Partilhar via


Como migrar as configurações de diretiva MFA e SSPR para a política de métodos de autenticação para o Microsoft Entra ID

Você pode migrar as configurações de diretiva herdada do Microsoft Entra ID que controlam separadamente a autenticação multifator (MFA) e a redefinição de senha de autoatendimento (SSPR) para o gerenciamento unificado com a política de métodos de autenticação.

Você pode usar o guia de migração de métodos de autenticação (visualização) no centro de administração do Microsoft Entra para automatizar a migração. O guia fornece um assistente para ajudar a auditar suas configurações de diretiva atuais para MFA e SSPR. Em seguida, ele consolida essas configurações na política de métodos de autenticação, onde elas podem ser gerenciadas juntas mais facilmente.

Você também pode migrar as configurações de política manualmente em sua própria agenda. O processo de migração é totalmente reversível. Você pode continuar a usar políticas de MFA e SSPR em todo o locatário enquanto configura métodos de autenticação com mais precisão para usuários e grupos na política de métodos de autenticação.

Para obter mais informações sobre como essas políticas funcionam juntas durante a migração, consulte Gerenciar métodos de autenticação para o Microsoft Entra ID.

Guia de migração automatizada

O guia de migração automatizada permite migrar para onde você gerencia métodos de autenticação em apenas alguns cliques. Ele pode ser acessado a partir do centro de administração do Microsoft Entra navegando até Políticas de métodos>de autenticação de proteção.>

Captura de ecrã da folha Política de métodos de autenticação com o ponto de entrada do assistente realçado.

A primeira página do assistente explica o que é e como funciona. Ele também fornece links para cada uma das políticas herdadas para sua referência.

Captura de ecrã da folha Política de métodos de autenticação com a primeira página realçada do assistente.

Em seguida, o assistente configura a política de método de autenticação com base no que sua organização tem habilitada atualmente nas políticas herdadas de MFA e SSPR. Se um método estiver habilitado em qualquer política herdada, a recomendação é habilitá-lo também na política de método de autenticação. Com essa configuração, os usuários podem continuar a entrar e redefinir sua senha usando o mesmo método usado anteriormente.

Além disso, recomendamos que você habilite os métodos modernos e seguros mais recentes, como chaves de acesso, Passe de Acesso Temporário e Microsoft Authenticator, para ajudar a melhorar a postura de segurança de suas organizações. Para editar a configuração recomendada, selecione o ícone de lápis ao lado de cada método.

Captura de ecrã da folha da política Métodos de autenticação com a segunda página realçada do assistente.

Quando estiver satisfeito com a configuração, selecione Migrar e confirme a migração. A política de métodos de autenticação é atualizada para corresponder à configuração especificada no assistente. Os métodos de autenticação nas políticas de MFA e SSPR herdadas ficam acinzentados e não se aplicam mais.

Seu status de migração será atualizado para Migração concluída. Você pode alterar esse status de volta para Em andamento a qualquer momento para reativar métodos nas políticas herdadas, se necessário.

Migração manual

Comece fazendo uma auditoria das configurações de política existentes para cada método de autenticação disponível para os usuários. Se você reverter durante a migração, convém um registro das configurações do método de autenticação de cada uma destas políticas:

  • Política de AMF
  • Política SSPR (se usada)
  • Política de métodos de autenticação (se usada)

Se você não estiver usando SSPR e ainda não estiver usando a política de métodos de autenticação, você só precisará obter configurações da política de MFA.

Rever a política de AMF herdada

Comece documentando quais métodos estão disponíveis na política de MFA herdada.

Entre no centro de administração do Microsoft Entra como Administrador Global.

Vá para Identidade>de usuários>Todos os usuários>Configurações do serviço MFA>por usuário para exibir as configurações. Essas configurações abrangem todo o locatário, portanto, não há necessidade de informações de usuário ou grupo.

A captura de tela mostra a política de autenticação multifator herdada do Microsoft Entra.

Para cada método, observe se ele está habilitado ou não para o locatário. A tabela a seguir lista os métodos disponíveis na política de MFA herdada e os métodos correspondentes na política de método de autenticação.

Política de autenticação multifator Política de método de autenticação
Ligar para o telefone Chamadas de voz
Mensagem de texto para o telefone SMS
Notificação através da aplicação móvel Autenticador Microsoft
Código de verificação de aplicativo móvel ou token de hardware Tokens OATH de software de terceiros
Tokens OATH de hardware
Autenticador Microsoft

Rever a política SSPR herdada

Para obter os métodos de autenticação disponíveis na política SSPR herdada, vá para Métodos de autenticação de redefinição>de senha de proteção>de identidade.> A tabela a seguir lista os métodos disponíveis na política SSPR herdada e os métodos correspondentes na política de método de autenticação.

Captura de tela que mostra a política SSPR herdada do Microsoft Entra.

Registre quais usuários estão no escopo do SSPR (todos os usuários, um grupo específico ou nenhum usuário) e os métodos de autenticação que eles podem usar. Embora as perguntas de segurança ainda não estejam disponíveis para gerenciar na política de métodos de autenticação, certifique-se de gravá-las para mais tarde, quando estiverem.

Métodos de autenticação SSPR Política de método de autenticação
Notificação de aplicativo móvel Autenticador Microsoft
Código da aplicação móvel Autenticador Microsoft
Tokens OATH de software
Email E-mail OTP
Telemóvel Chamadas de voz
SMS
Telefone do escritório Chamadas de voz
Perguntas de segurança Ainda não disponível; Copiar perguntas para uso posterior

Política de métodos de autenticação

Para verificar as configurações na política de Métodos de autenticação, entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação e navegue até Políticas de métodos>de Autenticação de Proteção.> Um novo locatário tem todos os métodos desativados por padrão, o que facilita a migração porque as configurações de política herdadas não precisam ser mescladas com as configurações existentes.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
  2. Navegue até Métodos de autenticação de proteção>>

Captura de tela que mostra os métodos de autenticação.

A política de métodos de autenticação tem outros métodos que não estão disponíveis nas políticas herdadas, como chave de segurança FIDO2, Passe de Acesso Temporário e autenticação baseada em certificado Microsoft Entra. Esses métodos não estão no escopo da migração e você não precisará fazer nenhuma alteração neles se já os tiver configurado.

Se você habilitou outros métodos na política de métodos de autenticação, anote os usuários e grupos que podem ou não usar esses métodos. Anote os parâmetros de configuração que regem como o método pode ser usado. Por exemplo, você pode configurar o Microsoft Authenticator para fornecer localização em notificações por push. Faça um registro de quais usuários e grupos estão habilitados para parâmetros de configuração semelhantes associados a cada método.

Iniciar a migração

Depois de capturar os métodos de autenticação disponíveis das políticas que você está usando no momento, você pode iniciar a migração. Abra a política de métodos de autenticação, selecione Gerenciar migração e selecione Migração em andamento.

Captura de tela que mostra como iniciar o processo de migração.

Convém definir essa opção antes de fazer alterações, pois ela aplicará sua nova política a cenários de entrada e redefinição de senha.

Captura de ecrã de Migração em curso.

A próxima etapa é atualizar a política de métodos de autenticação para corresponder à sua auditoria. Você vai querer rever cada método um por um. Se o seu locatário estiver usando apenas a política de MFA herdada e não estiver usando SSPR, a atualização será simples - você pode habilitar cada método para todos os usuários e corresponder com precisão à sua política existente.

Se o locatário estiver usando MFA e SSPR, você precisará considerar cada método:

  • Se o método estiver habilitado em ambas as políticas herdadas, habilite-o para todos os usuários na política de métodos de autenticação.
  • Se o método estiver desativado em ambas as políticas herdadas, deixe-o desativado para todos os usuários na política de métodos de autenticação.
  • Se o método estiver habilitado apenas em uma política, você precisará decidir se, ou não, ele deve estar disponível em todas as situações.

Onde as políticas correspondem, você pode facilmente corresponder ao seu estado atual. Quando houver uma incompatibilidade, você precisará decidir se deseja habilitar ou desabilitar o método completamente. Por exemplo, suponha que a Notificação por meio de aplicativo móvel esteja habilitada para permitir notificações por push para MFA. Na política SSPR herdada, o método de notificação do aplicativo móvel não está habilitado. Nesse caso, as políticas herdadas permitem notificações por push para MFA, mas não SSPR.

Na política de métodos de autenticação, você precisará escolher se deseja habilitar o Microsoft Authenticator para SSPR e MFA ou desativá-lo (recomendamos habilitar o Microsoft Authenticator).

Observe que na política de métodos de autenticação você tem a opção de habilitar métodos para grupos de usuários, além de todos os usuários, e também pode excluir grupos de usuários de poderem usar um determinado método. Isso significa que você tem muita flexibilidade para controlar quais métodos os usuários podem usar. Por exemplo, você pode habilitar o Microsoft Authenticator para todos os usuários e limitar as chamadas SMS e Voice a 1 grupo de 20 usuários que precisam desses métodos.

À medida que você atualiza cada método na política de métodos de autenticação, alguns métodos têm parâmetros configuráveis que permitem controlar como esse método pode ser usado. Por exemplo, se ativar as chamadas de voz como método de autenticação, pode optar por permitir tanto o telefone do escritório como os telemóveis, ou apenas dispositivos móveis. Percorra o processo para configurar cada método de autenticação da sua auditoria.

Você não é obrigado a corresponder à sua política existente! É uma ótima oportunidade para rever seus métodos habilitados e escolher uma nova política que maximize a segurança e a usabilidade para seu locatário. Apenas observe que a desativação de métodos para usuários que já os estão usando pode exigir que esses usuários registrem novos métodos de autenticação e os impeça de usar métodos registrados anteriormente.

As próximas seções abordam orientações específicas de migração para cada método.

Senha única por e-mail

Há dois controles para a senha única de e-mail:

A segmentação usando incluir e excluir na seção Habilitar e destino da configuração é usada para habilitar a OTP de e-mail para membros de um locatário para uso na redefinição de senha.

Há uma seção separada Permitir que usuários externos usem o controle OTP de e-mail na seção Configurar que controla o uso de OTP de e-mail para entrada por usuários B2B. O método de autenticação não pode ser desativado se esse controle estiver habilitado.

Autenticador Microsoft

Se a Notificação por meio de aplicativo móvel estiver habilitada na política de MFA herdada, habilite o Microsoft Authenticator para Todos os usuários na política de Métodos de autenticação. Defina o modo de autenticação como Qualquer para permitir notificações por push ou autenticação sem senha.

Se o Código de verificação do aplicativo móvel ou token de hardware estiver habilitado na política de MFA herdada, defina Permitir uso da OTP do Microsoft Authenticator como Sim.

Screenshot do Microsoft Authenticator OTP.

Observação

Se os usuários registrarem o Aplicativo Autenticador da Microsoft somente para código OTP usando o assistente "Quero usar um aplicativo autenticador diferente", ele será necessário para habilitar a política de tokens OATH de software de terceiros.

SMS e chamadas de voz

A política de MFA herdada tem controles separados para SMS e chamadas telefônicas. Mas há também um controle de telefone celular que permite telefones celulares para SMS e chamadas de voz. E outro controle para o telefone do Office habilita um telefone do escritório apenas para chamadas de voz.

A política de métodos de autenticação tem controles para chamadas SMS e de voz, correspondendo à política de MFA herdada. Se o seu inquilino estiver a utilizar SSPR e o telemóvel estiver ativado, deverá ativar as chamadas SMS e Voice na política de métodos de autenticação. Se o seu locatário estiver usando SSPR e o telefone do Office estiver habilitado, você desejará habilitar as chamadas de voz na política de métodos de autenticação e garantir que a opção Telefone do Office esteja habilitada.

Observação

A opção Usar para login está habilitada por padrão nas configurações do SMS . Esta opção permite o início de sessão por SMS. Se o login por SMS estiver habilitado para usuários, eles serão ignorados da sincronização entre locatários. Se estiver a utilizar a sincronização entre inquilinos ou não pretender ativar o início de sessão por SMS, desative o Início de sessão por SMS para utilizadores de destino.

Tokens OATH

Os controles de token OATH nas políticas herdadas de MFA e SSPR eram controles únicos que permitiam o uso de três tipos diferentes de tokens OATH: o aplicativo Microsoft Authenticator, aplicativos geradores de código OATH TOTP de software de terceiros e tokens OATH OATH de hardware.

A política de métodos de autenticação tem controle granular com controles separados para cada tipo de token OATH. O uso da OTP do Microsoft Authenticator é controlado pela seção Permitir o uso do controle OTP do Microsoft Authenticator na seção Microsoft Authenticator da política. Os aplicativos de terceiros são controlados pela seção de tokens OATH de software de terceiros da política. Os tokens OATH de hardware são controlados pela seção Tokens OATH de hardware da política.

Perguntas de segurança

Um controle para questões de segurança será lançado em breve. Se você usar perguntas de segurança e não quiser desativá-las, certifique-se de mantê-las habilitadas na política SSPR herdada até que o novo controle esteja disponível. Você pode concluir a migração conforme descrito na próxima seção com as perguntas de segurança habilitadas.

Concluir a migração

Depois de atualizar a política de métodos de autenticação, examine as políticas de MFA e SSPR herdadas e remova cada método de autenticação um por um. Teste e valide as alterações para cada método.

Quando você determinar que MFA e SSPR funcionam conforme o esperado e não precisa mais das políticas herdadas de MFA e SSPR, poderá alterar o processo de migração para Migração Concluída. Neste modo, o Microsoft Entra-only segue a política de métodos de autenticação. Nenhuma alteração poderá ser feita nas políticas herdadas se a opção Migração concluída estiver definida, exceto para perguntas de segurança na política SSPR. Se você precisar voltar às políticas herdadas por algum motivo, poderá mover o estado de migração de volta para Migração em Andamento a qualquer momento.

Captura de ecrã de Migração concluída.

Próximos passos