Editar

Compartilhar via

Gerenciar métodos de autenticação de usuário para autenticação multifator do Microsoft Entra

  • Como fazer

Os usuários no Microsoft Entra ID têm dois conjuntos distintos de informações de contato:

  • Informações de contato do perfil público, que são gerenciadas no perfil do usuário e visíveis para os membros da sua organização. Para os usuários sincronizados do Active Directory local, essas informações são gerenciadas no Windows Server Active Directory Domain Services local.
  • Os métodos de autenticação, que são sempre mantidos privados e são usados somente para autenticação, incluindo a autenticação multifator. Os administradores podem gerenciar esses métodos na folha do método de autenticação de um usuário e os usuários podem gerenciar seus métodos na página de informações de segurança de myaccount.

Ao gerenciar os métodos de autenticação multifator do Microsoft Entra para seus usuários, os administradores de autenticação podem:

  • Adicione métodos de autenticação para um usuário específico, incluindo números de telefone usados para MFA.
  • Redefina a senha de um usuário.
  • Exigir que um usuário registre novamente para MFA.
  • Revogar sessões de MFA existentes.
  • Excluir as senhas de aplicativo existentes de um usuário

Observação

As capturas de tela neste tópico mostram como gerenciar métodos de autenticação de usuário usando uma experiência atualizada no centro de administração do Microsoft Entra. Há também uma experiência herdada e os administradores podem alternar entre os dois usando uma faixa no centro de administração. A experiência moderna tem paridade total com a experiência herdada e gerencia métodos modernos, como Senha de Acesso Temporária, senhas e outras configurações. A experiência herdada no centro de administração do Microsoft Entra será desativada a partir de 31 de outubro de 2024. Não há nenhuma ação exigida pelas organizações antes da desativação.

Pré-requisitos

Autenticação multifator do Microsoft Entra, que está habilitada por padrão.

Adicionar ou alterar métodos de autenticação para um usuário

Você pode adicionar ou alterar métodos de autenticação para um usuário usando o centro de administração do Microsoft Entra ou o PowerShell do Microsoft Graph. No centro de administração do Microsoft Entra, o método leagcy para gerenciar métodos de autenticação de usuário será desativado após 31 de outubro de 2024.

Observação

Por motivos de segurança, os campos de informações de contato do usuário público não devem ser usados para executar MFA. Em vez disso, os usuários devem preencher seus números de método de autenticação a serem usados para MFA.

Captura de tela de como adicionar métodos de autenticação do centro de administração do Microsoft Entra.

Para adicionar ou alterar métodos de autenticação para um usuário no centro de administração do Microsoft Entra:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Escolha o usuário para o qual você deseja adicionar ou alterar um método de autenticação e selecione Métodos de autenticação.
  4. Na parte superior da janela, selecione + Adicionar método de autenticação.
    • Selecione um método (número de telefone ou email). O email pode ser usado para redefinição de senha automática, mas não para autenticação. Ao adicionar um número de telefone, selecione um tipo de telefone e insira o número de telefone com um formato válido (como +1 4255551234).
    • Selecione Adicionar.

Os usuários podem adicionar ou editar seus próprios métodos de autenticação em Meus Logins | Informações de segurança. Por exemplo, para alterar o número de telefone, selecione Número de telefone e toque em Alterar.

Gerenciar os métodos usando o PowerShell

Instale o módulo Microsoft. Graph. Identity. entrada do PowerShell usando os comandos a seguir.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Gerenciar as opções de autenticação de usuário

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Administradores de Autenticação podem exigir que outros usuários redefinam suas senhas, registrem-se novamente para MFA ou revoguem as sessões de MFA existentes de seu objeto de usuário. Os usuários não podem atualizar seu próprio objeto de usuário. Para alterar ou redefinir seus próprios métodos de segurança, usuários podem acessar as Informações de segurança ou ir para redefinição de senha self-service para redefinir sua senha. Para gerenciar outras configurações de usuário, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.

  2. Navegue até Identidade>Usuários>Todos os usuários.

  3. Escolha o usuário no qual você deseja executar uma ação e selecione Métodos de autenticação. Na parte superior da janela, escolha uma das seguintes opções para o usuário:

    • Redefinir senha redefine a senha do usuário e atribua uma senha temporária que deve ser alterada na próxima entrada.
    • Exigir o registro da nova MFA desativa os tokens OATH do hardware do usuário e exclui os seguintes métodos de autenticação desse usuário: números de telefone, aplicativos do Microsoft Authenticator e tokens OATH do software. Se necessário, o usuário será solicitado a configurar um novo método de autenticação de MFA na próxima vez que entrar.
    • Revogar sessões de MFA limpa as sessões de MFA lembradas pelo usuário e exige que elas executem a MFA na próxima vez que ela for exigida pela política no dispositivo.

    Captura de tela do gerenciamento de métodos de autenticação do centro de administração do Microsoft Entra.

Excluir senhas de aplicativo de usuários existentes

Para usuários que definiram senhas de aplicativo, os administradores também podem optar por excluir essas senhas, fazendo com que a autenticação herdada falhe nesses aplicativos. Essas ações poderão ser necessárias se você precisar fornecer assistência a um usuário ou precisar redefinir seus métodos de autenticação. Aplicativos sem navegador que estavam associados a essas senhas de aplicativo deixarão de funcionar até que uma nova senha de aplicativo seja criada.

Para excluir as senhas de aplicativo de um usuário, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.

  2. Navegue até Identidade>Usuários>Todos os usuários.

  3. Selecione Autenticação multifator. Role para a direita para ver esta opção de menu. Selecione a captura de tela de exemplo abaixo para ver a janela completa e o local do menu: Captura de tela da seleção da autenticação multifator na janela Usuários no Microsoft Entra ID..

  4. Marque a caixa ao lado do usuário ou usuários que você deseja gerenciar. Uma lista de opções de etapa rápida aparecem à direita.

  5. Selecione gerenciar configurações de usuárioe marque a caixa excluir todas as senhas de aplicativo existentes geradas pelos usuários selecionados, conforme mostrado no exemplo a seguir: Captura de tela da exclusão de todas as senhas de aplicativo existentes.

  6. Selecione salve, em seguida, fechar.

Conteúdo relacionado