Perguntas mais frequentes sobre a autenticação multifator do Microsoft Entra

Com o Multi-Factor Authentication Server, os dados do usuário são armazenados apenas nos servidores locais. Nenhuns dados de utilizador persistentes são armazenados na nuvem. Quando o usuário executa a verificação em duas etapas, o Multi-Factor Authentication Server envia dados para o serviço de nuvem de autenticação multifator Microsoft Entra para autenticação. A comunicação entre o Multi-Factor Authentication Server e o serviço de nuvem de autenticação multifator usa Secure Sockets Layer (SSL) ou Transport Layer Security (TLS) na porta 443 de saída.

Quando as solicitações de autenticação são enviadas para o serviço de nuvem, os dados são coletados para relatórios de autenticação e uso. Os seguintes campos de dados estão incluídos nos logs de verificação em duas etapas:

• ID exclusivo (nome de usuário ou ID do servidor Multi-Factor Authentication local)
• Nome e Apelido (opcional)
• Endereço de e-mail (opcional)
• Número de telefone (ao usar uma chamada de voz ou autenticação de mensagem de texto)
• Token de dispositivo (ao usar a autenticação de aplicativo móvel)
• Modo de autenticação
• Resultado da autenticação
• Nome do servidor Multi-Factor Authentication
• IP do servidor Multi-Factor Authentication
• IP do cliente (se disponível)

Os campos opcionais podem ser configurados no Multi-Factor Authentication Server.

O resultado da verificação (sucesso ou negação), e o motivo da negação, é armazenado com os dados de autenticação. Esses dados estão disponíveis em relatórios de autenticação e uso.

Para obter mais informações, consulte Residência de dados e dados do cliente para autenticação multifator do Microsoft Entra.

Nos Estados Unidos, usamos os seguintes códigos curtos:

• 97671
• 69829
• 51789
• 99399

No Canadá, usamos os seguintes códigos curtos:

• 759731
• 673801

Não há garantia de envio consistente de mensagens de texto ou autenticação multifator baseada em voz pelo mesmo número. No interesse de nossos usuários, podemos adicionar ou remover códigos curtos a qualquer momento, à medida que fazemos ajustes de rota para melhorar a capacidade de entrega de mensagens de texto.

Não suportamos códigos curtos para países ou regiões além dos Estados Unidos e Canadá.

Sim, em certos casos que normalmente envolvem solicitações de autenticação repetidas em uma janela de tempo curta, a autenticação multifator do Microsoft Entra limitará as tentativas de entrada do usuário para proteger redes de telecomunicações, mitigar ataques no estilo de fadiga de MFA e proteger seus próprios sistemas para o benefício de todos os clientes.

Embora não compartilhemos limites de limitação específicos, eles são baseados em um uso razoável.

Não, você não é cobrado por chamadas telefônicas individuais feitas ou mensagens de texto enviadas aos usuários por meio da autenticação multifator do Microsoft Entra. Se você usar um provedor de MFA por autenticação, será cobrado por cada autenticação, mas não pelo método usado.

Seus usuários podem ser cobrados pelas chamadas telefônicas ou mensagens de texto que recebem, de acordo com o serviço telefônico pessoal.

A cobrança é baseada no número de usuários configurados para usar a autenticação multifator, independentemente de terem realizado a verificação em duas etapas naquele mês.

Quando você cria um provedor de MFA por usuário ou por autenticação, a assinatura do Azure da sua organização é cobrada mensalmente com base no uso. Este modelo de faturação é semelhante à forma como o Azure fatura a utilização de máquinas virtuais e Aplicações Web.

Quando você compra uma assinatura para autenticação multifator do Microsoft Entra, sua organização paga apenas a taxa de licença anual para cada usuário. As licenças MFA e os pacotes Microsoft 365, Microsoft Entra ID P1 ou P2 ou Enterprise Mobility + Security são cobrados desta forma.

Para obter mais informações, consulte Como obter a autenticação multifator do Microsoft Entra.

