | Detalhes |
|---|---|---|
| Relatório de deteções de risco | Proteção de ID>Dashboard>Deteção de riscos | Tipo de deteção: Atividade suspeita relatada pelo usuário Nível de risco: Alto Fonte Utilizador final reportado |
| Registros de início de sessão | Entra ID>Monitorização e saúde>Registos de início de sessão>Detalhes de autenticação | O detalhe do resultado será exibido como MFA negado |
| Registos de auditoria | Entra ID>Monitorização e saúde>Logs de auditoria | A atividade suspeita aparece em Tipo de atividade |
Nota
Um utilizador não é considerado como Alto Risco se executar autenticação sem senha.
Você também pode consultar deteções de risco e usuários sinalizados como arriscados usando o Microsoft Graph.
| API | Detalhe |
|---|---|
| tipo de recurso riskDetection | tipoDeEventoDeRisco: userReportedSuspiciousActivity |
| Lista de usuários arriscados | riskLevel = elevado |
Para correção manual, os administradores ou o helpdesk podem solicitar aos utilizadores que redefinam as suas senhas usando a redefinição de senha de auto-serviço (SSPR) ou fazê-lo em seu nome. Para correção automatizada, use as APIs do Microsoft Graph ou o PowerShell para criar um script que altere a senha do usuário, force o SSPR, revogue sessões de entrada ou desabilite temporariamente a conta do usuário.
Remediação do risco para arrendatários com licença Microsoft Entra ID P2
Os locatários com uma licença do Microsoft Entra ID P2 podem usar políticas de Acesso Condicional baseadas em risco para corrigir automaticamente o risco do usuário, além das opções de licença do Microsoft Entra ID P2.
Configure uma política que analise o risco do usuário em Condições>Risco do usuário. Procure usuários onde o risco = alto para bloqueá-los de entrar ou exigir que eles redefinissem sua senha.
Para obter mais informações, consulte Política de acesso condicional baseada em risco de entrada.
Tokens de OATH
O Microsoft Entra ID suporta o uso de tokens OATH TOTP SHA-1 que atualizam códigos a cada 30 ou 60 segundos. Você pode comprar esses tokens do fornecedor de sua escolha.
Os tokens de hardware OATH TOTP normalmente vêm com uma chave secreta, ou semente, pré-programada no token. Você precisa inserir essas chaves no Microsoft Entra ID conforme descrito nas etapas a seguir. As chaves secretas são limitadas a 128 caracteres, o que pode não ser compatível com todos os tokens. A chave secreta pode conter apenas os caracteres a-z ou A-Z e os dígitos 1-7. Ele deve ser codificado em Base32.
Os tokens de hardware OATH TOTP programáveis que podem ser revitalizados também podem ser configurados com o Microsoft Entra ID no fluxo de configuração do token de software.
Os tokens de hardware OATH são suportados como parte de uma pré-visualização pública. Para obter mais informações sobre visualizações, consulte Termos de uso complementares para visualizações do Microsoft Azure.
Depois de adquirir tokens, você precisa carregá-los em um formato de arquivo CSV (valores separados por vírgula). Inclua o UPN, o número de série, a chave secreta, o intervalo de tempo, o fabricante e o modelo, conforme mostrado neste exemplo:
upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey
Nota
Certifique-se de incluir a linha de cabeçalho no arquivo CSV.
- Entre no centro de administração do Microsoft Entra como Administrador Global.
- Vá para Entra ID>Autenticação multifator>OATH tokens, e carregue o ficheiro CSV.
Dependendo do tamanho do arquivo CSV, o processo pode levar alguns minutos. Selecione Atualizar para obter o status. Se houver erros no arquivo, você pode baixar um arquivo CSV que os lista. Os nomes dos campos no arquivo CSV baixado são diferentes daqueles na versão carregada.
Depois que quaisquer erros forem resolvidos, o administrador pode ativar cada chave selecionando Ativar para o token e inserindo a OTP exibida no token.
Os usuários podem ter uma combinação de até cinco tokens de hardware OATH ou aplicativos autenticadores, como o aplicativo Microsoft Authenticator, configurado para uso a qualquer momento.
Importante
Certifique-se de atribuir apenas cada token a um único usuário. No futuro, o suporte para a atribuição de um único token a vários usuários será interrompido para evitar um risco de segurança.
Configurações de chamadas de telefone
Se os usuários receberem chamadas telefônicas para solicitações de MFA, você poderá configurar sua experiência, como a identificação do chamador ou a saudação de voz que eles ouvem.
