Definir configurações de autenticação multifator do Microsoft Entra
Para personalizar a experiência do usuário final para a autenticação multifator (MFA) do Microsoft Entra, você pode configurar opções para configurações como limites de bloqueio de conta ou alertas e notificações de fraude.
Nota
Denunciar atividades suspeitas substitui os recursos herdados Bloquear/desbloquear usuários, Alerta de fraude e Notificações. Em 1º de março de 2025, os recursos legados serão removidos.
A tabela a seguir descreve as configurações do Microsoft Entra MFA e as subseções abordam cada configuração com mais detalhes.
Funcionalidade | Description |
---|---|
Bloqueio de conta (somente MFA Server) | Bloqueie temporariamente as contas de usar o Microsoft Entra MFA se houver muitas tentativas de autenticação negadas em uma linha. Esta funcionalidade aplica-se apenas a utilizadores que utilizam o MFA Server para introduzir um PIN para autenticação. |
Comunicar atividades suspeitas | Defina configurações que permitam aos usuários relatar solicitações de verificação fraudulentas. Denunciar atividades suspeitas substitui estes recursos: Bloquear/desbloquear usuários, Alerta de fraude e Notificações. |
Alerta de fraude | Este recurso será removido em 1º de março de 2025. Use Denunciar atividades suspeitas para permitir que os usuários relatem solicitações de verificação fraudulentas. |
Bloquear/desbloquear utilizadores | Este recurso será removido em 1º de março de 2025. Use Denunciar atividades suspeitas para permitir que os usuários relatem solicitações de verificação fraudulentas. Esses alertas são integrados ao Microsoft Entra ID Protection. Você pode usar políticas baseadas em risco ou criar seus próprios fluxos de trabalho usando eventos de deteção de risco para limitar temporariamente o acesso do usuário e corrigir o risco. |
Notificações | Este recurso será removido em 1º de março de 2025. Use Denunciar atividades suspeitas para permitir que os usuários relatem solicitações de verificação fraudulentas. Você pode usar notificações de risco ou criar seus próprios fluxos de trabalho usando eventos de deteção de risco para habilitar notificações por e-mail para eventos de fraude relatados pelo usuário. |
Tokens OATH | Usado em ambientes Microsoft Entra MFA baseados em nuvem para gerenciar tokens OATH para usuários. |
Configurações de chamadas telefônicas | Configure configurações relacionadas a chamadas telefônicas e saudações para ambientes locais e na nuvem. |
Provedores | Isso mostrará todos os provedores de autenticação existentes que você associou à sua conta. A adição de novos provedores será desativada a partir de 1º de setembro de 2018. |
Bloqueio de conta (somente MFA Server)
Nota
O bloqueio de conta afeta apenas os usuários que entram usando o MFA Server local.
Para evitar tentativas repetidas de MFA como parte de um ataque, as configurações de bloqueio de conta permitem especificar quantas tentativas falhadas devem ser permitidas antes que a conta seja bloqueada por um período de tempo. As configurações de bloqueio de conta são aplicadas somente quando um código PIN é inserido para o prompt de MFA usando o MFA Server local.
Estão disponíveis as seguintes definições:
- Número de recusas de MFA que desencadeiam o bloqueio da conta
- Minutos até que o contador de bloqueio de conta seja redefinido
- Minutos até que a conta seja desbloqueada automaticamente
Para definir as configurações de bloqueio de conta, conclua estas etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Proteção>Autenticação> multifator Bloqueio de conta. Talvez seja necessário clicar em Mostrar mais para ver a autenticação multifator.
Insira os valores para seu ambiente e selecione Salvar.
Comunicar atividades suspeitas
Denunciar atividades suspeitas substitui esses recursos herdados: Bloquear/desbloquear usuários, Alerta de fraude e Notificações.
Quando um prompt MFA desconhecido e suspeito é recebido, os usuários podem denunciar a tentativa de fraude usando o Microsoft Authenticator ou através do telefone. Esses alertas são integrados ao Microsoft Entra ID Protection para uma cobertura e capacidade mais abrangentes.
Os usuários que relatam um prompt de MFA como suspeito são definidos como Alto Risco do Usuário. Os administradores podem usar políticas baseadas em risco para limitar o acesso desses usuários ou habilitar a redefinição de senha de autoatendimento (SSPR) para que os usuários corrijam problemas por conta própria.
