Compartilhar via

Planejamento para a autenticação multifator obrigatória para o Azure e outros portais de administração

Na Microsoft, estamos comprometidos em fornecer aos nossos clientes o mais alto nível de segurança. Uma das medidas de segurança mais eficazes disponíveis para eles é a autenticação multifator (MFA). Uma pesquisa da Microsoft mostra que a MFA pode bloquear mais de 99,2% dos ataques de comprometimento de contas.

É por isso que, a partir de 2024, aplicaremos a MFA obrigatória para todas as tentativas de acesso ao Azure. Para mais informações sobre esse requisito, veja nossa postagem no blog. Este tópico aborda quais aplicativos e contas são afetados, como a imposição é distribuída aos locatários e outras perguntas e respostas comuns.

Importante

Se um usuário não conseguir entrar no Azure e em outros portais de administração após a distribuição da MFA obrigatória, um Administrador Global poderá executar um script para adiar o requisito de MFA e permitir que os usuários entrem. Para obter mais informações, consulte Como adiar a imposição para um locatário em que os usuários não conseguem entrar após a distribuição do requisito de MFA (autenticação multifator) obrigatória para o portal do Azure, o Centro de administração do Microsoft Entra ou o Centro de administração do Microsoft Intune.

Não haverá nenhuma alteração para os usuários se sua organização já impor a MFA para eles ou se eles entrarem com métodos mais fortes, como FIDO2 (sem senha ou chave de senha). Para verificar se a MFA está habilitada, consulte Como verificar se os usuários estão configurados para a MFA obrigatória.

Escopo da imposição

O escopo de aplicação inclui quando a aplicação está planejada para ocorrer, quais aplicativos vão usar a MFA, quais aplicativos estão fora do escopo e quais contas têm um requisito de MFA obrigatório.

Fases da imposição

Observação

A data de imposição da Fase 2 foi alterada para 1º de setembro de 2025.

A imposição da Autenticação Multifator (MFA) para aplicativos ocorre em duas fases.

Aplicativos que impõem MFA na fase 1

A partir de outubro de 2024, a autenticidade multifator é necessária para contas que ingressarem no portal do Azure, no Centro de Administração do Microsoft Entra e no Centro de Administração do Microsoft Intune para executar qualquer operação CRUD (Criar, Ler, Atualizar ou Excluir). A imposição será gradualmente implementada para todos os locatários em todo o mundo. A partir de fevereiro de 2025, a aplicação do MFA começa gradualmente para o acesso ao Centro de Administração do Microsoft 365. A fase 1 não afetará outros clientes do Azure, como a CLI do Azure, o Azure PowerShell, o aplicativo móvel do Azure ou as ferramentas IaC.

Aplicativos que usam MFA na fase 2

A partir de 1º de setembro de 2025, a imposição da MFA começará gradualmente para contas que entrem na CLI do Azure, no Azure PowerShell, no aplicativo móvel do Azure, nas ferramentas de IaC e nos pontos de extremidade da API REST para executar qualquer operação Criar, Atualizar ou Excluir. As operações de leitura não exigirão MFA.

Alguns clientes podem usar uma conta de usuário no Microsoft Entra ID como uma conta de serviço. É recomendável migrar essas contas de serviço baseadas em usuário para proteger contas de serviço baseadas em nuvem com identidades de carga de trabalho.

Aplicativos

A tabela a seguir lista aplicativos, IDs de aplicativo e URLs do Azure afetados.

Nome do Aplicativo ID do Aplicativo Início da aplicação
Portal do Azure c44b4083-3bb0-49c1-b47d-974e53cbdf3c Segundo semestre de 2024
Centro de administração do Microsoft Entra c44b4083-3bb0-49c1-b47d-974e53cbdf3c Segundo semestre de 2024
Centro de administração do Microsoft Intune c44b4083-3bb0-49c1-b47d-974e53cbdf3c Segundo semestre de 2024
Interface de linha de comando do Azure (CLI do Azure) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 1º de setembro de 2025
Azure PowerShell 1950a258-227b-4e31-a9cf-717495945fc2 1º de setembro de 2025
Aplicativo móvel do Azure 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa 1º de setembro de 2025
Ferramentas de IaC (Infraestrutura como Código) Usar as IDs da CLI do Azure ou do Azure PowerShell: 1º de setembro de 2025
API REST (Plano de Controle) Não aplicável 1º de setembro de 2025
Azure SDK Não aplicável 1º de setembro de 2025

A tabela a seguir lista aplicativos e URLs do Microsoft 365 afetados.

