Essas perguntas frequentes respondem a perguntas comuns sobre a autenticação multifator do Microsoft Entra e o uso do serviço de autenticação multifator. Ele é dividido em perguntas sobre o serviço em geral, modelos, experiências do usuário, de cobrança e solução de problemas.
Importante
Em setembro de 2022, a Microsoft anunciou a reprovação do Servidor de Autenticação Multifator. A partir de 30 de setembro de 2024, as implantações do Servidor de Autenticação Multifator não atenderão mais às solicitações de MFA (autenticação multifator), o que poderá causar falhas de autenticação na sua organização. Para garantir serviços de autenticação ininterruptos e permanecer em um estado com suporte, as organizações devem migrar os dados de autenticação de seus usuários para o serviço de autenticação multifator do Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização mais recente do Servidor da MFA. Para obter mais informações, confira Migração do Servidor MFA.
Geral
Como o Servidor de Autenticação Multifator do Azure lida com os dados do usuário?
Com o Servidor de Autenticação Multifator, os dados do usuário são armazenados apenas em servidores locais. Nenhum dado de usuário persistente é armazenado na nuvem. Quando o usuário executa a verificação em duas etapas, o Servidor de Autenticação Multifator envia dados para o serviço de nuvem de autenticação multifator do Microsoft Entra para autenticação. A comunicação entre o Servidor de Autenticação Multifator e o serviço de nuvem de autenticação multifator usa o protocolo SSL ou o protocolo TLS pela porta de saída 443.
Quando solicitações de autenticação são enviadas ao serviço de nuvem, dados são coletados para relatórios de autenticação e uso. Os campos de dados a seguir estão incluídos em logs de verificação em duas etapas:
- ID Exclusiva (ou o nome de usuário, ou a ID do Servidor de Autenticação Multifator local)
- Nome e Sobrenome (opcional)
- Endereço de Email (opcional)
- Número de telefone (ao usar uma chamada de voz ou autenticação de mensagem de texto)
- Token de Dispositivo (ao usar a autenticação de aplicativos móveis)
- Modo de Autenticação
- Resultado da autenticação
- Nome do Servidor de Autenticação Multifator
- IP do Servidor de Autenticação Multifator
- IP do Cliente (se disponível)
Os campos opcionais podem ser configurados no Servidor de Autenticação Multifator.
O resultado de verificação (sucesso ou negação) e o motivo se ele foi negado, é armazenado com os dados de autenticação. Esses dados estão disponíveis em relatórios de uso e de autenticação.
Para obter mais informações, confira Residência de dados e dados do cliente para a autenticação multifator do Microsoft Entra.
Quais códigos curtos são usados para enviar mensagens de texto aos meus usuários?
Nos Estados Unidos, usamos os seguintes códigos curtos:
- 97671
- 69829
- 51789
- 99399
No Canadá, usamos os seguintes códigos curtos:
- 759731
- 673801
Não há garantia de uma entrega contínua de prompt de autenticação multifator com base em voz ou mensagem de texto pelo mesmo número. Pensando no melhor para nossos usuários, podemos adicionar ou remover códigos curtos a qualquer momento, pois fazemos ajustes de rota para melhorar a capacidade de entrega de SMS.
Não damos suporte a códigos curtos para países ou regiões além dos Estados Unidos e do Canadá.
A autenticação multifator do Microsoft Entra limita as entradas do usuário?
Sim, em determinados casos que normalmente envolvem solicitações de autenticação repetidas em um curto período de tempo, a autenticação multifator do Microsoft Entra limitará as tentativas de entrada do usuário para proteger redes de telecomunicações, reduzir ataques por excesso de MFA e proteger seus próprios sistemas para o bem de todos os clientes.
Embora não compartilhemos limites de limitação específicos, eles são baseados em uso razoável.
A minha organização é cobrada por enviar as mensagens de texto e realizar as chamadas telefônicas usadas para autenticação?
Não, você não é cobrado por ligações individuais realizadas ou mensagens de texto enviadas aos usuários por meio da autenticação multifator do Microsoft Entra. Se usar um provedor MFA por autenticação, você será cobrado para cada autenticação, mas não para o método usado.
Os usuários podem ser cobrados por chamadas telefônicas ou mensagens de texto recebidas, de acordo com seu serviço de telefone pessoal.
O modelo de cobrança por usuário me cobra por todos os usuários habilitados ou somente pelos que executaram a verificação em duas etapas?
A cobrança tem como base o número de usuários configurados para usar a autenticação multifator, independentemente deles terem executado uma verificação de duas etapas naquele mês.
Como funciona a cobrança de autenticação multifator?
Quando você cria um provedor MFA por usuário ou por autenticação, a assinatura do Azure da sua organização é cobrada mensalmente com base no uso. Esse modelo de cobrança é semelhante às listas como o Azure para uso de máquinas virtuais e Aplicativos Web.
Quando você compra uma assinatura da autenticação multifator do Microsoft Entra, sua organização só paga o valor anual de licença para cada usuário. As licenças da MFA e os pacotes do Microsoft 365, do Microsoft Entra ID P1 ou P2 ou do Enterprise Mobility + Security são cobrados dessa forma.
Para obter mais informações, consulte Como obter a autenticação multifator do Microsoft Entra.
Existe uma versão gratuita de autenticação multifator do Microsoft Entra?
Os padrões de segurança podem ser habilitados na Camada gratuita do Microsoft Entra ID. Com os padrões de segurança, todos os usuários são habilitados para autenticação multifator usando o aplicativo do Microsoft Authenticator. Não há a possibilidade de usar a verificação por telefone ou mensagem de texto com padrões de segurança, apenas o aplicativo Microsoft Authenticator.
Para obter mais informações, leia O que são padrões de segurança?
Minha organização pode alternar entre os modelos de cobrança de consumo por usuário e por autenticação a qualquer momento?
Se sua organização adquirir o MFA como um serviço autônomo de cobrança com base em consumo, escolha um modelo de cobrança ao criar um provedor MFA. Depois que um provedor MFA for criado, você não poderá alterar o modelo de cobrança.
Se o provedor de MFA não estiver vinculado a um locatário do Microsoft Entra, ou se você vincular o novo provedor de MFA a um locatário diferente do Microsoft Entra, as opções de definições e configuração de usuário não serão transferidas. Além disso, os servidores MFA existentes precisarão ser reativados usando as credenciais de ativação geradas por meio do novo provedor de MFA. Reativar os servidores MFA para vinculá-los para o novo provedor de MFA não afete de telefonema e autenticação de mensagens de texto, mas as notificações de aplicativo móvel deixará de funcionar para todos os usuários até que eles reativarem o aplicativo móvel.
Saiba mais sobre provedores de MFA em Introdução a um provedor de autenticação multifator do Azure.
Minha organização pode trocar alternar entre a cobrança baseada no consumo e assinaturas (um modelo baseado em licença) a qualquer momento?
Em alguns casos, sim.
Se o seu diretório tiver um provedor de autenticação multifator do Microsoft Entra por usuário, você pode adicionar licenças do MFA. Os usuários com licenças não são somados na cobrança baseada em consumo por usuário. Os usuários sem licenças ainda podem ser habilitados para MFA através do provedor MFA. Se você comprar e atribuir licenças para todos os usuários configurados usarem a autenticação multifator, será possível excluir o provedor de autenticação multifator do Microsoft Entra. Você sempre pode criar outro provedor MFA por usuário, se você tiver mais usuários do que licenças no futuro.
Se o diretório tiver um provedor de autenticação multifator do Microsoft Entra por autenticação, você será cobrado sempre por cada autenticação, desde que o provedor de MFA esteja vinculado à sua assinatura. Você pode atribuir licenças MFA para os usuários, mas você ainda será cobrado para cada solicitação de verificação em duas etapas, se se trata de uma pessoa com uma licença MFA atribuída ou não.
Minha organização precisa usar e sincronizar identidades para usar a autenticação multifator do Microsoft Entra?
Se a sua organização usa um modelo de cobrança baseado em consumo, o Microsoft Entra ID é opcional, mas não é necessário. Se o provedor de MFA não estiver vinculado a um locatário do Microsoft Entra, só será possível implantar o Servidor de Autenticação Multifator do Microsoft Azure localmente.
O Microsoft Entra ID é necessário para o modelo de licença porque as licenças são adicionadas ao locatário do Microsoft Entra quando você compra e as atribui aos usuários no diretório.
Gerenciar e dar suporte a contas de usuário
O que devo dizer para meus usuários fazerem se eles não receberem uma resposta no telefone deles?
Peça para os usuários tentarem até cinco vezes em cinco minutos para receberem uma chamada telefônica ou mensagem de texto para autenticação. A Microsoft usa vários provedores para entregar mensagens de texto e chamadas. Se essa abordagem não funcionar, abra um caso de suporte para solucionar problemas posteriormente.
Os aplicativos de segurança de terceiros também podem bloquear a mensagem de texto do código de verificação ou a chamada telefônica. Se estiver usando um aplicativo de segurança de terceiros, tente desabilitar a proteção e, em seguida, solicite o envio de outro código de verificação de MFA.
Se as etapas acima não funcionarem, verifique se os usuários estão configurados para mais de um método de verificação. Tente entrar novamente, mas selecione um método de verificação diferente na página de entrada.
Para obter mais informações, confira o guia de solução de problemas do usuário final.
O que devo fazer se um dos meus usuários não conseguir acessar a própria conta?
Você pode redefinir a conta do usuário fazendo com que ele refaça o processo de registro. Saiba mais sobre Como gerenciar configurações de usuário e dispositivo com a autenticação multifator na nuvem do Microsoft Entra.
O que devo fazer se um dos meus usuários perder um telefone que está usando senhas de aplicativo?
Para evitar acesso não autorizado, exclua as senhas do todos os usuários aplicativo. Depois que o usuário tiver outro dispositivo, ele poderá recriar as senhas. Saiba mais sobre Como gerenciar configurações de usuário e dispositivo com a autenticação multifator na nuvem do Microsoft Entra.
E se um usuário não conseguir entrar em aplicativos que não são acessados por navegador?
Se sua organização usa ainda clientes herdados e você permitido o uso de senhas de aplicativo, em seguida, os usuários não conseguem entrar nesses clientes herdados com seu nome de usuário e senha. Em vez disso, eles precisam configurar senhas de aplicativo. Os usuários devem limpar (excluir) suas informações de logon, reinicie o aplicativo e entre com seu nome de usuário e senha de aplicativo em vez de regulares de senha.
Se a sua organização não tiver clientes herdados, você não deverá permitir que os usuários criem senhas de aplicativo.
Observação
Autenticação moderna para clientes do Office 2013
Senhas de aplicativo são necessárias apenas para aplicativos que não suportam autenticação moderna. Clientes do Office 2013 oferece suporte aos protocolos de autenticação moderna, mas precisam ser configurados. A autenticação moderna está disponível para qualquer cliente que execute a atualização de março de 2015 ou posterior para o Office 2013. Para obter mais informações, consulte a postagem no blog Autenticação moderna do Office 365 atualizada.
Meus usuários dizem que, às vezes, não recebem a mensagem de texto ou que a verificação atinge o tempo limite.
A entrega de mensagens de texto não é garantida, pois há fatores incontroláveis que podem afetar a confiabilidade do serviço. Esses fatores incluem a região ou o país de destino, a operadora de celular e a intensidade do sinal.
Os aplicativos de segurança de terceiros também podem bloquear a mensagem de texto do código de verificação ou a chamada telefônica. Se estiver usando um aplicativo de segurança de terceiros, tente desabilitar a proteção e, em seguida, solicite o envio de outro código de verificação de MFA.