Se você usou anteriormente o recurso de bloqueio automático de Alerta de Fraude e não tem uma licença do Microsoft Entra ID P2 para políticas baseadas em risco, pode usar eventos de deteção de risco para identificar e desabilitar manualmente os usuários afetados ou configurar a automação usando fluxos de trabalho personalizados com o Microsoft Graph. Para obter mais informações sobre como investigar e remediar o risco do usuário, consulte:
Para ativar a denúncia de atividades suspeitas a partir das Configurações da política de métodos de autenticação:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue até Configurações dos métodos>de autenticação de proteção.>
- Defina Denunciar atividade suspeita como Ativado. O recurso permanece desativado se você escolher gerenciado pela Microsoft. Para obter mais informações sobre valores gerenciados pela Microsoft, consulte Protegendo métodos de autenticação no Microsoft Entra ID.
- Selecione Todos os usuários ou um grupo específico.
- Se você também carregar saudações personalizadas para seu locatário, selecione um código de relatório. O código de denúncia é o número que os usuários inserem em seus telefones para relatar atividades suspeitas. O código de relatório só é aplicável se as saudações personalizadas também forem carregadas por um Administrador de Política de Autenticação. Caso contrário, o código padrão é 0, independentemente de qualquer valor especificado na política.
- Clique em Guardar.
Nota
Se você habilitar Denunciar atividade suspeita e especificar um valor de relatório de voz personalizado enquanto o locatário ainda tiver o Alerta de Fraude habilitado em paralelo com um número de relatório de voz personalizado configurado, o valor Denunciar atividade suspeita será usado em vez de Alerta de Fraude.
Risco de correção para locatários com licença do Microsoft Entra ID P1
Quando um usuário relata um prompt de MFA como suspeito, o evento aparece no relatório de entradas (como uma entrada que foi rejeitada pelo usuário), nos logs de auditoria e no relatório de deteções de risco.
Relatório | Centro de Administração | Detalhes |
---|---|---|
Relatório de deteções de risco | Proteção>de identidade Deteção>de risco | Tipo de deteção: Atividade suspeita relatada pelo usuário Nível de risco: Alto Fonte Utilizador final reportado |
Relatório de entradas | Monitoramento de identidade>& integridade>Logs de entrada Detalhes>de autenticação | O detalhe do resultado será mostrado como MFA negado, código de fraude inserido |
Registos de auditoria | Monitoramento de identidade>& integridade>Logs de auditoria | O relatório de fraude aparecerá em Tipo de atividade Fraude comunicada |
Nota
Um usuário não é relatado como Alto Risco se executar autenticação sem senha.
Você também pode consultar deteções de risco e usuários sinalizados como arriscados usando o Microsoft Graph.
API | Detalhe |
---|---|
riskDetection tipo de recurso | riskEventType: userReportedSuspiciousActivity |
Lista de usuários arriscados | riskLevel = elevado |
Para correção manual, os administradores ou o helpdesk podem solicitar aos usuários que redefinissem suas senhas usando a redefinição de senha de autoatendimento (SSPR) ou fazê-lo em seu nome. Para correção automatizada, use as APIs do Microsoft Graph ou o PowerShell para criar um script que altere a senha do usuário, force o SSPR, revogue sessões de entrada ou desabilite temporariamente a conta do usuário.
Risco de correção para locatários com licença Microsoft Entra ID P2
Os locatários com uma licença do Microsoft Entra ID P2 podem usar políticas de Acesso Condicional baseadas em risco para corrigir automaticamente o risco do usuário, além das opções de licença do Microsoft Entra ID P2.
Configure uma política que analise o risco do usuário em Condições>Risco do usuário. Procure usuários onde o risco = alto para bloqueá-los de entrar ou exigir que eles redefinissem sua senha.
Para obter mais informações, consulte Política de acesso condicional baseada em risco de entrada.
Comunicar atividade suspeita e alerta de fraude
Denuncie atividades suspeitas e a implementação do Alerta de Fraude herdado pode operar em paralelo. Você pode manter a funcionalidade de alerta de fraude em todo o locatário enquanto começa a usar Denunciar atividades suspeitas com um grupo de teste direcionado.
Se o Alerta de Fraude estiver habilitado com o Bloqueio Automático e a Denúncia de atividades suspeitas estiver habilitada, o usuário será adicionado à lista de bloqueio e definido como de alto risco e no escopo para quaisquer outras políticas configuradas. Esses usuários precisarão ser removidos da lista de bloqueio e ter seu risco corrigido para permitir que eles entrem com MFA.
Alerta de fraudes
Denunciar atividade suspeita substitui o alerta de fraude devido à sua integração com o Microsoft Entra ID Protection para correção orientada por risco, melhores recursos de relatório e administração menos privilegiada. O recurso de alerta de fraude será removido em 1º de março de 2025.
O recurso de alerta de fraude permite que os usuários denunciem tentativas fraudulentas de acessar seus recursos. Quando um prompt MFA desconhecido e suspeito é recebido, os usuários podem denunciar a tentativa de fraude usando o aplicativo Microsoft Authenticator ou pelo telefone. As seguintes opções de configuração de alerta de fraude estão disponíveis:
Bloqueie automaticamente os utilizadores que denunciam fraudes. Se um usuário denunciar fraude, as tentativas de autenticação multifator do Microsoft Entra para a conta de usuário serão bloqueadas por 90 dias ou até que um administrador desbloqueie a conta. Um administrador pode rever os inícios de sessão utilizando o relatório de início de sessão e tomar as medidas adequadas para evitar fraudes futuras. Um administrador pode então desbloquear a conta do utilizador.
Código para denunciar fraudes durante a saudação inicial. Quando os usuários recebem uma chamada telefônica para executar a autenticação multifator, eles normalmente pressionam # para confirmar seu login. Para denunciar fraudes, o usuário insere um código antes de pressionar #. Esse código é 0 por padrão, mas você pode personalizá-lo. Se o bloqueio automático estiver habilitado, depois que o usuário pressionar 0# para denunciar fraude, ele precisará pressionar 1 para confirmar o bloqueio da conta.
Nota
As saudações de voz padrão da Microsoft instruem os usuários a pressionar 0# para enviar um alerta de fraude. Se você quiser usar um código diferente de 0, grave e carregue suas próprias saudações de voz personalizadas com instruções apropriadas para seus usuários.
Para habilitar e configurar alertas de fraude, conclua as seguintes etapas:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue até Alerta de fraude de autenticação>multifator de proteção>.
- Defina Permitir que os usuários enviem alertas de fraude para Ativado.
- Configure a configuração Bloquear automaticamente os usuários que denunciam fraudes ou Código para denunciar fraudes durante a saudação inicial, conforme necessário.
- Selecione Guardar.
Bloquear e desbloquear utilizadores
Denunciar atividade suspeita substitui o alerta de fraude devido à sua integração com o Microsoft Entra ID Protection para correção orientada por risco, melhores recursos de relatório e administração menos privilegiada. O recurso Bloquear/desbloquear usuários será removido em 1º de março de 2025.
Se o dispositivo de um usuário for perdido ou roubado, você poderá bloquear as tentativas de MFA do Microsoft Entra para a conta associada. Todas as tentativas de MFA do Microsoft Entra para usuários bloqueados são automaticamente negadas. O usuário não é desafiado com MFA por 90 dias a partir do momento em que é bloqueado.
Bloquear um utilizador
Para bloquear um usuário, conclua as etapas a seguir.
- Navegue até Proteção>Autenticação> multifator Bloquear/desbloquear usuários.
- Selecione Adicionar para bloquear um usuário.
- Digite o nome de usuário do usuário bloqueado no formato
username@domain.com
e, em seguida, forneça um comentário na caixa Motivo . - Selecione OK para bloquear o usuário.
Desbloquear um utilizador
Para desbloquear um usuário, conclua as seguintes etapas:
- Vá para Proteção>Multifator autenticação>Bloquear/desbloquear usuários.
- Na coluna Ação ao lado do usuário, selecione Desbloquear.
- Insira um comentário na caixa Motivo do desbloqueio .
- Selecione OK para desbloquear o usuário.
Notificações
Denunciar atividades suspeitas substitui as Notificações devido à sua integração com o Microsoft Entra ID Protection para correção orientada por risco, melhores recursos de relatório e administração menos privilegiada. O recurso Notificações será removido em 1º de março de 2025.
Você pode configurar o Microsoft Entra ID para enviar notificações por e-mail quando os usuários relatarem alertas de fraude. Essas notificações geralmente são enviadas aos administradores de identidade, porque as credenciais da conta do usuário provavelmente estão comprometidas. O exemplo a seguir mostra a aparência de um e-mail de notificação de alerta de fraude:
Para configurar notificações de alerta de fraude:
- Vá para Notificações de autenticação>multifator de proteção.>
- Digite o endereço de e-mail para o qual enviar a notificação.
- Para remover um endereço de e-mail existente, selecione ... junto ao endereço de e-mail e, em seguida, selecione Eliminar.
- Selecione Guardar.
Tokens OATH
O Microsoft Entra ID suporta o uso de tokens OATH TOTP SHA-1 que atualizam códigos a cada 30 ou 60 segundos. Você pode comprar esses tokens do fornecedor de sua escolha.
Os tokens de hardware OATH TOTP normalmente vêm com uma chave secreta, ou semente, pré-programada no token. Você precisa inserir essas chaves no Microsoft Entra ID conforme descrito nas etapas a seguir. As chaves secretas são limitadas a 128 caracteres, o que pode não ser compatível com todos os tokens. A chave secreta pode conter apenas os caracteres a-z ou A-Z e os dígitos 1-7. Ele deve ser codificado em Base32.
Os tokens de hardware OATH TOTP programáveis que podem ser repropagados também podem ser configurados com o ID do Microsoft Entra no fluxo de configuração do token de software.
Os tokens de hardware OATH são suportados como parte de uma visualização pública. Para obter mais informações sobre pré-visualizações, veja Termos de Utilização Suplementares do Microsoft Azure para Pré-visualizações do Microsoft Azure.
Depois de adquirir tokens, você precisa carregá-los em um formato de arquivo CSV (valores separados por vírgula). Inclua o UPN, o número de série, a chave secreta, o intervalo de tempo, o fabricante e o modelo, conforme mostrado neste exemplo:
upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey
Nota
Certifique-se de incluir a linha de cabeçalho no arquivo CSV.
- Entre no centro de administração do Microsoft Entra como Administrador Global.
- Vá para Tokens OATH de autenticação>multifator de proteção>e carregue o arquivo CSV.
Dependendo do tamanho do arquivo CSV, o processo pode levar alguns minutos. Selecione Atualizar para obter o status. Se houver erros no arquivo, você pode baixar um arquivo CSV que os lista. Os nomes dos campos no arquivo CSV baixado são diferentes daqueles na versão carregada.
Depois que quaisquer erros forem resolvidos, o administrador pode ativar cada chave selecionando Ativar para o token e inserindo a OTP exibida no token.
Os usuários podem ter uma combinação de até cinco tokens de hardware OATH ou aplicativos autenticadores, como o aplicativo Microsoft Authenticator, configurado para uso a qualquer momento.
Importante
Certifique-se de atribuir apenas cada token a um único usuário. No futuro, o suporte para a atribuição de um único token a vários usuários será interrompido para evitar um risco de segurança.
Definições de chamada telefónica
Se os usuários receberem chamadas telefônicas para solicitações de MFA, você poderá configurar sua experiência, como a identificação do chamador ou a saudação de voz que eles ouvem.
Nos Estados Unidos, se você não configurou a ID de chamada MFA, as chamadas de voz da Microsoft vêm dos seguintes números. Os utilizadores com filtros de spam devem excluir estes números.
Número padrão: +1 (855) 330-8653
A tabela a seguir lista mais números para diferentes países.
País/Região | Número(s) |
---|---|
Áustria | +43 6703062076 |
Bangladesh | +880 9604606026 |
China | +44 1235619418, +44 1235619536, +44 1235619537, +44 1235619538, +44 1235619539, +44 1235619535, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930 |
Croácia | +385 15507766 |
Equador | +593 964256042 |
Estónia | +372 6712726 |
França | +33 744081468 |
Gana | +233 308250245 |
Grécia | +30 2119902739 |
Guatemala | +502 23055056 |
R.A.E. de Hong Kong | +852 25716964 |
Índia | +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600 |
Jordânia | +962 797639442 |
Quénia | +254 709605276 |
Países Baixos | +31 202490048 |
Nigéria | +234 7080627886 |
Paquistão | +92 4232618686, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930 |
Polónia | +48 699740036 |
Arábia Saudita | +966 115122726 |
África do Sul | +27 872405062 |
Espanha | +34 913305144 |
Sri Lanca | +94 117750440 |
Suécia | +46 701924176 |
Taiwan | +886 277515260, +886 255686508 |
Türkiye | +90 8505404893 |
Ucrânia | +380 443332393 |
Emirados Árabes Unidos | +971 44015046 |
Vietname | +84 2039990161 |
Nota
Quando as chamadas de autenticação multifator do Microsoft Entra são feitas através da rede telefónica pública, por vezes as chamadas são encaminhadas através de uma operadora que não suporta o ID do chamador. Por isso, a identificação do chamador não é garantida, embora a autenticação multifator do Microsoft Entra sempre a envie. Isso se aplica tanto a chamadas telefônicas quanto a mensagens de texto fornecidas pela autenticação multifator do Microsoft Entra. Se você precisar validar que uma mensagem de texto é da autenticação multifator do Microsoft Entra, consulte Quais códigos curtos são usados para enviar mensagens?.
Para configurar seu próprio número de identificação de chamada, conclua as seguintes etapas:
- Vá para Proteção>Multifator autenticação>Configurações de chamada telefônica.
- Defina o número de identificação do chamador MFA para o número que você deseja que os usuários vejam em seus telefones. Apenas números baseados nos EUA são permitidos.
- Selecione Guardar.
Nota
Quando as chamadas de autenticação multifator do Microsoft Entra são feitas através da rede telefónica pública, por vezes as chamadas são encaminhadas através de uma operadora que não suporta o ID do chamador. Por isso, a identificação do chamador não é garantida, embora a autenticação multifator do Microsoft Entra sempre a envie. Isso se aplica tanto a chamadas telefônicas quanto a mensagens de texto fornecidas pela autenticação multifator do Microsoft Entra. Se você precisar validar que uma mensagem de texto é da autenticação multifator do Microsoft Entra, consulte Quais códigos curtos são usados para enviar mensagens?.
