Como funciona: autenticação multifator do Azure ADHow it works: Azure AD Multi-Factor Authentication

A autenticação multifator é um processo em que um usuário é solicitado durante o processo de conexão para obter uma forma adicional de identificação, como inserir um código no celular ou fornecer uma verificação de impressão digital.Multi-factor authentication is a process where a user is prompted during the sign-in process for an additional form of identification, such as to enter a code on their cellphone or to provide a fingerprint scan.

Se você usar apenas uma senha para autenticar um usuário, isso deixará um vetor inseguro para ataque.If you only use a password to authenticate a user, it leaves an insecure vector for attack. Se a senha for fraca ou se tiver sido exposta em outro lugar, será realmente o usuário entrando com o nome de usuário e a senha ou um invasor?If the password is weak or has been exposed elsewhere, is it really the user signing in with the username and password, or is it an attacker? Quando você precisar de uma segunda forma de autenticação, a segurança será aprimorada, pois esse fator adicional não será algo fácil de ser obtido ou duplicado por um invasor.When you require a second form of authentication, security is increased as this additional factor isn't something that's easy for an attacker to obtain or duplicate.

Imagem conceitual das diferentes formas de autenticação multifator

A autenticação multifator do Azure AD funciona exigindo dois ou mais dos seguintes métodos de autenticação:Azure AD Multi-Factor Authentication works by requiring two or more of the following authentication methods:

  • Algo que você sabe, normalmente, uma senha.Something you know, typically a password.
  • Algo que você tem, como um dispositivo confiável que não seja facilmente duplicado, como um telefone ou uma chave de hardware.Something you have, such as a trusted device that is not easily duplicated, like a phone or hardware key.
  • Algo que você é: uma biometria, como uma impressão digital ou uma verificação facial.Something you are - biometrics like a fingerprint or face scan.

Os usuários podem se registrar para a redefinição de senha de autoatendimento e a autenticação multifator do Azure AD em uma etapa para simplificar a experiência de integração.Users can register themselves for both self-service password reset and Azure AD Multi-Factor Authentication in one step to simplify the on-boarding experience. Os administradores podem definir quais formas de autenticação secundária podem ser usadas.Administrators can define what forms of secondary authentication can be used. A autenticação multifator do Azure AD também pode ser necessária quando os usuários executam uma redefinição de senha de autoatendimento para proteger ainda mais esse processo.Azure AD Multi-Factor Authentication can also be required when users perform a self-service password reset to further secure that process.

Métodos de autenticação em uso na tela de login

A autenticação multifator do Azure AD ajuda a proteger o acesso a dados e aplicativos, mantendo a simplicidade para os usuários.Azure AD Multi-Factor Authentication helps safeguard access to data and applications while maintaining simplicity for users. Ele fornece segurança adicional exigindo uma segunda forma de autenticação e fornece autenticação forte por meio de uma variedade de métodos de autenticação fáceis de usar.It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. Os usuários podem ou não ser desafiados para MFA com base em decisões de configuração tomadas por um administrador.Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

Seus aplicativos ou serviços não precisam fazer nenhuma alteração para usar a autenticação multifator do Azure AD.Your applications or services don't need to make any changes to use Azure AD Multi-Factor Authentication. Os prompts de verificação fazem parte do evento de entrada do Azure AD, que solicita e processa automaticamente o desafio MFA quando necessário.The verification prompts are part of the Azure AD sign-in event, which automatically requests and processes the MFA challenge when required.

Métodos de verificação disponíveisAvailable verification methods

Quando um usuário entra em um aplicativo ou serviço e recebe um prompt do MFA, ele pode escolher um de seus formulários registrados de verificação adicional.When a user signs in to an application or service and receive an MFA prompt, they can choose from one of their registered forms of additional verification. Um administrador pode exigir o registro desses métodos de verificação da autenticação multifator do Azure AD ou o usuário pode acessar seu próprio meu perfil para editar ou adicionar métodos de verificação.An administrator could require registration of these Azure AD Multi-Factor Authentication verification methods, or the user can access their own My Profile to edit or add verification methods.

As seguintes formas adicionais de verificação podem ser usadas com a autenticação multifator do Azure AD:The following additional forms of verification can be used with Azure AD Multi-Factor Authentication:

  • Aplicativo Microsoft AuthenticatorMicrosoft Authenticator app
  • Token OATH de hardwareOATH Hardware token
  • smsSMS
  • Chamada de vozVoice call

Como habilitar e usar a autenticação multifator do Azure ADHow to enable and use Azure AD Multi-Factor Authentication

Os usuários e grupos podem ser habilitados para autenticação multifator do Azure AD para solicitar verificação adicional durante o evento de entrada.Users and groups can be enabled for Azure AD Multi-Factor Authentication to prompt for additional verification during the sign-in event. Os padrões de segurança estão disponíveis para todos os locatários do Azure ad para habilitar rapidamente o uso do aplicativo Microsoft Authenticator para todos os usuários.Security defaults are available for all Azure AD tenants to quickly enable the use of the Microsoft Authenticator app for all users.

Para controles mais granulares, as políticas de acesso condicional podem ser usadas para definir eventos ou aplicativos que exigem MFA.For more granular controls, Conditional Access policies can be used to define events or applications that require MFA. Essas políticas podem permitir eventos de entrada regulares quando o usuário está na rede corporativa ou em um dispositivo registrado, mas solicita fatores de verificação adicionais quando remoto ou em um dispositivo pessoal.These policies can allow regular sign-in events when the user is on the corporate network or a registered device, but prompt for additional verification factors when remote or on a personal device.

Diagrama de visão geral de como o Acesso Condicional funciona para proteger o processo de entrada

Próximas etapasNext steps

Para saber mais sobre licenciamento, consulte recursos e licenças para a autenticação multifator do Azure ad.To learn about licensing, see Features and licenses for Azure AD Multi-Factor Authentication.

Para ver a MFA em ação, habilite a autenticação multifator do Azure AD para um conjunto de usuários de teste no seguinte tutorial:To see MFA in action, enable Azure AD Multi-Factor Authentication for a set of test users in the following tutorial: