Configurar a autenticação multifator para Microsoft 365

Confira todo o nosso conteúdo para pequenas empresas em Ajuda para pequenas empresas e aprendizado.

Confira a ajuda para pequenas empresas do Microsoft 365 no YouTube.

A autenticação multifator (também conhecida como MFA, autenticação de dois fatores ou 2FA) requer um segundo método de verificação para inícios de sessão do utilizador e melhora a segurança da conta.

Este artigo contém instruções para configurar a MFA com as opções disponíveis:

• Predefinições de segurança: disponível em todas as organizações do Microsoft 365 através do Microsoft Entra ID Gratuito.
• Políticas de Acesso Condicional: disponível em organizações do Microsoft 365 com Microsoft Entra ID P1 ou P2.
• MFA legada por utilizador (não recomendado): disponível em todas as organizações do Microsoft 365 através do Microsoft Entra ID Gratuito.

Para obter informações sobre as diferentes opções de MFA no Microsoft 365, consulte Autenticação multifator no Microsoft 365

Do que você precisa saber para começar?

• Tem de lhe ser atribuídas permissões antes de poder efetuar os procedimentos neste artigo. Você tem as seguintes opções:

  • permissões de Microsoft Entra:

    • Ative ou desative as predefinições de segurança: associação nas funções Administrador^* Global ou Administrador de Segurança .
    • Criar e gerir políticas de Acesso Condicional: associação nas funções Administrador^* Global ou Administrador de Acesso Condicional .

    Importante

    ^* A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

• Para utilizar predefinições de segurança ou Acesso Condicional, tem de desativar a MFA legada por utilizador para os utilizadores na sua organização. Provavelmente não está ativado para quaisquer utilizadores em organizações criadas após 2019. Para obter instruções, veja Ativar a autenticação multifator Microsoft Entra por utilizador para proteger eventos de início de sessão.

• Avançado: se tiver serviços de diretório não Microsoft com Serviços de Federação do Active Directory (AD FS) (AD FS) (configurado antes de julho de 2019), configure o Servidor MFA do Azure. Para obter mais informações, veja Cenários avançados com Microsoft Entra autenticação multifator e soluções de VPN não Microsoft.

Gerenciar padrões de segurança.

As organizações do Microsoft 365 criadas após outubro de 2019 têm predefinições de segurança ativadas por predefinição. Para ver ou alterar a status atual das predefinições de segurança na sua organização, siga os seguintes passos:

1. Na centro de administração do Microsoft Entra em https://entra.microsoft.com, aceda aDescrição Geral da Identidade>. Em alternativa, para aceder diretamente à página de descrição geral, utilize https://entra.microsoft.com/#view/Microsoft_AAD_IAM/TenantOverview.ReactView.

2. Na página de descrição geral, selecione o separador Propriedades e aceda à secção Predefinições de segurança na parte inferior do separador.

   Dependendo da status atual das predefinições de segurança, está disponível uma das seguintes experiências:

   • As predefinições de segurança estão ativadas: é apresentado o seguinte texto e a opção Gerir predefinições de segurança está disponível:

     A sua organização está protegida por predefinições de segurança.

   • Existem uma ou mais políticas de Acesso Condicional no Microsoft Entra ID P1 ou P2: é apresentado o seguinte texto e a opção Gerir predefinições de segurança não está disponível:

     A sua organização está atualmente a utilizar políticas de Acesso Condicional que o impedem de ativar as predefinições de segurança. Pode utilizar o Acesso Condicional para configurar políticas personalizadas que ativem o mesmo comportamento fornecido por predefinições de segurança.

     Gerir o Acesso Condicional direciona-o para a página Políticas em https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/PoliciesList.ReactView para gerir as políticas de Acesso Condicional. Para alternar entre as predefinições de segurança e as políticas de Acesso Condicional, veja a secção Reverter para as predefinições de segurança das políticas de Acesso Condicional neste artigo.

   • As predefinições de segurança estão desativadas: é apresentado o seguinte texto e a opção Gerir predefinições de segurança está disponível:

     A sua organização não está protegida por predefinições de segurança.

3. Se a opção Gerir predefinições de segurança estiver disponível, selecione-a para ativar ou desativar as predefinições de segurança:

   Na lista de opções Predefinições de segurança que é aberta, siga um dos seguintes passos:

   • Ativar predefinições de segurança: na lista pendente Predefinições de segurança , selecione Ativado e, em seguida, selecione Guardar.

   • Desativar predefinições de segurança: na lista pendente Predefinições de segurança , selecione Desativado. Na secção Motivo para desativar , selecione A minha organização está a planear utilizar o Acesso Condicional.

     Quando terminar a lista de opções Predefinições de segurança , selecione Guardar

   Importante

   Não recomendamos desativar as predefinições de segurança, a menos que esteja a mudar para políticas de Acesso Condicional no Microsoft Entra ID P1 ou P2.

Gerenciar as políticas de Acesso Condicional

Se a sua organização do Microsoft 365 incluir Microsoft Entra ID P1 ou posterior, pode utilizar o Acesso Condicional em vez de predefinições de segurança para uma postura de segurança mais elevada e um controlo mais granular. Por exemplo:

• Microsoft 365 Business Premium (Microsoft Entra ID P1)
• Microsoft 365 E3 (Microsoft Entra ID P1)
• Microsoft 365 E5 (Microsoft Entra ID P2)
• Uma subscrição de suplemento

Para obter mais informações, veja Planear uma implementação de Acesso Condicional.

Mudar das predefinições de segurança para as políticas de Acesso Condicional requer os seguintes passos básicos:

1. Desative as predefinições de segurança.
2. Crie políticas de Acesso Condicional de linha de base para recriar as políticas de segurança nas predefinições de segurança.
3. Ajuste as exclusões da MFA.
4. Crie novas políticas de Acesso Condicional.

Passo 1: Desativar as predefinições de segurança

As predefinições de segurança e as políticas de Acesso Condicional não podem ser ativadas ao mesmo tempo, pelo que a primeira coisa que tem de fazer é desativar as predefinições de segurança.

Para obter instruções, consulte a secção anterior Gerir predefinições de segurança neste artigo.

Passo 2: Criar políticas de Acesso Condicional de linha de base para recriar as políticas nas predefinições de segurança

As políticas nas predefinições de segurança são a linha de base recomendada pela Microsoft para todas as organizações, pelo que é importante recriar estas políticas no Acesso Condicional antes de criar outras políticas de Acesso Condicional.

Os seguintes modelos no Acesso Condicional recriam as políticas nas predefinições de segurança:

• Exigir MFA para todos os usuários
• Exigir MFA para administradores^*
• Bloquear autenticação herdada
• Exigir MFA para gerenciamento do Azure

^*Em alternativa, pode melhorar a sua postura de segurança ao utilizar a MFA Necessária resistente a phishing para os administradores .

Para criar políticas de Acesso Condicional com estes modelos, efetue os seguintes passos:

1. Na centro de administração do Microsoft Entra, aceda ao Acesso Condicional | Página Políticas em https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies.

2. No Acesso Condicional | Página Políticas , selecione Nova política no modelo.

3. Na página Nova política do modelo , verifique se o separador Selecionar um modelo está selecionado. No separador Selecionar um modelo , verifique se o separador Fundação segura está selecionado.

4. No separador Base segura , selecione um dos modelos necessários (por exemplo, Exigir autenticação multifator para todos os utilizadores) e, em seguida, selecione Rever + Criar.

   Dica

   Para localizar e selecionar o modelo Exigir autenticação multifator resistente a phishing para administradores, utilize a caixa Procurar.

5. No separador Rever + Criar , veja ou configure as seguintes definições:

   • Secção Noções básicas :
     • Nome da política: aceite o nome predefinido ou personalize-o.
     • Estado da política: Selecione Ativado
   • Secção Atribuições : na secção Utilizadores e grupos , repare que o valor Utilizadores excluídos é Utilizador atual e não pode alterá-lo. Apenas as contas de acesso de emergência devem ser excluídas dos requisitos da MFA. Para obter mais informações, veja o passo seguinte.

   Quando terminar, no separador Rever + Criar , selecione Criar.

   A política que criou é apresentada no Acesso Condicional | Página Políticas .

6. Repita os passos anteriores para os restantes modelos.

Passo 3: Ajustar as exclusões da MFA

Por predefinição, as políticas de Acesso Condicional que criou no passo anterior contêm exclusões para a conta em que iniciou sessão e não pode modificar exclusões durante a criação da política.

Recomendamos pelo menos duas contas de administrador de acesso de emergência em todas as organizações que não estão atribuídas a indivíduos específicos e que só são utilizadas em situações de emergência. Estas contas têm de ser excluídas dos requisitos da MFA.

Poderá ter de remover as exclusões da conta atual e/ou adicionar exclusões de contas de acesso de emergência às seguintes políticas:

• Exigir MFA para todos os usuários
• Exigir MFA para administradores ou Exigir MFA resistente a phishing para administradores
• Exigir MFA para gerenciamento do Azure

Antes de criar políticas de Acesso Condicional personalizadas, crie as suas contas de acesso de emergência e, em seguida, utilize os seguintes passos para ajustar as exclusões das políticas relacionadas com a MFA:

1. No Acesso Condicional | Página Políticas em https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies, selecione uma das políticas relacionadas com a MFA que criou no passo anterior (por exemplo, Exigir autenticação multifator para a gestão do Azure).

2. Na página de detalhes da política que é aberta, selecione Todos os utilizadores incluídos e utilizadores específicos excluídos na secçãoUtilizadores de Atribuições>.

3. Nas informações apresentadas, selecione o separador Excluir .

4. No separador Excluir , estão configuradas as seguintes definições:

   • Selecione os utilizadores e grupos a excluir da política: O valor Utilizadores e grupos está selecionado.
   • Selecionar utilizadores e grupos excluídos: é apresentado o valor 1 utilizador e é apresentada a conta de utilizador que foi utilizada para criar a política.

     • Para remover a conta atual da lista de utilizadores excluídos, selecione> Remover.

       O valor muda para 0 utilizadores e grupos selecionados e é apresentado o texto de aviso Selecionar pelo menos um utilizador ou grupo .

     • Para adicionar contas de acesso de emergência à lista de utilizadores excluídos, selecione 0 utilizadores e grupos selecionados. Na lista de opções Selecionar utilizadores e grupos excluídos que é aberta, localize e selecione as contas de acesso de emergência a excluir. Os utilizadores selecionados são apresentados no painel Selecionado . Quando terminar, selecione Selecionar.

       Novamente na página de detalhes da política, selecione Guardar.

5. Repita os passos anteriores para as restantes políticas relacionadas com a MFA.

Passo 4: Criar políticas de Acesso Condicional mew

Agora, pode criar políticas de Acesso Condicional que satisfaçam as suas necessidades empresariais. Para obter mais informações, veja Planear uma implementação de Acesso Condicional.

Reverter para as predefinições de segurança das políticas de Acesso Condicional

As predefinições de segurança são desativadas quando utiliza políticas de Acesso Condicional. Se existir uma ou mais políticas de Acesso Condicional em qualquer estado (apenas Desativado, Ativado ou Relatório), não poderá ativar as predefinições de segurança. Tem de eliminar todas as políticas de Acesso Condicional existentes antes de poder ativar as predefinições de segurança.

Para eliminar políticas de Acesso Condicional, utilize os seguintes passos:

1. No Acesso Condicional | Página Políticas em https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies, selecione a política que pretende eliminar.
2. Na página de detalhes que é aberta, selecione Eliminar na parte superior da página.
3. Na caixa de diálogo Tem a certeza? que é aberta, selecione Sim.

Depois de eliminar todas as políticas de Acesso Condicional, pode ativar as predefinições de segurança conforme descrito em Gerir predefinições de segurança.

Gerir a MFA legada por utilizador

Recomendamos vivamente que utilize as predefinições de segurança ou o Acesso Condicional para MFA no Microsoft 365. Se não conseguir, a sua última opção é a MFA para contas de Microsoft Entra ID individuais através do Microsoft Entra ID Gratuito.

Para obter instruções, veja Ativar a autenticação multifator Microsoft Entra por utilizador para proteger eventos de início de sessão.

Próximas etapas

• Administradores: Administração segurança da conta no Microsoft 365 para empresas

• Utilizadores:

  • O que é a autenticação multifator
  • Iniciar sessão após o registo
  • Alterar a forma como efetua a verificação adicional
  • Configure o seu início de sessão do Microsoft 365 para autenticação multifator e o seguinte vídeo:

Conteúdo relacionado

Configurar a autenticação multifator (vídeo)

Ativar a autenticação multifator para o telemóvel (artigo)

Autenticação multifator para o Microsoft 365 (artigo)