Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A autenticação preferencial do sistema incentiva os utilizadores a iniciar sessão utilizando o método mais seguro que registaram. É uma melhoria importante de segurança para utilizadores que se autenticam usando métodos menos seguros, como palavras-passe ou SMS.
Por exemplo, se um utilizador registou tanto uma palavra-passe como uma chave de acesso, a autenticação preferencial do sistema exige que o utilizador inicie sessão com a chave de acesso em vez da palavra-passe. O usuário ainda pode optar por entrar usando outro método, mas primeiro será solicitado a tentar o método mais seguro que registrou.
A autenticação preferencial do sistema é uma definição gerida pela Microsoft, que é uma política de três estados (ativada, desativada ou gerida pela Microsoft). Se não quiser ativar a autenticação preferencial do sistema, altere o estado de Microsoft gerido para Disabled, ou exclua utilizadores e grupos da política.
Depois de ativada a autenticação preferencial do sistema, o sistema de autenticação faz todo o trabalho. Os utilizadores não precisam de definir nenhum método de autenticação como o predefinido, porque o sistema determina e apresenta sempre o método mais seguro que registaram.
Como a autenticação preferencial pelo sistema se aplica ao início de sessão
A autenticação preferencial por sistema tem três modos:
- Desativado - Sem alterações na lógica de iniciar sessão.
- Ativado - A autenticação preferencial do sistema aplica-se apenas ao segundo fator. O comportamento de início de sessão existente continua a aplicar-se para a autenticação de primeiro fator.
- Gerido pela Microsoft - A autenticação preferida pelo sistema aplica-se tanto à autenticação de primeiro fator como à de segundo fator. O sistema avalia quais as credenciais registadas para o utilizador e seleciona o método mais bem classificado para cada etapa de autenticação.
Tanto os modos Enabled como o Microsoft Managed permitem aos administradores incluir ou excluir utilizadores ou grupos específicos.
Tip
Se não quiser que a autenticação preferida pelo sistema se aplique à autenticação de primeiro fator, mude de Gerido pela Microsoft para Ativada. O estado Ativado aplica a lógica preferida pelo sistema apenas ao segundo fator.
Note
A autenticação preferencial pelo sistema é direcionada aos utilizadores, não aos dispositivos. Os administradores incluem ou excluem utilizadores ou grupos, mas não podem atribuir a funcionalidade a dispositivos ou grupos de dispositivos específicos.
Limitações conhecidas
- Quando altera a política de um grupo-alvo, a alteração pode não ter efeito no próximo início de sessão do utilizador. Aplica-se a todos os registos subsequentes depois disso.
- A política de Acesso Condicional é validada apenas para autenticação de segundo fator e não se aplica à autenticação de primeiro fator. A autenticação ocorre primeiro e, depois, o Acesso Condicional avalia a autorização. A autenticação preferencial por sistema não sobrepõe-se às políticas de Acesso Condicional nem aos requisitos de força de autenticação.
Ative a autenticação preferencial do sistema no centro de administração do Microsoft Entra
Por defeito, a autenticação preferencial do sistema é gerida pela Microsoft para todos os utilizadores.
- Entre no centro de administração do Microsoft Entra com pelo menos a função de Administrador de Política de Autenticação .
- Aceder a Microsoft Entra ID>Métodos de autenticação>Definições.
- Para a autenticação preferida pelo sistema, escolha Gerida pela Microsoft, Ativado ou Desativado e inclua ou exclua utilizadores. Os grupos excluídos têm precedência sobre os grupos incluídos.
- Depois de terminares de fazer quaisquer alterações, seleciona Guardar.
Ative a autenticação preferencial do sistema utilizando APIs Graph
Para permitir a autenticação preferencial do sistema antecipadamente, escolha um único grupo-alvo para a configuração do esquema, como mostrado no exemplo de Pedido .
Propriedades de configuração do recurso do método de autenticação
Por padrão, a autenticação preferencial do sistema é gerida pela Microsoft.
| Propriedade | Tipo | Description |
|---|---|---|
| excludeTarget | destino da funcionalidade | Uma única entidade que é excluída desse recurso. Só pode excluir um grupo da autenticação preferencial ao sistema, que pode ser um grupo dinâmico ou aninhado. |
| incluirTarget | destino da funcionalidade | Uma única entidade incluída neste recurso. Só pode incluir um grupo para autenticação preferencial ao sistema, que pode ser um grupo dinâmico ou aninhado. |
| Estado | advancedConfigState | Os valores possíveis são: ativado habilita explicitamente o recurso para o grupo selecionado. desativado desativa explicitamente o recurso para o grupo selecionado. default permite que o Microsoft Entra ID gerencie se o recurso está habilitado ou não para o grupo selecionado. |
Propriedades da característica alvo
A autenticação preferencial do sistema só pode ser ativada para um único grupo, que pode ser um grupo dinâmico ou aninhado.
| Propriedade | Tipo | Description |
|---|---|---|
| ID | Cordão | Identificação da entidade visada. |
| Tipo de destino | tipoDeAlvoDeFuncionalidade | O tipo de entidade alvo, como grupo, função ou unidade administrativa. Os valores possíveis são: 'grupo', 'unidade administrativa', 'função', 'valorFuturoDesconhecido'. |
Use o seguinte ponto de extremidade da API para habilitar systemCredentialPreferences e incluir ou excluir grupos:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Note
No Graph Explorer, você precisa consentir com a permissão Policy.ReadWrite.AuthenticationMethod .
Solicitação
O exemplo a seguir exclui um grupo de destino de exemplo e inclui todos os usuários. Para obter mais informações, consulte Update authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
FAQ
Como é que a autenticação preferencial pelo sistema determina o método mais seguro?
Quando um utilizador inicia sessão, o processo de autenticação verifica quais os métodos registados. O utilizador é convidado a iniciar sessão com o método mais seguro de acordo com a seguinte ordem. A ordem dos métodos é dinâmica e atualiza-se à medida que o panorama de segurança muda. Os utilizadores podem sempre cancelar e escolher um método de login disponível diferente. Se a sua organização tem políticas de Acesso Condicional que exigem métodos de autenticação específicos, essas políticas continuam a ter prioridade sobre a ordem de autenticação preferencial do sistema.
Quando está no estado gerido pela Microsoft, o sistema avalia as credenciais disponíveis e seleciona o método com a classificação mais elevada tanto para a autenticação do primeiro fator como para a do segundo fator.
| Rank | Credential | Categoria | Cumpre o requisito de |
|---|---|---|---|
| 1 | Passe de Acesso Temporário (TAP) | Recovery | 1FA (Autenticação de Primeiro Fator) + MFA (Autenticação Multifator) |
| 2 | Chave de acesso1 | Resistente ao phishing | 1FA (Autenticação de Primeiro Fator) + MFA (Autenticação Multifator) |
| 3 | Autenticação baseada em certificado (CBA) | Resistente ao phishing | 1FA ou 1FA + MFA |
| 4 | Notificações do Microsoft Authenticator | Sem palavra-passe | 1FA (Autenticação de Primeiro Fator) + MFA (Autenticação Multifator) |
| 5 | Autenticação multifator externa (MFA) | — | MFA |
| 6 | Palavra-passe de uso único baseada no tempo (TOTP)2 | — | MFA |
| 7 | Telefonia3 | — | MFA |
| 8 | código QR | Trabalhador da linha de frente | 1FA |
| 9 | Password | — | 1FA |
1Inclui chaves de segurança, chaves de acesso na aplicação Authenticator, chaves de acesso sincronizadas, Windows Hello para Empresas e SSO da plataforma macOS.
2Inclui hardware ou software TOTP do Microsoft Authenticator, Authenticator Lite ou aplicações de terceiros.
3Inclui SMS e chamadas de voz.
Importante
A autenticação baseada em certificados (CBA) era anteriormente colocada em último lugar na ordem de autenticação preferencial do sistema devido a problemas conhecidos com a CBA e a autenticação preferencial do sistema. Agora que esses problemas foram resolvidos, a partir de 18 de março de 2026, a autenticação baseada em certificados passou para a terceira posição na ordem de autenticação.
Com o comportamento atual gerido pela Microsoft, os utilizadores são direcionados para os melhores métodos de autenticação disponíveis tanto para o primeiro como para o segundo fatores, com base na ordenação MFA preferida pelo sistema. Embora isto evite apresentar a página de palavra-passe por predefinição, os utilizadores em dispositivos sem certificados verão a autenticação falhar imediatamente durante a CBA e terão de selecionar manualmente Iniciar sessão de outra forma para prosseguir com um método alternativo.
Como a autenticação preferida pelo sistema afeta a extensão do NPS?
A autenticação preferencial do sistema não afeta os utilizadores que iniciam sessão usando a extensão Network Policy Server (NPS). Esses usuários não veem nenhuma alteração em sua experiência de login.
Como é que a autenticação preferida pelo sistema afeta o início de sessão com o primeiro fator?
Quando definido para gerido pela Microsoft, o sistema aplica a classificação de credenciais tanto à autenticação de primeiro fator como à de segundo fator. Por exemplo, se um utilizador tiver registadas tanto uma palavra-passe como uma chave de acesso, é-lhe pedida a chave de acesso na autenticação de primeiro fator em vez da palavra-passe. O utilizador ainda pode selecionar outras opções de iniciação de sessão.
Quando definido como Habilitado, a classificação das credenciais aplica-se apenas à autenticação de segundo fatores. O comportamento de início de sessão do primeiro fator mantém-se inalterado.
Os utilizadores ainda podem escolher um método de início de sessão diferente?
Yes. A autenticação preferencial pelo sistema solicita aos utilizadores a credencial mais bem classificada, mas os utilizadores ainda podem escolher outros métodos permitidos durante o início de sessão.