Configurar e habilitar usuários para autenticação baseada em SMS usando o Microsoft Entra ID
Para simplificar e proteger a entrada em aplicativos e serviços, o Microsoft Entra ID oferece diversas opções de autenticação. A autenticação baseada em SMS permite que os usuários se conectem sem precisar fornecer, nem mesmo saber, o nome de usuário e a senha. Depois que a conta é criada por um administrador de identidade, eles podem inserir o número de telefone no prompt de entrada. Eles recebem um código de autenticação por SMS que podem fornecer para concluir a entrada. Esse método de autenticação simplifica o acesso a aplicativos e serviços, especialmente para profissionais de linha de frente.
Este artigo mostra como habilitar a autenticação baseada em SMS para usuários ou grupos selecionados no Microsoft Entra ID. Para obter uma lista de aplicativos que dão suporte ao uso de credenciais baseada em SMS, confira Suporte de aplicativo para autenticação baseada em SMS.
Antes de começar
Para concluir este artigo, você precisará dos seguintes recursos e privilégios:
- Uma assinatura ativa do Azure.
- Caso não tenha uma assinatura do Azure, crie uma conta.
- Um locatário do Microsoft Entra associado à sua assinatura.
- Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
- Você precisa pelo menos da função Administrador de Política de Autenticação no seu locatário do Microsoft Entra para habilitar a autenticação baseada em SMS.
- Cada usuário habilitado na política do método de autenticação por SMS deve ser licenciado, mesmo que não o utilize. Cada usuário habilitado deve ter uma das seguintes licenças do Microsoft Entra ID, EMS e Microsoft 365:
Problemas conhecidos
Alguns problemas conhecidos são:
- Atualmente, a autenticação baseada em SMS não é compatível com a autenticação multifator do Microsoft Entra.
- Com exceção do Teams, a autenticação baseada em SMS não é compatível com os aplicativos nativos do Office.
- Não há suporte para autenticação baseada em SMS para contas B2B.
- Os usuários federados não serão autenticados no locatário inicial. Eles se autenticam apenas na nuvem.
- Se o método de login padrão do usuário for um texto ou uma chamada para seu número de telefone, o código SMS ou a chamada de voz serão enviados automaticamente durante a autenticação multifator. A partir de junho de 2021, alguns aplicativos solicitarão que os usuários escolham primeiro Texto ou Chamada. Essa opção evita o envio de muitos códigos de segurança para aplicativos diferentes. Se o método de login padrão for o aplicativo Microsoft Authenticator (que é altamente recomendado), a notificação será enviada automaticamente ao aplicativo.
Habilitar o método de autenticação baseada em SMS
Há três etapas principais para habilitar e usar a autenticação baseada em SMS em sua organização:
- Habilite a política de método de autenticação.
- Selecione usuários ou grupos que podem usar o método de autenticação baseado em SMS.
- Atribua um número de telefone para cada conta de usuário.
- Esse número de telefone pode ser atribuído no centro de administração do Microsoft Entra (que é mostrado neste artigo) e em Minha equipe ou Minha conta.
Primeiro, vamos habilitar a autenticação baseada em SMS para seu locatário do Microsoft Entra.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
Navegue até Proteção>Métodos de autenticação>Políticas.
Na lista de métodos de autenticação disponíveis, selecione SMS.
Clique em Habilitar e selecione Usuários de destino. Você pode optar por habilitar a autenticação baseada em SMS para Todos os usuários ou Selecionar usuários e grupos.
Observação
Para configurar a autenticação baseada em SMS para o primeiro fator (ou seja, para permitir que os usuários entrem com esse método), verifique a caixa de seleção Usar para Entrar. Deixar essa opção desmarcada torna a autenticação baseada em SMS disponível apenas para autenticação multifator e redefinição de senha self-service.
Atribuir o método de autenticação a usuários e grupos
Com a autenticação baseada em SMS habilitada no seu locatário do Microsoft Entra, agora selecione alguns usuários ou grupos para ter permissão para usar esse método de autenticação.
- Na janela da política de autenticação por SMS, defina a Meta como Selecionar usuários.
- Escolha Adicionar usuários ou grupos e selecione um usuário ou grupo de teste, como Usuário Contoso ou Usuários SMS Contoso.
- Depois de selecionar os usuários ou grupos, escolha Selecionar e Salvar a política de método de autenticação atualizada.
Cada usuário habilitado na política de método de autenticação por SMS deve ser licenciado, mesmo que não o utilize. Verifique se você tem as licenças apropriadas para os usuários habilitados na política de método de autenticação, especialmente ao habilitar o recurso para grandes grupos de usuários.