Nome do Aplicativo URL Início da aplicação
Centro de administração do Microsoft 365 https://portal.office.com/adminportal/home Fevereiro de 2025
Centro de administração do Microsoft 365 https://admin.cloud.microsoft Fevereiro de 2025
Centro de administração do Microsoft 365 https://admin.microsoft.com Fevereiro de 2025

Contas

Todas as contas que fizerem login para executar operações citadas na seção de aplicativos devem concluir a autenticação multifator quando a imposição começar. Os usuários não precisarão usar a MFA se acessarem outros aplicativos, sites ou serviços hospedados no Azure. Cada aplicativo, site ou proprietário de serviço listado anteriormente controla os requisitos de autenticação para os usuários.

As contas de acesso de emergência também são necessárias para entrada com a MFA assim que a imposição é iniciada. É recomendado atualizar essas contas para usar a chave de acesso (FIDO2) ou configure a autenticação baseada em certificado para MFA. Ambos os métodos atendem ao requisito de MFA.

Identidades de carga de trabalho, como identidades gerenciadas e entidades de serviço, não são afetadas por nenhuma das fases dessa imposição de MFA. Se as identidades do usuário forem usadas para entrar como uma conta de serviço para executar a automação (incluindo scripts ou outras tarefas automatizadas), essas identidades de usuário precisarão entrar com a MFA assim que a imposição começar. As identidades de usuário não são recomendadas para automação. Você deve migrar essas identidades de usuário para identidades de carga de trabalho.

Bibliotecas de cliente

O fluxo de concessão de token OAuth 2.0 ROPC (Credenciais de senha do proprietário do recurso) é incompatível com MFA. Depois que a MFA é habilitada no locatário do Microsoft Entra, as APIs baseadas em ROPC usadas nos seus aplicativos geram exceções. Para obter mais informações sobre como migrar de APIs baseadas em ROPC em MSAL (Bibliotecas de Autenticação da Microsoft), consulte Como migrar para longe do ROPC. Para obter diretrizes MSAL de idioma específico, consulte as abas a seguir.

As alterações serão necessárias se você usar o pacote Microsoft.Identity.Client e uma das seguintes APIs em seu aplicativo. A API do cliente público é preteridaa partir da versão 4.73.1:

As mesmas diretrizes gerais da MSAL se aplicam às bibliotecas de Identidade do Azure. A UsernamePasswordCredential classe fornecida nessas bibliotecas usa APIs baseadas em MSAL ROPC. Para ter diretrizes específicas do idioma, consulte as abas a seguir.

As alterações serão necessárias se você usar o pacote Azure.Identity e fizer um dos seguintes procedimentos em seu aplicativo:

Migrar contas de serviço baseadas em usuário para identidades de carga de trabalho

É recomendado que os clientes descubram contas de usuário que são usadas à medida que as contas de serviço começam a migrá-las para identidades de carga de trabalho. A migração geralmente requer a atualização de scripts e processos de automação para usar identidades de carga de trabalho.

Examine Como verificar se os usuários estão configurados para MFA obrigatória para identificar todas as contas de usuário, incluindo contas de usuário sendo usadas como contas de serviço, que fazem logon nos aplicativos.

Para obter mais informações sobre como migrar de contas de serviço baseadas no usuário para identidades de carga de trabalho para autenticação com esses aplicativos, consulte:

Alguns clientes aplicam políticas de Acesso condicional a contas de serviço baseadas no usuário. É possível recuperar a licença baseada no usuário e adicionar uma licença de identidades de carga de trabalho para aplicar o Acesso condicional para identidades de carga de trabalho.

Implementação

Esse requisito para autenticação multifator (MFA) no login é implementado para portais de administração e outros aplicativos. Os logs de entrada do Microsoft Entra ID mostram isso como a origem do requisito da MFA.

A MFA obrigatória não é configurável. Ele é implementado separadamente de todas as políticas de acesso configuradas no locatário.

Por exemplo, se sua organização optar por manter os padrões de segurança da Microsofte você tiver os padrões de segurança habilitados no momento, os usuários não verão nenhuma alteração, pois a MFA já é necessária para o gerenciamento do Azure. Se o locatário estiver usando as políticas de Acesso Condicional no Microsoft Entra e você já tiver uma política de Acesso Condicional por meio da qual os usuários entram no Azure com MFA, os usuários não verão uma alteração. Da mesma forma, todas as políticas restritivas de Acesso Condicional direcionadas ao Azure que exigem autenticação mais forte, como MFA resistente a phishing, continuam a ser impostas. Os usuários não observam nenhuma alteração.

Canais de notificação

A Microsoft notificará todos os Administradores globais do Microsoft Entra por meio dos seguintes canais:

  • Email: Os administradores globais que configuraram um endereço de e-mail serão informados por e-mail sobre a próxima imposição da autenticação multifator e as ações necessárias para se prepararem.

  • Notificação de integridade do serviço: os administradores globais recebem uma notificação de integridade do serviço por meio do portal do Azure, com a ID de acompanhamento de 4V20-VX0. Esta notificação conterá as mesmas informações do email. Os administradores globais também podem assinar para receber notificações de integridade do serviço por email.