Se os usuários geralmente têm problemas de forma segura, receber mensagens de texto, informe ao usar o método de chamada telefônica ou o aplicativo Microsoft Authenticator. O Microsoft Authenticator pode receber notificações em conexões de Wi-Fi e celular. Além disso, o aplicativo móvel pode gerar códigos de verificação mesmo quando o dispositivo não tem sinal. O aplicativo Microsoft Authenticator está disponível para Android, iOS e Windows Phone.
Posso alterar a quantidade de tempo que meus usuários precisam inserir o código de verificação de uma mensagem de texto antes do sistema expira?
Em alguns casos, Sim.
Para o SMS unidirecional com o Servidor MFA v7.0 ou posterior, você pode configurar o tempo limite de configuração definindo uma chave do registro. Depois que o serviço de nuvem MFA envia a mensagem de texto, o código de verificação (ou a senha de uso único) é retornada para o Servidor MFA. O Servidor MFA armazena o código na memória para 300 segundos por padrão. Se o usuário insere seu código depois de 300 segundos, a autenticação será negada. Siga estas etapas para alterar a configuração de tempo limite padrão:
- Ir para
HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor
. - Crie uma chave de registro DWORD chamada pfsvc_pendingSmsTimeoutSeconds e defina o tempo em segundos que você deseja que o servidor MFA armazene senhas de uso único.
Dica
Se você tiver vários Servidores MFA, apenas aquele que processam a solicitação de autenticação original sabem o código de verificação que foi enviado ao usuário. Quando o usuário insere o código, a solicitação de autenticação para validação deve ser enviada para o mesmo servidor. Se a validação de código é enviada para um servidor diferente, a autenticação será negada.
Se os usuários não responderem ao SMS dentro do período de tempo limite definido, a autenticação será negada.
Para SMS unidirecional com a autenticação multifator do Microsoft Entra na nuvem (incluindo o adaptador do AD FS ou a extensão do Servidor de Política de Rede), você não pode definir a configuração de tempo limite. O Microsoft Entra ID armazena o código de verificação por 180 segundos.
Posso usar tokens de hardware com o Servidor de Autenticação Multifator?
Se estiver usando o Servidor de Autenticação Multifator, você poderá importar tokens de terceiros com TOTP (senha de uso único) baseados no tempo de OATH (Autenticação Aberta) e usá-los com a verificação em duas etapas.
Será possível usar tokens ActiveIdentity que sejam TOTP OATH se você colocar a chave secreta em um arquivos CSV e o importar para o Servidor de Autenticação Multifator. É possível usar tokens OATH com os Serviços de Federação do Active Directory (ADFS), a autenticação baseada em formulários do Servidor de Informações da Internet (IIS) e o serviço RADIUS, quando o sistema cliente aceita entradas do usuário.
Você pode importar tokens OATH TOTP de terceiros com os seguintes formatos:
- PSKC (Contêiner Portátil de Chave Simétrica)
- CSV se o arquivo contiver um número de série, uma chave secreta no formato de Base 32 e um intervalo de tempo
Posso usar o Servidor de Autenticação Multifator para proteger os Serviços de Terminal?
Sim, mas se estiver usando o Windows Server 2012 R2 ou posterior apenas, você poderá proteger os Serviços de Terminal usando o Gateway de Área de Trabalho Remota (Gateway RD).
As alterações de segurança no Windows Server 2012 R2 mudaram a forma como o Servidor de Autenticação Multifator se conecta ao pacote de segurança LSA (Autoridade de Segurança Local) no Windows Server 2012 e versões anteriores. Para versões dos Serviços de Terminal no Windows Server 2012 ou anteriores, você pode proteger um aplicativo com a Autenticação do Windows. Se estiver usando o Windows Server 2012 R2, você precisará do Gateway RD.
Eu configurei uma ID de chamadas no servidor de MFA, mas os usuários ainda recebem chamadas de autenticação multifator de um chamador anônimo.
Quando as chamadas da autenticação multifator são feitas pela rede telefônica pública, às vezes, elas são roteadas por uma operadora que não é compatível com a ID de chamadas. Devido a esse comportamento da operadora, a ID de chamadas não é garantida, mesmo que o sistema da autenticação multifator sempre a envie.
Por que meus usuários estão sendo solicitados para registrar as informações de segurança?
Há vários motivos que os usuários podem ser solicitados para registrar as informações de segurança:
- O usuário foi habilitado para obter MFA pelo administrador no Microsoft Entra ID, mas ainda não tem informações de segurança registradas em sua conta.
- O usuário foi habilitado para fazer a redefinição de senha self-service no Microsoft Entra ID. As informações de segurança ajudará a redefinir sua senha no futuro, se ele esquecerem.
- O usuário acessou um aplicativo que tem uma política de acesso condicional para exigir a MFA e não foi registrado anteriormente para MFA.
- O usuário está registrando um dispositivo com o Microsoft Entra ID (incluindo a junção do Microsoft Entra) e sua organização exige a MFA para registrar dispositivos, mas o usuário não foi registrado anteriormente para MFA.
- O usuário está gerando Windows Hello para Empresas no Windows 10 (que exige MFA) e não foi registrado anteriormente para MFA.
- A organização criou e ativado uma diretiva de registro de MFA que foi aplicada ao usuário.
- O usuário registrado para MFA anteriormente, mas escolher um método de verificação que um administrador como desabilitado. O usuário, portanto, deve passar pelo registro MFA novamente para selecionar um novo método de verificação padrão.
Errors
O que os usuários deverão fazer se receberem uma mensagem de erro "A solicitação de autenticação não é para uma conta ativada" ao usar notificações de aplicativo móvel?
Peça ao usuário para concluir o procedimento a seguir para remover sua conta da Microsoft Authenticator e, em seguida, adicioná-la novamente:
- Acesse o perfil da sua conta e entre com uma conta organizacional.
- Escolha Verificação de Segurança Adicional.
- Remova a conta existente do aplicativo Microsoft Authenticator.
- Clique em Configurare siga as instruções para reconfigurar o Microsoft Authenticator.
O que os usuários deverão fazer se receberem uma mensagem de erro 0x800434D4L ao entrar em um aplicativo que não é de navegador?
O erro 0x800434D4L ocorre ao tentar entrar em um aplicativo sem navegador, instalado em um computador local, que não funciona com contas que exigem a verificação em duas etapas.
Uma solução alternativa para esse erro é ter contas de usuário separadas para operações administrativas e não administrativas. Posteriormente, você pode vincular caixas de correio entre a conta administrativa e a conta não administrativa para que seja possível entrar no Outlook usando a conta não administrativa. Para obter mais detalhes sobre isso, saiba como fornecer a um administrador a capacidade de abrir e exibir o conteúdo da caixa de correio de um usuário.
Quais são os possíveis motivos pelos quais um usuário falha, com o código de erro "LsaLogonUser falhou com NTSTATUS-1073741715 para o servidor MFA"?
Erro 1073741715 = falha de logon de status -> A tentativa de logon é inválida. Isso ocorre devido a um nome de usuário ou autenticação inválidos.
Um motivo plausível para esse erro: se as credenciais primárias inseridas estiverem corretas, poderá haver uma incompatibilidade entre a versão NTLM compatível no servidor MFA e no controlador de domínio. O servidor MFA é compatível apenas com a NTLMv1 (LmCompatabilityLevel = 1 a 4) e não com a NTLMv2 (LmCompatabilityLevel = 5).
Próximas etapas
Se sua pergunta não tiver sido respondida aqui, as seguintes opções de suporte estarão disponíveis:
- Pesquise a Base de Dados de Conhecimento de Suporte da Microsoft para obter soluções para problemas técnicos comuns.
- Pesquise e procure perguntas e respostas técnicas da comunidade ou faça sua própria pergunta nas Perguntas e respostas sobre o Microsoft Entra.
- Entre em contato com um profissional da Microsoft por meio do suporte do Servidor de Autenticação Multifator. Ao entrar em contato conosco, é útil incluir o máximo possível de informações sobre o problema. As informações que você pode fornecer incluem a página em que viu o erro, o código de erro específico, a ID da sessão específica e a ID do usuário que viu o erro.