Descrição da autenticação multifator

  • 5 minutos

A autenticação multifatorial é um processo em que os utilizadores são solicitados durante o processo de início de sessão para fornecer outra forma de identificação. Se usar apenas uma palavra-passe para autenticar um utilizador, fica um vetor inseguro para ataques. Se a palavra-passe for fraca ou exposta noutro local, um atacante pode estar a usá-la para obter acesso. Quando necessita de uma segunda forma de autenticação, a segurança aumenta porque este fator adicional não é algo fácil de obter ou duplicar para um atacante.

A autenticação multifator Microsoft Entra funciona exigindo dois ou mais dos seguintes métodos de autenticação:

  • Algo que saibas — normalmente uma palavra-passe ou PIN e
  • Algo que tenhas — como um dispositivo de confiança que não seja facilmente duplicado, como um telemóvel ou uma chave de hardware ou
  • Algo que tu és—biometria como uma impressão digital ou uma varredura facial.

As solicitações de verificação de autenticação multifator são parte do evento de início de sessão Microsoft Entra. O Microsoft Entra ID solicita e processa automaticamente a autenticação multifator, sem que você faça alterações em seus aplicativos ou serviços. Quando um utilizador inicia sessão, recebe uma solicitação de autenticação multifator e pode escolher uma das outras formas de verificação que registou. Um administrador pode exigir determinados métodos de verificação ou o usuário pode acessar sua MyAccount para editar ou adicionar métodos de verificação.

Métodos de verificação disponíveis

As seguintes formas de verificação podem ser usadas com a autenticação multifator Microsoft Entra:

  • Microsoft Authenticator
  • Autenticador Lite (no Outlook)
  • Windows Hello para empresas
  • Chave de acesso (FIDO2)
  • Passkey no Microsoft Authenticator
  • Autenticação baseada em certificado (quando configurada para autenticação multifator)
  • Métodos de autenticação externos
  • Passe de Acesso Temporário (TAP)
  • Token de hardware de OATH
  • Token de software OATH
  • Serviço de mensagens curtas (SMS)
  • Chamada de voz

Captura de ecrã que mostra formas de verificar a sua identidade durante o início de sessão.

Predefinições de segurança e autenticação multifator

Os padrões de segurança são um conjunto de mecanismos básicos de segurança de identidade recomendados pela Microsoft. Quando habilitadas, essas recomendações são aplicadas automaticamente em sua organização. O objetivo é garantir que todas as organizações tenham um nível básico de segurança habilitado sem custo extra.

Com base nas aprendizagens da Microsoft, mais de 99,9% dos ataques comuns relacionados com identidade são travados através da autenticação multifator e do bloqueio da autenticação legada. Os padrões de segurança incluem:

  • Exigindo que todos os utilizadores se registem para a autenticação multifator Microsoft Entra.
  • Exigir que os administradores façam autenticação multifator.
  • Exigir que todos os usuários concluam a autenticação multifator quando necessário.
  • Bloqueio de protocolos de autenticação herdados.
  • Proteger atividades privilegiadas, como o acesso ao portal do Azure.

Os padrões de segurança são uma excelente opção para organizações que querem melhorar a sua postura de segurança mas não sabem por onde começar, ou para organizações que utilizam o nível gratuito de licenciamento Microsoft Entra ID. Os padrões de segurança são ativados por padrão em novos clientes.

Quando os utilizadores iniciam sessão e são solicitados a realizar autenticação multifator sob os padrões de segurança, veem um ecrã que lhes fornece um número para introduzir na aplicação Microsoft Authenticator. Esta medida de correspondência de números ajuda a evitar que os utilizadores caiam em ataques de fadiga MFA.

Acesso Condicional e autenticação multifator

Para organizações com requisitos de segurança mais complexos, as políticas de Acesso Condicional do Microsoft Entra proporcionam um controlo mais granular. O Acesso Condicional permite aos administradores definir políticas que exigem MFA com base em condições específicas, como localização do utilizador, estado do dispositivo, nível de risco ou sensibilidade da aplicação acedida. Por exemplo, uma política pode permitir login regular quando o utilizador está numa rede corporativa, mas exigir verificação extra quando o utilizador está remoto, ou num dispositivo pessoal. O Acesso Condicional requer licenças Microsoft Entra ID P1 ou P2.

Observação

O Acesso Condicional, incluindo forças de autenticação e proteção dos serviços de IA com MFA, é abordado com mais detalhe no módulo, Descreva as capacidades de gestão de acesso do Microsoft Entra.