- Artigo
- 10 minutos para o fim da leitura
Antes do registro combinado, os usuários se registravam separadamente em métodos de autenticação diferentes para a Autenticação Multifator do Azure AD e a SSPR (redefinição de senha self-service). As pessoas ficavam confusas porque, embora fossem usados métodos semelhantes para a autenticação multifator e a SSPR, elas tinham que se registrar em ambos os recursos. Agora, com o registro combinado, os usuários só precisam se registrar uma vez para obter os benefícios tanto da autenticação multifator como da SSPR. Recomendamos este vídeo sobre como habilitar e configurar o SSPR no Azure AD
Observação
A partir de 1º de outubro de 2022, começaremos a habilitar o registro combinado para todos os usuários nos locatários do Azure AD criados antes de 15 de agosto de 2020. Os locatários criados após esta data serão habilitados com registro combinado.
Este artigo descreve o que é o registro combinado de segurança. Para começar a usar o registro combinado de segurança, confira o seguinte artigo:
Habilitar o registro combinado de segurança
Antes de habilitar a nova experiência, examine esta documentação voltada para o administrador e a documentação voltada para o usuário para ter certeza de que você entendeu a funcionalidade e o efeito desse recurso. Baseie seu treinamento na documentação do usuário para preparar os usuários para a nova experiência e ajudar a garantir uma distribuição bem-sucedida.
O registro combinado de informações de segurança do Azure AD está disponível para o Azure US Government, mas não para o Azure China 21Vianet.
Importante
Os usuários que estão habilitados para a versão prévia original e a experiência avançada de registro combinado visualizam o novo comportamento. Os usuários que estão habilitados para as duas experiências visualizam apenas a experiência de Minha Conta. Minha Conta está alinhada com a aparência do registro combinado e oferece uma experiência perfeita aos usuários. Os usuários podem ver Minha Conta acessando https://myaccount.microsoft.com.
Você pode definir Exigir que os usuários se registrem ao entrar para Sim a fim de exigir que todos os usuários se registrem ao entrar, garantindo que todos os usuários estejam protegidos.
Talvez você encontre uma mensagem de erro ao tentar acessar a opção Informações de segurança, como "Infelizmente não foi possível conectá-lo". Confirme se não há nenhum objeto de política de grupo ou de configuração que bloqueie cookies de terceiros no navegador da Web.
As páginas Minha Conta são localizadas de acordo com as configurações de idioma do computador que está acessando a página. Como a Microsoft armazena o idioma mais recente usado no cache do navegador, as tentativas subsequentes de acessar as páginas continuam a ser renderizadas no último idioma usado. Se você limpar o cache, elas serão renderizadas novamente.
Caso você queira forçar um idioma específico, adicione ?lng=<language> ao final da URL, em que <language> é o código do idioma a ser renderizado.
Métodos disponíveis no registro combinado
O registro combinado é compatível com os métodos e ações de autenticação listados na tabela a seguir.
| Método | Registrar | Alteração | Excluir |
|---|---|---|---|
| Microsoft Authenticator | Sim (no máximo 5) | Não | Sim |
| Outro aplicativo autenticador | Sim (no máximo 5) | Não | Sim |
| Token de hardware | Não | Não | Sim |
| Telefone | Sim | Sim | Sim |
| Telefone alternativo | Sim | Sim | Sim |
| Telefone do escritório* | Sim | Sim | Sim |
| Sim | Yes | Sim | |
| Perguntas de segurança | Sim | Não | Yes |
| Senhas de aplicativo* | Yes | Não | Yes |
| Chaves de segurança FIDO2* | Sim | Não | Yes |
Observação
O Telefone do escritório só poderá ser registrado no Modo de interrupção se a propriedade Telefone comercial dos usuários tiver sido definida. Os usuários podem inserir o Telefone do escritório sem esse requisito, no modo gerenciado, por meio das Informações de segurança.
As senhas de aplicativo estão disponíveis somente para usuários aos quais foi imposta a Autenticação Multifator do Azure AD. As senhas de aplicativo não estão disponíveis para usuários habilitados para a Autenticação Multifator do Azure AD por meio de uma política de Acesso Condicional.
Chaves de segurança FIDO2 só podem ser adicionadas no modo gerenciado, na página Informações de segurança
Os usuários podem definir uma opções a seguir como o método padrão de autenticação multifator.
- Microsoft Authenticator - notificação por push ou sem senha
- Código do token de hardware ou aplicativo do autenticador
- chamada telefônica
- mensagem de texto
Observação
Não há suporte para números de telefone virtuais para chamadas de voz ou mensagens de SMS.
Aplicativos autenticadores de terceiros não fornecem notificação por push. Conforme adicionamos mais métodos de autenticação ao Azure AD, eles vão sendo disponibilizados no registro combinado.
Modos de registro combinado
Existem dois modos de registro combinado: Interrupção e Gerenciamento.
- Modo Interrupção: semelhante a um assistente, é apresentado aos usuários quando eles registram ou atualizam suas informações de segurança na entrada.
- Modo Gerenciamento: faz parte do perfil do usuário e permite que os usuários gerenciem suas informações de segurança.
Em ambos os modos, os usuários que tenham registrado anteriormente um método que pode ser usado para a Autenticação Multifator do Azure AD precisam executá-la para conseguirem acessar as próprias informações de segurança. Os usuários devem confirmar as informações antes de continuarem usando os métodos registrados anteriormente.
Modo Interrupção
O registro combinado respeita as políticas de autenticação multifator e SSPR quando as duas estão habilitadas para o locatário. Essas políticas controlam se um usuário é interrompido para registro durante a entrada e quais métodos estão disponíveis para o registro. Se apenas uma política de SSPR estiver habilitada, os usuários poderão ignorar (indefinidamente) a interrupção do registro e concluí-la posteriormente.
Veja a seguir alguns exemplos de cenários em que pode ser solicitado que os usuários registrem ou atualizem suas informações de segurança:
- Registro de Autenticação Multifator imposto por meio do Identity Protection: os usuários precisam se registrar durante a entrada. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
- Registro de Autenticação Multifator imposto por meio da autenticação multifator por usuário: os usuários precisam se registrar durante a entrada. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
- Registro de Autenticação Multifator imposto por meio da política de Acesso Condicional ou outras políticas: os usuários precisam se registrar quando usam um recurso que requer autenticação multifator. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
- Registro de SSPR imposto: os usuários precisam se registrar durante a entrada. Eles registram apenas métodos de SSPR.
- Atualização de SSPR imposta: os usuários são obrigados a revisar suas informações de segurança em um intervalo definido pelo administrador. As informações são exibidas para os usuários, que podem confirmá-las ou fazer alterações, se necessário.
Quando o registro é imposto, é exibido para os usuários o número mínimo de métodos necessários para manter a compatibilidade com as políticas de autenticação multifator e SSPR, do mais seguro para o menos seguro. Os usuários que passarem pelo registro combinado em que o registro de MFA e SSPR é aplicado e a política de SSPR exige dois métodos serão solicitados primeiro a registrar um método de MFA como o primeiro método e podem selecionar outro método específico de MFA ou SSPR como o segundo método registrado (por exemplo, e-mail, perguntas de segurança etc.)
Considere o seguinte exemplo de cenário:
- Um usuário está habilitado para SSPR. A política de SSPR exige dois métodos para redefinição e habilitou o aplicativo autenticador, o e-mail e o telefone.
- Quando o usuário opta por se registrar, dois métodos são necessários:
- Por padrão, são exibidos o aplicativo autenticador e o telefone.
- O usuário pode optar por registrar o e-mail em vez do aplicativo autenticador ou do telefone.
