Habilite a autenticação multifator do Microsoft Entra por usuário para proteger eventos de entrada
Para proteger eventos de entrada do usuário no Microsoft Entra ID, você pode exigir a autenticação multifator (MFA) do Microsoft Entra. A melhor maneira de proteger os usuários com o Microsoft Entra MFA é criar uma política de Acesso Condicional. O Acesso Condicional é um recurso do Microsoft Entra ID P1 ou P2 que permite aplicar regras para exigir MFA, conforme necessário, em determinados cenários. Para começar a usar o Acesso Condicional, consulte Tutorial: Eventos de entrada de usuário seguro com a autenticação multifator do Microsoft Entra.
Para locatários do Microsoft Entra ID Free sem Acesso Condicional, você pode usar padrões de segurança para proteger os usuários. Os usuários são solicitados a fornecer MFA conforme necessário, mas você não pode definir suas próprias regras para controlar o comportamento.
Se necessário, você pode, em vez disso, habilitar cada conta para o Microsoft Entra MFA por usuário. Quando você habilita os usuários individualmente, eles executam MFA cada vez que entram. Você pode habilitar exceções, como quando eles entram a partir de endereços IP confiáveis ou quando o recurso lembrar MFA em dispositivos confiáveis está ativado.
A alteração dos estados do usuário não é recomendada, a menos que suas licenças do Microsoft Entra ID não incluam Acesso Condicional e você não queira usar padrões de segurança. Para obter mais informações sobre as diferentes maneiras de habilitar o MFA, consulte Recursos e licenças para autenticação multifator do Microsoft Entra.
Importante
Este artigo detalha como exibir e alterar o status da autenticação multifator do Microsoft Entra por usuário. Se utilizar o Acesso Condicional ou predefinições de segurança, não revê nem ativa contas de utilizador utilizando estes passos.
Habilitar a autenticação multifator do Microsoft Entra por meio de uma política de Acesso Condicional não altera o estado do usuário. Não se assuste se os usuários aparecerem desativados. O Acesso Condicional não altera o estado.
Não habilite ou imponha a autenticação multifator do Microsoft Entra por usuário se você usar políticas de Acesso Condicional.
Estados do usuário de autenticação multifator do Microsoft Entra
O estado de um usuário reflete se um Administrador de Autenticação o inscreveu na autenticação multifator do Microsoft Entra por usuário. As contas de usuário na autenticação multifator do Microsoft Entra têm os seguintes três estados distintos:
| Condição | Description | Autenticação herdada afetada | Aplicações do navegador afetadas | Autenticação moderna afetada |
|---|---|---|---|---|
| Desativado | O estado padrão para um usuário não inscrito na autenticação multifator do Microsoft Entra por usuário. | No | No | Não |
| Ativado(a) | O usuário está inscrito na autenticação multifator do Microsoft Entra por usuário, mas ainda pode usar sua senha para autenticação herdada. Se o usuário não tiver métodos de autenticação MFA registrados, ele receberá uma solicitação para se registrar na próxima vez que entrar usando a autenticação moderna (como quando entrar em um navegador da Web). | N.º A autenticação herdada continua a funcionar até que o processo de registro seja concluído. | Sim. Depois que a sessão expirar, o registro de autenticação multifator do Microsoft Entra é necessário. | Sim. Depois que o token de acesso expirar, o registro de autenticação multifator do Microsoft Entra será necessário. |
| Imposto | O usuário está inscrito por usuário na autenticação multifator do Microsoft Entra. Se o usuário não tiver métodos de autenticação registrados, ele receberá uma solicitação para se registrar na próxima vez que entrar usando a autenticação moderna (como quando entrar em um navegador da Web). Os usuários que concluírem o registro enquanto estiverem Habilitados serão automaticamente movidos para o estado Aplicado. | Sim. As aplicações requerem palavras-passe das aplicações. | Sim. A autenticação multifator do Microsoft Entra é necessária no início de sessão. | Sim. A autenticação multifator do Microsoft Entra é necessária no início de sessão. |
Todos os usuários começam Desativado. Quando você inscreve usuários na autenticação multifator do Microsoft Entra por usuário, seu estado muda para Habilitado. Quando os usuários habilitados entram e concluem o processo de registro, seu estado muda para Imposto. Os administradores podem mover usuários entre estados, inclusive de Imposto para Habilitado ou Desabilitado.
Nota
Se a MFA por usuário for reativada em um usuário e o usuário não se registrar novamente, seu estado de MFA não passará de Habilitado para Imposto na interface do usuário de gerenciamento de MFA. O administrador deve mover o usuário diretamente para Enforced.
Ver o estado de um utilizador
A experiência de administração de MFA por usuário no centro de administração do Microsoft Entra foi recentemente melhorada. Para exibir e gerenciar os estados do usuário, conclua as seguintes etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Aceder a Identidade>Utilizadores>Todos os Utilizadores.
Selecione uma conta de usuário e clique em Configurações de MFA do usuário.
Depois de fazer as alterações, clique em Salvar.
Se você tentar classificar milhares de usuários, o resultado pode retornar graciosamente Não há usuários para exibir. Tente inserir critérios de pesquisa mais específicos para restringir a pesquisa ou aplicar filtros específicos de Status ou Exibição .
Durante a transição para a nova experiência de MFA por usuário, você também pode acessar a experiência de MFA herdada por usuário. O formato é:
https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx?tenantId=${userTenantID}
Para obter o userTenantID, copie a ID do locatário na página Visão geral no centro de administração do Microsoft Entra. Em seguida, siga estas etapas para exibir o status de um usuário com a experiência herdada:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Autenticação.
- Aceder a Identidade>Utilizadores>Todos os Utilizadores.
- Selecione MFA por utilizador.
- É aberta uma nova página que exibe o estado do usuário, conforme mostrado no exemplo a seguir.
Alterar o estado de um utilizador
Para alterar o estado de autenticação multifator do Microsoft Entra por usuário para um usuário, conclua as seguintes etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Aceder a Identidade>Utilizadores>Todos os Utilizadores.
Selecione uma conta de usuário e clique em Habilitar MFA.
Gorjeta
Os usuários habilitados são automaticamente alternados para Imposto quando se registram para a autenticação multifator do Microsoft Entra. Não altere manualmente o estado do usuário para Obrigatório , a menos que o usuário já esteja registrado ou se for aceitável que o usuário sofra interrupção em conexões com protocolos de autenticação herdados.
Confirme a sua seleção na janela pop-up que se abre.
Depois de habilitar os usuários, notifique-os por e-mail. Diga aos usuários que um prompt será exibido para solicitar que eles se registrem na próxima vez que entrarem. Se sua organização usa aplicativos que não são executados em um navegador ou oferecem suporte à autenticação moderna, você pode criar senhas de aplicativos. Para obter mais informações, consulte Impor a autenticação multifator do Microsoft Entra com aplicativos herdados usando senhas de aplicativo.
Usar o Microsoft Graph para gerenciar MFA por usuário
Você pode gerenciar as configurações de MFA por usuário usando o Microsoft Graph REST API Beta. Você pode usar o tipo de recurso de autenticação para expor os estados do método de autenticação para os usuários.
Para gerenciar MFA por usuário, use a propriedade perUserMfaState em users/id/authentication/requirements. Para obter mais informações, consulte strongAuthenticationRequirements tipo de recurso.
Exibir estado de MFA por usuário
Para recuperar o estado de autenticação multifator por usuário para um usuário:
GET /users/{id | userPrincipalName}/authentication/requirements
Por exemplo:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Se o usuário estiver habilitado para MFA por usuário, a resposta será:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Para obter mais informações, consulte Obter estados do método de autenticação.
Alterar o estado de MFA de um usuário
Para alterar o estado de autenticação multifator de um usuário, use strongAuthenticationRequirements do usuário. Por exemplo:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
Se for bem-sucedida, a resposta é:
HTTP/1.1 204 No Content
Para obter mais informações, consulte Atualizar estados do método de autenticação.
Próximos passos
Para definir as configurações de autenticação multifator do Microsoft Entra, consulte Configurar as configurações de autenticação multifator do Microsoft Entra.
Para gerenciar as configurações do usuário para a autenticação multifator do Microsoft Entra, consulte Gerenciar configurações do usuário com a autenticação multifator do Microsoft Entra.
Para entender por que um usuário foi solicitado ou não a executar MFA, consulte Relatórios de autenticação multifator do Microsoft Entra.