Navegar para o anteriorTópico Anterior Próximo Tópico Navigate to next

Configurações Avançadas

A aba Advanced em Configuration > Multi-Factor Authentication contém configurações importantes que você pode ajustar para controlar ainda mais o comportamento do processo MFA para redefinições de senha, logins no ADSelfService Plus e logins em endpoints.

Configurações de política para usuários de domínio
Configurações de política para usuários locais

Geral

Sobre os códigos de backup

Configurações de CAPTCHA

Ocultar CAPTCHA em: Oculte o CAPTCHA nas páginas de autenticação de segundo fator selecionando a opção no menu suspenso.

Recuperação MFA

Ativar Códigos de Verificação de Backup MFA: Selecione esta configuração para habilitar a geração dos códigos de backup MFA que permitem aos usuários finais provar sua identidade quando seu dispositivo MFA ou autenticador não estiver disponível.

Sobre os códigos de backup

Esses códigos de backup de uso único permitem que os usuários comprovem suas identidades caso seu dispositivo MFA não esteja acessível ou eles não consigam usar os métodos de autenticação MFA cadastrados. Uma vez que a configuração Enable MFA Backup Verification Codes esteja ativada, os códigos de backup podem ser gerados e os usuários finais podem inseri-los para se autenticar durante o login na máquina ou VPN, login no portal ADSelfService Plus ou ações de autoatendimento. Os códigos de backup podem ser gerados de duas formas:

  • Pelo usuário: Os usuários podem gerar códigos de backup no portal do usuário final do ADSelfService Plus. São gerados cinco códigos a cada vez que a opção é usada. Cada código não pode ser usado mais de uma vez.
  • Pelo administrador: Os administradores também podem gerar códigos de backup para usuários que se inscreveram no MFA usando o Relatório de Usuários Inscritos. Isso é útil quando os usuários não geraram seus próprios códigos de backup e não podem usar os métodos MFA cadastrados. Saiba mais.
Nota:
  • Os usuários podem usar códigos de backup durante logins VPN somente quando métodos de autenticação baseados em resposta a desafio RADIUS forem usados para VPN MFA login.
  • Durante o MFA VPN, o código de backup gerado pode ser inserido no campo fornecido para códigos de uso único no cliente VPN.
  • Quando a verificação de identidade é realizada usando códigos de backup, as opções Trust this browser e Trust this machine não serão consideradas.

Redefinir/Desbloquear MFA

Sobre os códigos de backup

MFA para redefinições de senha
  • Restringir o tempo ocioso do MFA durante redefinições de senha para minuto(s): Ativar esta configuração definirá um limite de tempo para quanto tempo um usuário pode levar para concluir a verificação de identidade durante redefinições de senha. Por exemplo, se você definir cinco minutos, os usuários devem inserir seu código de verificação SMS ou aprovar a notificação push dentro de cinco minutos. O limite de tempo ocioso é reiniciado a cada tentativa de verificação ou com ações como a escolha de autenticadores.
  • Negar que usuários realizem redefinições de senha quando parcialmente inscritos: When this option is selected, end users who've only partially completed the enrollment process (i.e., enrolled for two out of four authentication methods) will not be allowed to reset their passwords until they complete the enrollment process. If this option is disabled, partially enrolled users will be forced to complete enrollment after authentication.
    Nota: Autenticadores baseados no aplicativo móvel do ADSelfService Plus não são suportados para inscrição durante redefinições de senha.
  • Forçar usuários a se inscreverem nos autenticadores habilitados para outros endpoints após autenticação bem-sucedida: Ativar esta configuração garante que os usuários se inscrevam em todos os autenticadores necessários, não apenas para redefinições de senha, mas também para logins em endpoints como máquinas, VPNs, OWA e aplicações. A inscrição também é aplicada para autenticadores definidos como obrigatórios na aba MFA Enrollment.
MFA para desbloqueios de conta
  • Restringir o tempo ocioso do MFA durante desbloqueios de conta para minuto(s): Ativar esta configuração definirá um limite de tempo para quanto tempo um usuário pode levar para concluir a verificação de identidade durante desbloqueios de conta. Por exemplo, se você definir cinco minutos, os usuários devem inserir seu código de verificação SMS ou aprovar a notificação push dentro de cinco minutos. O limite de tempo ocioso é reiniciado a cada tentativa de verificação ou com ações como a escolha de autenticadores.
  • Negar que usuários desbloqueiem contas quando parcialmente inscritos: When this option is selected, end users who've only partially completed the enrollment process (say, enrolled for two out of four authentication methods) will not be allowed to unlock their accounts until they complete the enrollment process. If this option is disabled, partially enrolled users will be forced to complete enrollment after authentication.
    Nota: Autenticadores baseados no aplicativo móvel do ADSelfService Plus não são suportados para inscrição durante desbloqueios de conta.
  • Forçar inscrição após MFA bem-sucedido para autenticadores selecionados para outros endpoints: Ativar esta configuração garante que os usuários se inscrevam em todos os autenticadores necessários, não apenas para desbloqueios de conta, mas também para logins em endpoints como máquinas, VPNs, OWA e aplicações. A inscrição também é aplicada para autenticadores definidos como obrigatórios na aba MFA Enrollment.

MFA para endpoint

MFA para login em máquina

Nota: MFA para logins em máquinas requer a Professional edition of ADSelfService Plus com MFA para endpoint.

Estas são configurações baseadas em política e serão aplicadas quando um usuário sob a política tentar fazer login em uma máquina no domínio. Com base nesta configuração, o MFA pode ser ignorado em máquinas se o usuário não estiver inscrito. Para aplicar MFA em máquinas independentemente do status de inscrição do usuário, configure MFA baseado em máquina.

A seção Machine Login MFA oferece aos administradores controle detalhado sobre os prompts MFA para máquinas na rede.

Sobre os códigos de backup

  • Ativar MFA para : This setting allows you to enable MFA for interactive logins, User Account Control (UAC), and machine unlocks.

