Quais métodos de autenticação e verificação estão disponíveis no Azure Active Directory?What authentication and verification methods are available in Azure Active Directory?

Como parte da experiência de entrada para contas no Azure Active Directory (Azure AD), há diferentes maneiras pelas quais um usuário pode se autenticar.As part of the sign-in experience for accounts in Azure Active Directory (Azure AD), there are different ways that a user can authenticate themselves. Um nome de usuário e uma senha é a maneira mais comum, historicamente, de um usuário fornecer credenciais.A username and password is the most common way a user would historically provide credentials. Com os recursos de autenticação e segurança modernos no Azure AD, essa senha básica deve ser complementada ou substituída por métodos de autenticação mais seguros.With modern authentication and security features in Azure AD, that basic password should be supplemented or replaced with more secure authentication methods.

Tabela dos pontos fortes e métodos de autenticação preferenciais no Azure AD

Métodos de autenticação sem senha, como o Windows Hello, chaves de segurança FIDO2, e o aplicativo Microsoft Authenticator fornecem os eventos de entrada mais seguros.Passwordless authentication methods such as Windows Hello, FIDO2 security keys, and the Microsoft Authenticator app provide the most secure sign-in events.

A autenticação multifator do Azure AD adiciona segurança adicional apenas usando uma senha quando um usuário entra.Azure AD Multi-Factor Authentication adds additional security over only using a password when a user signs in. O usuário pode ser solicitado a fornecer formulários adicionais de autenticação, como para responder a uma notificação por push, inserir um código de um token de software ou hardware ou responder a um SMS ou chamada telefônica.The user can be prompted for additional forms of authentication, such as to respond to a push notification, enter a code from a software or hardware token, or respond to an SMS or phone call.

Para simplificar a experiência de integração do usuário e registrar-se para MFA e SSPR, recomendamos que você habilite o registro de informações de segurança combinadas.To simplify the user on-boarding experience and register for both MFA and SSPR, we recommend you enable combined security information registration. Para resiliência, recomendamos que você exija que os usuários registrem vários métodos de autenticação.For resiliency, we recommend that you require users to register multiple authentication methods. Quando um método não está disponível para um usuário durante a entrada ou SSPR, eles podem optar por autenticar com outro método.When one method isn't available for a user during sign-in or SSPR, they can choose to authenticate with another method. Para obter mais informações, consulte criar uma estratégia de gerenciamento de controle de acesso resiliente no Azure ad.For more information, see Create a resilient access control management strategy in Azure AD.

Segurança e força do método de autenticaçãoAuthentication method strength and security

Ao implantar recursos como a autenticação multifator do Azure AD em sua organização, examine os métodos de autenticação disponíveis.When you deploy features like Azure AD Multi-Factor Authentication in your organization, review the available authentication methods. Escolha os métodos que atendem ou excedem seus requisitos em termos de segurança, usabilidade e disponibilidade.Choose the methods that meet or exceed your requirements in terms of security, usability, and availability. Sempre que possível, use métodos de autenticação com o nível mais alto de segurança.Where possible, use authentication methods with the highest level of security.

A tabela a seguir descreve as considerações de segurança para os métodos de autenticação disponíveis.The following table outlines the security considerations for the available authentication methods. A disponibilidade é uma indicação de que o usuário está sendo capaz de usar o método de autenticação, não a disponibilidade do serviço no Azure AD:Availability is an indication of the user being able to use the authentication method, not of the service availability in Azure AD:

Método de autenticaçãoAuthentication method SegurançaSecurity UsabilidadeUsability DisponibilidadeAvailability
Windows Hello para EmpresasWindows Hello for Business AltaHigh AltaHigh AltaHigh
Aplicativo Microsoft AuthenticatorMicrosoft Authenticator app AltaHigh AltaHigh AltaHigh
Chave de segurança do FIDO2 (versão prévia)FIDO2 security key (preview) AltaHigh AltaHigh AltaHigh
Tokens de hardware OATH (versão prévia)OATH hardware tokens (preview) MédioMedium MédioMedium AltaHigh
Tokens de software OATHOATH software tokens MédioMedium MédioMedium AltaHigh
smsSMS MédiaMedium AltoHigh MédioMedium
VozVoice MédioMedium MédioMedium MédioMedium
SenhaPassword BaixoLow AltoHigh AltaHigh

Para obter mais informações sobre segurança, consulte vulnerabilidades de autenticação e vetores de ataque.For more information on security, see authentication vulnerabilities and attack vectors.

Dica

Para flexibilidade e usabilidade, recomendamos que você use o aplicativo Microsoft Authenticator.For flexibility and usability, we recommend that you use the Microsoft Authenticator app. Esse método de autenticação fornece a melhor experiência do usuário e vários modos, como notificações por push de MFA, e códigos OATH sem senha.This authentication method provides the best user experience and multiple modes, such as passwordless, MFA push notifications, and OATH codes.

Como funciona cada método de autenticaçãoHow each authentication method works

Alguns métodos de autenticação podem ser usados como o fator primário quando você entra em um aplicativo ou dispositivo, como usar uma chave de segurança FIDO2 ou uma senha.Some authentication methods can be used as the primary factor when you sign in to an application or device, such as using a FIDO2 security key or a password. Outros métodos de autenticação só estão disponíveis como um fator secundário quando você usa a autenticação multifator do Azure AD ou o SSPR.Other authentication methods are only available as a secondary factor when you use Azure AD Multi-Factor Authentication or SSPR.

A tabela a seguir descreve quando um método de autenticação pode ser usado durante um evento de entrada:The following table outlines when an authentication method can be used during a sign-in event:

MétodoMethod Autenticação primáriaPrimary authentication Autenticação secundáriaSecondary authentication
Windows Hello para EmpresasWindows Hello for Business SimYes MFAMFA
Aplicativo Microsoft AuthenticatorMicrosoft Authenticator app Sim (versão prévia)Yes (preview) MFA e o SSPRMFA and SSPR
Chave de segurança do FIDO2 (versão prévia)FIDO2 security key (preview) SimYes MFAMFA
Tokens de hardware OATH (versão prévia)OATH hardware tokens (preview) NãoNo MFAMFA
Tokens de software OATHOATH software tokens NãoNo MFAMFA
smsSMS Sim (versão prévia)Yes (preview) MFA e o SSPRMFA and SSPR
Chamada de vozVoice call NãoNo MFA e o SSPRMFA and SSPR
SenhaPassword SimYes

Todos esses métodos de autenticação podem ser configurados no portal do Azure e cada vez mais usando a API REST Microsoft Graph beta.All of these authentication methods can be configured in the Azure portal, and increasingly using the Microsoft Graph REST API beta.

Para saber mais sobre como funciona cada método de autenticação, consulte os seguintes artigos conceituais separados:To learn more about how each authentication method works, see the following separate conceptual articles:

Observação

No Azure AD, uma senha é geralmente um dos métodos de autenticação primária.In Azure AD, a password is often one of the primary authentication methods. Não é possível desabilitar o método de autenticação de senha.You can't disable the password authentication method. Se você usar uma senha como o fator de autenticação principal, aumente a segurança de eventos de entrada usando a autenticação multifator do Azure AD.If you use a password as the primary authentication factor, increase the security of sign-in events using Azure AD Multi-Factor Authentication.

Os seguintes métodos de verificação adicionais podem ser usados em determinados cenários:The following additional verification methods can be used in certain scenarios:

Próximas etapasNext steps

Para começar, consulte o tutorial para redefinição de senha de autoatendimento (SSPR) e autenticação multifator do Azure ad.To get started, see the tutorial for self-service password reset (SSPR) and Azure AD Multi-Factor Authentication.

Para saber mais sobre os conceitos de SSPR, confira Como funciona a redefinição de senha self-service do Azure AD.To learn more about SSPR concepts, see How Azure AD self-service password reset works.

Para saber mais sobre os conceitos de MFA, confira como funciona a autenticação multifator do Azure ad.To learn more about MFA concepts, see How Azure AD Multi-Factor Authentication works.

Saiba mais sobre como configurar métodos de autenticação usando a API REST do Microsoft Graph versão beta.Learn more about configuring authentication methods using the Microsoft Graph REST API beta.

Para examinar quais métodos de autenticação estão em uso, consulte análise do método de autenticação de autenticação multifator do Azure AD com o PowerShell.To review what authentication methods are in use, see Azure AD Multi-Factor Authentication authentication method analysis with PowerShell.