Definir um número de telefone para contas de usuário
Agora, os usuários estão habilitados para autenticação baseada em SMS, mas o número de telefone deles deve ser associado ao perfil do usuário no Microsoft Entra ID para que eles possam entrar. O usuário pode definir esse número de telefone em Minha conta, ou você pode atribuir o número de telefone usando o centro de administração do Microsoft Entra. Os números de telefone podem ser definidos por aqueles com pelo menos a função Administrador de Autenticação.
Quando um número de telefone é definido para entrada baseada em SMS, ele também estará disponível para uso com a Autenticação multifator do Microsoft Entra e a redefinição de senha self-service.
Pesquise e selecione Microsoft Entra ID.
No menu de navegação no lado esquerdo da janela Microsoft Entra, selecione Usuários.
Selecione o usuário que você habilitou para a autenticação baseada em SMS na seção anterior, como Usuário Contoso e selecione Métodos de autenticação.
Selecione + Adicionar método de autenticação e, em seguida, no menu suspenso Escolher método, escolha Número de telefone.
Insira o número de telefone do usuário, incluindo o código do país, como + 1 xxxxxxxxx. O centro de administração do Microsoft Entra valida que o número de telefone está no formato correto.
Em seguida, no menu suspenso Tipo de telefone, selecione Celular, Telefone celular alternativo ou Outro, conforme necessário.
O número de telefone precisa ser exclusivo em seu locatário. Se você tentar usar o mesmo número de telefone para vários usuários, uma mensagem de erro será mostrada.
Para aplicar o número de telefone à conta de um usuário, selecione Adicionar.
Quando provisionado com êxito, uma marca de verificação é exibida para Entrada de SMS habilitada.
Testar entrada baseada em SMS
Para testar a conta de usuário que agora está habilitada para entrada baseada em SMS, conclua as seguintes etapas:
Abra uma nova janela InPrivate ou anônima no navegador da Web para https://www.office.com
No canto superior direito, selecione Entrar.
No prompt de entrada, insira o número de telefone associado ao usuário na seção anterior e selecione Avançar.
Uma mensagem por SMS será enviada para o número de telefone fornecido. Para concluir o processo de entrada, insira o código de 6 dígitos fornecido na mensagem SMS no prompt de entrada.
O usuário agora está conectado sem a necessidade de fornecer um nome de usuário ou uma senha.
Solucionar problemas de entrada baseada em SMS
Os cenários e as etapas de solução de problemas a seguir poderão ser usados se você tiver problemas com a habilitação e o uso de entrada baseada em SMS. Para obter uma lista de aplicativos que dão suporte ao uso de credenciais baseada em SMS, confira Suporte de aplicativo para autenticação baseada em SMS.
Número de telefone já definido para uma conta de usuário
Se um usuário já estiver sido registrado para a autenticação multifator do Microsoft Entra e/ou SSPR (redefinição de senha self-service), ele já terá um número de telefone associado à sua conta. Esse número de telefone não está disponível automaticamente para uso com a entrada baseada em SMS.
Um usuário com um número de telefone já definido para sua conta vê um botão para Habilitar para entrada de SMS na página Meu Perfil. Selecione esse botão e a conta será habilitada para uso com a entrada baseada em SMS e a autenticação multifator do Microsoft Entra ou o registro SSPR anterior.
Para obter mais informações sobre a experiência do usuário final, confira Experiência do usuário de entrada de SMS para número de telefone (versão prévia).
Erro ao tentar definir um número de telefone na conta de um usuário
Se você receber um erro ao tentar definir um número de telefone para uma conta de usuário no centro de administração do Microsoft Entra, examine as seguintes etapas de solução de problemas:
- Verifique se você está habilitado para a entrada baseada em SMS.
- Confirme se a conta do usuário está habilitada na política do método de autenticação por SMS.
- Defina o número de telefone com a formatação adequada, conforme validado no centro de administração do Microsoft Entra (como +1 4251234567).
- Verifique se o número de telefone não é usado em outro lugar em seu locatário.
- Verifique se não há número de voz definido na conta. Se um número de voz estiver definido, exclua e tente novamente o número de telefone.
Próximas etapas
- Para obter uma lista de aplicativos que dão suporte ao uso de credenciais baseada em SMS, confira Suporte de aplicativo para autenticação baseada em SMS.
- Para obter outras maneiras de entrar no Microsoft Entra sem uma senha, como o aplicativo Microsoft Authenticator ou as chaves de segurança FIDO2, confira Opções de autenticação sem senha para o Microsoft Entra.
- Você também pode usar a API REST do Microsoft Graph para habilitar ou desabilitar a entrada baseada em SMS.