autenticação multifator

Nota: A autenticação multifator (MFA) para endpoints, VPNs e SSO requer a edição Professional do ADSelfService Plus com Endpoint MFA. Consulte a página de preços para mais detalhes.

O MFA do ADSelfService Plus complementa a autenticação tradicional baseada em nome de usuário e senha com uma camada adicional de autenticação (por exemplo, biometria, códigos TOTP ou FIDO Passkeys) para verificar a identidade do usuário. O MFA oferece um alto nível de garantia de identidade para solicitações de acesso.

Você pode habilitar o MFA no ADSelfService Plus para proteger o acesso via:

Endpoint MFA para Windows, macOS e Linux, incluindo MFA offline para máquinas Windows e macOS
SSO para aplicações empresariais
MFA para VPNs e todos os endpoints que suportam autenticação RADIUS, como Citrix Gateway, VMWare Horizon e Microsoft Remote Desktop Gateway
MFA para Outlook na web e o centro de administração do Exchange (EAC)
Redefinições de senha e desbloqueios de conta em autoatendimento, e logins no portal do ADSelfService Plus

Para habilitar o MFA para esses eventos, siga estes passos:

Configure os métodos de autenticação que deseja usar para o MFA.
Habilite os métodos de MFA que você configurou para os recursos necessários.

Consulte a página de autenticadores para a lista dos métodos de autenticação suportados e como configurá-los.

Combinado com o Acesso Condicional, o MFA para Endpoints pode ser habilitado apenas para usuários de alto risco, garantindo que ações de alto risco permaneçam seguras enquanto minimiza o impacto na experiência geral do usuário. Para saber mais sobre Acesso Condicional, clique aqui.

Habilitando MFA para conjuntos específicos de usuários

O ADSelfService Plus permite configurar MFA para dois conjuntos de usuários:

Usuários de domínio
Usuários locais

Usuários de domínio

Usuários de domínio fazem parte de um domínio AD e são normalmente importados para o ADSelfService Plus via AD Synchronizer configurado durante a configuração do domínio.

Para configurar MFA para usuários de domínio, primeiro atribua-os a uma política. Você pode então aplicar as configurações de MFA a essa política, e todos os usuários sob essa política terão MFA configurado para eles.

Vá para Configuração > Autoatendimento > Configuração de Política, escolha uma política de sua preferência e clique no ícone Editar. Você também pode criar uma nova política clicando no botão Adicionar Nova Política.

Configuração de políticas no ADSelfService Plus.

Clique no botão Selecionar OUs/Grupos e selecione o conjunto específico de usuários para os quais deseja habilitar o MFA. Clique em OK.

Dica: Selecione a opção Não herdar OU(s) filho(s) para selecionar apenas as OUs pai.

Configurando OUs específicas para políticas no ADSelfService Plus.

Selecione os recursos de autoatendimento de senha (Redefinir Senha, Desbloquear Conta, Autoatualização ou Alterar Senha) que deseja habilitar para os usuários selecionados. Clique em Salvar Política.

Políticas configuradas no ADSelfService Plus.

Vá para Configuração > Autoatendimento > Autenticação Multifator > Configuração do Autenticador e selecione uma política no menu suspenso Escolher a Política.
Configure os métodos de autenticação que deseja habilitar para a política selecionada.

Autenticadores no ADSelfService Plus.

Clique em Save.

Dica: Você pode optar por configurar diferentes métodos de autenticação para diferentes conjuntos de políticas. Por exemplo, se a Política 1 pode impor Autenticação YubiKey, a Política 2 pode impor Autenticação SAML, e assim por diante.

Como forçar o registro para métodos de autenticação específicos

Usuários de domínio devem se registrar fornecendo as informações necessárias, conforme os métodos de autenticação habilitados, para poderem provar sua identidade. Por exemplo, se você habilitou autenticação biométrica, os usuários devem escanear sua impressão digital ou rosto usando o aplicativo móvel do ADSelfService Plus, somente após isso poderão usar biometria durante a redefinição de senha ou logins em endpoints.

Para forçar o registro para métodos de autenticação específicos:

Vá para Configuração > Autoatendimento > Autenticação Multifator > Registro MFA.
Selecione a opção Forçar usuários a se registrarem ao fazer login no portal do usuário final. Isso impedirá que os usuários acessem outras funcionalidades no portal de autoatendimento antes de inserir suas informações de registro.
Selecione Aplicar esses autenticadores durante o registro e escolha os autenticadores que devem ser obrigatórios.

Registro de MFA no ADSelfService Plus.

Você também pode optar por ocultar a aba de Registro no portal do usuário final para usuários já registrados.
Clique em Salvar Configurações.

Usuários locais

Nota: O MFA para Usuário Local é suportado apenas em máquinas Windows e requer a edição Professional do ADSelfService Plus com Endpoint MFA.

Usuários locais são contas criadas diretamente em um computador específico e existem apenas nessa máquina. Eles não são gerenciados por um domínio de rede e autenticam usando credenciais armazenadas localmente. Usuários locais podem estar presentes em máquinas standalone e em máquinas ingressadas em domínio, e são tipicamente usados para acesso de administrador ou para login em sistemas Workgroup ou offline que não dependem de um diretório central como o AD. Clique aqui para saber mais.

Autenticadores e funções suportadas pelos vários tipos de MFA

Esta tabela fornece informações detalhadas sobre cada tipo de MFA, incluindo os autenticadores suportados e as configurações e opções disponíveis para melhorar a funcionalidade e segurança do processo de autenticação.

Tipo de MFA	Métodos de autenticação suportados	Login sem senha	Códigos de recuperação de backup	CAPTCHA
MFA para ações de autoatendimento via portal web	Todos os autenticadores suportados pelo ADSelfService Plus	Não aplicável	Suportado	Suportado
Ações de autoatendimento na tela de login da máquina GUI para máquinas Windows, macOS e Linux	Todos os autenticadores suportados pelo ADSelfService Plus. A autenticação por Smart Card não é suportada para máquinas macOS ou Linux	Não aplicável	Suportado	Suportado
MFA para logins de usuários de domínio em máquinas Windows, macOS e Linux	Todos os autenticadores suportados pelo ADSelfService Plus. A autenticação por Smart Card não é suportada para máquinas macOS ou Linux	Não suportado	Suportado	Suportado
MFA para logins de usuários locais em máquinas Windows^*	Perguntas e Respostas de Segurança Verificação por Email Verificação por SMS Google Authenticator Microsoft Authenticator Duo Security RSA SecurID Zoho OneAuth TOTP Autenticador TOTP personalizado	Não suportado	Suportado	Suportado
MFA offline para logins em Windows e macOS	Google Authenticator Microsoft Authenticator Autenticador TOTP personalizado Autenticador Zoho OneAuth TOTP FIDO2 Passkeys	Não aplicável	Não suportado	Não suportado
MFA para OWA e EAC	Todos os autenticadores suportados pelo ADSelfService Plus	Não aplicável	Suportado	Suportado
MFA para VPNs baseadas em RADIUS, RDP e outros endpoints via opção VPN Client Verification	Autenticadores unidirecionais Notificação push Autenticação biométrica Autenticadores baseados em desafio Autenticação ADSelfService Plus (TOTP) Google Authenticator Microsoft Authenticator Yubico OTP (autenticação por chave de hardware) Zoho OneAuth TOTP Autenticação TOTP personalizada Código de verificação via SMS e email	Não aplicável	Suportado* (Códigos de backup podem ser usados apenas para autenticadores baseados em desafio)	Não aplicável
MFA para VPNs baseadas em RADIUS, RDP e outros endpoints via opção Verificar via Secure Link pelo navegador	Todos os autenticadores suportados pelo ADSelfService Plus	Não aplicável	Suportado	Suportado
MFA para aplicações em nuvem	Todos os autenticadores suportados pelo ADSelfService Plus	Suportado	Suportado	Suportado
MFA para logins no ADSelfService Plus	Todos os autenticadores suportados pelo ADSelfService Plus	Suportado	Suportado	Suportado

^*MFA de usuário local protege logins e acesso a periféricos em máquinas Windows standalone e ingressadas em domínio, mas não pode ser usado para ações de autoatendimento, apps em nuvem ou outros endpoints específicos de domínio.

A tabela a seguir descreve as capacidades e restrições associadas a cada tipo de MFA suportado no ADSelfService Plus. Ela destaca se opções de timeout por inatividade e dispositivos confiáveis estão disponíveis, e explica como o produto gerencia o acesso do usuário quando a inscrição no MFA está incompleta. Use-a como referência para configurar políticas de MFA baseadas nos requisitos de segurança e usabilidade da sua organização.

Tipo de MFA	É possível definir um limite de tempo ocioso?	É possível confiar no navegador ou máquina para não exigir MFA por um determinado período?	Restringir logins de usuários e ações de autoatendimento para usuários não inscritos:
MFA para ações de autoatendimento	Sim	Não	Negar acesso às ações de autoatendimento quando os usuários não estiverem inscritos. Usuários parcialmente inscritos podem ser forçados a se inscrever nos autenticadores restantes e prosseguir com as ações de autoatendimento.
MFA para logins de usuários de domínio em máquinas Windows, macOS e Linux	Sim	Sim	Negar ou permitir logins de máquina para usuários não inscritos, ou forçar inscrição durante a tentativa de login.
MFA para logins locais em máquinas Windows^*	Sim. Suporta apenas logins Windows.	Sim. Suporta apenas logins Windows.	Negar ou permitir logins de máquinas para usuários não registrados.
MFA para Outlook na web e EAC	Sim	Sim	O acesso ao OWA e logins do Exchange é negado para usuários não registrados por padrão.
MFA para VPNs baseadas em RADIUS, RDP e outros endpoints via opção VPN Client Verification	Sim*	Não	Negar ou permitir logins para usuários não registrados.
MFA para VPNs baseadas em RADIUS, RDP e outros endpoints via a opção Secure Link Email Verification	Sim*	Não	Negar ou permitir logins para usuários não registrados.
MFA para aplicações cloud	Sim	Sim	Negar ou permitir logins em aplicações cloud para usuários não registrados.
MFA para logins no ADSelfService Plus	Sim	Sim	Negar ou permitir logins no ADSelfService Plus para usuários não registrados.

* Os usuários não precisam se registrar para esses métodos porque são automaticamente registrados ao fazer login pela primeira vez.

+ Esses autenticadores são nativos do aplicativo móvel e não podem ser usados no portal do navegador móvel.

^* MFA para usuário local pode ser configurado para proteger logins e conexões periféricas de máquinas Windows standalone (Workgroup) e ingressadas em domínio. Não pode ser configurado para ações de autoatendimento, aplicações cloud e outros endpoints que podem ser protegidos para usuários de domínio.

Autenticadores suportados pelo aplicativo móvel ADSelfService Plus e portal do navegador móvel

ADSelfService Plus oferece 21 tipos de autenticadores. Destes, oito autenticadores básicos estão disponíveis em todas as edições do ADSelfService Plus. Os outros 13 são autenticadores avançados, disponíveis apenas com a edição Professional do ADSelfService Plus.

Esta tabela fornece informações detalhadas sobre os autenticadores básicos e avançados suportados para MFA no aplicativo móvel ADSelfService Plus e portal do navegador móvel, juntamente com as disposições para registro de autenticadores nos dois consoles.

Nota: Esta informação se aplica apenas a usuários de domínio. Usuários locais não poderão fazer login no portal móvel ou aplicativo do ADSelfService Plus.

Autenticador	Tipo de autenticador	Portal do navegador móvel			Aplicativo móvel
Autenticador	Tipo de autenticador	Os usuários podem se registrar no autenticador no portal do navegador móvel?	O autenticador é suportado para MFA em logins do ADSelfService Plus?	O autenticador é suportado para MFA em ações de autoatendimento?	Os usuários podem se registrar no autenticador no aplicativo móvel?	O autenticador é suportado para MFA em logins no Aplicativo Móvel ADSelfService Plus?	O autenticador é suportado para MFA em ações de autoatendimento?
Perguntas e Respostas de Segurança	Básico	Sim	Sim	Sim	Sim	Sim	Sim
Verificação por Email	Básico	Sim	Sim	Sim	Sim	Sim	Sim
Verificação por SMS	Básico	Sim	Sim	Sim	Sim	Sim	Sim
Google Authenticator	Básico	Sim	Sim	Sim	Sim	Sim	Sim
Microsoft Authenticator	Básico	Sim	Sim	Sim	Sim	Sim	Sim
Duo Security	Autenticador avançado	Sim	Sim	Sim	Sim	Sim	Sim
Autenticação Radius	Autenticador avançado	Não*	Sim	Sim	Não*	Sim	Sim
Notificação Push	Autenticador avançado	Não+	Não+	Não+	Sim	Não	Não
Autenticação baseada em QR Code	Autenticador avançado	Não+	Não+	Não+	Sim	Não	Não
Autenticação biométrica	Autenticador avançado	Não+	Não+	Não+	Sim	Sim	Sim
Autenticação TOTP (usando o aplicativo móvel ADSelfService Plus)	Autenticador avançado	Não+	Não+	Não+	Sim	Não	Não
Perguntas de Segurança do AD	Básico	Não*	Sim	Sim	Não*	Sim	Sim
Zoho OneAuth TOTP	Básico	Sim	Sim	Sim	Sim	Sim	Sim
Autenticador TOTP personalizado (Token de hardware)	Básico	Sim	Sim	Sim	Sim	Sim	Sim
Autenticador TOTP personalizado (Token de software)	Autenticador avançado	Sim	Sim	Sim	Sim	Sim	Sim
Autenticação por Smart Card	Autenticador avançado	Não*	Não	Não	Não*	Não	Não
Autenticação SAML	Autenticador avançado	Não*	Sim	Sim	Não*	Sim	Sim
YubiKey Authenticator	Autenticador avançado	Sim	Sim	Sim	Sim	Sim	Sim
Azure AD MFA	Autenticador avançado	Não*	Sim	Sim	Não*	Sim	Sim
RSA SecurID	Autenticador avançado	Não*	Sim	Sim	Não*	Sim	Sim
FIDO Passkeys	Autenticador avançado	Sim	Sim	Sim	Sim	Não	Não

* Os usuários não precisam se registrar para esses métodos porque são automaticamente registrados ao fazer login pela primeira vez.

+ Esses autenticadores são nativos do aplicativo móvel e não podem ser usados no portal do navegador móvel.

Tópico Anterior Próximo Tópico

Obrigado!

Sua solicitação foi enviada para a equipe de suporte técnico do ADSelfService Plus. Nossa equipe técnica irá assisti-lo o mais breve possível.

Precisa de assistência técnica?

Digite seu e-mail
Fale com especialistas

Não encontrou o que procura?

Visite nossa comunidade

Publique suas perguntas no fórum.
Solicite recursos adicionais

Envie-nos suas necessidades.
Precisa de assistência para implementação?

Experimente o OnboardPro