Visão geral do registro combinado de informações de segurança para Microsoft Entra

Antes do registro combinado, os usuários registravam os métodos de autenticação separadamente para a SSPR (redefinição de senha self-service) e a autenticação multifator do Microsoft Entra. As pessoas ficavam confusas porque, embora fossem usados métodos semelhantes para a autenticação multifator e a SSPR, elas tinham que se registrar em ambos os recursos. Agora, com o registro combinado, os usuários só precisam se registrar uma vez para obter os benefícios tanto da autenticação multifator como da SSPR. Recomendamos esse vídeo sobre Como habilitar e configurar o SSPR na ID do Microsoft Entra.

My Account showing registered Security info for a user

Antes de habilitar a nova experiência, examine esta documentação voltada para o administrador e a documentação voltada para o usuário para ter certeza de que você entendeu a funcionalidade e o efeito desse recurso. Baseie seu treinamento na documentação do usuário para preparar os usuários para a nova experiência e ajudar a garantir uma distribuição bem-sucedida.

O registro combinado de informações de segurança do Microsoft Entra ID está disponível para o Azure para o Governo dos EUA, mas não para o Microsoft Azure operado pela 21Vianet.

As páginas Minha Conta são localizadas de acordo com as configurações de idioma do computador que está acessando a página. Como a Microsoft armazena o idioma mais recente usado no cache do navegador, as tentativas subsequentes de acessar as páginas continuam a ser renderizadas no último idioma usado. Se você limpar o cache, elas serão renderizadas novamente.

Caso você queira forçar um idioma específico, adicione ?lng=<language> ao final da URL, em que <language> é o código do idioma a ser renderizado.

Set up SSPR or other security verification methods

Métodos disponíveis no registro combinado

O registro combinado é compatível com os métodos e ações de autenticação listados na tabela a seguir.

Método Registrar Alteração Excluir
Microsoft Authenticator Sim (no máximo 5) Não Sim
Outro aplicativo autenticador Sim (no máximo 5) Não Sim
Token de hardware Não No Sim
Telefone Sim Sim Sim
Telefone alternativo Sim Sim Sim
Telefone do escritório* Sim Sim Sim
Email Sim Sim Sim
Perguntas de segurança Sim Não Sim
Senhas Não Sim Não
Senhas de aplicativo* Yes Não Yes
Chaves de segurança FIDO2* Sim Não Sim

Observação

Se você habilitar o Microsoft Authenticator no modo de autenticação sem senha na política de métodos de autenticação, os usuários também precisarão habilitar a entrada sem senha no aplicativo Authenticator.

O telefone alternativo só pode ser registrado no Modo de gerenciamento em https://aka.ms/mysecurityinfo e exige que as chamadas de voz estejam habilitadas na política de métodos de autenticação.

O Telefone do escritório só poderá ser registrado no Modo de interrupção se a propriedade Telefone comercial dos usuários tiver sido definida. O telefone do Office pode ser adicionado pelos usuários no Modo gerenciado a partir de https://aka.ms/mysecurityinfo sem esse requisito.

As senhas de aplicativo estão disponíveis somente para usuários aos quais a MFA foi imposta por usuário. As senhas de aplicativo não estão disponíveis para usuários habilitados para a Autenticação Multifator do Microsoft Entra por meio de uma política de Acesso Condicional.

As chaves de segurança FIDO2 só podem ser adicionadas no Modo de gerenciamento em https://aka.ms/mysecurityinfo.

Os usuários podem definir uma opções a seguir como o método padrão de autenticação multifator.

  • Microsoft Authenticator - notificação por push ou sem senha
  • Código do token de hardware ou aplicativo do autenticador
  • chamada telefônica
  • mensagem de texto

Observação

Não há suporte para números de telefone virtuais para chamadas de voz ou mensagens de SMS.

Aplicativos autenticadores de terceiros não fornecem notificação por push. Conforme adicionamos mais métodos de autenticação ao Microsoft Entra ID, eles vão sendo disponibilizados no registro combinado.

Modos de registro combinado

Existem dois modos de registro combinado: Interrupção e Gerenciamento.

  • Modo Interrupção: semelhante a um assistente, é apresentado aos usuários quando eles registram ou atualizam suas informações de segurança na entrada.
  • Modo Gerenciamento: faz parte do perfil do usuário e permite que os usuários gerenciem suas informações de segurança.

Em ambos os modos, os usuários que tenham registrado anteriormente um método que pode ser usado para a Autenticação Multifator do Microsoft Entra precisam executá-la para conseguirem acessar as próprias informações de segurança. Os usuários devem confirmar as informações antes de continuarem usando os métodos registrados anteriormente.

Modo Interrupção

O registro combinado respeita as políticas de autenticação multifator e SSPR quando as duas estão habilitadas para o locatário. Essas políticas controlam se um usuário é interrompido para registro durante a entrada e quais métodos estão disponíveis para o registro. Se apenas uma política de SSPR estiver habilitada, os usuários poderão ignorar (indefinidamente) a interrupção do registro e concluí-la posteriormente.

Veja a seguir alguns exemplos de cenários em que pode ser solicitado que os usuários registrem ou atualizem suas informações de segurança:

  • Registro de autenticação multifator imposto por meio do Identity Protection: os usuários precisam se registrar durante a entrada. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
  • Registro de autenticação multifator imposto por meio da autenticação multifator por usuário: os usuários precisam se registrar durante a entrada. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
  • Registro de autenticação multifator imposto por meio da política de Acesso Condicional ou outras políticas: os usuários precisam se registrar quando usam um recurso que requer autenticação multifator. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
  • Registro de SSPR imposto: os usuários precisam se registrar durante a entrada. Eles registram apenas métodos de SSPR.
  • Atualização de SSPR imposta: os usuários são obrigados a revisar suas informações de segurança em um intervalo definido pelo administrador. As informações são exibidas para os usuários, que podem confirmá-las ou fazer alterações, se necessário.

Quando o registro é imposto, é exibido para os usuários o número mínimo de métodos necessários para manter a compatibilidade com as políticas de autenticação multifator e SSPR, do mais seguro para o menos seguro. Os usuários que passarem pelo registro combinado em que o registro de MFA e SSPR é aplicado e a política de SSPR exige dois métodos serão solicitados primeiro a registrar um método de MFA como o primeiro método e podem selecionar outro método específico de MFA ou SSPR como o segundo método registrado (por exemplo, e-mail, perguntas de segurança etc.)

Considere o seguinte exemplo de cenário:

  • Um usuário está habilitado para SSPR. A política de SSPR exige dois métodos para redefinição e habilitou o aplicativo Microsoft Authenticator, o e-mail e o telefone.
  • Quando o usuário opta por se registrar, dois métodos são necessários:
    • Por padrão, são exibidos o aplicativo Microsoft Authenticator e o telefone.
    • O usuário pode optar por registrar o e-mail em vez do aplicativo autenticador ou do telefone.

Quando o Microsoft Authenticator é configurado, o usuário pode clicar em Eu quero configurar um método diferente para registrar outros métodos de autenticação. A lista de métodos disponíveis é determinada pela política de métodos de autenticação para o locatário. 

Screenshot of how to choose another method when you set up Microsoft Authenticator.

O fluxograma a seguir descreve quais métodos são exibidos para um usuário quando ele é interrompido para registro durante a entrada:

Combined security info flowchart

Se você tem a autenticação multifator e a SSPR habilitadas, é recomendável impor o registro da autenticação multifator.

Se a política de SSPR exigir que os usuários revisem suas informações de segurança em intervalos regulares, os usuários serão interrompidos durante a entrada e todos os métodos registrados serão exibidos. Eles poderão confirmar se as informações atuais estão atualizadas ou fazer as alterações necessárias. Os usuários devem executar a autenticação multifator para acessar esta página.

Modo Gerenciamento

Os usuários podem acessar o modo Gerenciamento indo para Informações de segurança ou selecionando Informações de segurança em Minha Conta. A partir daí, eles podem adicionar métodos, excluir ou alterar métodos existentes, alterar o método padrão e muito mais.

Principais cenários de uso

Atualizar uma senha no MySignIns (versão prévia)

Um usuário navega até Informações de segurança. Depois de entrar, o usuário pode alterar sua senha. Se o usuário se autenticar com uma senha e um método de autenticação multifator, ele poderá usar a experiência do usuário aprimorada para alterar sua senha sem inserir sua senha existente. Quando terminar, o usuário terá a nova senha atualizada na página de informações de segurança. Métodos de autenticação como o Passe de Acesso Temporário (TAP) não são compatíveis com alteração de senha a não ser que o usuário saiba qual é sua senha existente.

Proteger o registro de informações de segurança com o Acesso Condicional

Para controlar quando e como os usuários se registram na redefinição de senha self-service e na autenticação multifator do Microsoft Entra, use as ações do usuário na política de acesso condicional. Essa funcionalidade poderá ser habilitada nas organizações que desejam que os usuários se registrem na SSPR e na autenticação multifator do Microsoft Entra em uma localização central, como um local de rede confiável durante a integração do RH. Saiba mais sobre como configurar políticas comuns de Acesso Condicional para proteger o registro de informações de segurança.

Configurar informações de segurança durante a entrada

Um administrador impôs o registro.

Um usuário não configurou todas as informações de segurança necessárias e vai para o centro de administração do Microsoft Entra. Após o usuário inserir o nome de usuário e a senha, o usuário precisará configurar as informações de segurança. Ele segue as etapas mostradas no assistente para configurar as informações de segurança necessárias. Se as configurações permitirem, o usuário poderá optar por configurar métodos diferentes daqueles mostrados por padrão. Após os usuários concluírem o assistente, devem revisar os métodos que foram configurados e o método padrão para a autenticação multifator. Para finalizar o processo de instalação, o usuário confirma as informações e vai para o centro de administração do Microsoft Entra.

Configurar informações de segurança em Minha Conta

Um administrador não impôs o registro.

Um usuário que ainda não configurou todas as informações de segurança necessárias vai para https://myaccount.microsoft.com. O usuário seleciona Informações de segurança no painel esquerdo. A partir daí, o usuário opta por adicionar um método, seleciona um dos métodos disponíveis e segue as etapas para configurar esse método. Quando terminar, o usuário verá o método que foi configurado na página Informações de segurança.

Configurar outros métodos após o registro parcial

Se um usuário tiver atendido parcialmente o registro de MFA ou SSPR devido a registros de método de autenticação existentes executados pelo usuário ou administrador, os usuários só serão solicitados a registrar informações adicionais permitidas pelas configurações de política de Métodos de autenticação quando o registro for necessário. Se mais de um outro método de autenticação estiver disponível para o usuário escolher e se registrar, uma opção na experiência de registro intitulada Desejo configurar outro método será mostrada e permitirá ao usuário configurar o próprio método de autenticação desejado.

Screenshot of how to set up another method.

Excluir informações de segurança de Minha Conta

Um usuário que tenha configurado anteriormente pelo menos um método navega para https://aka.ms/mysecurityinfo. O usuário opta por excluir um dos métodos registrados anteriormente. Quando terminar, o usuário não verá mais esse método na página Informações de segurança.

Alterar o método padrão de Minha Conta

Um usuário que tenha configurado anteriormente pelo menos um método que pode ser usado para a Autenticação Multifator navega para https://aka.ms/mysecurityinfo. O usuário altera o método padrão atual para outro diferente. Quando terminar, o usuário verá o novo método padrão na página Informações de segurança.

Mudar diretório

Uma identidade externa, como um usuário B2B, pode precisar alternar o diretório para mudar as informações do registro de segurança para um locatário de terceiros. Além disso, os usuários que acessam um locatário de recursos podem ficar confusos quando alteram as configurações em seu locatário de residência, mas não veem as alterações refletidas no locatário do recurso.

Por exemplo, um usuário define a notificação por push do aplicativo Microsoft Authenticator como a autenticação primária para entrar no locatário base e também tem SMS/Texto como outra opção. Esse usuário também é configurado com a opção SMS/Texto em um locatário de recurso. Se esse usuário remover SMS/Texto como uma das opções de autenticação em seu locatário base, ele se confundirá quando o acesso ao locatário do recurso pedir que ele responda à mensagem SMS/Texto.

Para alternar o diretório no centro de administração do Microsoft Entra, clique no nome da conta de usuário no canto superior direito e clique em Alternar diretório.

External users can switch directory.

Ou você pode especificar um locatário por URL para acessar informações de segurança.

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

Observação

Os clientes que estiverem tentando registrar ou gerenciar informações de segurança por meio do registro combinado ou da página Meus Logins devem usar um navegador moderno, como o Microsoft Edge.

O IE11 não tem suporte oficial para a criação de um modo de exibição da web ou navegador em aplicativos, já que não vai funcionar conforme o esperado em todos os cenários.

Os aplicativos que não foram atualizados, ainda estão usando a Biblioteca de Autenticação do Azure AD (ADAL) e dependem de modos de exibição da web herdados podem fazer fallback para versões mais antigas do IE. Nesses cenários, os usuários irão se deparar com uma página em branco quando forem direcionados para a página Meus Logins. Para resolver esse problema, alterne para um navegador moderno.

Próximas etapas

Para começar, consulte o tutorial para habilitar a redefinição de senha self-service e habilitar a autenticação multifator do Microsoft Entra.

Saiba como habilitar o registro combinado no locatário ou forçar os usuários a registrarem novamente os métodos de autenticação.

Também é possível examinar os métodos disponíveis para a autenticação multifator do Microsoft Entra e a SSPR.