Configurar métodos de autenticação multifator
Como mencionado anteriormente no módulo, recomendamos que os usuários possam selecionar mais de um método de autenticação caso seu método principal não esteja disponível.
Quando um usuário entra em um serviço que requer MFA pela primeira vez, ele é solicitado a registrar seu método de autenticação multifator preferido, conforme mostrado na captura de tela a seguir:
Gorjeta
Se você seguiu o exercício anterior e ativou a MFA para uma conta e aplicativo, você pode tentar acessar esse aplicativo com a conta de usuário fornecida. Você deve ver o fluxo anterior.
Depois de se registrarem, sempre que os usuários entrarem em um serviço ou aplicativo que exija MFA, o processo de entrada do Azure solicitará as informações de autenticação, conforme mostrado na imagem a seguir:
Métodos de Autenticação do Azure
Como você viu anteriormente, há vários métodos de autenticação possíveis que um administrador pode configurar. Alguns deles também suportam Self-Service Password Reset (SSPR), que permite aos usuários redefinir sua senha fornecendo uma forma secundária de autenticação. Você pode associar esse serviço à autenticação multifator Microsoft Entra para aliviar a carga sobre a equipe de TI.
A tabela seguinte apresenta os métodos de autenticação e os serviços que os podem utilizar.
| Método de autenticação | Serviços |
|---|---|
| Palavra-passe | Autenticação multifator Microsoft Entra e SSPR |
| Perguntas de segurança | SSPR |
| Endereço de e-mail | SSPR |
| Windows Hello para empresas | Autenticação multifator Microsoft Entra e SSPR |
| Chave de Segurança FIDO2 | Autenticação multifator Microsoft Entra e SSPR |
| Aplicação Microsoft Authenticator | Autenticação multifator Microsoft Entra e SSPR |
| Token de hardware de OATH | Autenticação multifator Microsoft Entra e SSPR |
| Token de software OATH | Autenticação multifator Microsoft Entra e SSPR |
| Mensagem de texto | Autenticação multifator Microsoft Entra e SSPR |
| Chamada de voz | Autenticação multifator Microsoft Entra e SSPR |
| Palavras-passe da aplicação | Autenticação multifator Microsoft Entra em certos casos |
Palavra-passe
Este método é o único que você não pode desativar.
Perguntas de segurança
Este método está disponível apenas para contas não administrativas que utilizam a reposição personalizada de palavra-passe.
O Azure armazena as perguntas de segurança de forma privada e com maior segurança num objeto de utilizador no diretório. Apenas os utilizadores podem responder às perguntas, e apenas durante o registo. Um administrador não pode ler ou alterar as perguntas ou respostas de um usuário.
O Azure fornece 35 perguntas predefinidas, todas traduzidas e localizadas com base na região do browser.
Você pode personalizar as perguntas usando a interface administrativa. O Azure os exibe no idioma inserido. O comprimento máximo é 200 carateres.
Endereço de e-mail
Este método só está disponível na SSPR. Recomendamos que você evite o uso de uma conta de email que não exija a senha do Microsoft Entra dos usuários para acessá-la.
Windows Hello para empresas
O Windows Hello para Empresas fornece autenticação biométrica fiável e totalmente integrada com base no reconhecimento facial ou na correspondência de impressões digitais. O Windows Hello for Business, as chaves de segurança FIDO2 e o Microsoft Authenticator são soluções sem senha.
Chaves de segurança FIDO2
As chaves de segurança FIDO2 são um método de autenticação não phishable, baseado em padrões e sem senha que pode vir em qualquer fator de forma. O Fast Identity Online (FIDO) é um padrão aberto para autenticação sem senha.
Os usuários podem se registrar e, em seguida, selecionar uma chave de segurança FIDO2 na interface de login como seu principal meio de autenticação. Estas chaves de segurança FIDO2 são normalmente dispositivos USB, mas também podem usar Bluetooth ou NFC.
As chaves de segurança FIDO2 podem ser usadas para entrar em seus dispositivos Microsoft Entra ID ou Microsoft Entra híbrido com Windows 10. Eles podem obter logon único em seus recursos locais e na nuvem. Os utilizadores também podem iniciar sessão em navegadores suportados.
Aplicação Microsoft Authenticator
Este método está disponível para Android e iOS. Os utilizadores podem registar a sua aplicação móvel aqui.
O aplicativo Microsoft Authenticator ajuda a impedir o acesso não autorizado a contas. Ele envia uma notificação que ajuda a impedir transações fraudulentas para o seu smartphone ou tablet. Os usuários visualizam a notificação e confirmam ou negam a solicitação.
Os utilizadores podem utilizar a aplicação Microsoft Authenticator ou uma aplicação de terceiros como um token de software para gerar um código de verificação de OATH. Depois que o usuário insere o nome de usuário e a senha, os usuários inserem o código fornecido pelo aplicativo na tela de login. O código de verificação proporciona uma segunda forma de autenticação. Os usuários também podem definir o aplicativo Microsoft Authenticator para entregar uma notificação por push que selecionam e aprovam para entrar.
Tokens de hardware de OATH
A OATH é um padrão aberto que especifica a forma de gerar códigos de palavra-passe únicos. O Microsoft Entra ID suporta o uso de tokens OATH-TOTP SHA-1 da variedade de 30 segundos ou 60 segundos. Os clientes podem obter estes tokens do fornecedor à sua escolha. As chaves secretas são limitadas a 128 caracteres, o que pode não ser compatível com todos os tokens.
Tokens de software OATH
Os tokens OATH de software são normalmente aplicações como a aplicação Microsoft Authenticator e outras aplicações de autenticação. O Microsoft Entra ID gera a chave secreta ou seed, que é a entrada na aplicação e utilizada para gerar cada OTP.
Mensagem de texto
O Azure envia um código de verificação para um telemóvel através de um SMS. O utilizador tem de introduzir o código no browser dentro de um período específico para poder continuar.
Chamada de voz
O Azure utiliza um sistema de voz automatizado para ligar para o número e o proprietário utiliza o teclado para confirmar a autenticação. Esta opção não está disponível para a camada gratuita/de avaliação do Microsoft Entra.
Palavra-passe da aplicação
Algumas aplicações que não são do navegador não suportam a autenticação multifator do Microsoft Entra. Se os usuários estiverem habilitados para autenticação multifator do Microsoft Entra e tentarem usar aplicativos que não sejam navegadores, eles não poderão se autenticar. A palavra-passe da aplicação permite que os utilizadores continuem a fazer a autenticação.
Adoção da monitorização
O Microsoft Entra ID inclui uma exibição de insights de Uso e Uso na seção Monitoramento , onde você pode monitorar a atividade dos métodos de autenticação. Aqui, pode ver a adoção da MFA e SSPR:
Além dos números de registo gerais, também pode ver o êxito e a falha dos registos por método de autenticação. Este facto permite-lhe compreender quais os métodos de autenticação mais frequentemente registados pelos seus utilizadores e quais são fáceis de registar. Estes dados são calculados com base nos últimos 30 dias de registos de auditoria do registo combinado das informações de segurança e das experiências de registo da SSPR.
Pode desagregar e ver as informações de auditoria de registo mais recentes para cada utilizador ao clicar no gráfico.
Você também pode saber mais sobre o uso do SSPR em sua organização por meio da guia Uso na exibição principal, conforme mostrado na imagem a seguir:
