Habilitar a autenticação multifator individual do Microsoft Entra para proteger eventos de entrada
Para proteger eventos de entrada de usuário no Microsoft Entra ID, você pode exigir a MFA (autenticação multifator) do Microsoft Entra. A melhor maneira de proteger os usuários com a MFA do Microsoft Entra é criar uma política de Acesso Condicional. O Acesso Condicional é um recurso Microsoft Entra ID P1 ou P2 que permite aplicar regras a fim de exigir a MFA, se necessário, em determinados cenários. Para começar a usar o Acesso Condicional, confira Tutorial: Proteger eventos de entrada do usuário com a autenticação multifator do Microsoft Entra.
Para os locatários gratuitos do Microsoft Entra ID sem Acesso Condicional, você pode usar os padrões de segurança para proteger os usuários. A MFA será solicitada dos usuários conforme necessário, mas você não pode definir regras próprias para controlar o comportamento.
Se necessário, em vez disso, você pode habilitar cada conta para a MFA por usuário do Microsoft Entra. Quando você habilita os usuários individualmente, eles executam a MFA sempre que entram. Há algumas exceções, como quando eles se conectam a partir de endereços IP confiáveis ou quando o recurso lembrar MFA em dispositivos confiáveis está ativado.
Não é recomendável alterar os estados do usuário, a menos que suas licenças do Microsoft Entra ID não incluam o Acesso Condicional e você não queira usar os padrões de segurança. Para obter mais informações sobre as diferentes maneiras de habilitar a MFA, confira Recursos e licenças para a autenticação multifator do Microsoft Entra.
Importante
Este artigo fornece detalhes sobre como exibir e alterar o status da autenticação multifator individual do Microsoft Entra. Se você usa o Acesso Condicional ou os padrões de segurança, não examine ou habilite as contas de usuário usando essas etapas.
Habilitar a Autenticação Multifator do Microsoft Entra por meio de uma política de Acesso Condicional não altera o estado do usuário. Não se assuste se os usuários parecem desabilitados. O Acesso Condicional não altera o estado.
Não habilite nem imponha a autenticação multifator individual do Microsoft Entra se você usa políticas de Acesso Condicional.
Estados de usuário da autenticação multifator do Microsoft Entra
O estado de um usuário reflete se um administrador de autenticação o registrou na autenticação multifator por usuário do Microsoft Entra. As contas de usuário na autenticação multifator do Microsoft Entra apresentam os três seguintes estados distintos:
State | Descrição | Autenticação herdada afetada | Aplicativos que usam o navegador afetados | Autenticação moderna afetada |
---|---|---|---|---|
Desabilitadas | O estado padrão para um usuário não inscrito na autenticação multifator individual do Microsoft Entra. | Não | No | Não |
Habilitado | O usuário está inscrito na autenticação multifator individual do Microsoft Entra, mas ainda pode usar a própria senha para autenticação herdada. Se o usuário ainda não tiver registrado os métodos de autenticação MFA, ele receberá uma solicitação para se registrar da próxima vez que entrar usando a autenticação moderna (como por meio de um navegador da Web). | Não. A autenticação herdada continuará funcionando até que o processo de registro seja concluído. | Sim. Depois que a sessão expirar, o registro da autenticação multifator do Microsoft Entra será exigido. | Sim. Depois que o token de acesso expirar, o registro da autenticação multifator do Microsoft Entra será exigido. |
Imposto | Cada usuário é registrado individualmente na autenticação multifator do Microsoft Entra. Se o usuário ainda não tiver registrado os métodos de autenticação, ele receberá uma solicitação para se registrar da próxima vez que entrar usando a autenticação moderna (como por meio de um navegador da Web). Os usuários que concluírem o registro enquanto estiverem no estado Habilitado serão automaticamente movidos para o estado Imposto. | Sim. Os aplicativos exigem senhas de aplicativo. | Sim. A autenticação multifator do Microsoft Entra é necessária na entrada. | Sim. A autenticação multifator do Microsoft Entra é necessária na entrada. |
Todos os usuários começam com o status Desabilitado. Quando você inscreve os usuários na autenticação multifator individual do Microsoft Entra, o estado deles é alterado para Habilitado. Quando usuários habilitados entram e concluem o processo de registro, seu estado é alterado para Imposto. Os administradores podem mover os usuários entre os estados disponíveis, como de Imposto para Habilitado ou Desabilitado.
Observação
Se a MFA individual for habilitada novamente em um usuário e ele não se registrar, o estado de MFA dele não fará a transição de Habilitado para Imposto na interface do usuário do gerenciamento da MFA. O administrador deverá mover o usuário diretamente para Imposto.
Exibir o status de um usuário
A experiência de administração de MFA por usuário no centro de administração do Microsoft Entra foi aprimorada recentemente. Para gerenciar essas configurações de usuário, conclua as seguintes etapas:
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
Navegue até Identidade>Usuários>Todos os usuários.
Selecione uma conta de usuário e clique em Configurações de MFA do usuário.
Se fizer alguma alteração, clique em Salvar.
Se você tentar classificar milhares de usuários, o resultado poderá retornar normalmente Não há usuários para exibir. Tente inserir critérios de pesquisa mais específicos para restringir a pesquisa ou aplique filtros específicos de Status ou Visualização.
Durante a transição para a nova experiência de MFA por usuário, você também pode acessar a experiência de MFA herdada por usuário. O formato é:
https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx?tenantId=${userTenantID}
Para obter o userTenantID
, copie a ID do locatário na página Visão geral no centro de administração do Microsoft Entra. Em seguida, siga estas etapas para exibir o status de um usuário com a experiência herdada:
- Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.
- Navegue até Identidade>Usuários>Todos os usuários.
- Selecione MFA por usuário.
- Uma nova página abre e exibe o estado do usuário, conforme mostrado no exemplo a seguir.
Alterar o status de um usuário
Para alterar o estado de autenticação multifator individual do Microsoft Entra para um usuário, execute as seguintes etapas:
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
Navegue até Identidade>Usuários>Todos os usuários.
Selecione uma conta de usuário e clique em Habilitar MFA.
Dica
Os usuários com status Habilitado têm esse status alterado automaticamente para o status Imposto ao se registrarem para a autenticação multifator do Microsoft Entra. Não altere manualmente o estado do usuário para Imposto, a menos que o usuário já esteja registrado ou se for aceitável que ele enfrente interrupções nas conexões com os protocolos de autenticação herdados.
Confirme sua seleção na janela pop-up que é aberta.
Depois de habilitar os usuários, notifique-os por email. Informe aos usuários que um aviso é exibido para pedir que eles se registrem no próximo acesso. Se sua organização usa aplicativos que não são executados em um navegador ou dão suporte à autenticação moderna, você pode criar senhas de aplicativo. Para mais informações, conifra Implementar a autenticação multifator do Microsoft Entra com aplicativos herdados usando senhas de aplicativo.
Use o Microsoft Graph para gerenciar MFA por usuário
Você pode gerenciar configurações de MFA por usuário usando a API REST Beta do Microsoft Graph. Você pode usar o tipo de recurso de autenticação para expor estados do método de autenticação para usuários.
Para gerenciar MFA por usuário, use a propriedade perUserMfaState em users/id/authentication/requirements. Para obter mais informações, veja tipo de recurso strongAuthenticationRequirements.
Exibir o estado da MFA por usuário
Para recuperar o estado de autenticação multifator por usuário para um usuário:
GET /users/{id | userPrincipalName}/authentication/requirements
Por exemplo:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Se o usuário estiver habilitado para MFA por usuário, a resposta será:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Para obter mais informações, veja Obter estados do método de autenticação.
Alterar o estado do MFA para um usuário
Para alterar o estado de autenticação multifator de um usuário, use os strongAuthenticationRequirements do usuário. Por exemplo:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
Se for bem-sucedido, a resposta será:
HTTP/1.1 204 No Content
Para obter mais informações, veja Atualizar estados do método de autenticação.
Próximas etapas
Para definir as configurações de autenticação multifator do Microsoft Entra, consulte Definir configurações de autenticação multifator do Microsoft Entra.
Para gerenciar as configurações do usuário para a autenticação multifator do Microsoft Entra, consulte Gerenciar as configurações de usuário com a autenticação multifator do Microsoft Entra.
Para entender por que um usuário foi solicitado ou não a executar a MFA, confira Relatórios de autenticação multifator do Microsoft Entra.