Configurar a Autenticação Multifator do AzureConfigure Azure Multi-Factor Authentication settings

Este artigo ajuda a gerenciar as configurações de Autenticação Multifator do Azure no portal do Azure.This article helps you to manage Multi-Factor Authentication settings in the Azure portal. Ele aborda diversos tópicos que ajudarão você a aproveitar ao máximo a Autenticação Multifator do Azure.It covers various topics that help you to get the most out of Azure Multi-Factor Authentication. Nem todos os recursos estão disponíveis em todas as versões da autenticação multifator do Azure.Not all of the features are available in every version of Azure Multi-Factor Authentication.

Você pode acessar as configurações relacionadas à autenticação multifator do Azure do portal do Azure, navegando até Azure Active Directory > MFA.You can access settings related to Azure Multi-Factor Authentication from the Azure portal by browsing to Azure Active Directory > MFA.

Portal do Azure - Definir as configurações de Autenticação Multifator do Microsoft Azure Active Directory

ConfiguraçõesSettings

Algumas dessas configurações se aplicam ao servidor MFA, Azure MFA ou ambos.Some of these settings apply to MFA Server, Azure MFA, or both.

RecursoFeature DESCRIÇÃODescription
Bloqueio de contaAccount lockout Bloqueie contas temporariamente no serviço de autenticação multifator se houver muitas tentativas de autenticação negadas seguidas.Temporarily lock accounts in the multi-factor authentication service if there are too many denied authentication attempts in a row. Este recurso se aplica somente a usuários que inserem um PIN para autenticar.This feature only applies to users who enter a PIN to authenticate. (Servidor MFA)(MFA Server)
Bloquear/desbloquear usuáriosBlock/unblock users Usado para impedir que usuários específicos que está sendo capaz de receber solicitações de autenticação multifator.Used to block specific users from being able to receive Multi-Factor Authentication requests. Qualquer tentativa de autenticação de usuários bloqueados é negada automaticamente.Any authentication attempts for blocked users are automatically denied. Os usuários permanecem bloqueados por 90 dias a contar do momento em que são bloqueados.Users remain blocked for 90 days from the time that they are blocked.
Alerta de fraudeFraud alert Defina as configurações relacionadas à capacidade dos usuários para relatar solicitações de verificação fraudulentaConfigure settings related to users ability to report fraudulent verification requests
NotificaçõesNotifications Habilite notificações de eventos do servidor MFA.Enable notifications of events from MFA Server.
Tokens OATHOATH tokens Usado em ambientes de MFA do Azure baseados em nuvem para gerenciar tokens OATH para os usuários.Used in cloud-based Azure MFA environments to manage OATH tokens for users.
Configurações de chamada telefônicaPhone call settings Defina as configurações relacionadas para chamadas telefônicas e saudações para ambientes de nuvem e locais.Configure settings related to phone calls and greetings for cloud and on-premises environments.
ProvedoresProviders Isso mostrará quaisquer provedores de autenticação existentes que você possa ter associado a sua conta.This will show any existing authentication providers that you may have associated with your account. Novos provedores de autenticação não podem ser criados a partir de 1 de setembro de 2018New authentication providers may not be created as of September 1, 2018

Gerenciar Servidor de MFAManage MFA Server

As configurações nesta seção são apenas para o servidor MFA.Settings in this section are for MFA Server only.

RecursoFeature DESCRIÇÃODescription
Configurações do servidorServer settings Faça o download do Servidor MFA e gere credenciais de ativação para inicializar seu ambienteDownload MFA Server and generate activation credentials to initialize your environment
Desvio únicoOne-time bypass Permita que um usuário se autentique sem executar a verificação em duas etapas por um período limitado.Allow a user to authenticate without performing two-step verification for a limited time.
Regras de cacheCaching rules O cache é usado principalmente quando os sistemas locais, como VPN, enviam várias solicitações de verificação enquanto a primeira solicitação ainda está em andamento.Caching is primarily used when on-premises systems, such as VPN, send multiple verification requests while the first request is still in progress. Esse recurso permite que as próximas solicitações ocorram automaticamente depois que o usuário conclui a primeira verificação em andamento.This feature allows the subsequent requests to succeed automatically, after the user succeeds the first verification in progress.
Status do servidorServer status Veja o status dos seus servidores MFA locais incluindo versão, status, IP e última hora e data de comunicação.See the status of your on-premises MFA servers including version, status, IP, and last communication time and date.

Relatório de atividadesActivity report

O relatório disponível aqui é específico para o servidor de MFA (local).The reporting available here is specific to MFA Server (on-premises). Para os relatório do Azure MFA (nuvem) veja o relatório de entradas no Microsoft Azure Active Directory.For Azure MFA (cloud) reports see the sign-ins report in Azure AD.

Bloquear e desbloquear usuáriosBlock and unblock users

Use o recurso bloquear e desbloquear usuários para impedir que os usuários recebam solicitações de autenticação.Use the block and unblock users feature to prevent users from receiving authentication requests. Qualquer tentativa de autenticação de usuários bloqueados é negada automaticamente.Any authentication attempts for blocked users are automatically denied. Os usuários permanecem bloqueados por 90 dias a contar do momento em que são bloqueados.Users remain blocked for 90 days from the time that they are blocked.

Bloquear um usuárioBlock a user

  1. Entre no Portal do Azure como administrador.Sign in to the Azure portal as an administrator.
  2. Navegue até Azure Active Directory > MFA > Bloquear/desbloquear usuários.Browse to Azure Active Directory > MFA > Block/unblock users.
  3. Selecione Adicionar para bloquear um usuário.Select Add to block a user.
  4. Selecione o Grupo de Replicação.Select the Replication Group. Insira o nome de usuário para usuário bloqueado como nome de usuário@domain.com.Enter the username for the blocked user as username@domain.com. Insira um comentário no campo Motivo.Enter a comment in the Reason field.
  5. Selecione Adicionar para concluir o bloqueio do usuário.Select Add to finish blocking the user.

Desbloquear um usuárioUnblock a user

  1. Entre no Portal do Azure como administrador.Sign in to the Azure portal as an administrator.
  2. Navegue até Azure Active Directory > MFA > Bloquear/desbloquear usuários.Browse to Azure Active Directory > MFA > Block/unblock users.
  3. Selecione Desbloquear na coluna Ação ao lado do usuário a ser desbloqueado.Select Unblock in the Action column next to the user to unblock.
  4. Insira um comentário no campo Motivo do desbloqueio.Enter a comment in the Reason for unblocking field.
  5. Selecione Desbloquear para concluir o desbloqueio do usuário.Select Unblock to finish unblocking the user.

Alerta de fraudeFraud alert

Configure o recurso de alerta de fraude para que os usuários possam relatar tentativas fraudulentas de acessar seus recursos.Configure the fraud alert feature so that your users can report fraudulent attempts to access their resources. Os usuários podem relatar tentativas de fraude usando o aplicativo móvel ou pelo telefone.Users can report fraud attempts by using the mobile app or through their phone.

Ativar alertas de fraudeTurn on fraud alerts

  1. Entre no Portal do Azure como administrador.Sign in to the Azure portal as an administrator.
  2. Navegue até Azure Active Directory > MFA > Alerta de fraude.Browse to Azure Active Directory > MFA > Fraud alert.
  3. Defina a configuração Permitir que os usuários enviem alertas de fraude como Ativada.Set the Allow users to submit fraud alerts setting to On.
  4. Clique em Salvar.Select Save.

Opções de configuraçãoConfiguration options

  • Bloquear usuário quando fraude for relatada: se um usuário relatar uma fraude, a respectiva conta será bloqueada por 90 dias ou até que um administrador a desbloqueie.Block user when fraud is reported: If a user reports fraud, their account is blocked for 90 days or until an administrator unblocks their account. Um administrador pode examinar as entradas usando o relatório de entrada e tomar as devidas ações para evitar futuras fraudes.An administrator can review sign-ins by using the sign-in report, and take appropriate action to prevent future fraud. Um administrador pode, então, desbloquear a conta do usuário.An administrator can then unblock the user's account.

  • Código para relatar fraude durante a saudação inicial: quando os usuários recebem um telefonema para realizar a verificação em duas etapas, eles normalmente pressionam # para confirmar sua conexão.Code to report fraud during initial greeting: When users receive a phone call to perform two-step verification, they normally press # to confirm their sign-in. Para relatar fraude, o usuário insere um código antes de pressionar # .To report fraud, the user enters a code before pressing #. Esse código é 0 por padrão, mas você pode personalizá-lo.This code is 0 by default, but you can customize it.

    Observação

    As saudações de voz padrão da Microsoft instruem os usuários a pressionar 0# para enviar um alerta de fraude.The default voice greetings from Microsoft instruct users to press 0# to submit a fraud alert. Se você quiser usar um código diferente de 0, grave e carregue suas próprias saudações de voz personalizadas com instruções aos usuários.If you want to use a code other than 0, record and upload your own custom voice greetings with appropriate instructions for your users.

Exibir relatórios de fraudeView fraud reports

  1. Entre no Portal do Azure.Sign in to the Azure portal.
  2. Selecione Azure Active Directory > Entradas. O relatório de fraudes agora faz parte do relatório de entradas padrão do Azure AD.Select Azure Active Directory > Sign-ins. The fraud report is now part of the standard Azure AD Sign-ins report.

Configurações de chamada telefônicaPhone call settings

ID do chamadorCaller ID

Número de identificação do chamador MFA -isso é o número que os usuários verão em seus telefones.MFA caller ID number - This is the number your users will see on their phone. São permitidos apenas números baseado nos EUA.Only US-based numbers are allowed.

Observação

Quando as chamadas da Autenticação Multifator são feitas por meio de rede telefônica pública, às vezes, elas são roteadas por uma operadora que não é compatível com a ID de chamadas.When Multi-Factor Authentication calls are placed through the public telephone network, sometimes they are routed through a carrier that doesn't support caller ID. Sendo assim, a ID de chamadas não é garantida, mesmo que o sistema da Autenticação Multifator sempre a envie.Because of this, caller ID is not guaranteed, even though the Multi-Factor Authentication system always sends it.

Mensagens de voz personalizadasCustom voice messages

Você pode usar suas próprias gravações ou saudações para a verificação em duas etapas com o recurso mensagens de voz personalizadas.You can use your own recordings or greetings for two-step verification with the custom voice messages feature. Essas mensagens podem ser usadas com as gravações da Microsoft ou para substituí-las.These messages can be used in addition to or to replace the Microsoft recordings.

Antes de começar, esteja ciente das seguintes restrições:Before you begin, be aware of the following restrictions:

  • Os formatos de arquivo compatíveis são .wav e .mp3.The supported file formats are .wav and .mp3.
  • O limite de tamanho de arquivo é de 5 MB.The file size limit is 5 MB.
  • As mensagens de autenticação devem ter menos de 20 segundos.Authentication messages should be shorter than 20 seconds. As mensagens que têm mais de 20 segundos podem causar falha na verificação.Messages that are longer than 20 seconds can cause the verification to fail. O usuário poderá não responder antes da conclusão da mensagem e a verificação atingirá o tempo limite.The user might not respond before the message finishes and the verification times out.

Comportamento de idioma de mensagem personalizadaCustom message language behavior

Quando uma mensagem de voz personalizada é reproduzida para o usuário, o idioma da mensagem depende destes fatores:When a custom voice message is played to the user, the language of the message depends on these factors:

  • O idioma do usuário atual.The language of the current user.
    • O idioma detectado pelo navegador do usuário.The language detected by the user's browser.
    • Outros cenários de autenticação podem se comportar de maneira diferente.Other authentication scenarios may behave differently.
  • O idioma de quaisquer mensagens personalizadas disponíveis.The language of any available custom messages.
    • Esse idioma é escolhido pelo administrador quando uma mensagem personalizada é adicionada.This language is chosen by the administrator, when a custom message is added.

Por exemplo, se houver apenas uma mensagem personalizada, com um idioma alemão:For example, if there is only one custom message, with a language of German:

  • Um usuário que se autentica em alemão ouvirá a mensagem personalizada em alemão.A user who authenticates in the German language will hear the custom German message.
  • Um usuário que se autentica em inglês ouvirá a mensagem em inglês padrão.A user who authenticates in English will hear the standard English message.

Configurar uma mensagem personalizadaSet up a custom message

  1. Entre no Portal do Azure como administrador.Sign in to the Azure portal as an administrator.
  2. Navegue até Azure Active Directory > MFA > Configurações de ligação telefônica.Browse to Azure Active Directory > MFA > Phone call settings.
  3. Selecione Adicionar saudação.Select Add greeting.
  4. Escolha o tipo de saudação.Choose the type of greeting.
  5. Escolha o idioma.Choose the language.
  6. Selecione um arquivo de som .mp3 ou .wav para carregar.Select an .mp3 or .wav sound file to upload.
  7. Selecione Adicionar.Select Add.

Desvio únicoOne-time bypass

O recurso bypass avulso permite que um usuário se autentique uma única vez sem executar a verificação em duas etapas.The one-time bypass feature allows a user to authenticate a single time without performing two-step verification. O bypass é temporário e expira após um número de segundos especificado.The bypass is temporary and expires after a specified number of seconds. Quando o aplicativo móvel ou o telefone não estiver recebendo notificações ou chamadas telefônicas, você poderá permitir um bypass avulso para que o usuário possa acessar o recurso desejado.In situations where the mobile app or phone is not receiving a notification or phone call, you can allow a one-time bypass so the user can access the desired resource.

Criar um bypass avulsoCreate a one-time bypass

  1. Entre no Portal do Azure como administrador.Sign in to the Azure portal as an administrator.
  2. Navegue até Azure Active Directory > MFA > bypass avulso.Browse to Azure Active Directory > MFA > One-time bypass.
  3. Selecione Adicionar.Select Add.
  4. Se necessário, selecione o grupo de replicação para o bypass.If necessary, select the replication group for the bypass.
  5. Insira o nome de usuário como nome de usuário@domain.com.Enter the username as username@domain.com. Insira o número de segundos que o bypass deve durar.Enter the number of seconds that the bypass should last. Insira o motivo do bypass.Enter the reason for the bypass.
  6. Selecione Adicionar.Select Add. O tempo limite entra em vigor imediatamente.The time limit goes into effect immediately. O usuário precisa entrar antes que o bypass avulso se expire.The user needs to sign in before the one-time bypass expires.

Para exibir o relatório de bypass avulsoView the one-time bypass report

  1. Entre no Portal do Azure.Sign in to the Azure portal.
  2. Navegue até Azure Active Directory > MFA > bypass avulso.Browse to Azure Active Directory > MFA > One-time bypass.

Regras de cacheCaching rules

Você pode definir um período de tempo para permitir tentativas de autenticação depois que um usuário é autenticado usando o recurso cache.You can set a time period to allow authentication attempts after a user is authenticated by using the caching feature. As tentativas de autenticação subsequentes do usuário, dentro do período de tempo especificado, ocorrerão automaticamente.Subsequent authentication attempts for the user within the specified time period succeed automatically. O cache é usado principalmente quando os sistemas locais, como VPN, enviam várias solicitações de verificação enquanto a primeira solicitação ainda está em andamento.Caching is primarily used when on-premises systems, such as VPN, send multiple verification requests while the first request is still in progress. Esse recurso permite que as próximas solicitações ocorram automaticamente depois que o usuário conclui a primeira verificação em andamento.This feature allows the subsequent requests to succeed automatically, after the user succeeds the first verification in progress.

Observação

O recurso de cache não se destina a ser usado para entradas no Azure AD (Azure Active Directory).The caching feature is not intended to be used for sign-ins to Azure Active Directory (Azure AD).

Configurar o cacheSet up caching

  1. Entre no Portal do Azure como administrador.Sign in to the Azure portal as an administrator.
  2. Navegue até Azure Active Directory > MFA > regras de cache.Browse to Azure Active Directory > MFA > Caching rules.
  3. Selecione Adicionar.Select Add.
  4. Selecione o tipo de cache na lista suspensa.Select the cache type from the drop-down list. Insira o número máximo de segundos de cache.Enter the maximum number of cache seconds.
  5. Se necessário, selecione um tipo de autenticação e especifique um aplicativo.If necessary, select an authentication type and specify an application.
  6. Selecione Adicionar.Select Add.

Configurações de serviço MFAMFA service settings

As configurações para senhas de aplicativo, IPs, opções de verificação, confiáveis e lembrar da autenticação multifator para Autenticação Multifator do Azure pode ser encontrada nas configurações de serviço.Settings for app passwords, trusted IPs, verification options, and remember multi-factor authentication for Azure Multi-Factor Authentication can be found in service settings. Configurações de serviço podem ser acessadas no portal do Azure, navegando até Azure Active Directory > MFA > Introdução > Configurar > Configurações adicionais de MFA baseado em nuvem.Service settings can be accessed from the Azure portal by browsing to Azure Active Directory > MFA > Getting started > Configure > Additional cloud-based MFA settings.

Configurações de Serviço de Autenticação Multifator do Azure

Senhas de aplicativoApp passwords

Alguns aplicativos, como o Office 2010 ou anterior e o Apple Mail antes do iOS 11, não são compatíveis com a verificação em duas etapas.Some applications, like Office 2010 or earlier and Apple Mail before iOS 11, don't support two-step verification. Os aplicativos não estão configurados para aceitar uma segunda verificação.The apps aren't configured to accept a second verification. Para usar esses aplicativos, use o recurso senhas de aplicativo.To use these applications, take advantage of the app passwords feature. Você pode usar uma senha de aplicativo em vez da sua senha tradicional para permitir que um aplicativo ignore a verificação em duas etapas e continue funcionando.You can use an app password in place of your traditional password to allow an app to bypass two-step verification and continue working.

Autenticação moderna fornece suporte ao clientes do Microsoft Office 2013 e posteriores.Modern authentication is supported for the Microsoft Office 2013 clients and later. Os clientes do Office 2013, incluindo o Outlook, dão suporte a protocolos de autenticação moderna e podem ser habilitados para trabalhar com verificação em duas etapas.Office 2013 clients including Outlook, support modern authentication protocols and can be enabled to work with two-step verification. Assim que o cliente estiver habilitado, as senhas de aplicativo não serão necessárias para o cliente.After the client is enabled, app passwords aren't required for the client.

Observação

As senhas de aplicativo não funcionam com acesso condicional com base em políticas de autenticação multifator e autenticação moderna.App passwords do not work with Conditional Access based multi-factor authentication policies and modern authentication.

Considerações sobre senhas de aplicativoConsiderations about app passwords

Ao usar senhas de aplicativo, considere os seguintes pontos importantes:When using app passwords, consider the following important points:

  • As senhas de aplicativo são inseridas apenas uma vez por aplicativo.App passwords are only entered once per application. Os usuários não precisam manter o controle das senhas nem as inserir toda vez.Users don't have to keep track of the passwords or enter them every time.
  • A senha real é gerada automaticamente e não é fornecida pelo usuário.The actual password is automatically generated and is not supplied by the user. A senha gerada automaticamente é mais difícil para um invasor adivinhar e é mais segura.The automatically generated password is harder for an attacker to guess and is more secure.
  • Há um limite de 40 senhas por usuário.There is a limit of 40 passwords per user.
  • Os aplicativos que armazenam as senhas em cache e as usam em cenários locais podem começar a falhar porque a senha de aplicativo não é conhecida fora da conta corporativa ou de estudante.Applications that cache passwords and use them in on-premises scenarios can start to fail because the app password isn't known outside the work or school account. Um exemplo dessa situação é o dos emails do Exchange que estão locais, mas os emails arquivado que estão na nuvem.An example of this scenario is Exchange emails that are on-premises, but the archived mail is in the cloud. Nessa situação, a mesma senha não funciona.In this scenario, the same password doesn't work.
  • Depois que a Autenticação Multifator é habilitada na conta de um usuário, as senhas de aplicativo podem ser usadas com a maioria dos clientes não usados em navegador, como Outlook e Microsoft Skype for Business.After Multi-Factor Authentication is enabled on a user's account, app passwords can be used with most non-browser clients like Outlook and Microsoft Skype for Business. Ações administrativas não podem ser executadas com o uso de senhas de aplicativo por meio de aplicativos sem navegador, como o Windows PowerShell.Administrative actions can't be performed by using app passwords through non-browser applications, such as Windows PowerShell. As ações não podem ser executadas, mesmo que o usuário tenha uma conta administrativa.The actions can't be performed even when the user has an administrative account. Para executar scripts do PowerShell, crie uma conta de serviço com uma senha forte e não habilite a conta para a verificação em duas etapas.To run PowerShell scripts, create a service account with a strong password and don't enable the account for two-step verification.

Aviso

As senhas de aplicativo não funcionam em ambientes híbridos onde os clientes se comunicam com pontos de extremidade de descoberta automática local e na nuvem.App passwords don't work in hybrid environments where clients communicate with both on-premises and cloud auto-discover endpoints. As senhas de domínio são necessárias para autenticar localmente.Domain passwords are required to authenticate on-premises. As senhas de aplicativo são necessárias para autenticar na nuvem.App passwords are required to authenticate with the cloud.

Diretrizes para nomes de senha de aplicativoGuidance for app password names

Os nomes das senhas de aplicativo devem refletir o dispositivo em que elas serão usadas.App password names should reflect the device on which they're used. Se você tem um laptop que tem aplicativos não usados em navegador, como o Outlook, o Word e o Excel, crie uma senha de aplicativo chamada Laptop para esses aplicativos.If you have a laptop that has non-browser applications like Outlook, Word, and Excel, create one app password named Laptop for these apps. Crie outra senha de aplicativo chamada Desktop para os mesmos aplicativos que são executados em um computador desktop.Create another app password named Desktop for the same applications that run on your desktop computer.

Observação

É recomendável que você crie uma senha de aplicativo por dispositivo, em vez de senha de aplicativo por aplicativo.We recommend that you create one app password per device, rather than one app password per application.

Senhas de aplicativo federado ou de logon únicoFederated or single sign-on app passwords

O Azure AD é compatível com federação ou SSO (logon único), com AD DS (Active Directory Domain Services) local do Windows Server.Azure AD supports federation, or single sign-on (SSO), with on-premises Windows Server Active Directory Domain Services (AD DS). Se sua organização for federada com o Azure AD e você estiver usando a Autenticação Multifator do Azure, considere os seguintes pontos sobre as senhas de aplicativo.If your organization is federated with Azure AD and you're using Azure Multi-Factor Authentication, consider the following points about app passwords.

Observação

Os pontos a seguir se aplicam somente a clientes federados (SSO).The following points apply only to federated (SSO) customers.

  • As senhas de aplicativo são verificadas pelo Azure AD e, portanto, ignoram a federação.App passwords are verified by Azure AD, and therefore, bypass federation. A federação é usada ativamente apenas na configuração das senhas de aplicativo.Federation is actively used only when setting up app passwords.

  • O IdP (Provedor de Identidade) não é contatado para usuários federados (SSO), diferentemente do fluxo passivo.The Identity Provider (IdP) is not contacted for federated (SSO) users, unlike the passive flow. As senhas de aplicativo são armazenadas na conta corporativa ou de estudante.The app passwords are stored in the work or school account. Se um usuário sai da empresa, as informações do usuário fluem para a conta corporativa ou de estudante usando o DirSync em tempo real.If a user leaves the company, the user's information flows to the work or school account by using DirSync in real time. A desabilitação/exclusão da conta de pode levar até três horas para ser sincronizada, o que pode ocasionar atraso ao desabilitar/excluir a senha de aplicativo no Azure AD.The disable/deletion of the account can take up to three hours to synchronize, which can delay the disable/deletion of the app password in Azure AD.

  • As configurações do Controle de Acesso de cliente local não são respeitadas pelo recurso senhas de aplicativo.On-premises client Access Control settings aren't honored by the app passwords feature.

  • Nenhuma funcionalidade de registro em log/auditoria de autenticação local está disponível para ser usada com o recurso senhas de aplicativo.No on-premises authentication logging/auditing capability is available for use with the app passwords feature.

  • Algumas arquiteturas avançadas exigem uma combinação de credenciais para a verificação em duas etapas com clientes.Some advanced architectures require a combination of credentials for two-step verification with clients. Essas credenciais podem incluir um nome de usuário e senhas de conta corporativa ou de estudante, além das senhas de aplicativo.These credentials can include a work or school account username and passwords, and app passwords. Os requisitos dependem de como a autenticação é realizada.The requirements depend on how the authentication is performed. Para clientes que se autenticam em uma infraestrutura local, um nome de usuário e uma senha de conta corporativa ou de estudante são necessários.For clients that authenticate against an on-premises infrastructure, a work or school account username and password a required. Para clientes que se autenticam no Azure AD, é necessária uma senha de aplicativo.For clients that authenticate against Azure AD, an app password is required.

    Por exemplo, suponha que você tem a seguinte arquitetura:For example, suppose you have the following architecture:

    • Sua instância local do Active Directory é federada com o Azure AD.Your on-premises instance of Active Directory is federated with Azure AD.
    • Você está usando o Exchange online.You're using Exchange online.
    • Você está usando o Skype for Business localmente.You're using Skype for Business on-premises.
    • Você está usando a Autenticação Multifator do Azure.You're using Azure Multi-Factor Authentication.

    Nesse cenário, você usa as seguintes credenciais:In this scenario, you use the following credentials:

    • Para entrar no Skype for Business, use seu nome de usuário e senha da conta corporativa ou de estudante.To sign in to Skype for Business, use your work or school account username and password.
    • Para acessar o catálogo de endereços de um cliente Outlook que se conecta com o Exchange online, use uma senha de aplicativo.To access the address book from an Outlook client that connects to Exchange online, use an app password.

Permitir que os usuários criem senhas de aplicativoAllow users to create app passwords

Por padrão, os usuários não podem criar senhas de aplicativo.By default, users can't create app passwords. O recurso de senhas de aplicativo deve ser habilitado.The app passwords feature must be enabled. Para permitir que os usuários criem senhas de aplicativo, faça o seguinte:To give users the ability to create app passwords, use the following procedure:

  1. Entre no Portal do Azure.Sign in to the Azure portal.
  2. À esquerda, selecione Azure Active Directory > Usuários e grupos > Todos os usuários.On the left, select Azure Active Directory > Users and groups > All users.
  3. Selecione Autenticação Multifator.Select Multi-Factor Authentication.
  4. Em Autenticação Multifator do Microsoft Azure, selecione configurações de serviço.Under Multi-Factor Authentication, select service settings.
  5. Na página Configurações do Serviço, selecione a opção Permitir que usuários criem senhas de aplicativo para entrarem em aplicativos que não são navegadores.On the Service Settings page, select the Allow users to create app passwords to sign in to non-browser apps option.

Criar senhas de aplicativoCreate app passwords

Os usuários podem criar senhas de aplicativo durante o registro inicial.Users can create app passwords during their initial registration. O usuário tem a opção de criar senhas de aplicativo no final do processo de registro.The user has the option to create app passwords at the end of the registration process.

Os usuários também podem criar senhas de aplicativo após o registro.Users can also create app passwords after registration. Para obter mais informações e etapas detalhadas para os usuários, consulte O que são senhas de aplicativo na Autenticação Multifator do Azure?For more information and detailed steps for your users, see What are app passwords in Azure Multi-Factor Authentication?

IPs confiáveisTrusted IPs

O recurso IPs confiáveis da Autenticação Multifator do Azure é usado por administradores de um locatário gerenciado ou federado.The Trusted IPs feature of Azure Multi-Factor Authentication is used by administrators of a managed or federated tenant. O recurso ignora a verificação em duas etapas para os usuários que se conectam pela intranet da empresa.The feature bypasses two-step verification for users who sign in from the company intranet. O recurso está disponível na versão completa da Autenticação Multifator do Azure e não na versão gratuita para administradores.The feature is available with the full version of Azure Multi-Factor Authentication, and not the free version for administrators. Para saber como obter a versão completa da Autenticação Multifator do Azure, consulte Autenticação Multifator do Azure.For details on how to get the full version of Azure Multi-Factor Authentication, see Azure Multi-Factor Authentication.

Observação

IPs e acesso condicional, localizações nomeadas só funcionam com endereços IPV4 confiáveis de MFA.MFA trusted IPs and Conditional Access named locations only work with IPV4 addresses.

Se sua organização implantar a extensão NPS para fornecer MFA a aplicativos locais, o endereço IP de origem sempre parecerá ser o servidor NPS que passa pela tentativa de autenticação.If your organization deploys the NPS extension to provide MFA to on-premises applications note the source IP address will always appear to be the NPS server the authentication attempt flows through.

Tipo de locatário do Azure ADAzure AD tenant type Opções do recurso IPs ConfiáveisTrusted IPs feature options
GerenciadaManaged Intervalo específico de endereços IP: os administradores especificam um intervalo de endereços IP que tem permissão para ignorar a verificação em duas etapas de usuários que se conectam pela intranet da empresa.Specific range of IP addresses: Administrators specify a range of IP addresses that can bypass two-step verification for users who sign in from the company intranet.
FederadoFederated Todos os usuários federados: todos os usuários federados que se conectam de dentro da organização tem permissão para ignorar a verificação em duas etapas.All Federated Users: All federated users who sign in from inside of the organization can bypass two-step verification. Os usuários ignoram a verificação usando uma declaração que é emitida pelos Serviços de Federação do Active Directory (AD FS).The users bypass verification by using a claim that is issued by Active Directory Federation Services (AD FS).
Intervalo específico de endereços IP: os administradores especificam um intervalo de endereços IP que tem permissão para ignorar a verificação em duas etapas de usuários que se conectam pela intranet da empresa.Specific range of IP addresses: Administrators specify a range of IP addresses that can bypass two-step verification for users who sign in from the company intranet.

O bypass dos IPs Confiáveis funciona somente dentro da intranet da empresa.The Trusted IPs bypass works only from inside of the company intranet. Se você selecionar a opção Todos os usuários federados e um usuário se conectar de fora da intranet da empresa, ele deverá se autenticar usando a verificação em duas etapas.If you select the All Federated Users option and a user signs in from outside the company intranet, the user has to authenticate by using two-step verification. O processo será o mesmo, ainda que o usuário apresente uma declaração do AD FS.The process is the same even if the user presents an AD FS claim.

Experiência do usuário final dentro da rede corporativaEnd-user experience inside of corpnet

Quando o recurso IPs Confiáveis é desabilitado, a verificação em duas etapas é obrigatória para fluxos do navegador.When the Trusted IPs feature is disabled, two-step verification is required for browser flows. As senhas de aplicativo são necessárias para aplicativos cliente avançados mais antigos.App passwords are required for older rich client applications.

Quando o recurso IPs Confiáveis é habilitado, a verificação em duas etapas não é obrigatória para fluxos do navegador.When the Trusted IPs feature is enabled, two-step verification is not required for browser flows. As senhas de aplicativo não são necessárias para aplicativos cliente avançados mais antigos, desde que o usuário não tenha criado uma senha de aplicativo.App passwords are not required for older rich client applications, provided that the user hasn't created an app password. Uma vez que a senha de aplicativo esteja em uso, ela permanecerá necessária.After an app password is in use, the password remains required.

Experiência do usuário final fora da rede corporativaEnd-user experience outside corpnet

Independentemente se o recurso IPs Confiáveis estiver habilitado, a verificação em duas etapas será necessária para fluxos de navegador.Regardless of whether the Trusted IPs feature is enabled, two-step verification is required for browser flows. As senhas de aplicativo são necessárias para aplicativos cliente avançados mais antigos.App passwords are required for older rich client applications.

Habilitar locais nomeados por meio do acesso condicionalEnable named locations by using Conditional Access

  1. Entre no Portal do Azure.Sign in to the Azure portal.
  2. À esquerda, selecione Azure Active Directory > acesso condicional > localizações nomeadas.On the left, select Azure Active Directory > Conditional Access > Named locations.
  3. Selecione Novo local.Select New location.
  4. Insira um nome para o local.Enter a name for the location.
  5. Selecione Marcar como local confiável.Select Mark as trusted location.
  6. Insira o intervalo de IP em notação CIDR, como 192.168.1.1/24.Enter the IP Range in CIDR notation like 192.168.1.1/24.
  7. Selecione Criar.Select Create.

Habilitar o recurso IPs confiáveis usando o acesso condicionalEnable the Trusted IPs feature by using Conditional Access

  1. Entre no Portal do Azure.Sign in to the Azure portal.

  2. À esquerda, selecione Azure Active Directory > acesso condicional > localizações nomeadas.On the left, select Azure Active Directory > Conditional Access > Named locations.

  3. Selecione Configurar IPs confiáveis de MFA.Select Configure MFA trusted IPs.

  4. Na página Configuração do Serviço, em IPs Confiáveis, escolha uma das duas opções a seguir:On the Service Settings page, under Trusted IPs, choose from any of the following two options:

    • Para solicitações de usuários federados originárias da minha intranet: Para escolher essa opção, marque a caixa de seleção.For requests from federated users originating from my intranet: To choose this option, select the check box. Todos os usuários federados que se conectarem pela rede corporativa ignorarão a verificação em duas etapas usando uma declaração que é emitida pelo AD FS.All federated users who sign in from the corporate network bypass two-step verification by using a claim that is issued by AD FS. Verifique se o AD FS tem uma regra para adicionar a declaração de intranet ao tráfego apropriado.Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. Se a regra não existir, crie a seguinte regra no AD FS:If the rule does not exist, create the following rule in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Para solicitações de um intervalo específico de IPs públicos: para escolher essa opção, insira os endereços IP na caixa de texto usando a notação CIDR.For requests from a specific range of public IPs: To choose this option, enter the IP addresses in the text box by using CIDR notation.

      • Para endereços IP que estejam no intervalo xxx.xxx.xxx.1 até xxx.xxx.xxx.254, use a notação como xxx.xxx.xxx.0/24.For IP addresses that are in the range xxx.xxx.xxx.1 through xxx.xxx.xxx.254, use notation like xxx.xxx.xxx.0/24.
      • Para um único endereço IP, use a notação como xxx.xxx.xxx.xxx/32.For a single IP address, use notation like xxx.xxx.xxx.xxx/32.
      • Você pode inserir até 50 intervalos de endereço IP.Enter up to 50 IP address ranges. Os usuários que acessam desses endereços IP ignoram verificação em duas etapas.Users who sign in from these IP addresses bypass two-step verification.
  5. Clique em Salvar.Select Save.

Habilitar o recurso IPs Confiáveis, usando as configurações do serviçoEnable the Trusted IPs feature by using service settings

  1. Entre no Portal do Azure.Sign in to the Azure portal.

  2. Na esquerda, selecione Azure Active Directory > Usuários.On the left, select Azure Active Directory > Users.

  3. Selecione Autenticação Multifator.Select Multi-Factor Authentication.

  4. Em Autenticação Multifator do Microsoft Azure, selecione configurações de serviço.Under Multi-Factor Authentication, select service settings.