O fluxograma a seguir descreve quais métodos são exibidos para um usuário quando ele é interrompido para registro durante a entrada:
Se você tem a autenticação multifator e a SSPR habilitadas, é recomendável impor o registro da autenticação multifator.
Se a política de SSPR exigir que os usuários revisem suas informações de segurança em intervalos regulares, os usuários serão interrompidos durante a entrada e todos os métodos registrados serão exibidos. Eles poderão confirmar se as informações atuais estão atualizadas ou fazer as alterações necessárias. Os usuários devem executar a autenticação multifator ao acessar essa página.
Modo Gerenciamento
Os usuários podem acessar o modo Gerenciamento indo para https://aka.ms/mysecurityinfo ou selecionando Informações de segurança em Minha Conta. A partir daí, eles podem adicionar métodos, excluir ou alterar métodos existentes, alterar o método padrão e muito mais.
Principais cenários de uso
Configurar informações de segurança durante a entrada
Um administrador impôs o registro.
Um usuário não configurou todas as informações de segurança necessárias e vai para o portal do Azure. Após o usuário inserir o nome de usuário e a senha, o usuário precisará configurar as informações de segurança. Ele segue as etapas mostradas no assistente para configurar as informações de segurança necessárias. Se as configurações permitirem, o usuário poderá optar por configurar métodos diferentes daqueles mostrados por padrão. Após os usuários concluírem o assistente, devem revisar os métodos que foram configurados e o método padrão para a autenticação multifator. Para finalizar o processo de instalação, o usuário confirma as informações e vai para o portal do Azure.
Configurar informações de segurança em Minha Conta
Um administrador não impôs o registro.
Um usuário que ainda não configurou todas as informações de segurança necessárias vai para https://myaccount.microsoft.com. O usuário seleciona Informações de segurança no painel esquerdo. A partir daí, o usuário opta por adicionar um método, seleciona um dos métodos disponíveis e segue as etapas para configurar esse método. Quando terminar, o usuário verá o método que foi configurado na página Informações de segurança.
Configurar outros métodos após o registro parcial
Se um usuário tiver atendido parcialmente o registro de MFA ou SSPR devido a registros de método de autenticação existentes executados pelo usuário ou administrador, os usuários só serão solicitados a registrar informações adicionais permitidas pelas configurações de política de Métodos de autenticação quando o registro for necessário. Se mais de um outro método de autenticação estiver disponível para o usuário escolher e se registrar, uma opção na experiência de registro intitulada Desejo configurar outro método será mostrada e permitirá ao usuário configurar o próprio método de autenticação desejado.
Excluir informações de segurança de Minha Conta
Um usuário que tenha configurado anteriormente pelo menos um método navega para https://aka.ms/mysecurityinfo. O usuário opta por excluir um dos métodos registrados anteriormente. Quando terminar, o usuário não verá mais esse método na página Informações de segurança.
Alterar o método padrão de Minha Conta
Um usuário que tenha configurado anteriormente pelo menos um método que pode ser usado para a Autenticação Multifator navega para https://aka.ms/mysecurityinfo. O usuário altera o método padrão atual para outro diferente. Quando terminar, o usuário verá o novo método padrão na página Informações de segurança.
Mudar diretório
Uma identidade externa, como um usuário B2B, pode precisar alternar o diretório para mudar as informações do registro de segurança para um locatário de terceiros.Além disso, os usuários que acessam um locatário de recursos podem ficar confusos quando alteram as configurações em seu locatário de residência, mas não veem as alterações refletidas no locatário do recurso.
Por exemplo, um usuário define a notificação por push do aplicativo Microsoft Authenticator como a autenticação primária para entrar no locatário base e também tem SMS/Texto como outra opção.Esse usuário também é configurado com a opção SMS/Texto em um locatário de recurso.Se esse usuário remover SMS/Texto como uma das opções de autenticação em seu locatário base, ele se confundirá quando o acesso ao locatário do recurso pedir que ele responda à mensagem SMS/Texto.
