Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A autenticação preferencial do sistema incentiva os utilizadores a iniciar sessão utilizando o método mais seguro que registaram. É uma melhoria importante de segurança para utilizadores que se autenticam usando métodos baseados no telemóvel. Os administradores podem ativar a autenticação preferencial do sistema para melhorar a segurança do início de sessão e desencorajar métodos menos seguros como o Serviço de Mensagens Curtas (SMS).
Por exemplo, se um utilizador registou tanto SMS como notificações push do Microsoft Authenticator como métodos para MFA, a autenticação preferencial do sistema pede ao utilizador para iniciar sessão usando o método de notificação push mais seguro. O usuário ainda pode optar por entrar usando outro método, mas primeiro será solicitado a tentar o método mais seguro que registrou.
A autenticação preferencial por sistema é uma configuração gerida pela Microsoft, que é uma política tristate:
- Ativado - Aplica autenticação preferida pelo sistema apenas ao segundo fator (MFA).
- Gerido pela Microsoft - Enquanto está em pré-visualização, um alternador para Aplicar tanto na autenticação primária como na multifatorial (pré-visualização) controla se a funcionalidade também se aplica à autenticação primária. Quando a alavanca está desligada (por defeito), a autenticação preferencial do sistema aplica-se apenas ao segundo fator. Quando a alavanca está ativada, aplica-se tanto ao primeiro como ao segundo fator.
- Desativado - Desliga a autenticação preferencial do sistema.
Se não quiser ativar a autenticação preferencial do sistema, altere o estado para Desativado, ou exclua utilizadores e grupos da política.
Depois de ativada a autenticação preferencial do sistema, o sistema de autenticação faz todo o trabalho. Os utilizadores não precisam de definir nenhum método de autenticação como o predefinido, porque o sistema determina e apresenta sempre o método mais seguro que registaram.
Limitações conhecidas
- Quando altera a política de um grupo-alvo, a alteração pode não ter efeito no próximo início de sessão do utilizador. Aplica-se a todos os registos subsequentes depois disso.
- A política de Acesso Condicional é validada apenas para MFA e não se aplica à autenticação de primeiro fator.
Ative a autenticação preferencial do sistema no centro de administração do Microsoft Entra
Para permitir a autenticação preferencial do sistema, siga estes passos:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Aceder a Microsoft Entra ID>Métodos de autenticação>Definições.
Para autenticação preferencial por sistema, escolha um estado (gerido pela Microsoft ou Habilitado) com base em se pretende aplicar a autenticação preferencial ao sistema a ambos os fatores ou apenas ao segundo fator. Também pode incluir ou excluir quaisquer utilizadores ou grupos. Os grupos excluídos têm precedência sobre os grupos incluídos.
Quando defines o estado para Microsoft Managed, aparece uma opção para Aplicar tanto na autenticação primária como na multifator (pré-visualização ). Ative o interruptor para aplicar a autenticação preferida do sistema tanto à autenticação primária como à secundária. Quando a alavanca está desligada (por defeito), a autenticação preferencial do sistema aplica-se apenas ao segundo fator.
Por exemplo, a captura de ecrã seguinte mostra como ativar a autenticação preferencial do sistema apenas para o grupo de Engenharia.
Depois de terminares de fazer quaisquer alterações, seleciona Guardar.
Ative a autenticação preferencial do sistema utilizando APIs Graph
Para ativar a autenticação preferencial do sistema antecipadamente, é necessário escolher um único grupo-alvo para a configuração do esquema, como mostrado no exemplo do Pedido .
Propriedades de configuração do recurso do método de autenticação
Por padrão, a autenticação preferencial do sistema é gerida pela Microsoft.
| Propriedade | Tipo | Descrição |
|---|---|---|
| excludeTarget | destino da funcionalidade | Uma única entidade que é excluída desse recurso. Só pode excluir um grupo da autenticação preferencial ao sistema, que pode ser um grupo dinâmico ou aninhado. |
| incluirTarget | destino da funcionalidade | Uma única entidade incluída neste recurso. Só pode incluir um grupo para autenticação preferencial ao sistema, que pode ser um grupo dinâmico ou aninhado. |
| Estado | advancedConfigState | Os valores possíveis são: ativado habilita explicitamente o recurso para o grupo selecionado. Aplica-se apenas ao segundo fator (MFA). desativado desativa explicitamente o recurso para o grupo selecionado. default permite que o Microsoft Entra ID gerencie se o recurso está habilitado ou não para o grupo selecionado. |
Propriedades da característica alvo
A autenticação preferencial do sistema só pode ser ativada para um único grupo, que pode ser um grupo dinâmico ou aninhado.
| Propriedade | Tipo | Descrição |
|---|---|---|
| ID | Corda | Identificação da entidade visada. |
| Tipo de destino | tipoDeAlvoDeFuncionalidade | O tipo de entidade alvo, como grupo, função ou unidade administrativa. Os valores possíveis são: 'grupo', 'unidade administrativa', 'função', 'valorFuturoDesconhecido'. |
Use o seguinte ponto de extremidade da API para habilitar systemCredentialPreferences e incluir ou excluir grupos:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Nota
No Graph Explorer, você precisa consentir com a permissão Policy.ReadWrite.AuthenticationMethod .
Pedido
O exemplo a seguir exclui um grupo de destino de exemplo e inclui todos os usuários. Para obter mais informações, consulte Update authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
FAQ
Como é que a autenticação preferencial pelo sistema determina o método mais seguro?
Quando um usuário entra, o processo de autenticação verifica quais métodos de autenticação estão registrados para o usuário. O utilizador é convidado a iniciar sessão com o método mais seguro de acordo com a seguinte ordem. A ordem dos métodos de autenticação é dinâmica e atualizada à medida que o panorama de segurança muda e surgem melhores métodos de autenticação. Os utilizadores podem sempre cancelar e escolher um método de login disponível diferente. Se a sua organização tem políticas de Acesso Condicional que exigem métodos de autenticação específicos, essas políticas continuam a ter prioridade sobre a ordem de autenticação preferencial do sistema.
| Classificação | Credential | Categoria | Cumpre o requisito de |
|---|---|---|---|
| 1 | Passe de Acesso Temporário (TAP) | Recovery | 1FA (Autenticação de Primeiro Fator) + MFA (Autenticação Multifator) |
| 2 | Chave de acesso1 | Resistente ao phishing | 1FA (Autenticação de Primeiro Fator) + MFA (Autenticação Multifator) |
| 3 | Autenticação baseada em certificado (CBA) | Resistente ao phishing | 1FA ou 1FA + MFA |
| 4 | Notificações do Microsoft Authenticator | Sem palavra-passe | 1FA (Autenticação de Primeiro Fator) + MFA (Autenticação Multifator) |
| 5 | Autenticação multifator externa (MFA) | — | MFA |
| 6 | Palavra-passe de uso único baseada no tempo (TOTP)2 | — | MFA |
| 7 | Telefonia3 | — | MFA |
| 8 | código QR | Trabalhador da linha de frente | 1FA |
| 9 | Senha | — | 1FA |
1Inclui chaves de segurança, chaves de acesso na aplicação Authenticator, chaves de acesso sincronizadas, Windows Hello for Business e SSO da plataforma macOS.
2Inclui hardware ou software TOTP do Microsoft Authenticator, Authenticator Lite ou aplicações de terceiros.
3Inclui SMS e chamadas de voz.
Importante
A autenticação baseada em certificados (CBA) era anteriormente colocada em último lugar na ordem de autenticação preferencial do sistema devido a problemas conhecidos com a CBA e a autenticação preferencial do sistema. Agora que esses problemas foram resolvidos, a partir de 18 de março de 2026, a autenticação baseada em certificados passou para a terceira posição na ordem de autenticação.
Como a autenticação preferida pelo sistema afeta a extensão do NPS?
A autenticação preferencial do sistema não afeta os utilizadores que iniciam sessão usando a extensão Network Policy Server (NPS). Esses usuários não veem nenhuma alteração em sua experiência de login.
O que acontece para os utilizadores que não estão especificados na política de métodos de autenticação, mas estão habilitados na política a nível de inquilino do MFA herdado?
A autenticação preferida pelo sistema também se aplica a utilizadores que estejam habilitados para MFA na política legada de MFA.
Os utilizadores ainda podem escolher um método de início de sessão diferente?
Yes. A autenticação preferencial do sistema solicita aos utilizadores a credencial registada mais segura, mas os utilizadores ainda podem escolher outros métodos permitidos durante o início de sessão.