Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A autenticação preferencial do sistema solicita que os usuários entrem usando o método mais seguro que eles registraram. É um aprimoramento de segurança importante para os usuários que se autenticam usando métodos baseados em telefone. Os administradores podem habilitar a autenticação preferencial do sistema para melhorar a segurança de entrada e desencorajar métodos de entrada menos seguros, como o SMS (Serviço de Mensagem Curta).
Por exemplo, se um usuário registrou SMS e notificações por push do Microsoft Authenticator como métodos de MFA, a autenticação preferencial do sistema solicitará que o usuário entre usando o método de notificação por push mais seguro. O usuário ainda pode optar por entrar usando outro método, mas primeiro é solicitado que tente o método mais seguro registrado.
A autenticação preferencial do sistema é uma configuração gerenciada pela Microsoft, que é uma política de três estados:
- Habilitado – aplica a autenticação preferencial do sistema somente ao segundo fator (MFA).
- Gerenciado pela Microsoft – Durante a versão prévia, uma alternância para Aplicar à autenticação primária e multifator (versão prévia) controla se o recurso se aplica ou não à autenticação primária. Quando a alternância está desativada (padrão), a autenticação preferencial do sistema aplica-se apenas ao segundo fator. Quando a alternância está ativada, ela se aplica ao primeiro e ao segundo fator.
- Desabilitado – desativa a autenticação preferencial do sistema.
Se você não quiser habilitar a autenticação preferencial do sistema, altere o estado para Desabilitado ou exclua usuários e grupos da política.
Depois que a autenticação preferencial do sistema estiver habilitada, o sistema de autenticação fará todo o trabalho. Os usuários não precisam definir nenhum método de autenticação como padrão, pois o sistema sempre determina e apresenta o método mais seguro registrado.
Limitações conhecidas
- Quando você altera a política de um grupo de destino, a alteração pode não entrar em vigor na próxima entrada do usuário. Aplica-se a todos os logins subsequentes.
- A política de Acesso Condicional é validada apenas para MFA e não se aplica à autenticação de primeiro fator.
Habilitar a autenticação preferencial do sistema no Centro de administração do Microsoft Entra
Para habilitar a autenticação preferencial do sistema, siga estas etapas:
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
Navegue até ID do Microsoft Entra>Métodos de autenticação>Configurações.
Para autenticação preferencial do sistema, escolha um estado (gerenciado pela Microsoft ou Habilitado) com base em se você deseja aplicar a autenticação preferencial do sistema a ambos os fatores ou apenas ao segundo fator. Você também pode incluir ou excluir usuários ou grupos. Os grupos excluídos têm precedência sobre os grupos incluídos.
Quando você define o estado como gerenciado pela Microsoft, uma alternância para Aplicar à autenticação primária e multifator (versão prévia) é exibida. Ative o botão de alternância para aplicar a autenticação preferida do sistema tanto à autenticação primária quanto à secundária. Quando a alternância está desativada (padrão), a autenticação preferencial do sistema aplica-se apenas ao segundo fator.
Por exemplo, a captura de tela a seguir mostra como habilitar a autenticação preferencial do sistema apenas para o grupo engenharia.
Depois de concluir as alterações, selecione Salvar.
Habilitar a autenticação preferencial do sistema usando APIs do Graph
Para habilitar a autenticação preferencial do sistema com antecedência, você precisa escolher um único grupo de destino para a configuração do esquema, conforme mostrado no exemplo de Solicitação .
Propriedades de configuração do recurso do método de autenticação
Por padrão, a autenticação preferencial do sistema é gerenciada pela Microsoft.
| Propriedade | Tipo | Descrição |
|---|---|---|
| excludeTarget | featureTarget | Uma única entidade que é excluída deste recurso. Você só pode excluir um grupo da autenticação preferencial do sistema, que pode ser um grupo dinâmico ou aninhado. |
| includeTarget | featureTarget | Uma única entidade que é incluída neste recurso. Você só pode incluir um grupo para autenticação preferencial do sistema, que pode ser um grupo dinâmico ou aninhado. |
| Estado | advancedConfigState | Os valores possíveis são: habilitado habilita explicitamente o recurso para o grupo selecionado. Aplica-se apenas ao segundo fator (MFA). desabilitado desabilita explicitamente o recurso para o grupo selecionado. padrão permite que o Microsoft Entra ID gerencie se o recurso está habilitado ou não para o grupo selecionado. |
Propriedades de destino do recurso
A autenticação preferencial do sistema pode ser habilitada apenas para um único grupo, que pode ser um grupo dinâmico ou aninhado.
| Propriedade | Tipo | Descrição |
|---|---|---|
| ID | fio | ID da entidade de destino. |
| targetType | featureTargetType | O tipo de entidade de destino, como grupo, função ou unidade administrativa. Os valores possíveis são: “group”, “administrativeUnit”, “role”, “unknownFutureValue”. |
Use o seguinte terminal de API para habilitar systemCredentialPreferences e incluir ou excluir grupos:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Observação
No Explorador do Graph, você precisa consentir com a permissão Policy.ReadWrite.AuthenticationMethod.
Solicitação
O exemplo a seguir exclui um grupo de destino de amostra e inclui todos os usuários. Para obter mais informações, vejaAtualizar authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
perguntas frequentes
Como a autenticação preferencial do sistema determina o método mais seguro?
Quando um usuário entra, o processo de autenticação verifica quais métodos de autenticação estão registrados para o usuário. O usuário é solicitado a entrar com o método mais seguro de acordo com a ordem a seguir. A ordem dos métodos de autenticação é dinâmica e atualizada à medida que o cenário de segurança muda e à medida que melhores métodos de autenticação surgem. Os usuários sempre podem cancelar e escolher um método de entrada disponível diferente. Se sua organização tiver políticas de Acesso Condicional que exijam métodos de autenticação específicos, essas políticas continuarão a ter prioridade sobre a ordem de autenticação preferencial do sistema.
| Classificação | Credencial | Categoria | Atende ao requisito para |
|---|---|---|---|
| 1 | Passe de Acesso Temporário (TAP) | Recuperação | 1FA + MFA |
| 2 | Chave de passagem1 | Resistente a ataques de phishing | 1FA + MFA |
| 3 | Autenticação baseada em certificado (CBA) | Resistente a ataques de phishing | 1FA ou 1FA + MFA |
| 4 | Notificações do Microsoft Authenticator | Autenticação sem senha | 1FA + MFA |
| 5 | Autenticação multifator externa (MFA) | — | MFA |
| 6 | Senha única baseada em tempo (TOTP)2 | — | MFA |
| 7 | Telefonia3 | — | MFA |
| 8 | código de barras 2D | Trabalhador de linha de frente | 1FA |
| 9 | Senha | — | 1FA |
1Inclui chaves de segurança, chaves de passagem no aplicativo Authenticator, chaves de passagem sincronizadas, SSO do Windows Hello para Empresas e da Plataforma macOS.
2Inclui hardware ou software TOTP do Microsoft Authenticator, do Authenticator Lite ou de aplicativos de terceiros.
3Inclui SMS e chamadas de voz.
Importante
A CBA (autenticação baseada em certificado) foi anteriormente colocada em último lugar na ordem de autenticação preferencial do sistema devido a problemas conhecidos com CBA e autenticação preferencial do sistema. Agora que esses problemas foram resolvidos, a partir de 18 de março de 2026, a autenticação baseada em certificado foi movida para a terceira posição na ordem de autenticação.
Como a autenticação preferencial do sistema afeta a extensão NPS?
A autenticação preferencial do sistema não afeta os usuários que se conectam usando a extensão NPS (Servidor de Política de Rede). Esses usuários não veem nenhuma alteração em sua experiência de entrada.
O que acontece com os usuários que não são especificados na política de métodos de autenticação, mas são habilitados na política herdada de todos os locatários da MFA?
A autenticação preferencial do sistema também se aplica a usuários que têm o MFA habilitado na política de MFA legada.
Os usuários ainda podem escolher um método de entrada diferente?
Sim. A autenticação preferencial do sistema solicita aos usuários a credencial registrada mais segura, mas os usuários ainda podem escolher outros métodos permitidos durante a entrada.