Visão geral do registro combinado de informações de segurança para Microsoft Entra

Antes do registro combinado, os usuários registravam os métodos de autenticação separadamente para a SSPR (redefinição de senha self-service) e a autenticação multifator do Microsoft Entra. As pessoas ficavam confusas porque, embora fossem usados métodos semelhantes para a autenticação multifator e a SSPR, elas tinham que se registrar em ambos os recursos. Agora, com o registro combinado, os usuários só precisam se registrar uma vez para obter os benefícios tanto da autenticação multifator como da SSPR. Recomendamos esse vídeo sobre Como habilitar e configurar o SSPR na ID do Microsoft Entra.

Minha Conta mostrando as Informações de segurança registradas para um usuário

Antes de habilitar a nova experiência, examine esta documentação voltada para o administrador e a documentação voltada para o usuário para ter certeza de que você entendeu a funcionalidade e o efeito desse recurso. Baseie seu treinamento na documentação do usuário para preparar os usuários para a nova experiência e ajudar a garantir uma distribuição bem-sucedida.

As páginas Minha Conta são localizadas de acordo com as configurações de idioma do computador que está acessando a página. Como a Microsoft armazena o idioma mais recente usado no cache do navegador, as tentativas subsequentes de acessar as páginas continuam a ser renderizadas no último idioma usado. Se você limpar o cache, elas serão renderizadas novamente.

Caso você queira forçar um idioma específico, adicione ?lng=<language> ao final da URL, em que <language> é o código do idioma a ser renderizado.

Configurar SSPR ou outros métodos de verificação de segurança

Métodos disponíveis no registro combinado

O registro combinado é compatível com os métodos e ações de autenticação listados na tabela a seguir.

Método Registrar Alteração Excluir
Microsoft Authenticator Sim (no máximo 5) Não Sim
Outro aplicativo autenticador Sim (no máximo 5) Não Sim
Token de hardware Não No Sim
o Telefone Sim (no máximo 2) Sim Sim
Telefone alternativo Sim Sim Sim
Telefone do escritório* Sim Sim Sim
Email Sim Sim Sim
Perguntas de segurança Sim Não Sim
Senhas Não Sim Não
Senhas de aplicativo* Yes Não Sim
Chave de acesso (FIDO2)* Sim (no máximo 10) Não Sim

Observação

Se você habilitar o Microsoft Authenticator no modo de autenticação sem senha na política de métodos de autenticação, os usuários também precisarão habilitar a entrada sem senha no aplicativo Authenticator.

O telefone alternativo só pode ser registrado no modo Gerenciamento em Informações de segurança e requer que as chamadas de voz estejam habilitadas na política de métodos de autenticação.

O Telefone do escritório só poderá ser registrado no Modo de interrupção se a propriedade Telefone comercial dos usuários tiver sido definida. Os usuários podem inserir o Telefone do escritório sem esse requisito, no modo Gerenciamento, por meio das Informações de segurança.

As senhas de aplicativo estão disponíveis somente para usuários aos quais a MFA foi imposta por usuário. As senhas de aplicativo não estão disponíveis para usuários habilitados para a Autenticação Multifator do Microsoft Entra por meio de uma política de Acesso Condicional.

As chaves de acesso (FIDO2) também podem ser provisionadas usando uma integração personalizada de cliente ou parceiro com o Microsoft Graph. Para mais informações, consulte nossas APIs.

Os usuários podem definir uma opções a seguir como o método padrão de autenticação multifator.

  • Microsoft Authenticator - notificação por push ou sem senha
  • Código do token de hardware ou aplicativo do autenticador
  • chamada telefônica
  • mensagem de texto

Observação

Não há suporte para números de telefone virtuais para chamadas de voz ou mensagens de SMS.

Aplicativos autenticadores de terceiros não fornecem notificação por push. Conforme adicionamos mais métodos de autenticação ao Microsoft Entra ID, eles vão sendo disponibilizados no registro combinado.

Modos de registro combinado

Existem dois modos de registro combinado:

  • Modo Interrupção: semelhante a um assistente, é apresentado aos usuários quando eles registram ou atualizam suas informações de segurança na entrada.
  • Modo Gerenciamento: faz parte do perfil do usuário e permite que os usuários gerenciem suas informações de segurança.

Em ambos os modos, os usuários que tenham registrado anteriormente um método que pode ser usado para a Autenticação Multifator do Microsoft Entra precisam executá-la para conseguirem acessar as próprias informações de segurança. Os usuários devem confirmar as informações antes de continuarem usando os métodos registrados anteriormente.

Modo Interrupção

O registro combinado respeita as políticas de autenticação multifator e SSPR quando as duas estão habilitadas para o locatário. Essas políticas controlam se um usuário é interrompido para registro durante a entrada e quais métodos estão disponíveis para o registro. Se apenas uma política de SSPR estiver habilitada, os usuários poderão ignorar (indefinidamente) a interrupção do registro e concluí-la posteriormente.

