Como Exigir MFA no Microsoft 365: Guia Passo a Passo

MFA Obligatorio en Microsoft 365
Como Exigir MFA no Microsoft 365: Guia Passo a Passo

Como Exigir MFA no Microsoft 365: Guia Passo a Passo

Somente senhas já não bastam. Oitenta e quatro por cento das violações de credenciais resultam de phishing, ataques de password spray ou reutilização de senhas. A Microsoft recomenda — e em breve exigirá — a Autenticação Multifator (MFA) resistente a phishing para todos os tenants. Este guia mostra como habilitar a MFA da forma mais rápida possível, minimizando o impacto para o usuário.

Sumário

  1. Introdução: Por que a MFA é obrigatória hoje
  2. O que é MFA no Microsoft 365?
  3. Pré-requisitos antes de configurar a MFA
  4. Métodos de MFA disponíveis
  5. Configuração de MFA no nível do usuário
  6. Configuração de MFA no nível da organização (condicional, obrigatória)
  7. Boas práticas: evitando bloqueios e problemas de adoção
  8. Considerações especiais (BYOD, contas de serviço)
  9. Conclusão e próximos passos: reforçando ainda mais a segurança

1. Introdução: Por que a MFA é obrigatória hoje

Com o aumento do trabalho remoto e do phishing direcionado, confiar em uma única senha é um risco inaceitável. A MFA adiciona um segundo fator (algo que você possui ou é) e bloqueia mais de 99 % dos ataques baseados em senha. A Microsoft anunciou que os Security Defaults com MFA serão habilitados por padrão para todos os novos tenants e incentiva a migração dos tenants existentes.

2. O que é MFA no Microsoft 365?

A MFA combina dois ou mais fatores:

  • Conhecimento — o que você sabe (senha, PIN).
  • Posse — o que você tem (telefone, chave FIDO2).
  • Inerência — o que você é (impressão digital, reconhecimento facial).

No Microsoft 365, a MFA é implementada pelo Microsoft Entra ID e pode ser habilitada por usuário (MFA legada), por meio dos Security Defaults ou via Conditional Access.

3. Pré-requisitos antes de configurar a MFA

  • Papel de Global Administrator ou Conditional Access Administrator.
  • Licença mínima: Microsoft 365 Business Premium, Office 365 E1/E3 (para Security Defaults) ou Entra ID P1 se for usar Conditional Access.
  • Usuários com número de celular ou e-mail para a primeira verificação.
  • Microsoft Authenticator instalado para notificações push (recomendado).

4. Métodos de MFA disponíveis

MétodoResistência a PhishingRequisitosUso Recomendado
FIDO2 / Passkey⭐⭐⭐⭐⭐Chave USB/NFC ou chave de plataformaAdmins e VIPs
Push + Código do Microsoft Authenticator⭐⭐⭐⭐Celular iOS/AndroidUsuários em geral
Windows Hello (biometria)⭐⭐⭐Dispositivo gerenciadoPCs corporativos
SMS / Chamada telefônicaNúmero de celularCenário de contingência

5. Configuração de MFA no nível do usuário

5.1 Portal clássico (abordagem rápida)

  1. Entra Admin Center ▸ UsersMulti-Factor Authentication.
  2. Selecione um ou mais usuários ▸ Enable.
  3. No próximo login, eles serão solicitados a registrar um método.

5.2 PowerShell para habilitar vários usuários

Connect-MsolService
Get-MsolUser -Department "Vendas" | Set-MsolUser -StrongAuthenticationRequirements @(
 @{RelyingParty="*"; State="Enabled"}
)

Observação: bom para pilotos, mas não escalável nem granular.

6. Configuração de MFA no nível da organização

6.1 Security Defaults (fácil e gratuito)

  1. Entra Admin Center ▸ PropertiesManage Security Defaults.
  2. Ative Enable Security Defaults.
  3. Todos devem registrar a MFA em até 14 dias.

Limitações: não permite excluir contas de serviço nem granularidade por grupo.

6.2 Conditional Access (granular, requer Entra ID P1/P2)

6.2.1 Criar a política “MFA Global”

  1. Entra Admin Center ▸ Conditional Access ▸ + New policy.
  2. Assignments: Include ▸ All users; Exclude ▸ “Service Accounts”.
  3. Cloud apps: All cloud apps.
  4. Conditions: LocationExclude trusted locations (opcional).
  5. Grant: Require authentication strengthMulti-Factor Auth.
  6. Inicie em Report-only por 7 dias, revise os logs e depois altere para On.

6.2.2 Campanha de registro forçado

Entra Admin Center ▸ Identity ProtectionRegistration Campaign; selecione o grupo “All Users”. Os usuários receberão até cinco lembretes até registrarem a MFA.

7. Boas práticas: evitando bloqueios e problemas de adoção

  • Comunicação prévia: envie e-mail com FAQs e um vídeo de dois minutos.
  • Treinamento just-in-time: telas guiadas durante o registro.
  • Método reserva: exija dois métodos (Authenticator + SMS).
  • Localizações confiáveis: para reduzir atrito, exclua inicialmente escritórios fixos (somente com IP estático e rede Zero Trust).
  • Exclusões temporárias: use grupos para isentar contas críticas até concluir testes.
  • Monitoramento em tempo real: Entra ▸ Sign-in logs ▸ filtre erros “MFA denied” para ação rápida.

8. Considerações especiais (BYOD, contas de serviço)

8.1 BYOD e dispositivos pessoais

MFA + avaliação do dispositivo é recomendável. Opções:

  • Conditional Access com Require device to be marked as compliant (Intune).
  • Aplicar App Protection Policies para isolar dados corporativos.

8.2 Contas de serviço e fluxo SMTP

  • Evite MFA; use tokens OAuth ou Managed Identities.
  • Crie grupo “Service Accounts – Exempt” e exclua da política de MFA.
  • Desabilite o login interativo para essas contas.

9. Conclusão e próximos passos: reforçando ainda mais a segurança

Exigir MFA obrigatória no Microsoft 365 reduz drasticamente o risco de comprometimento de contas. Com Security Defaults ou Conditional Access bem configurados, você protege usuários, dados e reputação. Em seguida, implante chaves FIDO2 para administradores críticos e complemente com Conditional Access baseado em risco e Proteção de Endpoint para uma postura Zero Trust completa.

Precisa de ajuda? A equipe Cloud Fighters oferece serviços acelerados de implantação de MFA e consultoria de segurança em nuvem.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *