Registo combinado de informações de segurança para Azure Ative Directory visão geral

Antes do registo combinado, os utilizadores registaram métodos de autenticação para autenticação multi-factor Azure AD e autosserviço de autosserviço reset (SSPR) separadamente. As pessoas confundiram-se com o facto de métodos semelhantes terem sido usados para autenticação multi-factor e SSPR, mas tiveram de se registar para ambas as funcionalidades. Agora, com o registo combinado, os utilizadores podem registar-se uma vez e obter os benefícios tanto da Autenticação Multi-Factor como da SSPR. Recomendamos este vídeo sobre Como ativar e configurar sSPR em Azure AD

Nota

A partir de 15 de agosto de 2020, todos os novos inquilinos da AD Azure serão automaticamente habilitados para o registo combinado.

Este artigo descreve o que é o registo de segurança combinado. Para começar com o registo combinado de segurança, consulte o seguinte artigo:

A minha conta mostrando informações de segurança registadas para um utilizador

Antes de ativar a nova experiência, reveja esta documentação focada no administrador e a documentação focada no utilizador para garantir que compreende a funcionalidade e o efeito desta funcionalidade. Baseie a sua formação na documentação do utilizador para preparar os seus utilizadores para a nova experiência e ajudar a garantir um lançamento bem-sucedido.

O registo combinado de informações de segurança da Azure AD está disponível para o Governo dos EUA, mas não para a Azure Germany ou para a Azure China 21Vianet.

Importante

Os utilizadores que estão habilitados tanto para a pré-visualização original como para a experiência de registo combinado melhorada vêem o novo comportamento. Os utilizadores que estão habilitados para ambas as experiências vêem apenas a experiência My Account. A Conta My alinha-se com o aspeto e a sensação de registo combinado e proporciona uma experiência perfeita para os utilizadores. Os utilizadores podem ver a Minha Conta indo para https://myaccount.microsoft.com .

Pode encontrar uma mensagem de erro enquanto tenta aceder à opção de informação de Segurança, como: "Desculpe, não podemos inscrevê-lo". Confirme que não tem qualquer configuração ou objeto de política de grupo que bloqueie cookies de terceiros no navegador web.

As páginas da minha conta são localizadas com base nas definições de idioma do computador que acede à página. A Microsoft armazena o idioma mais recente utilizado na cache do navegador, pelo que as tentativas subsequentes de aceder às páginas continuam a renderizar no último idioma utilizado. Se limpar a cache, as páginas voltarão a renderizar.

Se quiser forçar uma língua específica, pode adicionar ?lng=<language> ao final do URL, onde está o <language> código do idioma que pretende renderizar.

Configurar SSPR ou outros métodos de verificação de segurança

Métodos disponíveis no registo combinado

O registo combinado suporta os seguintes métodos e ações de autenticação:

Método Registar Alterar Eliminar
Microsoft Authenticator Sim (máximo de 5) No Yes
Outra aplicação autenticadora Sim (máximo de 5) No Yes
Ficha de hardware No No Yes
Telefone Yes Yes Yes
Telefone alternativo Yes Yes Yes
Telefone do escritório Yes Yes Yes
E-mail Yes Yes Yes
Perguntas de segurança Yes No Yes
Palavras-passe da aplicação Yes No Yes
Chaves de segurança FIDO2
Modo gerido apenas a partir da página de informações de Segurança
Yes Yes Yes

Nota

As palavras-passe da aplicação estão disponíveis apenas para utilizadores que tenham sido aplicados para autenticação multi-factor. As palavras-passe da aplicação não estão disponíveis para utilizadores que estejam habilitados para autenticação multi-factor através de uma política de Acesso Condicional.

Os utilizadores podem definir uma das seguintes opções como o método de autenticação multi-factor predefinido:

  • Microsoft Authenticator – notificação push
  • Authenticator app ou token de hardware – código
  • Chamada telefónica
  • Mensagem de texto

As aplicações autenticadoras de terceiros não fornecem a notificação push. À medida que continuamos a adicionar mais métodos de autenticação ao Azure AD, esses métodos ficam disponíveis no registo combinado.

Modos de registo combinados

Existem dois modos de registo combinado: interromper e gerir.

  • O modo de interrupção é uma experiência semelhante a um assistente, apresentada aos utilizadores quando registam ou atualizam as suas informações de segurança no início de sing-in.
  • O modo de gestão faz parte do perfil do utilizador e permite que os utilizadores gerem as suas informações de segurança.

Para ambos os modos, os utilizadores que tenham registado previamente um método que possa ser utilizado para autenticação multi-factor precisam de realizar a autenticação multi-factor antes de poderem aceder às suas informações de segurança. Os utilizadores devem confirmar as suas informações antes de continuarem a utilizar os seus métodos previamente registados.

Modo de interrupção

O registo combinado adere tanto às políticas de Autenticação Multi-Factor como sSPR, se ambos estiverem habilitados para o seu inquilino. Estas políticas controlam se um utilizador é interrompido para inscrição durante a entrada e quais os métodos disponíveis para inscrição. Se apenas uma política SSPR estiver ativada, então os utilizadores poderão ignorar a interrupção de registo e completá-la mais tarde.

Seguem-se os cenários de amostragem em que os utilizadores podem ser solicitados a registar ou atualizar as suas informações de segurança:

  • Registo de autenticação multi-factor aplicado através da Proteção de Identidade: Pede-se aos utilizadores que se registem durante a sindução. Registam métodos de autenticação multi-factor e métodos SSPR (se o utilizador estiver habilitado para SSPR).
  • Registo de autenticação multi-factor aplicado através da autenticação multi-factor por utilizador: Pede-se aos utilizadores que se registem durante a sindução. Registam métodos de autenticação multi-factor e métodos SSPR (se o utilizador estiver habilitado para SSPR).
  • Registo de autenticação multi-factor aplicado através de acesso condicional ou outras políticas: Pede-se aos utilizadores que se registem quando utilizam um recurso que requer autenticação multi-factor. Registam métodos de autenticação multi-factor e métodos SSPR (se o utilizador estiver habilitado para SSPR).
  • Registo SSPR imposto: Pede-se aos utilizadores que se registem durante a sindução. Registam apenas métodos SSPR.
  • SSPR refresh forçado: Os utilizadores são obrigados a rever as suas informações de segurança num intervalo definido pela administração. Os utilizadores são mostrados as suas informações e podem confirmar a informação atual ou fazer alterações se necessário.

Quando o registo é aplicado, os utilizadores são mostrados o número mínimo de métodos necessários para serem compatíveis com as políticas de Autenticação Multi-Factor e SSPR, da maioria para menos segura.

Considere o seguinte cenário de exemplo:

  • Um utilizador está ativado para SSPR. A política SSPR requer dois métodos para reiniciar e permitiu Authenticator aplicação, e-mail e telefone.
  • Quando o utilizador opta por se registar, são necessários dois métodos:
    • O utilizador é mostrado Authenticator aplicação e telefone por padrão.
    • O utilizador pode optar por registar e-mail em vez de Authenticator app ou telefone.

O seguinte fluxograma descreve quais os métodos apresentados a um utilizador quando interrompidos para se registar durante a entrada:

Fluxograma combinado de informações de segurança

Se tiver a autenticação multi-factor e a SSPR ativadas, recomendamos que aplique o registo de autenticação multi-factor.

Se a política SSPR exigir que os utilizadores revejam as suas informações de segurança a intervalos regulares, os utilizadores são interrompidos durante a entrada e mostram todos os seus métodos registados. Podem confirmar a informação atual se estiver em dia ou se podem fazer alterações se necessário. Os utilizadores devem efetuar a autenticação de vários fatores ao aceder a esta página.

Modo de gestão

Os utilizadores podem aceder ao modo de gestão indo https://aka.ms/mysecurityinfo ou selecionando informações de Segurança a partir da Minha Conta. A partir daí, os utilizadores podem adicionar métodos, eliminar ou alterar métodos existentes, alterar o método padrão, e muito mais.

Cenários-chave de utilização

Configurar informações de segurança durante o login

Um administrador impôs o registo.

Um utilizador não criou todas as informações de segurança necessárias e vai para o portal Azure. Depois de introduzir o nome de utilizador e a palavra-passe, o utilizador é solicitado a configurar informações de segurança. Em seguida, o utilizador segue os passos indicados no assistente para configurar as informações de segurança necessárias. Se as suas definições o permitirem, o utilizador pode optar por configurar métodos diferentes dos apresentados por predefinição. Após completar o assistente, os utilizadores analisam os métodos que configuraram e o seu método padrão para autenticação multi-factor. Para completar o processo de configuração, o utilizador confirma a informação e continua até ao portal Azure.

Configurar informações de segurança a partir da Minha Conta

Um administrador não impôs o registo.

Um utilizador que ainda não tenha configurado todas as informações de segurança necessárias vai para https://myaccount.microsoft.com . O utilizador seleciona informações de segurança no painel esquerdo. A partir daí, o utilizador opta por adicionar um método, seleciona qualquer um dos métodos disponíveis e segue os passos para configurar esse método. Quando terminado, o utilizador vê o método que foi configurado na página de informações de Segurança.

Eliminar informações de segurança da Minha Conta

Um utilizador que já criou pelo menos um método navega para https://aka.ms/mysecurityinfo . O utilizador opta por eliminar um dos métodos previamente registados. Quando terminada, o utilizador já não vê esse método na página de informações de Segurança.

Alterar o método padrão a partir da Minha Conta

Um utilizador que já criou pelo menos um método que pode ser utilizado para a autenticação multi-factor para https://aka.ms/mysecurityinfo . O utilizador altera o método de predefinição atual para um método padrão diferente. Quando terminado, o utilizador vê o novo método predefinido na página de informações de Segurança.

Trocar diretório

Uma identidade externa, como um utilizador B2B, pode ter de trocar o diretório para alterar as informações de registo de segurança para um inquilino de terceiros. Além disso, os utilizadores que acedem a um inquilino de recurso podem ser confundidos quando mudam de configuração no seu inquilino de casa, mas não vêem as alterações refletidas no inquilino de recursos.

Por exemplo, um utilizador define Microsoft Authenticator notificação push da aplicação como a autenticação principal para iniciar sôm no inquilino doméstico e também tem SMS/Texto como outra opção. Este utilizador também está configurado com opção SMS/Texto num inquilino de recursos. Se este utilizador remover SMS/Texto como uma das opções de autenticação do seu inquilino de casa, ficam confusos quando o acesso ao arrendatário de recursos lhes pede para responder em SMS/Texto.

Para mudar o diretório no portal Azure, clique no nome da conta do utilizador no canto superior direito e clique no diretório da Switch.

Os utilizadores externos podem mudar o diretório.

Passos seguintes

Para começar, consulte os tutoriais para permitir o reset da palavra-passe de autosserviço e ativar a autenticação multi-factor AD Azure.

Saiba como permitir o registo combinado no seu inquilino ou forçar os utilizadores a re-registar métodos de autenticação.

Também pode rever os métodos disponíveis para autenticação multi-factor Azure AD e SSPR.