Veja a seguir alguns exemplos de cenários em que pode ser solicitado que os usuários registrem ou atualizem suas informações de segurança:

  • Registro de autenticação multifator imposto por meio do Microsoft Entra ID Protection: os usuários precisam iniciar a sessão durante a entrada. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
  • Registro de autenticação multifator imposto por meio da autenticação multifator por usuário: os usuários precisam se registrar durante a entrada. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
  • Registro de autenticação multifator imposto por meio da política de Acesso Condicional ou outras políticas: os usuários precisam se registrar quando usam um recurso que requer autenticação multifator. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
  • Registro de SSPR imposto: os usuários precisam se registrar durante a entrada. Eles registram apenas métodos de SSPR.
  • Atualização de SSPR imposta: os usuários são obrigados a revisar suas informações de segurança em um intervalo definido pelo administrador. As informações são exibidas para os usuários, que podem confirmá-las ou fazer alterações, se necessário.

Quando o registro é imposto, é exibido para os usuários o número mínimo de métodos necessários para manter a compatibilidade com as políticas de autenticação multifator e SSPR, do mais seguro para o menos seguro. Os usuários que passarem pelo registro combinado em que tanto o registro de MFA quanto o de SSPR forem aplicados e a política de SSPR exigir dois métodos deverão primeiro registrar um método de MFA como o primeiro método e poderão selecionar outro método específico de MFA ou SSPR como o segundo método registrado (como email, perguntas de segurança, etc.)

Considere o seguinte exemplo de cenário:

  • Um usuário está habilitado para SSPR. A política de SSPR exige dois métodos para redefinição e habilitou o aplicativo Microsoft Authenticator, o e-mail e o telefone.
  • Quando o usuário opta por se registrar, dois métodos são necessários:
    • Por padrão, são exibidos o aplicativo Microsoft Authenticator e o telefone.
    • O usuário pode optar por registrar o e-mail em vez do aplicativo autenticador ou do telefone.

Quando o Microsoft Authenticator é configurado, o usuário pode clicar em Eu quero configurar um método diferente para registrar outros métodos de autenticação. A lista de métodos disponíveis é determinada pela política de métodos de autenticação para o locatário. 

Captura de tela de como escolher outro método ao configurar o Microsoft Authenticator.

O fluxograma a seguir descreve quais métodos são exibidos para um usuário quando ele é interrompido para registro durante a entrada:

Fluxograma do registro combinado de informações de segurança

Se você tem a autenticação multifator e a SSPR habilitadas, é recomendável impor o registro da autenticação multifator.

Se a política de SSPR exigir que os usuários revisem suas informações de segurança em intervalos regulares, os usuários serão interrompidos durante a entrada e todos os métodos registrados serão exibidos. Eles poderão confirmar se as informações atuais estão atualizadas ou fazer as alterações necessárias. Os usuários devem executar a autenticação multifator para acessar esta página.

Modo Gerenciamento

Os usuários podem acessar Informações de segurança ou escolher Informações de segurança em Minha conta. A partir daí, eles podem adicionar métodos, excluir ou alterar métodos existentes, alterar o método padrão e muito mais.

Controles de sessão para registro combinado

Por padrão, o registro combinado impõe que todos os usuários compatíveis com MFA se autentiquem fortemente antes de registrar ou gerenciar suas informações de segurança. Se um usuário estiver conectado no momento e tiver concluído anteriormente a MFA como parte de uma sessão válida, nenhuma MFA adicional será necessária por padrão, a menos que um usuário esteja tentando adicionar ou modificar um método de chave de acesso (FIDO2). Adicionar ou modificar um método de chave de acesso (FIDO2) exige que os usuários tenham autenticado fortemente nos últimos 5 minutos. Se a MFA não tiver sido concluída nos últimos 5 minutos, o usuário será solicitado a entrar e concluir a nova MFA. As organizações podem modificar os requisitos de autenticação definindo políticas de Acesso Condicional para proteger o registro de informações de segurança.

As sessões de registro combinado são válidas apenas por 15 minutos. Se as ações de registro ou gerenciamento de um usuário demorarem mais do que esse período, a sessão expirará e o usuário será solicitado a entrar novamente para continuar.

Principais cenários de uso

Alterar uma senha em MySignIns

Um usuário navega até Informações de segurança. Depois de entrar, o usuário pode alterar sua senha. Se o usuário se autenticar com uma senha e um método de autenticação multifator, ele poderá usar a experiência do usuário aprimorada para alterar sua senha sem inserir sua senha existente. Quando terminar, o usuário terá a nova senha atualizada na página de informações de segurança. Métodos de autenticação como o Passe de Acesso Temporário (TAP) não são compatíveis com alteração de senha a não ser que o usuário saiba qual é sua senha existente.

Observação

Se você tiver links que apontem para a experiência de alteração de senha herdada, atualize-os para o link de encaminhamento a seguir para direcionar os usuários à nova experiência de Alteração de senha em Minhas entradas: https://go.microsoft.com/fwlink/?linkid=2224198.