  5. Na página Configuração do Serviço, em IPs Confiáveis, escolha uma das duas opções a seguir (ou ambas):On the Service Settings page, under Trusted IPs, choose one (or both) of the following two options:

    • Para solicitações de usuários federados na minha intranet: Para escolher essa opção, marque a caixa de seleção.For requests from federated users on my intranet: To choose this option, select the check box. Todos os usuários federados que se conectarem pela rede corporativa ignorarão a verificação em duas etapas usando uma declaração que é emitida pelo AD FS.All federated users who sign in from the corporate network bypass two-step verification by using a claim that is issued by AD FS. Verifique se o AD FS tem uma regra para adicionar a declaração de intranet ao tráfego apropriado.Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. Se a regra não existir, crie a seguinte regra no AD FS:If the rule does not exist, create the following rule in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Para solicitações de um intervalo específico de sub-redes de endereços IP: para escolher essa opção, insira os endereços IP na caixa de texto usando a notação CIDR.For requests from a specified range of IP address subnets: To choose this option, enter the IP addresses in the text box by using CIDR notation.

      • Para endereços IP que estejam no intervalo xxx.xxx.xxx.1 até xxx.xxx.xxx.254, use a notação como xxx.xxx.xxx.0/24.For IP addresses that are in the range xxx.xxx.xxx.1 through xxx.xxx.xxx.254, use notation like xxx.xxx.xxx.0/24.
      • Para um único endereço IP, use a notação como xxx.xxx.xxx.xxx/32.For a single IP address, use notation like xxx.xxx.xxx.xxx/32.
      • Você pode inserir até 50 intervalos de endereço IP.Enter up to 50 IP address ranges. Os usuários que acessam desses endereços IP ignoram verificação em duas etapas.Users who sign in from these IP addresses bypass two-step verification.
  6. Clique em Salvar.Select Save.

Métodos de verificaçãoVerification methods

Você pode escolher os métodos de verificação que estarão disponíveis para os usuários.You can choose the verification methods that are available for your users. A tabela a seguir fornece uma visão geral dos métodos.The following table provides a brief overview of the methods.

Quando os usuários registram suas contas na Autenticação Multifator do Azure, eles escolhem o método de verificação preferido nas opções que você habilitou.When your users enroll their accounts for Azure Multi-Factor Authentication, they choose their preferred verification method from the options that you have enabled. As diretrizes para o processo de registro são fornecidas em Configurar minha conta para verificação em duas etapas.Guidance for the user enrollment process is provided in Set up my account for two-step verification.

MétodoMethod DESCRIÇÃODescription
Ligue para o telefoneCall to phone Faz uma chamada de voz automatizada para o usuário.Places an automated voice call. O usuário atende à chamada e pressiona # no teclado do telefone para autenticar.The user answers the call and presses # in the phone keypad to authenticate. O número de telefone não é sincronizado com o Active Directory local.The phone number is not synchronized to on-premises Active Directory.
Mensagem de texto para telefoneText message to phone Envia para o usuário uma mensagem de texto que contém um código de verificação.Sends a text message that contains a verification code. É solicitado que o usuário digite o código de verificação na interface de acesso.The user is prompted to enter the verification code into the sign-in interface. Esse processo é chamado de SMS unidirecional.This process is called one-way SMS. SMS bidirecional significa que o usuário deve retornar um determinado código por SMS.Two-way SMS means that the user must text back a particular code. O SMS bidirecional foi preterido e não terá compatibilidade depois de 14 de novembro de 2018.Two-way SMS is deprecated and not supported after November 14, 2018. Os usuários configurados para o SMS bidirecional serão mudados automaticamente para verificação Ligar para o telefone nessa oportunidade.Users who are configured for two-way SMS are automatically switched to call to phone verification at that time.
Notificação pelo aplicativo móvelNotification through mobile app Envia uma notificação por push para o telefone ou o dispositivo registrado.Sends a push notification to your phone or registered device. O usuário vê a notificação e seleciona Verificar para concluir a verificação.The user views the notification and selects Verify to complete verification. O aplicativo Microsoft Authenticator está disponível para Windows Phone, Android e iOS.The Microsoft Authenticator app is available for Windows Phone, Android, and iOS.
O código de verificação do aplicativo móvel ou token de hardwareVerification code from mobile app or hardware token O aplicativo Microsoft Authenticator gera um novo código de verificação OATH a cada 30 segundos.The Microsoft Authenticator app generates a new OATH verification code every 30 seconds. O usuário digita o código de verificação na interface de entrada.The user enters the verification code into the sign-in interface. O aplicativo Microsoft Authenticator está disponível para Windows Phone, Android e iOS.The Microsoft Authenticator app is available for Windows Phone, Android, and iOS.

Habilitar e desabilitar métodos de verificaçãoEnable and disable verification methods

  1. Entre no Portal do Azure.Sign in to the Azure portal.
  2. À esquerda, selecione Azure Active Directory > Usuários e grupos > Todos os usuários.On the left, select Azure Active Directory > Users and groups > All users.
  3. Selecione Autenticação Multifator.Select Multi-Factor Authentication.
  4. Em Autenticação Multifator do Microsoft Azure, selecione configurações de serviço.Under Multi-Factor Authentication, select service settings.
  5. Na página Configurações do Serviço, em Opções de verificação, selecione/cancele a seleção dos métodos a serem fornecidos aos usuários.On the Service Settings page, under verification options, select/unselect the methods to provide to your users.
  6. Clique em Salvar.Click Save.

Detalhes adicionais sobre o uso de métodos de autenticação podem ser encontrados no artigo O que são os métodos de autenticação.Additional details about the use of authentication methods can be found in the article What are authentication methods.

Lembre-se da Autenticação MultifatorRemember Multi-Factor Authentication

O recurso Lembrar a Autenticação Multifator para dispositivos e navegadores que são confiáveis para o usuário é um recurso gratuito para todos os usuários da Autenticação Multifator.The remember Multi-Factor Authentication feature for devices and browsers that are trusted by the user is a free feature for all Multi-Factor Authentication users. Os usuários podem ignorar as verificações subsequentes durante um número especificado de dias, depois de se conectarem com êxito a um dispositivo usando a Autenticação Multifator.Users can bypass subsequent verifications for a specified number of days, after they've successfully signed-in to a device by using Multi-Factor Authentication. O recurso melhora a usabilidade, minimizando o número de vezes que um usuário tem que realizar a verificação em duas etapas no mesmo dispositivo.The feature enhances usability by minimizing the number of times a user has to perform two-step verification on the same device.