  • Notificação do portal: uma notificação é exibida no portal do Azure, no centro de administração do Microsoft Entra e no centro de administração do Microsoft Intune quando eles entram. A notificação do portal é vinculada a esse tópico para dar mais informações sobre a imposição obrigatória da MFA.

  • Centro de mensagens do Microsoft 365: uma mensagem aparece no centro de mensagens do Microsoft 365 com a ID da mensagem: MC862873. Essa mensagem tem as mesmas informações que a notificação de email e integridade do serviço.

Após a aplicação, um banner é exibido no portal do Azure:

Captura de tela de um banner na autenticação multifator do Microsoft Entra que mostra que a MFA obrigatória está aplicada.

Métodos de autenticação e provedores de identidade externos

Suporte para soluções de MFA externas está em versão de teste com métodos de autenticação externos e pode ser usado para atender ao requisito de MFA. A versão prévia dos controles personalizados herdados do acesso condicional não atende ao requisito de MFA. Você deve migrar para a versão de visualização dos métodos de autenticação externa para usar uma solução externa com o Microsoft Entra ID.

Se você estiver usando um IdP (provedor de identidade) federado, como os Serviços de Federação do Active Directory, e seu provedor de MFA estiver integrado diretamente a esse IdP federado, o IdP federado deverá ser configurado para enviar uma declaração de MFA. Para obter mais informações, confira Declarações de entrada esperadas para MFA do Microsoft Entra.

Solicitar mais tempo para se preparar para a implementação do MFA na Fase 1

Entendemos que alguns clientes podem precisar de mais tempo para se preparar para esse requisito da MFA. A Microsoft permite que clientes com ambientes complexos ou barreiras técnicas adiem a imposição da Fase 1 para seus locatários até 30 de setembro de 2025.

Para cada locatário em que se deseja adiar a data de início da execução, um Administrador Global pode ir ao https://aka.ms/managemfaforazure para selecionar uma data de início.

Cuidado

Ao adiar a data de início da imposição, você assume um risco extra porque as contas que acessam os serviços da Microsoft, como o portal do Azure, são alvos altamente valiosos dos atores de ameaças. Recomendamos que todos os locatários configurem a MFA agora para proteger os recursos da nuvem.

Se você nunca entrou anteriormente no portal do Azure usando MFA, será solicitado a realizar a MFA para entrar ou adiar a imposição da MFA. Essa tela é exibida apenas uma vez. Para obter mais informações sobre como configurar a MFA, consulte Como verificar se os usuários estão configurados para mfa obrigatória.

Captura de tela do prompt para confirmar a MFA obrigatória.

Se você selecionar Adiar MFA, a data de aplicação do MFA será um mês no futuro ou 30 de setembro de 2025, o que ocorrer primeiro. Depois de entrar, você pode alterar a data em https://aka.ms/managemfaforazure. Para confirmar se deseja prosseguir com a solicitação de adiamento, clique em Confirmar adiamento. Um Administrador Global deve elevar o acesso para adiar a data de início da imposição da MFA.

Captura de tela de como adiar a MFA obrigatória.

Solicitar mais tempo para se preparar para a imposição de MFA na Fase 2

A Microsoft permite que clientes com ambientes complexos ou barreiras técnicas adiem a imposição da Fase 2 para seus locatários até 1º de julho de 2026. Você pode solicitar mais tempo para se preparar para a implementação da MFA na Fase 2 no site https://aka.ms/postponePhase2MFA. Escolha outra data de início e clique em Aplicar.

Observação

Se você adiar o início da Fase 1, o início da Fase 2 também será adiado para a mesma data. Você pode escolher uma data de início posterior para a Fase 2.

Captura de tela de como adiar a MFA obrigatória para a fase dois.

Perguntas Frequentes

Pergunta: se o locatário for usado apenas para teste, a MFA será necessária?

Resposta: Sim, cada locatário do Azure exigirá MFA, sem exceção para ambientes de teste.

Pergunta: como esse requisito afeta o Centro de administração do Microsoft 365?

Answer: A MFA obrigatória será implementada no centro de administração do Microsoft 365 a partir de fevereiro de 2025. Saiba mais sobre o requisito de MFA obrigatório para o Centro de administração do Microsoft 365 na postagem no blog Anunciar a autenticação multifator obrigatória para o Centro de administração do Microsoft 365.

Pergunta: a MFA é obrigatória para todos os usuários ou apenas administradores?

Resposta: todos os usuários que entrarem em qualquer um dos aplicativos listados anteriormente são obrigados a concluir a MFA, independentemente de quaisquer funções de administrador ativadas ou qualificadas para eles ou quaisquer exclusões de usuário habilitadas para eles.