Mensagens de voz personalizadas
Você pode usar suas próprias gravações ou saudações para autenticação multifator do Microsoft Entra. Essas mensagens podem ser usadas além das gravações padrão da Microsoft ou para substituí-las.
Antes de começar, esteja ciente das seguintes restrições:
- Os formatos de ficheiro suportados são .wav e .mp3.
- O limite de tamanho do ficheiro é de 1 MB.
- As mensagens de autenticação devem ter menos de 20 segundos. Mensagens com mais de 20 segundos podem fazer com que a verificação falhe. Se o usuário não responder antes que a mensagem termine, a verificação expirará.
Comportamento personalizado do idioma da mensagem
Quando uma mensagem de voz personalizada é reproduzida para o usuário, o idioma da mensagem depende dos seguintes fatores:
- O idioma do usuário.
- O idioma detetado pelo navegador do usuário.
- Outros cenários de autenticação podem se comportar de forma diferente.
- O idioma de todas as mensagens personalizadas disponíveis.
- Este idioma é escolhido pelo administrador quando uma mensagem personalizada é adicionada.
Por exemplo, se houver apenas uma mensagem personalizada e ela estiver em alemão:
- Um usuário autenticado no idioma alemão ouvirá a mensagem personalizada em alemão.
- Um usuário que se autenticar em inglês ouvirá a mensagem padrão em inglês.
Padrões de mensagens de voz personalizadas
Você pode usar os seguintes scripts de exemplo para criar suas próprias mensagens personalizadas. Essas frases são os padrões se você não configurar suas próprias mensagens personalizadas.
Nome da mensagem | Script |
---|---|
Autenticação bem-sucedida | O seu início de sessão foi verificado com sucesso. Adeus;. |
Prompt de extensão | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para continuar. |
Confirmação de fraude | Foi enviado um alerta de fraude. Para desbloquear sua conta, entre em contato com o suporte técnico de TI da sua empresa. |
Saudação de fraude (padrão) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para concluir a sua verificação. Se você não iniciou essa verificação, alguém pode estar tentando acessar sua conta. Por favor, pressione zero libra para enviar um alerta de fraude. Isso notificará a equipe de TI da sua empresa e bloqueará novas tentativas de verificação. |
Fraudes comunicadas | Foi enviado um alerta de fraude. Para desbloquear sua conta, entre em contato com o suporte técnico de TI da sua empresa. |
Ativação | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para concluir a sua verificação. |
Autenticação negada nova tentativa | Verificação negada. |
Repetir (padrão) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para concluir a sua verificação. |
Saudação (padrão) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para concluir a sua verificação. |
Saudação (PIN) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Introduza o seu PIN seguido da chave de libra para concluir a sua verificação. |
Saudação de fraude (PIN) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Introduza o seu PIN seguido da chave de libra para concluir a sua verificação. Se você não iniciou essa verificação, alguém pode estar tentando acessar sua conta. Por favor, pressione zero libra para enviar um alerta de fraude. Isso notificará a equipe de TI da sua empresa e bloqueará novas tentativas de verificação. |
Repetir (PIN) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Introduza o seu PIN seguido da chave de libra para concluir a sua verificação. |
Prompt de extensão após dígitos | Se já estiver nessa extensão, pressione a tecla pound para continuar. |
Autenticação negada | Sinto muito, não podemos entrar você no momento. Tente novamente mais tarde. |
Saudação de ativação (padrão) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para concluir a sua verificação. |
Repetição de ativação (padrão) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, pressione a tecla de libra para concluir a sua verificação. |
Saudação de ativação (PIN) | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Introduza o seu PIN seguido da chave de libra para concluir a sua verificação. |
Prompt de extensão antes dos dígitos | Obrigado por utilizar o sistema de verificação de início de sessão da Microsoft. Por favor, transfira esta chamada para a extensão de> extensão<. |
Configurar uma mensagem personalizada
Para usar suas próprias mensagens personalizadas, conclua as seguintes etapas:
- Vá para Proteção>Multifator autenticação>Configurações de chamada telefônica.
- Selecione Adicionar saudação.
- Escolha o Tipo de saudação, como Saudação (padrão) ou Autenticação bem-sucedida.
- Selecione o idioma. Consulte a seção anterior sobre o comportamento do idioma da mensagem personalizada.
- Procure e selecione um arquivo de som .mp3 ou .wav para carregar.
- Selecione Adicionar e, em seguida, Guardar.
Configurações do serviço MFA
Configurações para senhas de aplicativos, IPs confiáveis, opções de verificação e lembrar a autenticação multifator em dispositivos confiáveis estão disponíveis nas configurações do serviço. Este é um portal legado.
Pode aceder às definições do serviço a partir do centro de administração do Microsoft Entra acedendo a Proteção>Autenticação>multifator Introdução>Configure>definições adicionais de MFA baseadas na nuvem. Uma janela ou guia é aberta com opções adicionais de configurações de serviço.
IPs Fidedignos
As condições de localização são a maneira recomendada de configurar o MFA com Acesso Condicional devido ao suporte a IPv6 e outras melhorias. Para obter mais informações sobre as condições de localização, consulte Usando a condição de local em uma política de Acesso Condicional. Para conhecer as etapas para definir locais e criar uma política de Acesso Condicional, consulte Acesso condicional: bloquear o acesso por local.
O recurso de IPs confiáveis da autenticação multifator do Microsoft Entra também ignora os prompts MFA para usuários que entram a partir de um intervalo de endereços IP definido. Você pode definir intervalos de IP confiáveis para seus ambientes locais. Quando os utilizadores estão numa destas localizações, não há pedidos da autenticação multifator do Microsoft Entra. A funcionalidade IPs fidedignos requer a edição Microsoft Entra ID P1.
Nota
Os IPs confiáveis podem incluir intervalos de IP privados somente quando você usa o Servidor MFA. Para autenticação multifator do Microsoft Entra baseada em nuvem, você pode usar apenas intervalos de endereços IP públicos.
Os intervalos IPv6 são suportados em locais nomeados.
Se sua organização usa a extensão NPS para fornecer MFA a aplicativos locais, o endereço IP de origem sempre parecerá ser o servidor NPS pelo qual a tentativa de autenticação flui.
Tipo de locatário do Microsoft Entra | Opções de recursos de IP confiáveis |
---|---|
Não gerido | Intervalo específico de endereços IP: os administradores especificam um intervalo de endereços IP que pode ignorar autenticações multifator para usuários que entram na intranet da empresa. Um máximo de 50 intervalos de IP confiáveis podem ser configurados. |
Federados | Todos os usuários federados: todos os usuários federados que entram de dentro da organização podem ignorar as autenticações multifator. Os usuários ignoram as verificações usando uma declaração emitida pelos Serviços de Federação do Ative Directory (AD FS). Intervalo específico de endereços IP: os administradores especificam um intervalo de endereços IP que pode ignorar a autenticação multifator para usuários que entram na intranet da empresa. |
O bypass de IP confiável funciona apenas de dentro da intranet da empresa. Se você selecionar a opção Todos os usuários federados e um usuário entrar de fora da intranet da empresa, o usuário terá que autenticar usando a autenticação multifator. O processo é o mesmo, mesmo que o usuário apresente uma declaração do AD FS.
Nota
Se as políticas de MFA por usuário e de Acesso Condicional estiverem configuradas no locatário, você precisará adicionar IPs confiáveis à política de Acesso Condicional e atualizar as configurações do serviço de MFA.
Experiência do usuário dentro da rede corporativa
Quando o recurso IPs confiáveis está desativado, a autenticação multifator é necessária para os fluxos do navegador. As senhas de aplicativos são necessárias para aplicativos rich-client mais antigos.
Quando IPs confiáveis são usados, a autenticação multifator não é necessária para os fluxos do navegador. As senhas de aplicativo não são necessárias para aplicativos rich client mais antigos se o usuário não tiver criado uma senha de aplicativo. Depois que uma senha de aplicativo estiver em uso, a senha será necessária.
Experiência do usuário fora da rede corporativa
Independentemente de IPs confiáveis estarem definidos, a autenticação multifator é necessária para os fluxos do navegador. As senhas de aplicativos são necessárias para aplicativos rich-client mais antigos.
Habilitar locais nomeados usando o Acesso Condicional
Você pode usar regras de Acesso Condicional para definir locais nomeados usando as seguintes etapas:
- Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
- Navegue até Locais nomeados de acesso>condicional de proteção.>
- Selecione Novo local.
- Introduza um nome para a localização.
- Selecione Marcar como local confiável.
- Insira o intervalo de IP para seu ambiente na notação CIDR. Por exemplo, 40.77.182.32/27.
- Selecione Criar.
Ativar a funcionalidade IPs fidedignos com o Acesso Condicional
Para habilitar IPs confiáveis usando políticas de Acesso Condicional, conclua as seguintes etapas:
Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
Navegue até Locais nomeados de acesso>condicional de proteção.>
Selecione Configurar IPs confiáveis de autenticação multifator.