Nos Estados Unidos, se você não configurou a ID de chamada MFA, as chamadas de voz da Microsoft vêm dos seguintes números. Os utilizadores com filtros de spam devem excluir estes números.
Números padrão: +1 (855) 330-8653, +1 (855) 336-2194, +1 (855) 341-5605
A tabela a seguir lista mais números para diferentes países/regiões.
| País/Região | Número(s) |
|---|---|
| Áustria | +43 6703062076 |
| Bangladeche | +880 9604606026 |
| China | +44 1235619418, +44 1235619536, +44 1235619537, +44 1235619538, +44 1235619539, +44 1235619535, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930, +86 1052026902, +86 1052026905, +86 1052026907 |
| Croácia | +385 15507766 |
| Equador | +593 964256042 |
| Estónia | +372 6712726 |
| França | +33 744081468 |
| Gana | +233 308250245 |
| Grécia | +30 2119902739 |
| Guatemala | +502 23055056 |
| R.A.E. de Hong Kong | +852 25716964 |
| Índia | +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600 |
| Jordânia | +962 797639442 |
| Quénia | +254 709605276 |
| Países Baixos | +31 202490048 |
| Nigéria | +234 7080627886 |
| Paquistão | +92 4232618686, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930 |
| Polónia | +48 699740036 |
| Arábia Saudita | +966 115122726 |
| África do Sul | +27 872405062 |
| Espanha | +34 913305144 |
| Sri Lanca | +94 117750440 |
| Suécia | +46 701924176 |
| Taiwan | +886 277515260, +886 255686508 |
| Türkiye | +90 8505404893 |
| Ucrânia | +380 443332393 |
| Emirados Árabes Unidos | +971 44015046 |
| Vietname | +84 2039990161 |
Nota
Quando as chamadas de autenticação multifator do Microsoft Entra são feitas através da rede telefónica pública, por vezes as chamadas são encaminhadas através de uma operadora que não suporta o ID do chamador. Por isso, a identificação do chamador não é garantida, embora a autenticação multifator do Entra da Microsoft a envie sempre. Isso se aplica tanto a chamadas telefônicas quanto a mensagens de texto fornecidas pela autenticação multifator do Microsoft Entra. Se você precisar validar que uma mensagem de texto é da autenticação multifator do Microsoft Entra, consulte Quais códigos curtos são usados para enviar mensagens?.
Para configurar seu próprio número de identificação de chamada, conclua as seguintes etapas:
- Vá para Entra ID>Autenticação multifator>Definições de chamada telefónica.
- Defina o número de identificação do chamador MFA para o número que você deseja que os usuários vejam em seus telefones. Apenas números baseados nos EUA são permitidos.
- Selecione Salvar.
Nota
Quando as chamadas de autenticação multifator do Microsoft Entra são feitas através da rede telefónica pública, por vezes as chamadas são encaminhadas através de uma operadora que não suporta o ID do chamador. Por isso, a identificação do chamador não é garantida, embora a autenticação multifator do Entra da Microsoft a envie sempre. Isso se aplica tanto a chamadas telefônicas quanto a mensagens de texto fornecidas pela autenticação multifator do Microsoft Entra. Se você precisar validar que uma mensagem de texto é da autenticação multifator do Microsoft Entra, consulte Quais códigos curtos são usados para enviar mensagens?.
Mensagens de voz personalizadas
Você pode usar suas próprias gravações ou saudações para autenticação multifator do Microsoft Entra. Essas mensagens podem ser usadas além das gravações padrão da Microsoft ou para substituí-las.
Antes de começar, esteja ciente das seguintes restrições:
- Os formatos de ficheiro suportados são .wav e .mp3.
- O limite de tamanho do ficheiro é de 1 MB.
- As mensagens de autenticação devem ter menos de 20 segundos. Mensagens com mais de 20 segundos podem fazer com que a verificação falhe. Se o usuário não responder antes que a mensagem termine, a verificação expirará.
Comportamento personalizado do idioma da mensagem
Quando uma mensagem de voz personalizada é reproduzida para o usuário, o idioma da mensagem depende dos seguintes fatores:
- O idioma do usuário.
- O idioma detetado pelo navegador do usuário.
- Outros cenários de autenticação podem se comportar de forma diferente.
- O idioma de todas as mensagens personalizadas disponíveis.
- Este idioma é escolhido pelo administrador quando uma mensagem personalizada é adicionada.
Por exemplo, se houver apenas uma mensagem personalizada e ela estiver em alemão:
- Um usuário autenticado no idioma alemão ouvirá a mensagem personalizada em alemão.
- Um usuário que se autenticar em inglês ouvirá a mensagem padrão em inglês.
Padrões de mensagens de voz personalizadas
Você pode usar os seguintes scripts de exemplo para criar suas próprias mensagens personalizadas. Essas frases são usadas por padrão se você não configurar suas próprias mensagens personalizadas.
| Nome da mensagem | Guião |
|---|---|
| Autenticação bem-sucedida | O seu início de sessão foi bem-sucedido. |
| Mensagem de extensão | Esta é a Microsoft. Se estiver a tentar iniciar sessão, prima a tecla # para continuar. |
| Confirmação de fraude | Se não foi você tentando entrar, proteja sua conta notificando sua equipe de TI pressionando 1. |
| Saudação fraudulenta | Esta é a Microsoft. Se estiver a tentar iniciar sessão, prima a tecla # para concluir o início de sessão. Se não estiver a tentar iniciar sessão, prima 0 e #. |
| Fraudes comunicadas | Nós notificamos sua equipe de TI, nenhuma ação adicional é necessária. Para obter ajuda, entre em contato com a equipe de TI da sua empresa. Adeus;. |
| Ativação | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla # para concluir sua verificação. |
| Autenticação negada nova tentativa | Lamentamos, mas não podemos iniciar sessão neste momento. Tente novamente mais tarde. |
| Repetir (padrão) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla # para concluir sua verificação. |
| Saudação (padrão) | Esta é a Microsoft. Se estiver a tentar iniciar sessão, prima a tecla # para concluir o início de sessão. |
| Saudação (PIN) | Esta é a Microsoft. Se estiver a tentar iniciar sessão, introduza o PIN para concluir o início de sessão. |
| Notificação de Fraude (PIN) | Esta é a Microsoft. Se estiver a tentar iniciar sessão, introduza o PIN para concluir o início de sessão. Se não estiver a tentar iniciar sessão, prima 0 e #. |
| Repetir (PIN) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Introduza o seu PIN seguido da tecla # para concluir a sua verificação. |
| Sugestão de extensão após os dígitos | Se já estiver nesta extensão, pressione a tecla # para continuar. |
| Autenticação negada | Lamentamos, mas não podemos iniciar sessão neste momento. Tente novamente mais tarde. |
| Saudação de ativação (padrão) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla # para concluir sua verificação. |
| Repetição de ativação (padrão) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla # para concluir sua verificação. |
| Saudação de ativação (mensagem PIN) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Introduza o seu PIN seguido da tecla # para concluir a sua verificação. |
| Indicação de extensão antes dos dígitos | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, transfira esta chamada para a extensão {0}. |
Configurar uma mensagem personalizada
Para usar suas próprias mensagens personalizadas, conclua as seguintes etapas:
- Vá para Entra ID>Autenticação multifator>Definições de chamada telefónica.
- Selecione Adicionar saudação.
- Escolha o Tipo de saudação, como Saudação (padrão) ou Autenticação bem-sucedida.
- Selecione o idioma. Consulte a seção anterior sobre o comportamento do idioma da mensagem personalizada.
- Procure e selecione um arquivo de som .mp3 ou .wav para carregar.
- Selecione Adicionar e, em seguida, Guardar.
Configurações do serviço MFA
Configurações para senhas de aplicativos, IPs confiáveis, opções de verificação e lembrar a autenticação multifator em dispositivos confiáveis estão disponíveis nas configurações do serviço. Este é um portal legado.
Pode aceder às definições do serviço a partir do centro de administração do Microsoft Entra indo para Entra ID>Autenticação multifator>Introdução>Configuração>definições adicionais de MFA baseadas na nuvem. Uma janela ou guia é aberta com opções adicionais de configurações de serviço.
IPs Fidedignos
As condições de localização são a maneira recomendada de configurar o MFA com Acesso Condicional devido ao suporte a IPv6 e outras melhorias. Para obter mais informações sobre as condições de localização, consulte Usando a condição de local em uma política de Acesso Condicional. Para conhecer as etapas para definir locais e criar uma política de Acesso Condicional, consulte Acesso condicional: bloquear o acesso por local.