Proteger o registro de informações de segurança com o Acesso Condicional

Para controlar quando e como os usuários se registram na redefinição de senha self-service e na autenticação multifator do Microsoft Entra, use as ações do usuário na política de acesso condicional. Essa funcionalidade poderá ser habilitada nas organizações que desejam que os usuários se registrem na SSPR e na autenticação multifator do Microsoft Entra em uma localização central, como um local de rede confiável durante a integração do RH. Saiba mais sobre como configurar políticas comuns de Acesso Condicional para proteger o registro de informações de segurança.

Configurar informações de segurança durante a entrada

Um administrador impôs o registro.

Um usuário não configurou todas as informações de segurança necessárias e vai para o centro de administração do Microsoft Entra. Após o usuário inserir o nome de usuário e a senha, o usuário precisará configurar as informações de segurança. Ele segue as etapas mostradas no assistente para configurar as informações de segurança necessárias. Se as configurações permitirem, o usuário poderá optar por configurar métodos diferentes daqueles mostrados por padrão. Após os usuários concluírem o assistente, devem revisar os métodos que foram configurados e o método padrão para a autenticação multifator. Para finalizar o processo de instalação, o usuário confirma as informações e vai para o centro de administração do Microsoft Entra.

Configurar informações de segurança em Minha Conta

Um administrador não impôs o registro.

Um usuário que ainda não configurou todas as informações de segurança necessárias vai para https://myaccount.microsoft.com. O usuário seleciona Informações de segurança no painel esquerdo. A partir daí, o usuário opta por adicionar um método, seleciona um dos métodos disponíveis e segue as etapas para configurar esse método. Quando terminar, o usuário verá o método que foi configurado na página Informações de segurança.

Configurar outros métodos após o registro parcial

Se um usuário tiver atendido parcialmente o registro de MFA ou SSPR devido a registros de método de autenticação existentes executados pelo usuário ou administrador, os usuários só serão solicitados a registrar informações adicionais permitidas pelas configurações de política de Métodos de autenticação quando o registro for necessário. Se mais de um outro método de autenticação estiver disponível para o usuário escolher e se registrar, uma opção na experiência de registro intitulada Desejo configurar outro método será mostrada e permitirá ao usuário configurar o próprio método de autenticação desejado.

Captura de tela de como configurar outro método.

Excluir informações de segurança de Minha Conta

Um usuário que tenha configurado anteriormente pelo menos um método navega até Informações de segurança. O usuário opta por excluir um dos métodos registrados anteriormente. Quando terminar, o usuário não verá mais esse método na página Informações de segurança.

Alterar o método padrão de Minha Conta

Um usuário que tenha configurado anteriormente pelo menos um método que pode ser usado para a autenticação multifator navega até Informações de segurança. O usuário altera o método padrão atual para outro diferente. Quando terminar, o usuário verá o novo método padrão na página Informações de segurança.

Mudar diretório

Uma identidade externa, como um usuário B2B, pode precisar alternar o diretório para mudar as informações do registro de segurança para um locatário de terceiros. Além disso, os usuários que acessam um locatário de recursos podem ficar confusos quando alteram as configurações em seu locatário de residência, mas não veem as alterações refletidas no locatário do recurso.

Por exemplo, um usuário define a notificação por push do aplicativo Microsoft Authenticator como a autenticação primária para entrar no locatário base e também tem SMS/Texto como outra opção. Esse usuário também é configurado com a opção SMS/Texto em um locatário de recurso. Se esse usuário remover SMS/Texto como uma das opções de autenticação em seu locatário base, ele se confundirá quando o acesso ao locatário do recurso pedir que ele responda à mensagem SMS/Texto.

Para alternar o diretório no centro de administração do Microsoft Entra, clique no nome da conta de usuário no canto superior direito e clique em Alternar diretório.

Os usuários externos podem alternar o diretório.

Ou você pode especificar um locatário por URL para acessar informações de segurança.

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

Observação

Os clientes que estiverem tentando registrar ou gerenciar informações de segurança por meio do registro combinado ou da página Meus Logins devem usar um navegador moderno, como o Microsoft Edge.

O IE11 não tem suporte oficial para a criação de um modo de exibição da web ou navegador em aplicativos, já que não vai funcionar conforme o esperado em todos os cenários.

Os aplicativos que não foram atualizados e ainda estão usando a Biblioteca de Autenticação do Azure AD (ADAL), que dependem de visualizações da Web herdadas, podem recorrer a versões mais antigas do Internet Explorer. Nesses cenários, os usuários irão se deparar com uma página em branco quando forem direcionados para a página Meus Logins. Para resolver esse problema, alterne para um navegador moderno.

Próximas etapas

Para começar, consulte o tutorial para habilitar a redefinição de senha self-service e habilitar a autenticação multifator do Microsoft Entra.

Saiba como habilitar o registro combinado no locatário ou forçar os usuários a registrarem novamente os métodos de autenticação.

Também é possível examinar os métodos disponíveis para a autenticação multifator do Microsoft Entra e a SSPR.