Quando usar um provedor de autenticação multifator do Microsoft Entra
Importante
A partir de 1º de setembro de 2018, novos provedores de autenticação não poderão mais ser criados. Os provedores de autenticação existentes podem continuar sendo usados e atualizados, mas a migração não é mais possível. A autenticação multifator continuará disponível como um recurso nas licenças do Microsoft Entra ID P1 ou P2.
A verificação em duas etapas está disponível por padrão para Administradores Globais que têm Microsoft Entra ID e usuários Microsoft 365. No entanto, se você quiser aproveitar os recursos avançados, então, deverá adquirir a versão completa da autenticação multifator do Microsoft Entra.
Um provedor de autenticação multifator do Microsoft Entra é usado para aproveitar os recursos fornecidos pela autenticação multifator do Microsoft Entra para usuários que não têm licenças.
Limitações relacionadas ao SDK do Azure MFA
Observe que o SDK foi descontinuado e continuará funcionando até 14 de novembro de 2018. Após essa data, as chamadas para o SDK falharão.
O que é um Provedor de MFA?
Há dois tipos de provedores de autenticação e a diferença está em como a assinatura do Azure é cobrada. A opção por autenticação calcula o número de autenticações executadas em seu locatário em um mês. Esta opção é melhor se algumas contas se autenticam apenas ocasionalmente. A opção por usuário calcula o número de contas elegíveis para realizar a MFA, que são todos as contas no Microsoft Entra ID e todas os contas habilitadas no Servidor da MFA. Essa é a melhor opção se alguns usuários têm, mas é necessário estender a MFA para mais usuários, além dos limites da licença.
Gerenciar o Provedor de MFA
Não é possível alterar o modelo de uso (por usuário habilitado ou por autenticação) após a criação de um provedor de MFA.
Se você comprou licenças suficientes para cobrir todos os usuários que estão habilitados para MFA, é possível excluir o provedor MFA completamente.
Se o provedor de MFA não estiver vinculado a um locatário do Microsoft Entra, ou se você vincular o novo provedor de MFA a um locatário diferente do Microsoft Entra, as opções de definições e configuração de usuário não serão transferidas. Além disso, os servidores MFA existentes do Azure precisarão ser reativados usando as credenciais de ativação geradas por meio do provedor de MFA.
Removendo um provedor de autenticação
Cuidado
Não há nenhuma confirmação ao excluir um provedor de autenticação. Selecionar Excluir é um processo permanente.
Os provedores de autenticação podem ser encontrados no centro de administração do Microsoft Entra. Entre como, no mínimo, um Administrador de Política de Autenticação. Navegue até Proteção>Autenticação multifator>Provedores. Clique em provedores listados para ver detalhes e configurações associadas a esse provedor.
Antes de remover um provedor de autenticação, anote todas as configurações personalizadas definidas em seu provedor. Decida quais configurações precisam ser migradas para as configurações gerais do MFA de seu provedor e conclua a migração dessas configurações.
Os Servidores do Azure MFA vinculados aos provedores precisarão ser reativados usando as credenciais geradas em Configurações do servidor. Antes de reativar, os seguintes arquivos devem ser excluídos do \Program Files\Multi-Factor Authentication Server\Data\ diretório nos Servidores do Azure MFA em seu ambiente:
- caCert
- cert
- groupCACert
- groupKey
- groupName
- licenseKey
- pkey
Após confirmar que todas as configurações foram migradas, navegue até Provedores, selecione as reticências ... e Excluir.
Aviso
A exclusão de um provedor de autenticação excluirá todas as informações de relatório associadas a esse provedor. Talvez você queira salvar os relatórios de atividade antes de excluir seu provedor.
Observação
Os usuários com versões mais antigas do aplicativo Microsoft Authenticator e do servidor do Azure MFA podem precisar registrar novamente seu aplicativo.