Na página Configurações do Serviço, em IPs confiáveis, escolha uma destas opções:
Para solicitações de usuários federados originados da minha intranet: para escolher essa opção, marque a caixa de seleção. Todos os usuários federados que entram na rede corporativa ignoram as autenticações multifator usando uma declaração emitida pelo AD FS. Verifique se o AD FS tem uma regra para adicionar a declaração da intranet ao tráfego apropriado. Se a regra não existir, crie a seguinte regra no AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);
Nota
A opção Ignorar autenticação multifator para solicitações de usuários federados na minha intranet afetará a avaliação de Acesso Condicional para locais. Qualquer solicitação com a declaração insidecorporatenetwork será tratada como proveniente de um local confiável se essa opção for selecionada.
Para solicitações de um intervalo específico de IPs públicos: Para escolher essa opção, digite os endereços IP na caixa de texto, na notação CIDR.
- Para endereços IP que estão no intervalo xxx.xxx.xxx.1 a xxx.xxx.xxx.254, use notação como xxx.xxx.xxx.0/24.
- Para um único endereço IP, use notação como xxx.xxx.xxx.xxx/32.
- Insira até 50 intervalos de endereços IP. Os utilizadores que iniciam sessão a partir destes endereços IP ignoram as autenticações multifator.
Selecione Guardar.
Ativar a funcionalidade IPs fidedignos com as definições de serviço
Se não quiser usar políticas de Acesso Condicional para habilitar IPs confiáveis, você pode definir as configurações de serviço para autenticação multifator do Microsoft Entra usando as seguintes etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Proteção>Autenticação>multifator Configurações adicionais de MFA baseadas em nuvem.
Na página Configurações do serviço, em IPs confiáveis, escolha uma ou ambas as seguintes opções:
Para solicitações de usuários federados na minha intranet: para escolher essa opção, marque a caixa de seleção. Todos os usuários federados que entram na rede corporativa ignoram a autenticação multifator usando uma declaração emitida pelo AD FS. Verifique se o AD FS tem uma regra para adicionar a declaração da intranet ao tráfego apropriado. Se a regra não existir, crie a seguinte regra no AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);
Para solicitações de um intervalo especificado de sub-redes de endereços IP: Para escolher essa opção, digite os endereços IP na caixa de texto, em notação CIDR.
- Para endereços IP que estão no intervalo xxx.xxx.xxx.1 a xxx.xxx.xxx.254, use notação como xxx.xxx.xxx.0/24.
- Para um único endereço IP, use notação como xxx.xxx.xxx.xxx/32.
- Insira até 50 intervalos de endereços IP. Os utilizadores que iniciam sessão a partir destes endereços IP ignoram as autenticações multifator.
Selecione Guardar.
Métodos de verificação
Você pode escolher os métodos de verificação disponíveis para seus usuários no portal de configurações de serviço. Quando seus usuários registram suas contas para autenticação multifator do Microsoft Entra, eles escolhem seu método de verificação preferido entre as opções que você habilitou. A orientação para o processo de inscrição do usuário é fornecida em Configurar minha conta para autenticação multifator.
Importante
Em março de 2023, anunciamos a descontinuação do gerenciamento de métodos de autenticação nas políticas herdadas de autenticação multifator e redefinição de senha de autoatendimento (SSPR). A partir de 30 de setembro de 2025, os métodos de autenticação não poderão ser gerenciados nessas políticas herdadas de MFA e SSPR. Recomendamos que os clientes usem o controle de migração manual para migrar para a política de métodos de autenticação até a data de preterição. Para obter ajuda com o controle de migração, consulte Como migrar as configurações de diretiva MFA e SSPR para a política de métodos de autenticação para Microsoft Entra ID.
Estão disponíveis os seguintes métodos de verificação:
Método | Description |
---|---|
Ligar para telefone | Faz uma chamada de voz automatizada. O usuário atende a chamada e pressiona # no telefone para autenticar. O número de telefone não está sincronizado com o Ative Directory local. |
Mensagem de texto para um telefone | Envia uma mensagem de texto que contém um código de verificação. O usuário é solicitado a inserir o código de verificação na interface de entrada. Esse processo é chamado de SMS unidirecional. SMS bidirecional significa que o usuário deve enviar uma mensagem de texto de volta um código específico. O SMS bidirecional foi preterido e não é suportado após 14 de novembro de 2018. Os administradores devem habilitar outro método para usuários que anteriormente usavam SMS bidirecional. |
Notificação através da aplicação móvel | Envia uma notificação por push para o telefone ou dispositivo registrado do usuário. O usuário visualiza a notificação e seleciona Verificar para concluir a verificação. O aplicativo Microsoft Authenticator está disponível para Windows Phone, Android e iOS. |
Código de verificação da aplicação para dispositivos móveis ou token de hardware | O aplicativo Microsoft Authenticator gera um novo código de verificação OATH a cada 30 segundos. O utilizador introduz o código de verificação na interface de início de sessão. O aplicativo Microsoft Authenticator está disponível para Windows Phone, Android e iOS. |
Para obter mais informações, consulte Quais métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?.
Ativar e desativar métodos de verificação
Para habilitar ou desabilitar os métodos de verificação, conclua as seguintes etapas:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue até Identidade>de usuários.
- Selecione MFA por utilizador.
- Em Autenticação multifator, na parte superior da página, selecione Configurações de serviço.
- Na página Configurações do serviço, em Opções de verificação, marque ou desmarque as caixas de seleção apropriadas.
- Selecione Guardar.
Lembre-se da autenticação multifator
O recurso de autenticação multifator de memória permite que os usuários ignorem as verificações subsequentes por um número especificado de dias, depois de entrarem com êxito em um dispositivo usando MFA. Para melhorar a usabilidade e minimizar o número de vezes que um usuário tem que executar MFA em um determinado dispositivo, selecione uma duração de 90 dias ou mais.
Importante
Se uma conta ou dispositivo estiver comprometido, lembrar a MFA para dispositivos confiáveis pode afetar a segurança. Se uma conta corporativa for comprometida ou um dispositivo confiável for perdido ou roubado, você deve revogar as sessões de MFA.
A ação revogar revoga o status confiável de todos os dispositivos e o usuário deve executar a autenticação multifator novamente. Você também pode instruir seus usuários a restaurar o status de MFA original em seus próprios dispositivos, conforme observado em Gerenciar suas configurações para autenticação multifator.
Como funciona a característica
O recurso de autenticação multifator de memória define um cookie persistente no navegador quando um usuário seleciona a opção Não pedir novamente X dias no login. O usuário não será solicitado novamente para MFA a partir desse navegador até que o cookie expire. Se o utilizador abrir um navegador diferente no mesmo dispositivo ou limpar os cookies, ser-lhe-á pedido novamente que verifique.
A opção Não pedir novamente X dias não é mostrada em aplicativos que não sejam navegadores, independentemente de o aplicativo suportar autenticação moderna. Esses aplicativos usam tokens de atualização que fornecem novos tokens de acesso a cada hora. Quando um token de atualização é validado, o ID do Microsoft Entra verifica se a última autenticação multifator ocorreu dentro do número de dias especificado.
O recurso reduz o número de autenticações em aplicativos Web, que normalmente são solicitadas sempre. O recurso pode aumentar o número de autenticações para clientes de autenticação moderna que normalmente solicitam a cada 180 dias, se uma duração menor for configurada. Também pode aumentar o número de autenticações quando combinado com políticas de Acesso Condicional.
Importante
O recurso de autenticação multifator de lembrar não é compatível com o recurso manter-me conectado do AD FS, quando os usuários executam a autenticação multifator para AD FS por meio do MFA Server ou de uma solução de autenticação multifator de terceiros.
Se os usuários selecionarem manter-me conectado no AD FS e também marcarem o dispositivo como confiável para MFA, o usuário não será verificado automaticamente depois que o número de dias de autenticação multifator de memória expirar. O Microsoft Entra ID solicita uma nova autenticação multifator, mas o AD FS retorna um token com a declaração MFA original e a data, em vez de executar a autenticação multifator novamente. Essa reação desencadeia um loop de verificação entre o Microsoft Entra ID e o AD FS.
O recurso de autenticação multifator de lembrete não é compatível com usuários B2B e não será visível para usuários B2B quando entrarem nos locatários convidados.
O recurso de autenticação multifator lembrar não é compatível com o controle de acesso condicional de frequência de entrada. Para obter mais informações, consulte Configurar o gerenciamento de sessão de autenticação com acesso condicional.
Ativar autenticação multifator de memória
Para habilitar e configurar a opção para permitir que os usuários se lembrem de seus prompts de status de MFA e bypass, conclua as seguintes etapas:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
- Navegue até Identidade>de usuários.
- Selecione MFA por utilizador.
- Em Autenticação multifator, na parte superior da página, selecione as configurações do serviço.
- Na página de configurações de serviço, em lembrar autenticação multifator, selecione Permitir que os usuários se lembrem da autenticação multifator em dispositivos em que confiam.
- Defina o número de dias para permitir que dispositivos confiáveis ignorem as autenticações multifator. Para uma experiência de usuário ideal, estenda a duração para 90 ou mais dias.
- Selecione Guardar.
Marcar um dispositivo como confiável
Depois de ativar o recurso de autenticação multifator de memória, os usuários podem marcar um dispositivo como confiável quando entrarem selecionando Não perguntar novamente.
Próximos passos
Para saber mais, consulte Que métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?