O recurso de IPs confiáveis da autenticação multi-fator do Microsoft Entra também evita os prompts de MFA para os utilizadores que iniciem sessão a partir de um intervalo de endereços IP definido. Você pode definir intervalos de IP confiáveis para seus ambientes locais. Quando os utilizadores estão numa destas localizações, não há solicitação de Autenticação Multifator do Microsoft Entra. A funcionalidade IPs confiáveis requer a edição Microsoft Entra ID P1.
Nota
Os IPs confiáveis podem incluir intervalos de IP privados somente quando você usa o Servidor MFA. Para autenticação multifator do Microsoft Entra baseada em nuvem, você pode usar apenas intervalos de endereços IP públicos.
Os intervalos IPv6 são suportados em locais nomeados.
Se sua organização usa a extensão NPS para fornecer MFA a aplicativos locais, o endereço IP de origem sempre parecerá ser o servidor NPS pelo qual a tentativa de autenticação flui.
| Tipo de inquilino do Microsoft Entra | Opções de funcionalidades de IP confiável |
|---|---|
| Gerido | Intervalo específico de endereços IP: os administradores especificam um intervalo de endereços IP que pode ignorar autenticações multifator para usuários que entram na intranet da empresa. Um máximo de 50 intervalos de IP confiáveis podem ser configurados. |
| Federado |
Todos os usuários federados: todos os usuários federados que entram de dentro da organização podem ignorar as autenticações multifator. Os usuários ignoram as verificações usando uma declaração emitida pelos Serviços de Federação do Ative Directory (AD FS). Intervalo específico de endereços IP: os administradores especificam um intervalo de endereços IP que pode ignorar a autenticação multifator para usuários que entram na intranet da empresa. |
O bypass de IP confiável funciona apenas de dentro da intranet da empresa. Se você selecionar a opção Todos os usuários federados e um usuário entrar de fora da intranet da empresa, o usuário terá que autenticar usando a autenticação multifator. O processo é o mesmo, mesmo que o usuário apresente uma declaração do AD FS.
Nota
Se as políticas de MFA por usuário e de Acesso Condicional estiverem configuradas no locatário, você precisará adicionar IPs confiáveis à política de Acesso Condicional e atualizar as configurações do serviço de MFA.
Experiência do usuário dentro da rede corporativa
Quando o recurso IPs confiáveis está desativado, a autenticação multifatorial é necessária para os fluxos do navegador. As senhas de aplicativos são necessárias para aplicativos rich-client mais antigos.
Quando IPs confiáveis são usados, a autenticação multifator não é necessária para os fluxos do navegador. As senhas de aplicativo não são necessárias para aplicativos rich client mais antigos se o usuário não tiver criado uma senha de aplicativo. Depois que uma senha de aplicativo estiver em uso, a senha será necessária.
Experiência do usuário fora da rede corporativa
Independentemente de IPs confiáveis estarem definidos, a autenticação multifator é necessária para os fluxos do navegador. As senhas de aplicativos são necessárias para aplicativos rich-client mais antigos.
Habilitar locais nomeados usando o Acesso Condicional
Você pode usar regras de Acesso Condicional para definir locais nomeados usando as seguintes etapas:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
- Navegue até Entra ID>Acesso Condicional>Locais nomeados.
- Selecione Novo local.
- Introduza um nome para a localização.
- Selecione Marcar como local confiável.
- Insira o intervalo de IP para seu ambiente na notação CIDR. Por exemplo, 40.77.182.32/27.
- Selecione Criar.
Ativar a funcionalidade de IPs confiáveis usando o Acesso Condicional
Para habilitar IPs confiáveis usando políticas de Acesso Condicional, conclua as seguintes etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
Navegue até Entra ID>Acesso Condicional>Locais nomeados.
Selecione Configurar IPs de confiança para autenticação multifator.
Na página Configurações do Serviço , em IPs confiáveis, escolha uma destas opções:
Para solicitações de usuários federados originados da minha intranet: para escolher essa opção, marque a caixa de seleção. Todos os usuários federados que entram na rede corporativa ignoram as autenticações multifator usando uma declaração emitida pelo AD FS. Verifique se o AD FS tem uma regra para adicionar a reivindicação da intranet ao tráfego apropriado. Se a regra não existir, crie a seguinte regra no AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);Nota
A opção Ignorar autenticação multifator para solicitações de usuários federados na minha intranet afetará a avaliação de Acesso Condicional para locais. Qualquer solicitação com a declaração insidecorporatenetwork será tratada como proveniente de um local confiável se essa opção for selecionada.
Para solicitações de um intervalo específico de IPs públicos: Para escolher essa opção, digite os endereços IP na caixa de texto, na notação CIDR.
- Para endereços IP que estão no intervalo xxx.xxx.xxx.1 a xxx.xxx.xxx.254, use notação como xxx.xxx.xxx.0/24.
- Para um único endereço IP, use notação como xxx.xxx.xxx.xxx/32.
- Insira até 50 intervalos de endereços IP. Os utilizadores que iniciam sessão a partir destes endereços IP ignoram as autenticações multifator.
Selecione Salvar.
Ative a função de IPs confiáveis através das definições do serviço
Se não quiser usar políticas de Acesso Condicional para habilitar IPs confiáveis, você pode definir as configurações de serviço para autenticação multifator do Microsoft Entra usando as seguintes etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Entra ID>Multifactor authentication>Configurações adicionais de MFA baseadas em nuvem.
Na página Configurações do serviço , em IPs confiáveis, escolha uma ou ambas as seguintes opções:
Para solicitações de usuários federados na minha intranet: para escolher essa opção, marque a caixa de seleção. Todos os usuários federados que entram na rede corporativa ignoram a autenticação multifator usando uma declaração emitida pelo AD FS. Verifique se o AD FS tem uma regra para adicionar a reivindicação da intranet ao tráfego apropriado. Se a regra não existir, crie a seguinte regra no AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);Para solicitações de um intervalo especificado de sub-redes de endereços IP: Para escolher essa opção, digite os endereços IP na caixa de texto, em notação CIDR.
- Para endereços IP que estão no intervalo xxx.xxx.xxx.1 a xxx.xxx.xxx.254, use notação como xxx.xxx.xxx.0/24.
- Para um único endereço IP, use notação como xxx.xxx.xxx.xxx/32.
- Insira até 50 intervalos de endereços IP. Os utilizadores que iniciam sessão a partir destes endereços IP ignoram as autenticações multifator.
Selecione Salvar.
Métodos de verificação
Você pode escolher os métodos de verificação disponíveis para seus usuários no portal de configurações de serviço. Quando seus usuários registram suas contas para autenticação multifator do Microsoft Entra, eles escolhem seu método de verificação preferido entre as opções que você habilitou. A orientação para o processo de inscrição do usuário é fornecida em Configurar minha conta para autenticação multifator.
Importante
Em março de 2023, anunciamos a descontinuação do gerenciamento de métodos de autenticação nas políticas herdadas de autenticação multifator e redefinição de senha de autoatendimento (SSPR). A partir de 30 de setembro de 2025, os métodos de autenticação não poderão ser gerenciados nessas políticas herdadas de MFA e SSPR. Recomendamos que os clientes usem a ferramenta de controle de migração manual para migrar para a política de métodos de autenticação até a data de descontinuação. Para obter ajuda com o controle de migração, consulte Como migrar as configurações de diretiva MFA e SSPR para a política de métodos de autenticação para Microsoft Entra ID.
Estão disponíveis os seguintes métodos de verificação:
| Método | Descrição |
|---|---|
| Ligar para o telefone | Faz uma chamada de voz automatizada. O usuário atende a chamada e pressiona # no telefone para autenticar. O número de telefone não está sincronizado com o Ative Directory local. |
| Mensagem de texto para um telefone | Envia uma mensagem de texto que contém um código de verificação. O usuário é solicitado a inserir o código de verificação na interface de entrada. Esse processo é chamado de SMS unidirecional. SMS bidirecional significa que o utilizador deve enviar de volta por mensagem de texto um código específico. O SMS bidirecional foi preterido e não é suportado após 14 de novembro de 2018. Os administradores devem habilitar outro método para usuários que anteriormente usavam SMS bidirecional. |
| Notificação através da aplicação móvel | Envia uma notificação por push para o telefone ou dispositivo registrado do usuário. O usuário visualiza a notificação e seleciona Verificar para concluir a verificação. O aplicativo Microsoft Authenticator está disponível para Windows Phone, Android e iOS. |
| Código de verificação da aplicação para dispositivos móveis ou token de hardware | O aplicativo Microsoft Authenticator gera um novo código de verificação OATH a cada 30 segundos. O utilizador introduz o código de verificação na interface de início de sessão. O aplicativo Microsoft Authenticator está disponível para Windows Phone, Android e iOS. |
Para obter mais informações, consulte Quais métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?.
Ativar e desativar métodos de verificação
Para habilitar ou desabilitar os métodos de verificação, conclua as seguintes etapas:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue até Entra ID>Usuários.
- Selecione MFA por usuário.
- Em Autenticação multifator , na parte superior da página, selecione Configurações de serviço.
- Na página Configurações do serviço , em Opções de verificação, marque ou desmarque as caixas de seleção apropriadas.
- Selecione Salvar.
Lembre-se da autenticação multifactor
O recurso de lembrar a autenticação multifator permite que os utilizadores ignorem as verificações subsequentes por um número especificado de dias, depois de se autenticarem com sucesso num dispositivo usando a autenticação multifator. Para melhorar a usabilidade e minimizar o número de vezes que um usuário tem que executar MFA em um determinado dispositivo, selecione uma duração de 90 dias ou menos.
Importante
Se uma conta ou dispositivo estiver comprometido, lembrar a MFA para dispositivos confiáveis pode afetar a segurança. Se uma conta corporativa for comprometida ou um dispositivo confiável for perdido ou roubado, você deve revogar as sessões de MFA.
A ação de revogação revoga o estado de confiança de todos os dispositivos, e o usuário deve realizar a autenticação multifator novamente. Você também pode instruir seus usuários a restaurar o status de MFA original em seus próprios dispositivos, conforme observado em Gerenciar suas configurações para autenticação multifator.
Como funciona a característica
O recurso lembrar autenticação multifator define um cookie persistente no navegador quando um utilizador seleciona a opção Não pedir novamente por X dias no login. O usuário não será solicitado novamente para MFA a partir desse navegador até que o cookie expire. Se o utilizador abrir um navegador diferente no mesmo dispositivo ou limpar os cookies, ser-lhe-á pedido novamente que verifique.
A opção Não pedir novamente X dias não é exibida em aplicações que não sejam navegadores, independentemente de a aplicação suportar autenticação moderna. Esses aplicativos usam tokens de atualização que fornecem novos tokens de acesso a cada hora. Quando um token de atualização é validado, o ID do Microsoft Entra verifica se a última autenticação multifator ocorreu dentro do número de dias especificado.
O recurso reduz o número de autenticações em aplicativos Web, que normalmente são solicitadas sempre. O recurso pode aumentar o número de autenticações para clientes de autenticação moderna que normalmente solicitam a cada 180 dias, se uma duração menor for configurada. Também pode aumentar o número de autenticações quando combinado com políticas de Acesso Condicional.
Importante
O recurso lembrar da autenticação multifator não é compatível com o recurso manter-me conectado no AD FS quando os usuários realizam autenticação multifator para o AD FS por meio do MFA Server ou de uma solução de autenticação multifator de terceiros.
Se os usuários selecionarem manter-me conectado no AD FS e também marcarem o dispositivo como confiável para MFA, o usuário não será verificado automaticamente depois que o número de dias de autenticação multifator de memória expirar. O Microsoft Entra ID solicita uma nova autenticação multifator, mas o AD FS retorna um token com a declaração MFA original e a data, em vez de executar a autenticação multifator novamente. Essa reação desencadeia um loop de verificação entre o Microsoft Entra ID e o AD FS.
O recurso lembrar autenticação multifator não é compatível com utilizadores B2B e não será visível para os utilizadores B2B quando acederem aos locatários convidados.
A funcionalidade lembrar autenticação multifator não é compatível com o controlo de acesso condicional de frequência de início de sessão. Para obter mais informações, consulte Configurar o gerenciamento de sessão de autenticação com acesso condicional.
Ativar lembrar autenticação multifator
Para ativar e configurar a opção para permitir que os utilizadores se lembrem do seu estado MFA e ignorem os prompts, conclua as seguintes etapas:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue até Entra ID>Usuários.
- Selecione MFA por usuário.
- Em Autenticação multifator , na parte superior da página, selecione as configurações do serviço.
- Na página de configurações de serviço , em lembrar autenticação multifator, selecione Permitir que os usuários se lembrem da autenticação multifator em dispositivos em que confiam.
- Defina o número de dias para permitir que dispositivos confiáveis ignorem as autenticações multifator. Para uma experiência de usuário ideal, estenda a duração para 90 ou mais dias.
- Selecione Salvar.
Marcar um dispositivo como confiável
Depois de ativar o recurso de autenticação multifator de memória , os usuários podem marcar um dispositivo como confiável quando entrarem selecionando Não perguntar novamente.
Próximos passos
Para saber mais, consulte Que métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?