Os padrões de segurança podem ser habilitados na camada Gratuita do Microsoft Entra ID. Com os padrões de segurança, todos os usuários são habilitados para autenticação multifator usando o aplicativo Microsoft Authenticator. Não há capacidade de usar a verificação por mensagem de texto ou telefone com padrões de segurança, apenas o aplicativo Microsoft Authenticator.

Para obter mais informações, consulte O que são padrões de segurança?

Se sua organização comprar MFA como um serviço autônomo com faturamento baseado em consumo, você escolhe um modelo de faturamento ao criar um provedor de MFA. Não é possível alterar o modelo de cobrança após a criação de um provedor de MFA.

Se o seu provedor de MFA não estiver vinculado a um locatário do Microsoft Entra ou se você vincular o novo provedor de MFA a um locatário diferente do Microsoft Entra, as configurações do usuário e as opções de configuração não serão transferidas. Além disso, os Servidores MFA existentes precisam ser reativados usando credenciais de ativação geradas por meio do novo Provedor de MFA. Reativar os Servidores MFA para associá-los ao novo Fornecedor do MFA não afeta a autenticação por chamada telefónica e mensagem de texto, mas as notificações da aplicação móvel deixarão de funcionar para todos os utilizadores até que reativem a aplicação móvel.

Saiba mais sobre provedores de MFA em Introdução a um provedor de autenticação multifator do Azure.

Em alguns casos, sim.

Se o seu diretório tiver um provedor de autenticação multifator Microsoft Entra por usuário , você poderá adicionar licenças MFA. Os utilizadores com licenças não são contabilizados na faturação baseada no consumo por utilizador. Os usuários sem licenças ainda podem ser habilitados para MFA por meio do provedor de MFA. Se você comprar e atribuir licenças para todos os usuários configurados para usar a autenticação multifator, poderá excluir o provedor de autenticação multifator do Microsoft Entra. Você sempre pode criar outro provedor de MFA por usuário se tiver mais usuários do que licenças no futuro.

Se o seu diretório tiver um provedor de autenticação multifator Microsoft Entra por autenticação, você sempre será cobrado por cada autenticação , desde que o provedor MFA esteja vinculado à sua assinatura. Você pode atribuir licenças de MFA aos usuários, mas ainda será cobrado por cada solicitação de verificação em duas etapas, seja ela proveniente de alguém com uma licença de MFA atribuída ou não.

Se a sua organização utiliza um modelo de faturação baseado no consumo, o Microsoft Entra ID é opcional, mas não obrigatório. Se seu provedor de MFA não estiver vinculado a um locatário do Microsoft Entra, você só poderá implantar o Servidor Azure Multi-Factor Authentication localmente.

A ID do Microsoft Entra é necessária para o modelo de licença porque as licenças são adicionadas ao locatário do Microsoft Entra quando você as compra e as atribui aos usuários no diretório.

Peça aos seus utilizadores que tentem até cinco vezes em 5 minutos receber uma chamada telefónica ou uma mensagem de texto para autenticação. A Microsoft usa vários provedores para entregar chamadas e mensagens de texto. Se essa abordagem não funcionar, abra um caso de suporte para solucionar problemas adicionais.

As aplicações de segurança de terceiros também podem bloquear o código de verificação, mensagem de texto ou chamada telefónica. Se estiver usando um aplicativo de segurança de terceiros, tente desativar a proteção e solicite o envio de outro código de verificação MFA.

Se as etapas acima não funcionarem, verifique se os usuários estão configurados para mais de um método de verificação. Tente iniciar sessão novamente, mas selecione um método de verificação diferente na página de início de sessão.

Para obter mais informações, consulte o guia de solução de problemas do usuário final.

Você pode redefinir a conta do usuário fazendo com que ele passe pelo processo de registro novamente. Saiba mais sobre como gerenciar configurações de usuário e dispositivo com a autenticação multifator do Microsoft Entra na nuvem.

Para evitar o acesso não autorizado, exclua todas as senhas do aplicativo do usuário. Depois que o usuário tiver um dispositivo de substituição, ele poderá recriar as senhas. Saiba mais sobre como gerenciar configurações de usuário e dispositivo com a autenticação multifator do Microsoft Entra na nuvem.

Se sua organização ainda usa clientes herdados e você permitiu o uso de senhas de aplicativo, seus usuários não poderão entrar nesses clientes herdados com seu nome de usuário e senha. Em vez disso, eles precisam configurar senhas de aplicativos. Os utilizadores têm de limpar (eliminar) as suas informações de início de sessão, reiniciar a aplicação e, em seguida, iniciar sessão com o respetivo nome de utilizador e palavra-passe da aplicação em vez da palavra-passe normal.

Se sua organização não tiver clientes herdados, você não deve permitir que seus usuários criem senhas de aplicativos.

A entrega de mensagens de texto não é garantida porque fatores incontroláveis podem afetar a confiabilidade do serviço. Esses fatores incluem o país ou região de destino, a operadora de telefonia móvel e a intensidade do sinal.

As aplicações de segurança de terceiros também podem bloquear o código de verificação, mensagem de texto ou chamada telefónica. Se estiver usando um aplicativo de segurança de terceiros, tente desativar a proteção e solicite o envio de outro código de verificação MFA.

Se os seus utilizadores tiverem frequentemente problemas com a receção fiável de mensagens de texto, peça-lhes que utilizem a aplicação Microsoft Authenticator ou o método de chamada telefónica. O Microsoft Authenticator pode receber notificações através de ligações móveis e Wi-Fi. Além disso, o aplicativo móvel pode gerar códigos de verificação mesmo quando o dispositivo não tem sinal. A aplicação Microsoft Authenticator está disponível para Android, iOS e Windows Phone.

Em alguns casos, sim.

Para SMS unidirecional com MFA Server v7.0 ou superior, você pode definir a configuração de tempo limite definindo uma chave do Registro. Depois que o serviço de nuvem MFA envia a mensagem de texto, o código de verificação (ou senha única) é retornado ao MFA Server. O MFA Server armazena o código na memória por 300 segundos por padrão. Se o usuário não inserir o código antes dos 300 segundos, sua autenticação será negada. Use estas etapas para alterar a configuração de tempo limite padrão:

1. Aceder a HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
2. Crie uma chave de registo DWORD chamada pfsvc_pendingSmsTimeoutSeconds e defina a hora, em segundos, que pretende que o MFA Server armazene códigos de acesso únicos.

Se os usuários não responderem ao SMS dentro do período de tempo limite definido, sua autenticação será negada.

Para SMS unidirecional com autenticação multifator do Microsoft Entra na nuvem (incluindo o adaptador AD FS ou a extensão do Servidor de Políticas de Rede), não é possível definir a configuração de tempo limite. O Microsoft Entra ID armazena o código de verificação por 180 segundos.

Se estiver a utilizar o Servidor de Autenticação Multifator, pode importar tokens de palavra-passe única (TOTP) baseados no tempo (OATH) de terceiros e, em seguida, utilizá-los para verificação em dois passos.

Você pode usar tokens ActiveIdentity que são tokens OATH TOTP se colocar a chave secreta em um arquivo CSV e importar para o Multi-Factor Authentication Server. Você pode usar tokens OATH com os Serviços de Federação do Ative Directory (ADFS), a autenticação baseada em formulários do Internet Information Server (IIS) e o RADIUS (Remote Authentication Dial-In User Service), desde que o sistema cliente possa aceitar a entrada do usuário.

Você pode importar tokens OATH TOTP de terceiros com os seguintes formatos:

• Recipiente de chave simétrica portátil (PSKC)
• CSV se o ficheiro contiver um número de série, uma chave secreta no formato Base 32 e um intervalo de tempo

Sim, mas se estiver a utilizar o Windows Server 2012 R2 ou posterior, só pode proteger os Serviços de Terminal utilizando o Gateway de Ambiente de Trabalho Remoto (Gateway de RD).

As alterações de segurança no Windows Server 2012 R2 alteraram a forma como o Multi-Factor Authentication Server se liga ao pacote de segurança da Autoridade de Segurança Local (LSA) no Windows Server 2012 e em versões anteriores. Para versões dos Serviços de Terminal no Windows Server 2012 ou anteriores, você pode proteger um aplicativo com a Autenticação do Windows. Se você estiver usando o Windows Server 2012 R2, precisará do Gateway de Área de Trabalho Remota.

Quando as chamadas de autenticação multifator são feitas através da rede telefónica pública, por vezes são encaminhadas através de uma operadora que não suporta o identificador de chamadas. Devido a esse comportamento da operadora, o identificador de chamadas não é garantido, embora o sistema de autenticação multifator sempre o envie.

Há vários motivos pelos quais os usuários podem ser solicitados a registrar suas informações de segurança:

• O usuário foi habilitado para MFA por seu administrador no Microsoft Entra ID, mas ainda não tem informações de segurança registradas para sua conta.
• O usuário foi habilitado para redefinição de senha de autoatendimento no Microsoft Entra ID. As informações de segurança irão ajudá-los a redefinir sua senha no futuro, se alguma vez a esquecerem.
• O usuário acessou um aplicativo que tem uma política de Acesso Condicional para exigir MFA e não se registrou anteriormente para MFA.
• O usuário está registrando um dispositivo com a ID do Microsoft Entra (incluindo a associação do Microsoft Entra) e sua organização requer MFA para registro de dispositivo, mas o usuário não se registrou anteriormente para MFA.
• O usuário está gerando o Windows Hello for Business no Windows 10 (que requer MFA) e não se registrou anteriormente para MFA.
• A organização criou e habilitou uma política de Registro de MFA que foi aplicada ao usuário.
• O usuário se registrou anteriormente para MFA, mas escolheu um método de verificação que um administrador desativou desde então. O usuário deve, portanto, passar pelo registro de MFA novamente para selecionar um novo método de verificação padrão.

Peça ao usuário para concluir o procedimento a seguir para remover sua conta do Microsoft Authenticator e adicione-a novamente:

1. Aceda ao respetivo perfil de conta e inicie sessão com uma conta organizacional.
2. Selecione Verificação de segurança adicional.
3. Remova a conta existente do aplicativo Microsoft Authenticator.
4. Clique em Configurar e siga as instruções para reconfigurar o Microsoft Authenticator.

O erro 0x800434D4L ocorre quando tenta iniciar sessão numa aplicação que não seja do navegador, instalada num computador local, que não funciona com contas que requerem verificação em dois passos.

Uma solução alternativa para esse erro é ter contas de usuário separadas para operações relacionadas e não administrativas. Mais tarde, pode ligar caixas de correio entre a sua conta de administrador e a conta de não administrador para que possa iniciar sessão no Outlook utilizando a sua conta de não administrador. Para obter mais detalhes sobre essa solução, saiba como dar a um administrador a capacidade de abrir e exibir o conteúdo da caixa de correio de um usuário.

Erro 1073741715 = Falha de Logon de Status -> A tentativa de logon é inválida. Isso se deve a um nome de usuário ou autenticação incorretos.

Uma razão plausível para esse erro: se as credenciais primárias inseridas estiverem corretas, pode haver uma incompatibilidade entre a versão NTLM suportada no servidor MFA e o controlador de domínio. O MFA Server suporta apenas NTLMv1 (LmCompatabilityLevel=1 a 4) e não NTLMv2 (LmCompatabilityLevel=5).

Próximos passos

Se a sua pergunta não for respondida aqui, as seguintes opções de suporte estão disponíveis:

• Pesquise na Base de Conhecimento de Suporte da Microsoft para obter soluções para problemas técnicos comuns.
• Procure e procure perguntas e respostas técnicas da comunidade ou faça a sua própria pergunta nas Perguntas e Respostas do Microsoft Entra.
• Entre em contato com o profissional da Microsoft por meio do suporte ao Multi-Factor Authentication Server. Ao entrar em contato conosco, é útil se você puder incluir o máximo possível de informações sobre seu problema. As informações que você pode fornecer incluem a página onde você viu o erro, o código de erro específico, o ID de sessão específico e o ID do usuário que viu o erro.
• Se você for um cliente herdado do PhoneFactor e tiver dúvidas ou precisar de ajuda para redefinir uma senha, use o phonefactorsupport@microsoft.com endereço de e-mail para abrir um caso de suporte.