Para alternar o diretório no portal do Azure, clique no nome da conta de usuário no canto superior direito e clique em Alternar diretório.
Ou você pode especificar um locatário por URL para acessar informações de segurança.
https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>
https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>
Próximas etapas
Para começar, consulte o tutorial para habilitar a redefinição de senha self-service e habilitar a Autenticação Multifator do Azure AD.
Saiba como habilitar o registro combinado no locatário ou forçar os usuários a registrarem novamente os métodos de autenticação.
Também é possível examinar os métodos disponíveis para a Autenticação Multifator do Azure AD e a SSPR.
FAQs
How do I enable combined registration for SSPR and MFA? ›
Go to User–>User settings–>Choose the setting “Manage user preview settings”. Under the option “Users can use the combined security information registration experience” choose “All” and then click “Save”. At the next login via the web portal, users should be prompted if they have not set up MFA/SSPR.
Is MFA required for SSPR? ›Users going through combined registration where both MFA and SSPR registration is enforced and the SSPR policy requires two methods will first be required to register an MFA method as the first method and can select another MFA or SSPR specific method as the second registered method (e.g. email, security questions etc. ...
Do you need Azure AD for MFA? ›You're required to register for and use Azure AD Multi-Factor Authentication. Select Next to begin the process. You can choose to configure an authentication phone, an office phone, or a mobile app for authentication.
Which three authentication types support both SSPR and MFA? ›SMS and Voice call are both available for MFA usage, as well as SSPR usage; but app passwords can only be used for MFA – and even in those cases, it can only be used in certain conditions. The Azure AD password is considered an authentication method. It's the only authentication method that cannot be disabled.
What happens when you require re-register MFA? ›Require Re-register MFA makes it so that when the user signs in next time, they're requested to set up a new MFA authentication method. The user's currently registered authentication methods aren't deleted when an admin requires re-registration for MFA.
How do I enable combined registration? ›Enable combined registration
Go to Azure Active Directory > User settings > Manage user feature settings. Under Users can use the combined security information registration experience, choose to enable for a Selected group of users or for All users.
Admins will always be prompted for MFA on login. Users will be prompted for MFA "when necessary" (this is not strictly defined by Microsoft but includes when users show up on a new device or app, and for critical roles and tasks). Access to Azure portal, Azure CLI or Azure PowerShell by anyone will always require MFA.
Is Google forcing MFA? ›Google says that it will continue to automatically enroll users in 2FA in 2022, but the company encourages users not to wait and enable 2FA themselves. If you're unfamiliar with 2FA, we recently highlighted Google Authenticator, which is a popular 2FA option that uses time-based one-time passwords (TOTP).
Why multi-factor authentication is important? ›MFA increases security because even if one credential becomes compromised, unauthorized users will be unable to meet the second authentication requirement and will not be able to access the targeted physical space, computing device, network, or database.
What are the three 3 main types of authentication? ›Authentication factors can be classified into three groups: something you know: a password or personal identification number (PIN); something you have: a token, such as bank card; something you are: biometrics, such as fingerprints and voice recognition.
What is the strongest form of multi-factor authentication? ›
Physical Security Key (Hardware Token) The strongest level of 2FA online account protection and the best phishing attack prevention is a physical security key.
What is the best multi-factor authentication? ›- Microsoft Authenticator.
- Google Authenticator.
- Duo Security.
- LastPass.
- Authy.
- IBM Security Verify.
- OneLogin.
- SecurID.
Another social engineering technique that is becoming popular is known as “consent phishing”. This is where hackers present what looks like a legitimate OAuth login page to the user. The hacker will request the level of access they need, and if access is granted, they can bypass MFA verification.
Why should we set up MFA in root account? ›Because the root user can perform sensitive operations in your account, adding this additional layer of authentication helps you to better secure your account.
Does SSPR unlock account? ›Azure Active Directory (Azure AD) self-service password reset (SSPR) gives users the ability to change or reset their password, with no administrator or help desk involvement. If a user's account is locked or they forget their password, they can follow prompts to unblock themselves and get back to work.
Can accounts with MFA be hacked? ›While we always list 2FA or MFA (either 2-factor or multi-factor authentication) as a critical tool for anyone's cybersecurity toolbox, turns out it is not a foolproof solution. Hackers have figured out ways to intercept MFA and use it for their own access to other people's accounts.
What are the disadvantages of MFA? ›- Types of MFA that require users to have specific hardware can introduce significant costs and administrative overheads.
- Users may become locked out of their accounts if they lose or are unable to use their other factors.
- MFA introduces additional complexity into the application.
How often do I have to re-authenticate? The current settings require reauthentication for GlobalProtect VPN every 7 days.
What does SSPR registered mean? ›Self-service password reset (SSPR) is a solution that provides an automated process that allows end users to reset or regain access to their account password without help desk involvement by proving their identity via alternative means.
Does self service password reset require MFA? ›Self-Service Password Reset (SSPR) allows you to reset your Microsoft 365 account password yourself by confirming your identity with the MFA method. This avoids a call to the service desk to reset your password. To register for MFA and Self-Service Password Resets, follow the steps below.
How does self service password reset work? ›
Self-service password reset (SSPR) is the functionality that allows users to reset their passwords without requiring assistance from an administrator, tech support, or help desk. The process works by providing prompts users follow to unlock their accounts and change their passwords.
Can Microsoft MFA be hacked? ›MFA Fatigue: A Novel Hacking Tactic
In an MFA Fatigue Attack, a hacker will make multiple attempts to log into a given user account configured with multi-factor authentication, using stolen credentials, sending an endless stream of sign-in approval requests to the user's device.
If you have a mobile signal, but no internet, you can authenticate via SMS instead of using a push-notification. That is why entering your mobile number as a method of authentication in addition to the Authenticator App is important. Click to return to MFA homepage.
Does MFA require two devices? ›With multiple MFA devices, you only need one MFA device to sign in to the console or to create a session through the AWS Command Line Interface (AWS CLI) as that principal.
Is it OK to grant Windows access to your Google Account? ›of course when you use the google web interface windows does not act as a middleman and doesn't need the permissions. rest assured windows is not interacting with your google account on its own, just carrying out your actions.
Can hackers bypass Google Authenticator? ›External authenticator apps like Microsoft Authenticator or Google Authenticator don't use codes, so no codes can be intercepted. Instead, the user is required to accept a request popping up on their device. In theory, this ensures that the user truly must physically hold the phone in order to approve a login.
Is it necessary to have a two step verification? ›Currently, you can turn off 2-Step Verification after it's turned on automatically, but signing in with just a password makes your account much less secure. Soon, 2-Step Verification will be required for most Google Accounts.
What are the two purposes of multi-factor authentication? ›The primary objective of multi-factor authentication is to reduce the risk of account takeovers and provide additional security for users and their accounts. Since over 80% of cyber breaches happen due to weak or stolen passwords, MFA can provide added layers of security necessary to protect users and their data.
Is multi-factor authentication good long term? ›The Good: Multi-factor authentication:
Increases overall security significantly. Reduces risk surface. Adds additional security layering. Helps meet some compliance requirements.
- Logging into Your Bank Account. ...
- Connecting to the IRS. ...
- Logging into Proprietary Software. ...
- Using an ATM. ...
- Using a Credit Card Online. ...
- Using Multi-Factor Authentication.
What are the five common authentication types? ›
Common biometric authentication methods include fingerprint identification, voice recognition, retinal and iris scans, and face scanning and recognition.
What are the five basic attacks on authentication systems? ›The 5 basic authentication attacks are, Clone or borrow the credentials or token, Sniff the credential, Trial and error, Denial of service (DoS), and Retrieve from a backup.
How safe is multi-factor authentication? ›Users who enable MFA are significantly less likely to get hacked, according to Microsoft. Why? Because even if a malicious cyber actor compromises one factor (like your password), they will be unable to meet the second authentication requirement, which ultimately stops them from gaining access to your accounts.
What is the safest authentication? ›1. Biometric Authentication Methods. Biometric authentication relies on the unique biological traits of a user in order to verify their identity. This makes biometrics one of the most secure authentication methods as of today.
How much does multi-factor authentication cost? ›| Name | Price |
|---|---|
| Per User | $1.40per month |
| Per authentication | $1.40per month |
The authenticator app is a secure and convenient way to prove who you are. You can use the Authenticator app as a way to sign in if you forget your password. You can use the app to back up and restore all your other account credentials.
What can Microsoft Authenticator see? ›A: The Authenticator app collects your GPS information to determine what country you are located in. The country name and location coordinates are sent back to the system to determine if you are allowed to access the protected resource.
Can you have both SSO and MFA? ›SSO: How Do MFA and SSO Work Together? MFA and SSO are not mutually exclusive. As a matter of fact, you can combine these two technologies to provide your users with high security while ensuring a good user experience. MFA can add an extra layer of protection to the SSO logins of your users.
Do we have to enable MFA at both the SSO and Salesforce levels? ›Do we have to enable MFA at both the SSO and Salesforce levels? No. If MFA is enabled for your SSO identity provider, you don't need to enable Salesforce's MFA for users who log in via SSO.
Can you use SSPR self service password reset with Microsoft authenticator? ›Mobile app and SSPR
When using a mobile app as a method for password reset, like the Microsoft Authenticator app, the following considerations apply: When administrators require one method be used to reset a password, verification code is the only option available.
How do I activate two factor authentication code? ›
- Open your Google Account.
- In the navigation panel, select Security.
- Under “Signing in to Google,” select 2-Step Verification. Get started.
- Follow the on-screen steps.
SSO, like any other form of access, brings implied security vulnerabilities. While those risks can be minimized by implementing additional controls, like multi-factor authentication (MFA) and session management, identifying the dangers of single sign-on helps ensure that your organization implements a secure solution.
Should MFA be enabled on service accounts? ›Requiring multifactor authentication (MFA) on those accounts is an easy way to reduce the risk of those accounts being compromised. Microsoft recommends you require MFA on the following roles at a minimum, based on identity score recommendations: Global administrator. Application administrator.
Should I enable self-service password reset? ›We recommend that organizations use the combined registration experience for Azure AD Multi-Factor Authentication and self-service password reset (SSPR). SSPR allows users to reset their password in a secure way using the same methods they use for Azure AD Multi-Factor Authentication.
Is self-service password reset a security risk? ›Both manual and automated self-service password resets can put systems at risk, since they are highly vulnerable to social engineering attacks.
Why do I keep getting Microsoft password reset codes? ›most likely this is a phishing attempt, just ignore the email. and for your own protection, if you felt like changing your password, you can login directly to your account Microsoft and then change your password from there.
How do I see trusted devices on my Iphone? ›View or remove trusted devices
Go to Settings > [your name]. A list of the devices associated with your Apple ID appears near the bottom of the screen. To see if a listed device is trusted, tap it, then look for “This device is trusted and can receive Apple ID verification codes.”
If you use 2-Step Verification, you've elected to get a verification code by text when you sign in. This code adds an extra layer of security to your account. Learn more about 2-Step Verification. You're creating an account, and we want to make sure you're not a robot.
How do you find the 6 digit code for two-factor authentication? ›You need to install the Google Authenticator app on your smart phone or tablet devices. It generates a six-digit number, which changes every 30 seconds. With the app, you don't have to wait a few seconds to receive a text message.