Importante

Se um dispositivo ou uma conta for comprometida, a lembrança da Autenticação Multifator para dispositivos confiáveis poderá afetar a segurança.If an account or device is compromised, remembering Multi-Factor Authentication for trusted devices can affect security. Caso uma conta corporativa seja comprometida ou um dispositivo confiável seja perdido ou roubado, você deve restaurar a Autenticação Multifator em todos os dispositivos.If a corporate account becomes compromised or a trusted device is lost or stolen, you should restore Multi-Factor Authentication on all devices.

A ação de restaurar revoga o status de confiável de todos os dispositivos, e o usuário precisará executar a verificação em duas etapas novamente.The restore action revokes the trusted status from all devices, and the user is required to perform two-step verification again. Você também pode instruir seus usuários a restaurar a Autenticação Multifator em seus próprios dispositivos com as instruções disponíveis em Gerenciar as configurações da verificação em duas etapas.You can also instruct your users to restore Multi-Factor Authentication on their own devices with the instructions in Manage your settings for two-step verification.

Como o recurso funcionaHow the feature works

O recurso Lembrar a Autenticação Multifator define um cookie persistente no navegador quando um usuário seleciona a opção Não perguntar novamente durante X dias ao entrar.The remember Multi-Factor Authentication feature sets a persistent cookie on the browser when a user selects the Don't ask again for X days option at sign-in. O usuário não será solicitado novamente a realizar a Autenticação Multifator nesse mesmo navegador até que o cookie se expire.The user isn't prompted again for Multi-Factor Authentication from that same browser until the cookie expires. Caso o usuário abra um navegador diferente no mesmo dispositivo ou limpe os cookies, ele será solicitado a verificar novamente.If the user opens a different browser on the same device or clears their cookies, they're prompted again to verify.

A opção Não perguntar novamente durante X dias não é mostrada em aplicativos sem navegador, independentemente se o aplicativo é compatível com a autenticação moderna.The Don't ask again for X days option isn't shown on non-browser applications, regardless of whether the app supports modern authentication. Esses aplicativos usam tokens de atualização que fornecem novos tokens de acesso a cada hora.These apps use refresh tokens that provide new access tokens every hour. Quando um token de atualização é validado, o Azure AD verifica se a última verificação em duas etapas ocorreu dentro do número especificado de dias.When a refresh token is validated, Azure AD checks that the last two-step verification occurred within the specified number of days.

O recurso reduz o número de autenticações em aplicativos Web, que normalmente solicitam todas as vezes.The feature reduces the number of authentications on web apps, which normally prompt every time. O recurso aumenta o número de autenticações de clientes de autenticação moderna, que normalmente solicitam a cada 90 dias.The feature increases the number of authentications for modern authentication clients that normally prompt every 90 days. Também é possível aumentar o número de autenticações quando combinado com políticas de acesso condicional.May also increase the number of authentications when combined with Conditional Access policies.

Importante

O recurso Lembrar a Autenticação Multifator não é compatível com o recurso Mantenha-me conectado do AD FS, em que os usuários realizam a verificação em duas etapas no AD FS por meio do Servidor de Autenticação Multifator do Azure ou de uma solução de autenticação multifator de terceiros.The remember Multi-Factor Authentication feature is not compatible with the keep me signed in feature of AD FS, when users perform two-step verification for AD FS through Azure Multi-Factor Authentication Server or a third-party multi-factor authentication solution.

Se os usuários selecionarem Mantenha-me conectado no AD FS e também marcarem seus dispositivos como confiáveis para a Autenticação Multifator, eles não serão verificados automaticamente após o fim do número de dias da Lembrar a Autenticação Multifator.If your users select keep me signed in on AD FS and also mark their device as trusted for Multi-Factor Authentication, the user isn't automatically verified after the remember multi-factor authentication number of days expires. O Azure AD solicitará uma nova verificação em duas etapas, mas o AD FS retornará um token com a declaração e a data originais da Autenticação Multifator em vez de realizar a verificação em duas etapas novamente.Azure AD requests a fresh two-step verification, but AD FS returns a token with the original Multi-Factor Authentication claim and date, rather than performing two-step verification again. Essa reação dá início a um loop de verificação entre o Microsoft Azure Active Directory e o AD FS.This reaction sets off a verification loop between Azure AD and AD FS.

Habilitar a opção Lembrar a Autenticação MultifatorEnable remember Multi-Factor Authentication

  1. Entre no Portal do Azure.Sign in to the Azure portal.
  2. À esquerda, selecione Azure Active Directory > Usuários e grupos > Todos os usuários.On the left, select Azure Active Directory > Users and groups > All users.
  3. Selecione Autenticação Multifator.Select Multi-Factor Authentication.
  4. Em Autenticação Multifator do Microsoft Azure, selecione configurações de serviço.Under Multi-Factor Authentication, select service settings.
  5. Na página Configurações do Serviço, Gerenciar Lembrar a Autenticação Multifator, selecione a opção Permite aos usuários lembrar a autenticação multifator em dispositivos que eles confiam.On the Service Settings page, manage remember multi-factor authentication, select the Allow users to remember multi-factor authentication on devices they trust option.
  6. Defina o número de dias a permitir que os dispositivos confiáveis ignorem a verificação em duas etapas.Set the number of days to allow trusted devices to bypass two-step verification. O padrão é 14 dias.The default is 14 days.
  7. Clique em Salvar.Select Save.

Marcar um dispositivo como confiávelMark a device as trusted

Depois de habilitar o recurso Lembrar a Autenticação Multifator, os usuários poderão marcar um dispositivo como confiável ao entrarem e selecionarem Não perguntar novamente.After you enable the remember Multi-Factor Authentication feature, users can mark a device as trusted when they sign in by selecting Don't ask again.

Próximas etapasNext steps

Modificar a identidade visual da página de entrada do Azure ADModify Azure AD sign-in page branding