Quais métodos de autenticação e verificação estão disponíveis no Azure Active Directory?

A Microsoft recomenda métodos de autenticação sem senha, como Windows Hello, chaves de segurança FIDO2 e o aplicativo Microsoft Authenticator porque eles oferecem a experiência de entrada mais segura. Embora um usuário possa entrar usando outros métodos comuns, como nome de usuário e senha, as senhas devem ser substituídas por métodos de autenticação mais seguros.

Tabela dos pontos fortes e dos métodos de autenticação preferenciais no Azure AD

A MFA (autenticação multifator) do Azure AD fornece segurança adicional quando comparada ao simples uso de uma senha para o logon do usuário. É possível solicitar ao usuário outras formas de autenticação, como responder a uma notificação por push, digitar um código de um token de software/hardware ou responder a um SMS/chamada telefônica.

Para simplificar a experiência de integração do usuário e registrar tanto na MFA quanto na SSPR (redefinição de senha por autoatendimento), recomenda-se habilitar o registro combinado de informações de segurança. Para obter resiliência, recomenda-se exigir dos usuários o registro de diversos métodos de autenticação. Quando um método não estiver disponível para um usuário durante o logon ou a SSPR, ele poderá autenticar-se com outro. Para obter mais informações, veja Criar uma estratégia resiliente de gerenciamento de controle de acesso no Azure AD.

Veja um vídeo que criamos para ajudar você a escolher o melhor método de autenticação para manter sua organização segura.

Segurança e força do método de autenticação

Ao implantar recursos como a autenticação multifator do Azure AD em sua organização, revise os métodos de autenticação disponíveis. Escolha aqueles que atendam ou superem suas exigências em termos de segurança, usabilidade e disponibilidade. Sempre que possível, use métodos de autenticação com o nível mais alto de segurança.

A tabela a seguir descreve as considerações de segurança para os métodos de autenticação disponíveis. A disponibilidade é uma indicação de que o usuário pode usar o método de autenticação, não sendo relativa à disponibilidade do serviço no Azure AD:

Método de autenticação Segurança Usabilidade Disponibilidade
Windows Hello for Business Alto Alto Alto
Aplicativo Microsoft Authenticator Alto Alto Alto
Chave de segurança FIDO2 Alto Alto Alto
Tokens de hardware OATH (versão prévia) Médio Médio Alto
Tokens de software OATH Médio Médio Alto
sms Médio Alto Médio
Voz Médio Médio Médio
Senha Baixo Alto Alto

Para obter as informações mais recentes sobre segurança, confira nossas postagens no blog:

Dica

Para obter flexibilidade e usabilidade, recomenda-se o uso do aplicativo Microsoft Authenticator. Esse método de autenticação fornece a melhor experiência ao usuário, além de vários modos, como o logon sem senha, as notificações por push de MFA e os códigos OATH.

Como funciona cada método de autenticação

Alguns métodos de autenticação podem ser usados como o fator primário ao entrar em um aplicativo ou dispositivo, como o uso de uma chave de segurança FIDO2 ou de uma senha. Outros métodos de autenticação só estão disponíveis como um fator secundário ao usar a autenticação multifator do Azure AD ou a SSPR.

A tabela a seguir descreve quando um método de autenticação pode ser usado durante um evento de entrada:

Método Autenticação primária Autenticação secundária
Windows Hello for Business Sim MFA
Aplicativo Microsoft Authenticator Sim MFA e o SSPR
Chave de segurança FIDO2 Sim MFA
Tokens de hardware OATH (versão prévia) Não MFA e o SSPR
Tokens de software OATH Não MFA e o SSPR
sms Sim MFA e o SSPR
Chamada de voz Não MFA e o SSPR
Senha Sim

Todos esses métodos de autenticação podem ser configurados no portal do Azure e, cada vez mais, por meio da API REST do Microsoft Graph.

Para saber mais sobre como funciona cada método de autenticação, confira os seguintes artigos conceituais:

Observação

No Azure AD, uma senha geralmente é um dos métodos de autenticação primária. Não é possível desabilitar o método de autenticação de senha. Ao usar uma senha como o fator de autenticação primário, aumente a segurança de eventos de entrada com a autenticação multifator do Azure AD.

Os seguintes métodos de verificação adicionais podem ser usados em determinados cenários:

  • Senhas de aplicativo – são usadas para aplicativos antigos que não são compatíveis com a autenticação moderna e podem ser configuradas para a autenticação multifator do Azure AD por usuário.
  • Perguntas de segurança – usadas somente para a SSPR
  • Endereço de email – usado somente para a SSPR

Próximas etapas

Para começar, confira o tutorial da SSPR (redefinição de senha por autoatendimento) e a Autenticação Multifator do Azure AD.

Para saber mais sobre os conceitos de SSPR, confira Como funciona a redefinição de senha self-service do Azure AD.

Para saber mais sobre conceitos de MFA, confira Como funciona a Autenticação Multifator do Azure AD.

Saiba mais sobre a configuração de métodos de autenticação usando a API REST do Microsoft Graph.

Para examinar quais métodos de autenticação estão em uso, confira análise do método de autenticação da Autenticação Multifator do Azure AD com o PowerShell.