Quais métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?
A Microsoft recomenda métodos de autenticação sem senha, como Windows Hello, chave de acesso (FIDO2) e o aplicativo Microsoft Authenticator porque eles oferecem a experiência de entrada mais segura. Embora um usuário possa entrar usando outros métodos comuns, como nome de usuário e senha, as senhas devem ser substituídas por métodos de autenticação mais seguros.
A autenticação multifator do Microsoft Entra fornece segurança adicional quando comparada ao simples uso de uma senha para o logon do usuário. O usuário pode ser solicitado a obter formas adicionais de autenticação, como responder a uma notificação por push, inserir um código de um token de software ou hardware ou responder a uma mensagem de texto ou chamada telefônica.
Para simplificar a experiência de integração do usuário e registrar tanto na MFA quanto na SSPR (redefinição de senha por autoatendimento), recomenda-se habilitar o registro combinado de informações de segurança. Para obter resiliência, recomenda-se exigir dos usuários o registro de diversos métodos de autenticação. Quando um método não estiver disponível para um usuário durante o logon ou a SSPR, ele poderá autenticar-se com outro. Para obter mais informações, veja Criar uma estratégia resiliente de gerenciamento de controle de acesso no Microsoft Entra ID.
Veja um vídeo que criamos para ajudar você a escolher o melhor método de autenticação para manter sua organização segura.
Segurança e força do método de autenticação
Ao implantar recursos como a autenticação multifator do Microsoft Entra em sua organização, revise os métodos de autenticação disponíveis. Escolha aqueles que atendam ou superem suas exigências em termos de segurança, usabilidade e disponibilidade. Sempre que possível, use métodos de autenticação com o nível mais alto de segurança.
A tabela a seguir descreve as considerações de segurança para os métodos de autenticação disponíveis. A disponibilidade é uma indicação de que o usuário pode usar o método de autenticação, não sendo relativa à disponibilidade do serviço no Microsoft Entra ID:
| Método de autenticação | Segurança | Usabilidade | Disponibilidade |
|---|---|---|---|
| Windows Hello for Business | Alto | Alto | Alto |
| Microsoft Authenticator | Alto | Alto | Alto |
| Authenticator Lite | Alto | Alto | Alto |
| Chave de acesso (FIDO2) | Alto | Alto | Alto |
| Autenticação baseada em certificado | Alto | Alto | Alto |
| Tokens de hardware OATH (versão prévia) | Médio | Médio | Alto |
| Tokens de software OATH | Médio | Médio | Alto |
| Aprovação de Acesso Temporário (TAP) | Médio | Alto | Alto |
| sms | Médio | Alto | Médio |
| Voz | Médio | Médio | Médio |
| Senha | Baixo | Alto | Alto |
Para obter as informações mais recentes sobre segurança, confira nossas postagens no blog:
- É hora de abandonar os telefones como mecanismos para autenticação
- Vulnerabilidades de autenticação e vetores de ataque
Dica
Para obter flexibilidade e usabilidade, recomenda-se o uso do aplicativo Microsoft Authenticator. Esse método de autenticação fornece a melhor experiência ao usuário, além de vários modos, como o logon sem senha, as notificações por push de MFA e os códigos OATH.
Como funciona cada método de autenticação
Alguns métodos de autenticação podem ser usados como o fator primário ao entrar em um aplicativo ou dispositivo, como o uso de uma chave de segurança FIDO2 ou de uma senha. Outros métodos de autenticação só estão disponíveis como fator secundário quando você deve usar a autenticação multifator do Microsoft Entra ou o SSPR.
A tabela a seguir descreve quando um método de autenticação pode ser usado durante um evento de entrada:
| Método | Autenticação primária | Autenticação secundária |
|---|---|---|
| Windows Hello for Business | Sim | MFA* |
| Microsoft Authenticator (Push) | Não | MFA e o SSPR |
| Microsoft Authenticator (sem senha) | Sim | Não* |
| Authenticator Lite | Não | MFA |
| Chave de acesso (FIDO2) | Yes | MFA |
| Autenticação baseada em certificado | Sim | MFA |
| Tokens de hardware OATH (versão prévia) | Não | MFA e o SSPR |
| Tokens de software OATH | Não | MFA e o SSPR |
| Aprovação de Acesso Temporário (TAP) | Sim | MFA |
| sms | Sim | MFA e o SSPR |
| Chamada de voz | Não | MFA e o SSPR |
| Senha | Sim | Não |
* Windows Hello para Empresas, por si só, não serve como uma credencial de MFA step-up. Por exemplo, um desafio de MFA da frequência de entrada ou solicitação SAML que contém forceAuthn=true. O Windows Hello para Empresas pode servir como uma credencial de MFA de step-up sendo usada na autenticação FIDO2. Isso exige que os usuários sejam habilitados para que a autenticação FIDO2 funcione com êxito.
* A entrada sem senha só poderá ser usada para autenticação secundária se a autenticação baseada em certificado (CBA) for usada para autenticação primária. Para obter mais informações, confira Aprofundamento técnico da autenticação baseada em certificado do Microsoft Entra.
Todos esses métodos de autenticação podem ser configurados no centro de administração do Microsoft Entra e, cada vez mais, por meio da API REST do Microsoft Graph.
Para saber mais sobre como funciona cada método de autenticação, confira os seguintes artigos conceituais:
- Windows Hello for Business
- Aplicativo Microsoft Authenticator
- Chave de acesso (FIDO2)
- Autenticação baseada em certificado
- Tokens de hardware OATH (versão prévia)
- Tokens de software OATH
- Aprovação de Acesso Temporário (TAP)
- Entrada e verificação de SMS
- Verificação por chamada de voz
- Senha
Observação
No Microsoft Entra ID, uma senha geralmente é um dos métodos de autenticação primária. Não é possível desabilitar o método de autenticação de senha. Ao usar uma senha como o fator de autenticação primário, aumente a segurança de eventos de entrada com a autenticação multifator do Microsoft Entra.
Os seguintes métodos de verificação adicionais podem ser usados em determinados cenários:
- Senhas de aplicativo – são usadas para aplicativos antigos que não são compatíveis com a autenticação moderna e podem ser configuradas para a autenticação multifator do Microsoft Entra por usuário.
- Perguntas de segurança – usadas somente para a SSPR
- Endereço de email – usado somente para a SSPR
Métodos utilizáveis e não-utilizáveis
Os administradores podem ver os métodos de autenticação do usuário no centro de administração do Microsoft Entra. Os métodos utilizáveis são listados primeiro, seguidos por métodos não-utilizáveis.
Cada método de autenticação pode se tornar não-utilizável por motivos diferentes. Por exemplo, uma Senha de Acesso Temporária pode expirar ou a chave de segurança FIDO2 pode falhar no atestado. O portal será atualizado para fornecer o motivo pelo qual o método não é utilizável.
Os métodos de autenticação que não estão mais disponíveis devido a "Exige o recadastramento da autenticação multifator" também são exibidos aqui.
Próximas etapas
Para começar, confira o tutorial da SSPR (redefinição de senha self-service) e a autenticação multifator do Microsoft Entra.
Para saber mais sobre os conceitos da SSPR, confira Como funciona a redefinição de senha self-service do Microsoft Entra.
Para saber mais sobre os conceitos da MFA, confira Como funciona a autenticação multifator do Microsoft Entra.
Saiba mais sobre a configuração de métodos de autenticação usando a API REST do Microsoft Graph.
Para examinar quais métodos de autenticação estão em uso, confira análise do método de autenticação da autenticação multifator do Microsoft Entra com o PowerShell.