Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Para proteger eventos de entrada de usuário no Microsoft Entra ID, você pode exigir a MFA (autenticação multifator) do Microsoft Entra. A melhor maneira de proteger os usuários com a MFA do Microsoft Entra é criar uma política de Acesso Condicional. O Acesso Condicional é um recurso Microsoft Entra ID P1 ou P2 que permite aplicar regras a fim de exigir a MFA, se necessário, em determinados cenários. Para começar a usar o Acesso Condicional, consulte Tutorial: Proteger eventos de entrada do usuário com a autenticação multifator do Microsoft Entra.
Para locatários gratuitos do Microsoft Entra ID sem acesso condicional, você pode usar padrões de segurança para proteger os usuários. A MFA será solicitada dos usuários conforme necessário, mas você não pode definir regras próprias para controlar o comportamento.
Se necessário, você pode habilitar cada conta para A MFA do Microsoft Entra por usuário. Quando você habilitar os usuários individualmente, eles executarão o MFA sempre que entrarem. Você pode habilitar exceções, como quando elas entram de endereços IP confiáveis ou quando o recurso lembrar MFA em dispositivos confiáveis é ativado.
A alteração dos estados de usuário não é recomendada, a menos que suas licenças de ID do Microsoft Entra não incluam acesso condicional e você não deseja usar padrões de segurança. Para obter mais informações sobre as diferentes maneiras de habilitar a MFA, consulte Recursos e licenças para autenticação multifator do Microsoft Entra.
Importante
Este artigo fornece detalhes sobre como exibir e alterar o status da autenticação multifator individual do Microsoft Entra. Se você usa o Acesso Condicional ou os padrões de segurança, não examine ou habilite as contas de usuário usando essas etapas.
Habilitar a Autenticação Multifator do Microsoft Entra por meio de uma política de Acesso Condicional não altera o estado do usuário. Não se assuste se os usuários parecem desabilitados. O Acesso Condicional não altera o estado.
Não habilite ou imponha a autenticação multifator do Microsoft Entra por usuário se você usar políticas de Acesso Condicional.
Estados de usuário da autenticação multifator do Microsoft Entra
O estado de um usuário reflete se um administrador de autenticação o registrou na autenticação multifator por usuário do Microsoft Entra. As contas de usuário na autenticação multifator do Microsoft Entra apresentam os três seguintes estados distintos:
| Estado | Descrição | Autenticação herdada afetada | Aplicativos que usam o navegador afetados | Autenticação moderna afetada |
|---|---|---|---|---|
| Desabilitado | O estado padrão para um usuário não inscrito na autenticação multifator individual do Microsoft Entra. | Não | Não | Não |
| Habilitado | O usuário está inscrito na autenticação multifator individual do Microsoft Entra, mas ainda pode usar a própria senha para autenticação herdada. Se o usuário ainda não tiver registrado os métodos de autenticação MFA, ele receberá uma solicitação para se registrar da próxima vez que entrar usando a autenticação moderna (por exemplo, ao entrarem por meio de um navegador da Web). | Não. A autenticação herdada continuará funcionando até que o processo de registro seja concluído. | Sim. Depois que a sessão expirar, o registro da autenticação multifator do Microsoft Entra será exigido. | Sim. Depois que o token de acesso expirar, o registro da autenticação multifator do Microsoft Entra será exigido. |
| Imposto | Cada usuário é registrado individualmente na autenticação multifator do Microsoft Entra. Se o usuário ainda não tiver registrado os métodos de autenticação, ele receberá uma solicitação para se registrar da próxima vez que entrar usando a autenticação moderna (por exemplo, ao entrarem por meio de um navegador da Web). Os usuários que concluírem o registro enquanto estiverem habilitados são movidos automaticamente para o estado Obrigatório. | Sim. Os aplicativos exigem senhas de aplicativo. | Sim. A autenticação multifator do Microsoft Entra é necessária na entrada. | Sim. A autenticação multifator do Microsoft Entra é necessária na entrada. |
Todos os usuários começam com o status Desabilitado. Quando você registra usuários na autenticação multifator do Microsoft Entra por usuário, o estado deles muda para Habilitado. Quando os usuários habilitados entram e concluem o processo de registro, seu estado muda para Aplicado. Os administradores podem mover usuários entre estados, incluindo de Forçado para Habilitado ou Desabilitado.
Observação
Se a MFA por usuário for reabilitada em um usuário e ele não se registrar novamente, o estado da MFA não será alterado de Habilitado para Imposto na interface do usuário de gerenciamento de MFA. O administrador deverá mover o usuário diretamente para Imposto.
Exibir o status de um usuário
A experiência de administração de MFA por usuário no centro de administração do Microsoft Entra foi aprimorada recentemente. Para gerenciar essas configurações de usuário, conclua as seguintes etapas:
Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Identidade>Usuários>Todos os usuários.
Clique em MFA por usuário.
Selecione uma conta de usuário e selecione as configurações de MFA do Usuário.
Depois de fazer alterações, selecione Salvar.
Se você tentar classificar milhares de usuários, o resultado poderá retornar normalmente Não há usuários a serem exibidos. Tente inserir critérios de pesquisa mais específicos para restringir a pesquisa ou aplicar filtros específicos de Status ou Exibição .
Alterar o status de um usuário
Para alterar o estado de autenticação multifator individual do Microsoft Entra para um usuário, execute as seguintes etapas:
Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Identidade>Usuários>Todos os usuários.
Clique em MFA por usuário.
Selecione uma conta de usuário e selecione Habilitar MFA.
Dica
Os usuários com status Habilitado têm esse status alterado automaticamente para o status Imposto ao se registrarem para a autenticação multifator do Microsoft Entra. Não altere manualmente o estado do usuário para Forçado a menos que o usuário já esteja registrado ou se for aceitável que o usuário enfrente interrupção em conexões com protocolos de autenticação herdados.
Confirme sua seleção na janela pop-up que é aberta.
Depois de habilitar os usuários, notifique-os por email. Informe aos usuários que um aviso é exibido para pedir que eles se registrem no próximo acesso. Se a organização usa aplicativos que não são executados em um navegador ou dão suporte à autenticação moderna, você poderá criar senhas de aplicativo. Para obter mais informações, consulte Implementar a autenticação multifator do Microsoft Entra com aplicativos herdados usando senhas de aplicativo.
Use o Microsoft Graph para gerenciar MFA por usuário
Você pode gerenciar configurações de MFA por usuário usando a API REST Beta do Microsoft Graph. Você pode usar o tipo de recurso de autenticação para expor os estados do método de autenticação para os usuários.
Para gerenciar a MFA por usuário, use a propriedade perUserMfaState em users/id/authentication/requirements. Para obter mais informações, veja tipo de recurso strongAuthenticationRequirements.
Exibir o estado da MFA por usuário
Para recuperar o estado de autenticação multifator por usuário para um usuário:
GET /users/{id | userPrincipalName}/authentication/requirements
Por exemplo:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Se o usuário estiver habilitado para MFA por usuário, a resposta será:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Para obter mais informações, consulte Obter estados do método de autenticação.
Alterar o estado do MFA para um usuário
Para alterar o estado de autenticação multifator de um usuário, use os strongAuthenticationRequirements do usuário. Por exemplo:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
Se for bem-sucedido, a resposta será:
HTTP/1.1 204 No Content
Para obter mais informações, consulte Atualizar os estados do método de autenticação.
Próximas etapas
Para definir as configurações de autenticação multifator do Microsoft Entra, consulte Definir as configurações de autenticação multifator do Microsoft Entra.
Para gerenciar as configurações de usuário para autenticação multifator do Microsoft Entra, consulte Gerenciar configurações de usuário com a autenticação multifator do Microsoft Entra.
Para entender por que um usuário foi solicitado ou não solicitado a executar a MFA, consulte os relatórios de autenticação multifator do Microsoft Entra.