Pergunta: Preciso concluir a MFA se escolher a opção de permanecer conectado?

Resposta: sim, mesmo se você escolher Permanecer conectado, será necessário concluir a MFA antes de entrar nesses aplicativos.

Pergunta: a imposição se aplica a contas de convidado B2B?

Resposta: sim, a MFA precisa ser aplicada por meio do locatário do recurso do parceiro ou do locatário inicial do usuário se está configurada corretamente, a fim de enviar declarações de MFA para o locatário do recurso por meio do acesso entre locatários.

Pergunta: a aplicação se aplica ao Azure para o Governo dos EUA ou nuvens soberanas do Azure?

Resposta: a Microsoft impõe a MFA obrigatória somente na nuvem pública do Azure. Atualmente, a Microsoft não impõe mfa no Azure para o governo dos EUA ou outras nuvens soberanas do Azure.

Pergunta: Como podemos estar em conformidade se impomos a MFA usando outro provedor de identidade ou solução de MFA e não impomos usando a MFA do Microsoft Entra?

Resposta: a MFA de terceiros pode ser integrada diretamente ao Microsoft Entra ID. Para saber mais, confira Referência do provedor de método externo de autenticação multifator do Microsoft Entra. A ID do Microsoft Entra pode ser configurada opcionalmente com um provedor de identidade federado. Nesse caso, a solução do provedor de identidade precisa ser configurada corretamente para enviar a declaração multipleauthn ao Microsoft Entra ID. Para obter mais informações, confira o artigo Satisfazer controles de MFA (autenticação multifator) do Microsoft Entra ID com declarações de MFA de um IdP federado.

Pergunta: A MFA obrigatória afetará minha capacidade de sincronizar com o Microsoft Entra Connect ou o Microsoft Entra Cloud Sync?

Resposta: Não. A conta de serviço de sincronização não é afetada pelo requisito de MFA obrigatório. Somente os aplicativos listados anteriormente exigem a MFA para entrada.

Pergunta: poderei optar por não participar?

Resposta: Não há como recusar. Esse movimento de segurança é fundamental para toda a segurança e segurança da plataforma do Azure e está sendo repetido entre fornecedores de nuvem. Por exemplo, consulte Secure by Design: AWS para aprimorar os requisitos de MFA em 2024.

Uma opção para adiar a data de início da imposição está disponível para os clientes. Os administradores globais podem acessar o portal do Azure para adiar a data de início da imposição para seu locatário. Os administradores globais devem ter acesso elevado antes de adiarem a data de início da imposição da MFA nesta página. Eles devem executar essa ação para cada locatário que precisa de adiamento.

Pergunta: Posso testar a autenticação multifator (MFA) antes que o Azure imponha a política para garantir que nada quebre?

Resposta: Sim, você pode testar sua MFA por meio do processo de configuração manual da MFA. Nós encorajamos você a configurar e testar. Se você usar o Acesso Condicional para impor a MFA, poderá usar modelos de Acesso Condicional para testar sua política. Para obter mais informações, confira Exigir autenticação multifator para administradores que acessam portais de administração da Microsoft. Se você executar uma edição gratuita do Microsoft Entra ID, poderá habilitar os padrões de segurança.

Pergunta: e se eu já tiver a MFA habilitada, o que acontece a seguir?

Resposta: os clientes que já precisam de MFA para seus usuários que acessam os aplicativos listados anteriormente não visualizam nenhuma alteração. Se você exigir apenas a MFA para um subconjunto de usuários, todos os usuários que ainda não estiverem usando a MFA precisarão usar a MFA quando iniciarem a sessão nos aplicativos.

Pergunta: Como posso revisar a atividade de MFA no Microsoft Entra ID?

Resposta: Para examinar os detalhes sobre quando um usuário é solicitado a entrar com MFA, use os registros de entrada do Microsoft Entra. Para obter mais informações, veja Detalhes do evento de entrada para a autenticação multifator do Microsoft Entra.

Pergunta: e se eu tiver um cenário de "quebra de vidro"?

Resposta: recomendamos atualizar essas contas para usar a chave de acesso (FIDO2) ou configurar a autenticação baseada em certificado para MFA. Ambos os métodos atendem ao requisito de MFA.

Pergunta: E se eu não receber um email sobre a ativação da MFA antes que ela seja imposta e então eu ficar bloqueado? Como devo resolver isso?

Resposta: os usuários não devem ser bloqueados, mas podem receber uma mensagem solicitando que habilitem a MFA assim que a imposição para o locatário for iniciada. Se o usuário estiver bloqueado, poderão haver outros problemas. Para obter mais informações, consulte A conta foi bloqueada.

Conteúdo relacionado

Revise os tópicos a seguir para saber mais sobre como configurar e implantar a MFA: