Partilhar via


Autenticação multifator para o Microsoft 365

As palavras-passe são o método mais comum de autenticar um início de sessão num computador ou serviço online, mas também são as mais vulneráveis. Pessoas pode escolher palavras-passe fáceis e utilizar as mesmas palavras-passe para vários inícios de sessão em diferentes computadores e serviços.

Para fornecer um nível adicional de segurança para inícios de sessão, tem de utilizar a autenticação multifator (MFA), que utiliza uma palavra-passe, que deve ser forte, e um método de verificação adicional baseado em:

  • Algo que tem consigo que não é facilmente duplicado, como um smartphone.
  • Algo que tenha de forma exclusiva e biológica, como as suas impressões digitais, rosto ou outro atributo biométrico.

O método de verificação adicional só é utilizado após a verificação da palavra-passe do utilizador. Com a MFA, mesmo que uma palavra-passe de utilizador segura seja comprometida, o atacante não tem o seu smartphone ou a sua impressão digital para concluir o início de sessão.

Suporte da MFA no Microsoft 365

Por predefinição, o Microsoft 365 e o Office 365 suportam a MFA para contas de utilizador com:

  • Uma mensagem sms enviada para um telemóvel que requer que o utilizador escreva um código de verificação.
  • Um telefonema.
  • A aplicação de smartphone Microsoft Authenticator.

Em ambos os casos, o início de sessão da MFA está a utilizar o método "algo que tem consigo que não é facilmente duplicado" para a verificação adicional. Existem várias formas de ativar a MFA para o Microsoft 365 e Office 365:

  • Com predefinições de segurança
  • Com políticas de Acesso Condicional
  • Para cada conta de utilizador individual (não recomendado)

Estas formas baseiam-se no seu plano do Microsoft 365.

Plano Recomendação Tipo de cliente
Todos os planos do Microsoft 365 Utilize predefinições de segurança, que requerem MFA para todas as contas de utilizador.

Também pode configurar a MFA por utilizador em contas de utilizador individuais, mas tal não é recomendado.

Pequenas empresas
Microsoft 365 Empresas Premium

Microsoft 365 E3

licenças do Microsoft Entra ID P1

Utilize predefinições de segurança ou políticas de Acesso Condicional para exigir a MFA para contas de utilizador com base na associação a grupos, aplicações ou outros critérios. Pequenas empresas para empresas
Microsoft 365 E5

licenças do ID P2 do Microsoft Entra

Utilize Microsoft Entra ID Protection para exigir a MFA com base nos critérios de risco de início de sessão. Enterprise

Predefinições de segurança

As predefinições de segurança são uma nova funcionalidade para o Microsoft 365 e Office 365 subscrições pagas ou de avaliação criadas após 21 de outubro de 2019. Estas subscrições têm predefinições de segurança ativadas, que:

  • Requer que todos os seus utilizadores utilizem a MFA com a aplicação Microsoft Authenticator.
  • Bloqueia a autenticação legada.

Os utilizadores têm 14 dias para se registarem na MFA com a aplicação Microsoft Authenticator a partir dos seus smartphones, que começa a partir da primeira vez que iniciam sessão após a ativação das predefinições de segurança. Após 14 dias, o utilizador não poderá iniciar sessão até que o registo MFA esteja concluído.

As predefinições de segurança garantem que todas as organizações têm um nível básico de segurança para o início de sessão do utilizador que está ativado por predefinição. Pode desativar as predefinições de segurança a favor da MFA com políticas de Acesso Condicional.

Pode ativar ou desativar as predefinições de segurança no painel Propriedades para Microsoft Entra ID no portal do Azure.

Imagem da página de propriedades do Diretório.

Pode utilizar as predefinições de segurança com qualquer plano do Microsoft 365.

Para obter mais informações, veja esta descrição geral das predefinições de segurança.

Políticas de Acesso Condicional

As políticas de Acesso Condicional são um conjunto de regras que especificam as condições nas quais os inícios de sessão são avaliados e permitidos. Por exemplo, pode criar uma política de Acesso Condicional que indique:

  • Se o nome da conta de utilizador for membro de um grupo para utilizadores a quem são atribuídas as funções exchange, utilizador, palavra-passe, segurança, SharePoint ou administrador global, necessite de MFA antes de permitir o acesso.

Esta política permite-lhe exigir a MFA com base na associação a grupos, em vez de tentar configurar contas de utilizador individuais para a MFA quando são atribuídas ou não atribuídas a partir destas funções de administrador.

Também pode utilizar políticas de Acesso Condicional para capacidades mais avançadas, como exigir a MFA para aplicações específicas ou que o início de sessão seja feito a partir de um dispositivo compatível, como o portátil com Windows 10.

Pode configurar políticas de Acesso Condicional a partir do painel Segurança para Microsoft Entra ID no portal do Azure.

Imagem da opção de menu para Acesso Condicional.

Pode utilizar políticas de Acesso Condicional com:

  • Microsoft 365 Empresas Premium
  • Microsoft 365 E3 e E5
  • Microsoft Entra licenças P1 e ID de Microsoft Entra P2

Para pequenas empresas com Microsoft 365 Empresas Premium, pode utilizar facilmente políticas de Acesso Condicional com os seguintes passos:

  1. Crie um grupo para conter as contas de utilizador que necessitam da MFA.
  2. Ative a política Exigir MFA para administradores globais .
  3. Crie uma política de Acesso Condicional baseada em grupo com estas definições:
    • Atribuições > Utilizadores e grupos: o nome do seu grupo no Passo 1 acima.
    • Atribuições > aplicações ou ações na cloud: todas as aplicações na cloud.
    • Controlos de > acesso Conceder > acesso > Exigir autenticação multifator.
  4. Ative a política.
  5. Adicione uma conta de utilizador ao grupo criado no Passo 1 acima e teste.
  6. Para exigir a MFA para contas de utilizador adicionais, adicione-as ao grupo criado no Passo 1.

Esta política de Acesso Condicional permite-lhe implementar o requisito de MFA para os seus utilizadores ao seu próprio ritmo.

As empresas devem utilizar políticas de Acesso Condicional Comuns para configurar as seguintes políticas:

Para obter mais informações, veja esta descrição geral do Acesso Condicional.

Microsoft Entra ID Protection

Com Microsoft Entra ID Protection, pode criar uma política de Acesso Condicional adicional para exigir a MFA quando o risco de início de sessão é médio ou elevado.

Pode utilizar Microsoft Entra ID Protection e políticas de Acesso Condicional baseadas em riscos com:

  • Microsoft 365 E5
  • licenças do ID P2 do Microsoft Entra

Para obter mais informações, veja esta descrição geral do Microsoft Entra ID Protection.

Deve utilizar as predefinições de segurança ou as políticas de Acesso Condicional para exigir a MFA para os inícios de sessão da conta de utilizador. No entanto, se uma destas opções não puder ser utilizada, a Microsoft recomenda vivamente a MFA para contas de utilizador que tenham funções de administrador, especialmente a função de administrador global, para qualquer subscrição de tamanho.

Ativa a MFA para contas de utilizador individuais a partir do painel Utilizadores ativos do centro de administração do Microsoft 365.

Imagem da opção Autenticação multifator na página Utilizadores ativos.

Depois de ativado, da próxima vez que o utilizador iniciar sessão, ser-lhe-á pedido para se registar na MFA e para escolher e testar o método de verificação adicional.

Utilizar estes métodos em conjunto

Esta tabela mostra os resultados da ativação da MFA com predefinições de segurança, políticas de Acesso Condicional e definições de conta por utilizador.

Item Ativado Desativado Método de autenticação secundário
Predefinições de segurança Não é possível utilizar políticas de Acesso Condicional Pode utilizar políticas de Acesso Condicional Aplicação Microsoft Authenticator
Políticas de Acesso Condicional Se alguma estiver ativada, não pode ativar as predefinições de segurança Se todos estiverem desativados, pode ativar as predefinições de segurança Especificado pelo utilizador durante o registo da MFA
MFA legada por utilizador (não recomendado) Substitui as predefinições de segurança e as políticas de Acesso Condicional que requerem MFA em cada início de sessão Substituído por predefinições de segurança e políticas de Acesso Condicional Especificado pelo utilizador durante o registo da MFA

Se as predefinições de segurança estiverem ativadas, é pedido a todos os novos utilizadores o registo MFA e a utilização da aplicação Microsoft Authenticator no próximo início de sessão.

Formas de gerir as definições da MFA

Existem duas formas de gerir as definições da MFA.

Na portal do Azure, pode:

  • Ativar e desativar as predefinições de segurança
  • Configurar políticas de Acesso Condicional

No centro de administração do Microsoft 365, pode configurar as definições de MFA por utilizador e serviço.

Passos seguintes

Configurar a MFA para o Microsoft 365

Ativar a autenticação multifator (vídeo)
Ativar a autenticação multifator para o telemóvel (vídeo)