Como funciona: Autenticação Multifator do AzureHow it works: Azure Multi-Factor Authentication

A segurança da verificação em duas etapas baseia-se na sua abordagem em camadas.The security of two-step verification lies in its layered approach. O comprometimento de vários fatores de autenticação apresenta um desafio significativo para os invasores.Compromising multiple authentication factors presents a significant challenge for attackers. Mesmo que um invasor consiga descobrir a senha do usuário, ela será inútil se ele também não estiver de posse do método de autenticação adicional.Even if an attacker manages to learn the user's password, it is useless without also having possession of the additional authentication method. Isso funciona exigindo dois ou mais dos seguintes métodos de autenticação:It works by requiring two or more of the following authentication methods:

  • Algo que você sabe (geralmente uma senha)Something you know (typically a password)
  • Algo que você tem (um dispositivo confiável que não é duplicado facilmente, como um telefone)Something you have (a trusted device that is not easily duplicated, like a phone)
  • Algo que você é (biometria)Something you are (biometrics)

Imagem dos métodos de autenticação conceitual

Conceptual authentication methods image

A MFA (Autenticação Multifator do Azure) ajuda a proteger o acesso a dados e aplicativos enquanto mantém a simplicidade para os usuários.Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications while maintaining simplicity for users. Ele fornece segurança adicional exigindo uma segunda forma de autenticação e fornece autenticação forte por meio de uma variedade de métodos de autenticação fáceis de usar.It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. Os usuários podem ou não ser desafiados para MFA com base em decisões de configuração tomadas por um administrador.Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

Como obter a Autenticação Multifator?How to get Multi-Factor Authentication?

A autenticação multifator é fornecida como parte das seguintes ofertas:Multi-Factor Authentication comes as part of the following offerings:

  • Azure Active Directory Premium ou Microsoft 365 Business -uso completo da autenticação multifator do Azure usando políticas de acesso condicional para exigir a autenticação multifator.Azure Active Directory Premium or Microsoft 365 Business - Full featured use of Azure Multi-Factor Authentication using Conditional Access policies to require multi-factor authentication.

  • Azure ad gratuito ou licenças autônomas do Office 365 – use políticas de proteção de linha de base de acesso condicional pré-criado para exigir a autenticação multifator para seus usuários e administradores.Azure AD Free or standalone Office 365 licenses - Use pre-created Conditional Access baseline protection policies to require multi-factor authentication for your users and administrators.

  • Administradores Globais do Azure Active Directory – um subconjunto das funcionalidades de Autenticação Multifator do Azure está disponível como um meio para proteger as contas de administrador global.Azure Active Directory Global Administrators - A subset of Azure Multi-Factor Authentication capabilities are available as a means to protect global administrator accounts.

Observação

Novos clientes não poderão mais comprar Autenticação Multifator do Microsoft Azure como uma oferta independente a partir de 1º de setembro de 2018.New customers may no longer purchase Azure Multi-Factor Authentication as a standalone offering effective September 1st, 2018. A Autenticação Multifator continuará sendo um recurso disponível nas licenças do Azure AD Premium.Multi-factor authentication will continue to be an available feature in Azure AD Premium licenses.

Capacidade de suporteSupportability

Como a maioria dos usuários está acostumada a usar apenas senhas para a autenticação, é importante que a sua empresa comunique todos os usuários sobre esse processo.Since most users are accustomed to using only passwords to authenticate, it is important that your organization communicates to all users regarding this process. A conscientização pode reduzir a probabilidade de que os usuários liguem para o seu suporte técnico para resolver pequenos problemas relacionados a MFA.Awareness can reduce the likelihood that users call your help desk for minor issues related to MFA. No entanto, existem alguns cenários em que é necessário desabilitar temporariamente o MFA.However, there are some scenarios where temporarily disabling MFA is necessary. Use as diretrizes abaixo para entender como lidar com esses cenários:Use the following guidelines to understand how to handle those scenarios:

  • Treine sua equipe de suporte para lidar com cenários em que o usuário não consegue entrar porque não têm acesso a seus métodos de autenticação ou esses métodos não estão funcionando corretamente.Train your support staff to handle scenarios where the user can't sign in because they do not have access to their authentication methods or they are not working correctly.
    • Usando políticas de acesso condicional para o serviço do Azure MFA, sua equipe de suporte pode adicionar um usuário a um grupo que é excluído de uma política que requer MFA.Using Conditional Access policies for Azure MFA Service, your support staff can add a user to a group that is excluded from a policy requiring MFA.
  • Considere o uso de locais nomeados de acesso condicional como uma maneira de minimizar prompts de verificação em duas etapas.Consider using Conditional Access named locations as a way to minimize two-step verification prompts. Com essa funcionalidade, os administradores podem ignorar a verificação em duas etapas para usuários que estão entrando de um local de rede confiável seguro, como um segmento de rede usado para integração de novo usuário.With this functionality, administrators can bypass two-step verification for users that are signing in from a secure trusted network location such as a network segment used for new user onboarding.
  • Implante Azure ad Identity Protection e dispare a verificação em duas etapas com base nas detecções de risco.Deploy Azure AD Identity Protection and trigger two-step verification based on risk detections.

Próximas etapasNext steps