    Sobre os códigos de backup

    • Login interativo: Quando ativado, o MFA será exigido durante logins interativos ou baseados em GUI em máquinas Windows. Os usuários poderão realizar ações subsequentes somente após verificação de identidade bem-sucedida.
    • Controle de Conta de Usuário: Quando esta configuração está ativada, o MFA será exigido para todos os prompts de credenciais do Controle de Conta de Usuário (UAC), e o usuário poderá realizar a ação desejada somente após verificação de identidade bem-sucedida. Esta configuração é compatível com Windows 7 e superior e Windows Server 2008 e superior. Esta configuração é suportada na versão 5.10 e superior do agente de login ADSelfService Plus para Windows.
    • Desbloqueios de máquina: Ativar esta configuração aplicará MFA ao desbloquear máquinas Windows.
    Nota: A opção Enable MFA for User Account Control está disponível apenas para prompts UAC do Windows que exigem credenciais do usuário.

    MFA para desbloqueios de máquinas Windows requer a Professional edition of ADSelfService Plus com MFA para endpoint.
  • Ativar MFA para acesso via Remote Desktop durante: Using this setting, the admin can configure MFA to be required when establishing connections with machines through the RDP, ensuring that RDP connections to machines are secured with an additional layer of authentication.

    Sobre os códigos de backup

  • There are two ways in which MFA can be configured for Remote Desktop access:
    • Autenticação do servidor RDP: Quando esta configuração está ativada, todas as conexões Remote Desktop recebidas em máquinas Windows onde o agente de login ADSelfService Plus está instalado serão autenticadas e protegidas usando MFA.
    • Autenticação do cliente RDP: This setting can be enabled to require MFA for all outgoing Remote Desktop connections via the Windows Remote Desktop application (mstsc.exe) on machines where the ADSelfService Plus login agent is installed. This setting is supported by version 5.10 and above of the ADSelfService Plus Windows login agent. This setting is applicable for Windows 7 and above and Windows Server 2008 R2 and above.

      Para ativar MFA para autenticação do cliente RDP, os seguintes pré-requisitos precisam ser atendidos:

      • A autenticação em nível de rede precisa estar habilitada. Você pode ativar a autenticação em nível de rede via Política de Grupo navegando em Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security.
      • Para exigir MFA para conexões Remote Desktop em um ambiente AD multi-floresta, deve haver uma relação de confiança entre os dois domínios. Confianças de domínio podem ser adicionadas entre florestas por meio de uma confiança de floresta (relação de confiança em nível de floresta) ou por meio de uma confiança externa (relação de confiança em nível de domínio). Para passos para configurar uma relação de confiança, consulte este documento.
      • Nota: Ativar ambas as opções pode levar a uma dupla verificação MFA se o agente de login do Windows estiver instalado tanto no servidor quanto nas máquinas clientes. Por exemplo, se o Google Authenticator for o autenticador MFA configurado, e tanto a autenticação do servidor RDP quanto do cliente estiverem ativadas, o usuário será obrigado a realizar a verificação de identidade usando o código antes de estabelecer a conexão com a máquina remota e novamente após estabelecer a conexão.

      Com a autenticação do cliente RDP, você pode proteger o acesso remoto usando MFA apenas para usuários que acessam a máquina da internet ou de outros endereços IP públicos via Remote Desktop Gateway (RD Gateway), configurando uma regra de acesso condicional com restrições de IP. Saiba mais sobre acesso condicional.
  • O processo de MFA para login na Máquina pode ficar inativo por __ min: Habilitar esta configuração definirá um limite de tempo para que os usuários concluam o processo de MFA ao fazer login em suas máquinas.
  • Ignorar MFA quando o servidor ADSelfService Plus estiver indisponível ou inacessível: This option ensures users aren't left stranded on their machine login screens during the MFA process when the ADSelfService Plus server is down or unreachable. However, this also means renouncing the advanced security layer of MFA, which is not recommended. To avoid such circumstances, deploy offline MFA. This setting is not applicable when:
    • MFA offline está configurado e o usuário está registrado com MFA offline em seu dispositivo.
    • MFA baseado na máquina está aplicado no dispositivo.
  • Manter uma máquina confiável por __ dia(s): Quando esta configuração está habilitada, usuários que fizeram login uma vez usando MFA para login na máquina podem pular a autenticação MFA em logins subsequentes. Habilitar esta configuração ajuda os usuários a evitar passar pelo processo MFA toda vez que bloqueiam e desbloqueiam suas máquinas. O status da máquina confiável será revogado após o número especificado de dias.
  • Manter a opção 'Confiar nesta máquina' selecionada por padrão: Ao habilitar esta configuração, você pode manter a caixa ao lado de Confiar nesta máquina marcada por padrão na tela de autenticação MFA.
  • __ se o usuário não estiver registrado no MFA: This setting determines the authentication flow for the user when they have not enrolled for any of the authenticators for Machine login MFA. The admin can configure one of the following actions to occur:
    • Permitir logins: O usuário terá permissão para ignorar o MFA de login na máquina e obter acesso à máquina.
    • Negar logins: O usuário será restrito de acesso.
    • Forçar registro:
      • O usuário será forçado a registrar os autenticadores para MFA online e MFA offline somente após autenticação primária bem-sucedida.
      • Esta opção pode ser aplicada apenas para máquinas Windows e macOS. Se um usuário não estiver registrado e esta opção estiver selecionada, o usuário terá acesso negado à sua máquina Linux.
      • Importante:
      • Os autenticadores exigidos para MFA online e offline serão considerados coletivamente, então, se o usuário não estiver registrado em nenhum dos autenticadores exigidos para ambos os tipos de MFA, ele será considerado não registrado. Alternativamente, se estiver registrado em pelo menos um autenticador exigido para qualquer um desses métodos de login, será considerado parcialmente registrado.
      • Esta configuração se aplica apenas a usuários que não estão registrados. Não se aplica a usuários parcialmente registrados; usuários parcialmente registrados serão forçados a registrar os autenticadores restantes após completar o MFA usando os autenticadores já registrados.
      • Se autenticadores que os usuários não podem registrar por conta própria — como tokens TOTP de hardware personalizados e perguntas de segurança do AD — forem selecionados, eles terão acesso negado mesmo que o registro forçado esteja habilitado, pois somente o administrador pode registrá-los.
      • Quando MFA baseado na máquina é aplicado, esta configuração é ignorada e usuários que não se registraram em nenhum dos autenticadores terão acesso negado à máquina, e usuários parcialmente registrados serão forçados a registrar os autenticadores restantes exigidos.
  • Restringir usuários de realizar MFA offline após _ dias/tentativas: When this setting is enabled, offline MFA is restricted to a certain number of days or attempts, and users are mandated to connect back to ADSelfService Plus once this limit is exhausted.
    Nota: Offline MFA requires the Edição Professional do ADSelfService Plus with Endpoint MFA.
    • Recomenda-se definir um valor apropriado às necessidades da sua organização. Definir valores menores que o necessário pode deixar os usuários sem acesso à máquina.
    • Recomenda-se habilitar esta configuração, pois qualquer alteração feita na política de autoatendimento, configurações de MFA, configurações avançadas e modificações relacionadas ao registro de MFA Offline refletirão nas máquinas dos usuários registrados somente após eles completarem o MFA estando online.
    • Este limite será reiniciado quando o usuário realizar autenticação online na máquina específica.
  • Forçar o usuário a registrar seu dispositivo para MFA offline após autenticação online bem-sucedida: Quando esta configuração está habilitada, uma vez que o usuário complete o MFA online em uma máquina, ela será automaticamente registrada para MFA offline sem notificar o usuário. Se não estiver habilitada, o usuário pode optar por registrar sua máquina para MFA offline ou pular este passo.

MFA de Login OWA

Nota: MFA para logins OWA requer a edição Professional do ADSelfService Plus com Endpoint MFA.

Sobre os códigos de backup

  • Restringir o tempo ocioso do MFA durante logins OWA para min: Quando esta configuração está habilitada, a sessão do usuário expirará se ele ficar inativo pelo intervalo de tempo especificado.
  • Ignorar MFA quando o servidor ADSelfService Plus estiver indisponível ou inacessível: Enable this option if you want to avoid situations where users can't access OWA or Exchange admin center when the ADSelfService Plus server is down or unreachable. However, be aware that enabling this option means renouncing the advanced security layer of MFA when the ADSelfService Plus server is down or unreachable, which is not recommended. To avoid such circumstances, deploy ADSelfService Plus with high availability or load balancing.
    Nota: While enabling or disabling the Ignorar MFA quando o servidor ADSelfService Plus estiver indisponível ou inacessível option for OWA MFA, you must also change the corresponding registry key on the machine on which the ADSelfService Plus OWA Connector is installed for the settings to take effect.

    Para isso:

    Passo 1: Abra o Editor do Registro (digite regedit na caixa de diálogo Executar) na máquina onde o Conector OWA está instalado.

    Passo 2: Navegue até Computer\HKEY_LOCAL_MACHINE\SOFTWARE\ZOHO Corp\ADSelfService Plus IIS MFA Module.

    Passo 3: Defina a propriedade BypassMFAOnConnectionError como TRUE ou FALSE, dependendo se deseja que o MFA seja ignorado caso haja problemas de conexão durante a autenticação.

    Recomenda-se fazer um backup da chave do registro antes de editá-la. Apenas membros do grupo local de administradores embutido no computador terão privilégio para editar esta chave.

  • Expirar confiança para um navegador após __ dias: Quando esta configuração está habilitada, usuários que fizeram login uma vez usando MFA para OWA podem pular a autenticação MFA em logins subsequentes. Habilitar esta configuração ajudará os usuários a evitar passar pelo processo MFA toda vez que fizerem login no OWA ou no centro de administração do Exchange pelo mesmo navegador. O status do navegador confiável será revogado após o número especificado de dias.
  • Manter a opção "Confiar neste navegador" selecionada por padrão: Ao habilitar esta configuração, você pode manter a caixa ao lado de "Confiar neste navegador" marcada por padrão na tela de autenticação MFA.
  • Ignorar MFA quando o usuário não estiver registrado nos autenticadores exigidos: If this option is disabled, non-enrolled users will not be able to log into their OWA portal. Partially enrolled users will be considered non-enrolled. If this option is enabled, MFA will be skipped for non-enrolled users. If the user is partially enrolled, MFA verification will be required using the authenticators they have enrolled for, following which they will be forced to complete enrollment for the authenticators to be used for MFA for OWA logins.

    Habilite esta opção se desejar evitar situações em que os usuários não consigam acessar o OWA ou o centro de administração do Exchange quando não estiverem registrados nos autenticadores exigidos. No entanto, esteja ciente de que habilitar esta opção permite logins sem satisfazer os autenticadores obrigatórios configurados na política. Portanto, recomenda-se desabilitar esta opção assim que todos os usuários desta política estiverem registrados para MFA.

MFA de Login VPN

Nota: MFA para logins VPN requer a edição Professional do ADSelfService Plus com Endpoint MFA.

  • Manter a sessão MFA VPN válida por minutos: Enabling this setting will set a time limit for the second factor of authentication during VPN login. For instance, if you set this to two minutes, users have to enter the code or approve the notification, as per the authentication method enabled, within two minutes.

    Sobre os códigos de backup

    Nota: Se seu servidor VPN permitir configurar o limite de tempo de espera RADIUS, defina-o para um valor maior que o limite de tempo de sessão configurado nesta configuração.
  • O processo de MFA para login VPN pode ficar inativo por minutos: This idle time cannot be greater than the secure link's expiration time, which is 30 minutes by default.

    Sobre os códigos de backup

  • Ignorar MFA quando o servidor ADSelfService Plus estiver indisponível ou inacessível: Enable this option if you do not want users to be left stranded at the login screen during VPN logins when the ADSelfService Plus server is offline or unreachable. This configuration is enforced across all policies.
    Nota: While enabling or disabling the Ignorar MFA quando o servidor ADSelfService Plus estiver option for VPN MFA, you must also change the corresponding registry key on the machine on which the ADSelfService Plus NPS Extension is installed for the settings to take effect.

    Para isso:

    Passo 1: Abra o Editor do Registro (digite regedit na caixa de diálogo Executar) na

    Passo 2: Navegue até HKEY_LOCAL_MACHINE\SOFTWARE\ZOHO Corp\ADSelfService Plus NPS

    Passo 3: Defina a propriedade BypassMFAOnConnectionError como TRUE ou FALSE, dependendo se deseja que o MFA seja ignorado caso haja problemas de conexão durante a autenticação.

    Recomenda-se fazer um backup da chave do registro antes de editá-la. Apenas membros do grupo local de administradores embutido no computador terão privilégio para editar esta chave.

  • Ignorar MFA quando o usuário não estiver registrado nos autenticadores exigidos:

    Verificação do Cliente VPN:

    • Se esta opção estiver ativada, o MFA será ignorado para usuários não cadastrados.
    • Se esta opção estiver desativada, usuários não cadastrados não poderão fazer login na VPN.
    Nota: Usuários parcialmente cadastrados são considerados não cadastrados e poderão ignorar o MFA.

    Verificação de Email SecureLink:

    • Se esta opção estiver ativada, o MFA será ignorado para usuários não cadastrados. Se o usuário estiver parcialmente cadastrado, a verificação MFA será exigida usando os autenticadores para os quais o usuário está cadastrado e, após a verificação MFA bem-sucedida com o(s) autenticador(es) cadastrados, ele será obrigado a completar o cadastro dos autenticadores a serem usados para MFA via Verificação de Email SecureLink.
      • Nota: A user with a valid primary or secondary email address is automatically considered partially enrolled for MFA via SecureLink Email Verification.

      Um usuário sem um endereço de email primário ou secundário válido é considerado não cadastrado.

    • Ative esta opção se desejar evitar situações em que os usuários não consigam acessar sua VPN quando não estiverem cadastrados nos autenticadores necessários. No entanto, esteja ciente de que ativar esta opção permite logins sem satisfazer os autenticadores obrigatórios configurados na política. Portanto, recomenda-se desativar esta opção assim que todos os usuários desta política estiverem cadastrados para MFA.
    • Se esta opção estiver desativada, usuários não cadastrados não poderão fazer login na VPN. Usuários parcialmente cadastrados serão considerados não cadastrados.
  • Enviar atributos adicionais como resposta ao servidor VPN após MFA bem-sucedido: Enable this option if you wish to send additional attributes to the VPN server or other RADIUS endpoints. These attributes will only be sent to the VPN provider after successful MFA and will be utilized by the VPN server to determine the level of access each user should have for other purposes. You will be able to find the full list of supported attributes with the documentation received from your VPN vendor.
    Nota: Atualize a Extensão NPS para a versão 2.3 ou superior

Configurando atributos adicionais

  1. Se você tentar ativar este recurso antes de configurar os atributos, será exibido um pop-up para configurá-los. Clique em OK. Você também pode clicar no link Configure Attributes.
  2. You can configure RADIUS's Padrão or Específico do fornecedor attributes and corresponding values to be sent to the VPN providers (other RADIUS endpoints).

    MFA para Login OWA

  3. Insira o ID do Fornecedor clicando no botão Editar [ Edit ]. O ID do Fornecedor é o número único que identifica seu provedor de VPN. Por exemplo, se usar Fortigate, o ID do Fornecedor é 12356.
  4. Choose the Tipo of attribute and enter the Número do Atributo, Formato, and Valor in the fields displayed.

    Para atributos no formato string, os valores devem ser em caracteres, e para os atributos no formato int, os valores devem ser em integers.

    Para atributos enum, que contêm múltiplos valores predefinidos, forneça o valor desejado em termos dos seus integers associados. Por exemplo, se desejar usar Login como o atributo service-type, insira 1 no campo Value.

    Caso os atributos estejam nos formatos de endereço IPv4 ou IPv6, forneça um endereço IP válido no campo Value.

    Por exemplo, seu endereço IPv4 pode ser 10.1.1.1, e seu endereço IPv6 pode ser 2001:0db8:85a3::8a2e:0370:7334.

  5. Clique em OK após configurar todos os atributos necessários.
  6. Uma vez configurado com sucesso, a configuração Enviar atributos adicionais como resposta ao servidor VPN após a conclusão bem-sucedida do MFA será ativada.

MFA de Login em Aplicações na Nuvem

Outros códigos de backup

  • Ativar logins sem senha: This setting allows users to access applications and the self-service portal without a password. Please refer to this page for more information.
    Nota: Passwordless logins to cloud applications require the Edição Professional do ADSelfService Plus with Endpoint MFA.

    Observe que a configuração Confiar neste navegador será desativada para os usuários para

  • Restringir o tempo ocioso do MFA durante logins em apps na nuvem para min: Ativar
  • Forçar cadastro para usuários não cadastrados após verificação de senha bem-sucedida: Quando esta
  • Forçar cadastro após MFA bem-sucedido para autenticadores selecionados para outros endpoints:
  • Manter a opção 'Confiar neste navegador' selecionada por padrão: Quando esta opção estiver ativada, a caixa de seleção Confiar neste navegador será marcada por padrão na tela de verificação MFA. Esta configuração não se aplica quando logins sem senha estão ativados.
  • Expirar confiança para um navegador após ___ dia(s): Quando esta opção estiver ativada, os usuários não serão solicitados a passar pelo MFA pelo número especificado de dias ao fazer login no ADSelfService Plus usando navegadores confiáveis. Esta configuração não se aplica quando logins sem senha estão ativados.

MFA para Aplicações

MFA de Login no ADSelfService Plus

Sobre os códigos de backup

  • Ativar logins sem senha: This setting allows users to access applications and the self-service portal without a password. Please refer to esta página for more information.
    Nota: Observe que a configuração Trust this browser será desativada para os usuários para os quais o login sem senha está habilitado, a fim de evitar brechas de segurança. Quando o login sem senha é aplicado, o usuário deve se autenticar toda vez que tentar acessar a aplicação.
  • Restringir o tempo ocioso do MFA durante logins no portal ADSelfService Plus para __ min: Habilitar esta configuração definirá um limite de tempo para os usuários concluírem o processo de MFA.
  • Forçar cadastro para usuários não cadastrados após verificação de senha bem-sucedida: Quando esta
  • Forçar inscrição após MFA bem-sucedido para autenticadores selecionados para outros endpoints: Habilitar esta configuração garante que os usuários se inscrevam em todos os autenticadores necessários, não apenas para logins no ADSelfService Plus, mas também para MFA durante redefinição de senha e desbloqueio de conta, bem como para logins em máquinas, VPN, OWA e aplicações em nuvem. A inscrição também é aplicada para autenticadores definidos como obrigatórios na aba MFA Enrollment.
  • Manter a opção 'Trust this browser' selecionada por padrão: Quando esta opção está habilitada, a caixa Trust this browser será selecionada por padrão na tela de verificação MFA.
  • Expirar a confiança para um navegador após __ dias: Quando esta opção está habilitada, os usuários não precisarão passar pelo MFA durante os dias especificados ao fazer login no ADSelfService Plus usando dispositivos confiáveis.

Configurações de Perguntas e Respostas

Configurações de Perguntas

Outros códigos de backup

  • Exibir __ Perguntas de Segurança dentre aleatoriamente: Com esta opção, você pode definir o número de perguntas a serem exibidas para o usuário final. As perguntas serão selecionadas aleatoriamente pelo ADSelfService Plus a partir da lista disponível de perguntas de segurança configuradas em Configurações de Perguntas e Respostas de Segurança.
  • Exibir __ Perguntas de Segurança do AD dentre aleatoriamente: Selecione esta opção para especificar o número de perguntas de segurança do AD a serem feitas durante o processo de verificação de identidade. As perguntas serão selecionadas aleatoriamente pelo ADSelfService Plus a partir da lista disponível de perguntas de segurança configuradas em AD Security Questions (Configuration > Multi-factor Authentication > Authenticators Setup > AD Security Questions).
  • Exibir as perguntas de segurança uma a uma: Marcar esta opção exibirá as perguntas de segurança uma por vez (ou seja, uma pergunta por página).
  • Exibir todas as perguntas de segurança simultaneamente: Selecionar esta opção exibirá todas as perguntas de segurança em uma única página.

Configurações de Respostas

  • Verificar a identidade dos usuários com respostas sensíveis a maiúsculas e minúsculas: Selecionar esta opção obriga que as respostas fornecidas pelos usuários sejam sensíveis a maiúsculas e minúsculas.
  • Ocultar respostas de segurança durante a autenticação: Selecionar esta opção ocultará as respostas de segurança por padrão.

Fortalecedores de Resposta (apenas para Perguntas e Respostas de Segurança)

Outros códigos de backup

  • Impedir que os usuários forneçam seus nomes de usuário como respostas: Isso impedirá que os usuários usem seu nome de usuário como resposta.
  • Impedir que os usuários forneçam a mesma resposta para múltiplas perguntas: Isso impedirá que os usuários forneçam a mesma resposta para várias perguntas.
  • Impedir que os usuários usem qualquer palavra da pergunta de segurança em suas respostas: Isso impedirá que os usuários copiem palavras das perguntas como respostas.
  • Forçar os usuários a usar apenas caracteres em inglês (a-z), números (0-9) e símbolos: Isso garantirá que os usuários usem apenas caracteres alfanuméricos e símbolos em suas respostas.
  • Armazenar respostas de segurança usando criptografia reversível: Selecionar esta opção armazenará as respostas de segurança em texto simples no banco de dados do ADSelfService Plus. As respostas podem ser visualizadas usando o relatório de Perguntas e Respostas de Segurança.
  • Armazenar respostas de segurança usando o algoritmo ___: Selecione esta opção para criptografar e armazenar as respostas às perguntas de segurança usando o algoritmo MD5 ou SHA-512.

Configurações do Código de Verificação

Atributos de Email/Celular

Outros códigos de backup

  • Selecione o tipo de atributo (Mail ou Mobile) que deseja visualizar no menu suspenso Select Type.
  • Clique em Add Attribute para adicionar um novo atributo que contenha os endereços de email ou números de celular dos usuários.

Email/Celular Secundário

Outros códigos de backup

  • Impedir inscrição de já inscritos: Use esta opção para impedir que múltiplos usuários se inscrevam com o mesmo endereço de email secundário e/ou número de celular em todo o produto.
  • Permitir ou Bloquear endereços de email dos seguintes domínios : Use esta opção para bloquear ou permitir domínios de email específicos. Se escolher Bloquear, os usuários poderão adicionar endereços de email de qualquer domínio, exceto os listados. Escolher Permitir garantirá que apenas provedores de email confiáveis sejam utilizados pelos usuários para receber códigos de verificação. Você pode deixar este campo vazio para permitir qualquer domínio após escolher Permitir.
  • Permitir or Bloquear os seguintes formatos de número de celular __: Use this option to block or allow particular mobile number formats. If you choose Block, users will be able to add mobile numbers in any format apart from the listed format(s). Choosing Allow will ensure that users enter mobile numbers only in the particular format(s) configured. You can leave this field empty to allow any format after choosing Allow.
    Nota: If you do not want users to register secondary email addresses or mobile numbers, disable these settings:
    • Permitir ou Bloquear endereços de email dos seguintes domínios __
    • Permitir ou Bloquear os seguintes formatos de número de celular __
  • Choose enforcement: Use this setting to configure whether adding secondary email addresses and mobile numbers is mandatory or optional for the users. The available options are:
    • Tornar este registro opcional.
    • Forçar os usuários a registrar um endereço de email.
    • Forçar os usuários a registrar um número de celular.
    • Forçar os usuários a registrar tanto um endereço de email quanto um número de celular.
  • Limitar o número de inscrições de email secundário para __: Use esta configuração para especificar o número máximo de inscrições de endereços de email secundários permitidas por usuário. Você pode permitir entre um e 10 endereços de email secundários.
  • Limitar o número de inscrições de número de celular secundário para __: Use esta configuração para especificar o número máximo de inscrições de números de celular secundários permitidas por usuário. Você pode permitir entre um e 10 números de celular secundários.

Outros

Outros códigos de backup

  • Definir o comprimento do código de verificação para ___ dígitos: Use esta configuração para definir o número de dígitos no código de verificação.
  • Mostrar 'Select Email ID/Mobile No.' como valor padrão na lista suspensa de email/celular: Habilitar esta opção mostrará Select Email ID/Mobile No como valor padrão na lista suspensa de email/celular durante a verificação de identidade.
  • Ocultar parcialmente o ID de email e o número de celular nas páginas de MFA: Esta opção ocultará parcialmente o endereço de email e o número de celular do usuário durante o processo de verificação de identidade.
  • Pule a etapa 'Escolher Endereço de Email/Número de Celular' e dispare automaticamente o código de verificação: In some cases, the user might have enrolled in ADSelfService Plus with multiple email addresses or mobile numbers. By default, the product shows the user a drop-down to select the email address or mobile number to send the verification code to. However, when the Choose Email Address/Mobile Number step and auto-trigger the verification code option is checked, this drop-down is not displayed, and the code is sent directly to the user's primary email address, which is determined based on:
    • Endereço de email ou número de celular especificado pelo usuário final durante o auto-cadastro ou pelo admin durante o auto-cadastro via CSV ou bancos de dados externos (o que for mais recente).
    • Endereços de email ou números de celular vinculados ao objeto de usuário do Active Directory. Os administradores podem configurar os atributos de email ou celular a serem usados para a política usando a seção Avançada das configurações de MFA conforme mostrado na captura de tela abaixo. Para encontrar essas configurações na interface do produto, faça login no portal de administração do ADSelfService Plus admin portal e vá para Configuração > Autoatendimento > Autenticação Multifator (MFA) > Avançado > Código de Verificação > Atributos de Email/Celular.

    Configuração

  • Enviar cópia para o admin/gerente no email de verificação de identidade enviado aos usuários: Use this setting to include the user's manager or admin's email address in the CC line of the verification code email sent to the user. To do this:
    • Marque a caixa ao lado desta configuração.
    • Insira o endereço de email do admin no campo ID de Email.
    • Clique em Adicionar Gerente para incluir o endereço de email do gerente do usuário.

Geral

Visão geral das configurações avançadas gerais de MFA para usuários locais

configurações de CAPTCHA

Ocultar CAPTCHA em: Oculte o CAPTCHA nas páginas de autenticação de segundo fator selecionando a opção no menu suspenso.

Recuperação de MFA

Habilitar códigos de verificação de backup para MFA: Selecione esta configuração para permitir que usuários locais comprovem sua identidade com um código de backup quando seu dispositivo ou autenticador MFA não estiver disponível. Usuários locais precisarão contatar seu admin para obter um código de backup, que pode ser gerado a partir do Relatório de Usuários Inscritos em MFA.

Sobre os códigos de backup

Esses códigos de backup de uso único permitem que os usuários comprovem suas identidades caso seu dispositivo MFA não esteja acessível ou eles não consigam usar seus métodos de autenticação MFA inscritos. Uma vez habilitada a configuração Habilitar Códigos de Verificação de Backup para MFA, os códigos de backup podem ser gerados pelo admin a partir do Relatório de Usuários Inscritos em MFA, e os usuários finais podem inseri-los para se autenticar durante logins em máquinas e ações periféricas de login no Windows.

Nota: Quando a verificação de identidade é realizada usando códigos de backup, as opções Confiar nesta máquina não serão consideradas. Códigos de backup para usuários locais não podem ser gerados por eles mesmos e devem ser fornecidos pelo admin.

Bloquear usuários que falharem na verificação de identidade

  1. In the Bloquear usuários que falharem na verificação de identidade section, specify the maximum number of invalid MFA attempts allowed within a set time interval. Use the Permitir um máximo de __ tentativas inválidas dentro de __ minutos option to define the limit after which the user will be blocked.

    Nota: Cada falha na tentativa de verificação de identidade, seja durante a entrada da senha, inserção do código de backup, envio do OTP ou verificação MFA, contará para o limite máximo de tentativas de verificação antes que a conta seja bloqueada. Usuários bloqueados não podem fazer login em dispositivos endpoint.

    Falhas de MFA ao usar Duo Security não serão contabilizadas como falhas de verificação de identidade, pois o Duo possui seu próprio mecanismo de bloqueio.

  2. Using the Bloquear usuários por um período de __ minutos option, specify:
    • O número de minutos pelo qual o usuário permanecerá bloqueado.
      • Exemplo: Por exemplo, suponha que você definiu o máximo de tentativas inválidas como cinco, o intervalo de tempo como 10 minutos e o período pelo qual o usuário permanecerá bloqueado como 30 minutos. Isso significa que quando os usuários falharem em verificar sua identidade cinco vezes em um intervalo de 10 minutos, sua conta será bloqueada por 30 minutos.
    • Escolha Para sempre (até ser desbloqueado pelo admin) para configurar contas de usuário para permanecerem bloqueadas até serem desbloqueadas manualmente por um admin.

Um usuário local do Windows bloqueado ao tentar acessar um endpoint de máquina protegido será restrito de acessar qualquer outro endpoint de máquina protegido pelo ADSelfService Plus, até que sua conta seja desbloqueada.

MFA para endpoint

MFA para login em máquina

Nota: MFA para logins em máquinas requer a edição Professional do ADSelfService Plus com Endpoint MFA.

Estas são configurações baseadas em política e serão aplicadas quando um usuário local sob a política tentar fazer login em sua máquina em grupo de trabalho ou ingressada em domínio. Com base nesta configuração, o MFA pode ser ignorado em máquinas se o usuário não estiver inscrito. Para aplicar MFA em máquinas independentemente do status de inscrição do usuário, configure MFA baseado em máquina.

A seção MFA para Login em Máquina oferece aos administradores controle granular sobre os prompts de MFA em máquinas locais.

Visão geral das configurações avançadas de MFA para usuários locais no Endpoint MFA

  • Habilitar MFA para : Esta configuração permite habilitar MFA para logins interativos, Controle de Conta de Usuário (UAC) e desbloqueios de máquina.

    • Visão geral dos endpoints de máquinas protegidos para usuários locais via ADSelfService Plus

    • Login interativo: Quando habilitado, MFA será exigido durante logins interativos ou baseados em GUI em máquinas Windows. Os usuários poderão realizar ações subsequentes somente após verificação de identidade bem-sucedida.
    • Controle de Conta de Usuário: Quando esta configuração está habilitada, MFA será exigido para todos os prompts de credenciais do Controle de Conta de Usuário (UAC), e o usuário poderá realizar a ação desejada somente após verificação de identidade bem-sucedida. Esta configuração é compatível com Windows 7 e superior e Windows Server 2008 e superior. Esta configuração é suportada na versão 6.12 e superior do agente de login do ADSelfService Plus para Windows.

      • Nota: A opção Habilitar MFA para Controle de Conta de Usuário está disponível apenas para prompts UAC do Windows que exigem credenciais do usuário.

    • Desbloqueios de máquina: Habilitar esta configuração aplicará MFA ao desbloquear máquinas Windows.
  • Habilitar MFA para acesso via Remote Desktop durante autenticação no servidor RDP: Quando esta configuração está habilitada, todas as conexões de Remote Desktop para máquinas Windows onde o agente de login do ADSelfService Plus está instalado serão autenticadas e protegidas usando MFA.
  • O processo de MFA para login em máquina pode ficar inativo por __ minutos: Habilitar esta configuração definirá um limite de tempo para que os usuários completem o processo de MFA para login em suas máquinas.
  • Ignorar MFA quando o servidor ADSelfService Plus estiver indisponível ou inacessível: This option ensures users aren't left stranded on their machine login screens during the MFA process when the ADSelfService Plus server is down or unreachable. However, this also means renouncing the advanced security layer of MFA, which is not recommended. To avoid such circumstances, deploy offline MFA. This setting is not applicable when:
    • MFA offline está configurado, e o usuário está inscrito com MFA offline em seu dispositivo.
    • MFA baseado na máquina está aplicado no dispositivo.
  • Manter uma máquina confiável por __ dia(s): Quando esta configuração está habilitada, usuários que fizeram login uma vez usando MFA para login em máquina podem pular a autenticação MFA em logins subsequentes. Habilitar esta configuração ajuda os usuários a evitar passar pelo processo MFA toda vez que bloqueiam e desbloqueiam suas máquinas. O status da máquina confiável é revogado após o número especificado de dias.
  • Manter a opção 'Confiar nesta máquina' selecionada por padrão: Ao habilitar esta configuração, você pode manter a caixa ao lado de Confiar nesta máquina marcada por padrão na tela de autenticação MFA.
  • __ se o usuário não estiver registrado no MFA: This setting determines the authentication flow for the user when they have not enrolled for any of the authenticators for Machine login MFA. The admin can configure one of the following actions to occur:
    • Permitir logins: O usuário terá permissão para ignorar o MFA de login em máquina e acessar a máquina.
    • Negar logins: O usuário será restrito de acesso.
    • Forçar registro:
      • O usuário será obrigado a se inscrever nos autenticadores para MFA online e MFA offline somente após autenticação primária bem-sucedida.
      • Esta opção pode ser aplicada apenas para máquinas Windows e macOS. Se um usuário não estiver inscrito e esta opção estiver selecionada, o acesso à sua máquina Linux será negado.
    Nota:
    • Autenticadores exigidos para MFA online e offline serão considerados coletivamente, então se o usuário não estiver inscrito em nenhum dos autenticadores exigidos para ambos os métodos, ele será considerado não inscrito. Alternativamente, se estiver inscrito em pelo menos um autenticador exigido para qualquer um desses métodos de login, será considerado parcialmente inscrito.
    • Esta configuração se aplica apenas a usuários que não estão inscritos. Não se aplica a usuários parcialmente inscritos; usuários parcialmente inscritos serão obrigados a se inscrever nos autenticadores restantes após completar o MFA usando os autenticadores inscritos.
    • Se autenticadores que os usuários não podem se inscrever sozinhos — como tokens TOTP de hardware personalizados e perguntas de segurança do AD — forem selecionados, eles terão acesso negado mesmo se a inscrição for obrigatória, pois somente o admin pode inscrevê-los.
    • Quando MFA baseado em máquina é aplicado, esta configuração é sobrescrita e usuários que não se inscreveram em nenhum dos autenticadores terão acesso negado à máquina, e usuários parcialmente inscritos serão obrigados a se inscrever nos autenticadores restantes exigidos.
  • Restringir usuários de realizar MFA offline após _ dias/tentativas: Quando esta configuração está habilitada, o MFA offline é restrito a um certo número de dias ou tentativas, e os usuários são obrigados a se reconectar ao ADSelfService Plus uma vez que este limite seja atingido.
    • Recomenda-se definir um valor apropriado às suas necessidades organizacionais. Definir valores inferiores aos necessários pode deixar os usuários sem acesso à máquina.
    • Recomenda-se habilitar esta configuração, pois qualquer alteração feita na política de autoatendimento, configurações de MFA, configurações avançadas e modificações relacionadas à inscrição offline de MFA refletirão nas máquinas dos usuários inscritos somente após eles completarem o MFA estando online.
    • Este limite será redefinido quando o usuário específico realizar autenticação online na máquina específica.
  • Inscrever automaticamente o dispositivo do usuário para MFA offline após autenticação online bem-sucedida: Quando esta configuração está habilitada, uma vez que o usuário complete o MFA online em uma máquina, ela será automaticamente inscrita para MFA offline sem notificar o usuário. Se não estiver habilitada, a máquina será ignorada para MFA offline.

Configurações de Perguntas e Respostas

Configurações de Perguntas

Visão geral das configurações avançadas de perguntas e respostas no ADSelfService Plus

  • Exibir __ Perguntas de Segurança dentre aleatoriamente: Com esta opção, você pode definir o número de perguntas a serem exibidas ao usuário final. As perguntas serão selecionadas aleatoriamente pelo ADSelfService Plus a partir da lista disponível de perguntas de segurança configuradas em Configurações de Perguntas e Respostas de Segurança.
  • Exibir as perguntas de segurança uma a uma: Marcar esta opção exibirá as perguntas de segurança uma a uma (ou seja, uma pergunta por página).
  • Exibir todas as perguntas de segurança: Selecionar esta opção exibirá todas as perguntas de segurança simultaneamente em uma única página.

Configurações de Respostas

  • Verificar a identidade dos usuários com respostas sensíveis a maiúsculas e minúsculas para as perguntas de segurança: Selecionar esta opção obriga que as respostas fornecidas pelos usuários sejam sensíveis a maiúsculas e minúsculas.
  • Ocultar respostas de segurança durante a autenticação: Selecionar esta opção ocultará as respostas de segurança por padrão.

Fortalecedores de Resposta (apenas para Perguntas e Respostas de Segurança)

Visão geral dos fortalecedores de respostas no ADSelfService Plus

  • Impedir que os usuários forneçam seus nomes de usuário como respostas: Isso impedirá que os usuários usem seus nomes de usuário como resposta.
  • Impedir que os usuários forneçam a mesma resposta para várias perguntas: Isso impedirá que os usuários forneçam a mesma resposta para várias perguntas.
  • Impedir que os usuários usem qualquer palavra da pergunta de segurança em suas respostas: Isso impedirá que os usuários copiem palavras das perguntas como respostas.
  • Forçar os usuários a usar apenas caracteres em inglês (a-z), números (0-9) e símbolos: Isso garantirá que os usuários usem apenas caracteres alfanuméricos e símbolos em suas respostas.
  • Armazenar respostas de segurança usando criptografia reversível: Selecionar esta opção armazenará as respostas de segurança como texto simples no banco de dados do ADSelfService Plus. As respostas podem ser visualizadas usando o relatório de Perguntas e Respostas de Segurança.
  • Armazenar respostas de segurança usando o algoritmo ___: Selecione esta opção para criptografar e armazenar as respostas das perguntas de segurança usando o algoritmo MD5 ou SHA-512.

Configurações do Código de Verificação

Atributos de email e dispositivo móvel

Visão geral das configurações avançadas de código de verificação no ADSelfService Plus

Email/Mobile secundário

  • Impedir inscrição de já inscritos: Use esta opção para impedir a inscrição de múltiplos usuários com o mesmo endereço de email secundário e/ou número de celular.
  • Permitir/Bloquear endereços de email dos seguintes domínios de email : Use esta opção para bloquear ou permitir domínios de email específicos. Se você escolher Bloquear, os usuários poderão adicionar endereços de email de qualquer domínio, exceto os listados. Escolher Permitir garantirá que apenas provedores de email confiáveis sejam utilizados pelos usuários para receber códigos de verificação. Você pode deixar este campo vazio para permitir qualquer domínio após escolher Permitir.
  • Permitir/Bloquear os seguintes formatos de número móvel __ : Use esta opção para bloquear ou permitir formatos específicos de número móvel. Se você escolher Bloquear, apenas números móveis dos formatos listados poderão ser inscritos. Você pode deixar este campo vazio para permitir qualquer formato após escolher Permitir.
  • Limitar o número de inscrições de email secundário para __ : Use esta configuração para especificar o número máximo de inscrições de endereços de email secundários permitidos por usuário. Você pode permitir entre um e 10 endereços de email secundários.
  • Limitar o número de inscrições de número móvel secundário para __ : Use esta configuração para especificar o número máximo de inscrições de números móveis secundários permitidos por usuário. Você pode permitir entre um e 10 números móveis secundários.

Outros

Visão geral de outras configurações avançadas no ADSelfService Plus

  • Definir o comprimento do código de verificação para ___ dígitos: Use esta configuração para definir o número de dígitos no código de verificação.
  • Mostrar 'Selecionar Email ID/Número Móvel' como valor padrão na lista suspensa de email/móvel: Habilitar esta opção mostrará Selecionar Email ID/Número Móvel como valor padrão na lista suspensa de email/móvel durante a verificação de identidade.
  • Ocultar parcialmente Email ID/Número Móvel nas páginas de MFA: Esta opção ocultará parcialmente o endereço de email e o número móvel do usuário durante o processo de verificação de identidade.
  • Pular a etapa "Escolher Endereço de Email/Número Móvel" e disparar automaticamente o código de verificação: Em alguns casos, o usuário pode ter se inscrito no ADSelfService Plus com múltiplos endereços de email ou números móveis. Por padrão, o produto mostra ao usuário uma lista suspensa para selecionar o endereço de email ou número móvel para enviar o código de verificação. No entanto, quando a opção Pular a etapa Escolher Endereço de Email/Número Móvel e disparar automaticamente o código de verificação está marcada, esta lista suspensa não é exibida, e o código é enviado diretamente para o email secundário do usuário.
  • Incluir o administrador em CC do email de verificação de identidade enviado aos usuários: Use esta configuração para incluir o endereço de email do administrador na linha CC do email de código de verificação enviado ao usuário. Para isso:
    • Marque a caixa ao lado desta configuração.
    • Insira o endereço de email do administrador no campo Email ID.

Clique em Salvar para aplicar estas configurações aos usuários locais inscritos no ADSelfService Plus.

Navegar para o anteriorTópico Anterior Próximo Tópico Navigate to next

Obrigado!

Sua solicitação foi enviada para a equipe de suporte técnico do ADSelfService Plus. Nossa equipe técnica irá assisti-lo o mais breve possível.

 

Precisa de assistência técnica?

  • Digite seu e-mail
  • Fale com especialistas
  •  
     
  •  
  • Ao clicar em 'Fale com especialistas', você concorda com o processamento de dados pessoais de acordo com a Privacy Policy.

Não encontrou o que procura?

  •  

    Visite nossa comunidade

    Publique suas perguntas no fórum.

     
  •  

    Solicite recursos adicionais

    Envie-nos suas necessidades.

     
  •  

    Precisa de assistência para implementação?

    Experimente o OnboardPro

     

Copyright © 2026, ZOHO Corp. Todos os direitos reservados.