Autenticação Multifator Obrigatória (Mandatory MFA) no Microsoft Entra ID

Publicado em por chesleysilva

A segurança de identidade é essencial — e a autenticação multifator (MFA) é comprovadamente uma das defesas mais eficazes contra ataques a contas. Estudos internos da Microsoft indicam que a MFA bloqueia mais de 99,2% dos ataques de comprometimento de conta. Por isso, o MFA será obrigatória para todos os acessos ao Azure e portais administrativos.

  1. Escopo da Obrigatoriedade
    1. Fase 1 – Outubro de 2024
    2. Fase 2 – 1º de setembro de 2025
  2. Como isso se conecta com o que já publicamos no blog?
    1. 🔗 1. Comece a migrar MFA e SSPR para a nova política de métodos de autenticação
    2. 🔗 2. Além do MFA
    3. 🔗 3. Pilar 1 – Autenticação
    4. 🔗 4. Aplicando segurança no Microsoft 365
    5. 🔗 5. Microsoft Authenticator agora suporta TOTP (Junho 2025)
    6. Conclusão / Recomendação

Escopo da Obrigatoriedade

Segundo a documentação oficial publicada em 7 de julho de 2025, a obrigatoriedade de MFA será introduzida em duas fases:

Fase 1 – Outubro de 2024

Aplicada a usuários que acessam via CRUD (criação, leitura, atualização ou exclusão) nos seguintes portais:

  • Azure Portal
  • Microsoft Entra Admin Center
  • Intune Admin Center
    A exigência é liberada por meio de uma política gerenciada Microsoft Managed, que não pode ser desativada por administradores de tenant

Fase 2 – 1º de setembro de 2025

Expansão da obrigatoriedade para clientes de automação e interfaces de linha de comando:

  • Azure CLI
  • Azure PowerShell
  • Azure mobile app
  • Ferramentas IaC (Terraform, SDKs REST, etc.)
    MFA será exigida ao executar operações de Create, Update ou Delete — operações de leitura não demandam MFA

Contas e Identidades Abrangidas

  • Contas de admin e break-glass: também estão sujeitas à MFA obrigatória. Devem ser convertidas preferencialmente para métodos phishing-resistant como passkey (FIDO2) ou certificate-based authentication
  • Identidades de trabalho automatizadas (managed identities e service principals): não são afetadas pela obrigatoriedade, e o uso de identidades de usuário para automações deve ser evitado

Métodos de MFA Suportados

A documentação oficial enumera métodos de MFA robustos e recomendados:

  • Microsoft Authenticator (push, biometria, TOTP)
  • Passkeys (FIDO2)
  • Certificate-based authentication (PIV / CAC)
  • Aplicativos externos e provedores federados que enviam MFA claim
    Além disso, SMS e chamadas de voz são suportadas, embora menos seguras e não recomendadas como primeira opção

Preparação para a Implementação

  • Notificações oficiais foram enviadas aos administradores globais com 60 dias de antecedência via e-mail, Azure Service Health e portais relevantes Azure+4cyberpress.org+4.
  • Se uma organização não estiver pronta até o prazo, um período de adiamento pode ser solicitado — originalmente até março de 2025, conforme política da Microsoft (no entanto, a fase 2 redefiniu o prazo para setembro de 2025)
  • É recomendável:
    • Migrar identidades de usuário usadas como contas de automação para workload identities
    • Garantir que todos os usuários e administradores estejam registrados com métodos de MFA apropriados
    • Verificar as capacidades de licenciamento (P1/P2) para configurar Conditional Access ou Security Defaults, conforme aplicável

Benefícios em Segurança

BenefícioDescrição Técnica
Proteção contra phishing e comprometimento de contaMFA bloqueia virtualmente todos os ataques automatizados baseados apenas em credenciais estáticas.
Conformidade forteAtende padrões como PCI‑DSS, HIPAA, GDPR, NIST, ao exigir autenticação forte em operações críticas
Homogeneidade na segurançaMesmo contas de emergência e portais administrativos devem usar MFA, sem brechas configuráveis.
Orquestração automatizada seguraA fase 2 abrange CLI, PowerShell e IaC, hardening das práticas de automação.
Identidades não afetadasWorkload identities mantêm operações automatizadas sem exigir MFA interativo.

Como isso se conecta com o que já publicamos no blog?

Essa não é uma mudança isolada — é parte de um movimento consistente da Microsoft em elevar a segurança da identidade. E você já leu sobre isso aqui no chesley.com.br:

🔗 1. Comece a migrar MFA e SSPR para a nova política de métodos de autenticação

Em agosto de 2024, alertamos sobre o fim iminente das políticas legadas de MFA e SSPR. A nova obrigatoriedade de MFA consolida essa transição: não se trata mais de configurar MFA como opção, mas de tornar seu uso estruturante e inegociável.

📌 Se você ainda não fez a migração para as novas políticas, esse é o ponto de partida técnico necessário.

🔗 2. Além do MFA

Dissemos lá: MFA não é suficiente. Proteção efetiva requer:

  • Avaliação contínua de risco,
  • Conformidade do dispositivo,
  • Políticas de acesso condicional,
  • Métodos resistentes a phishing (como FIDO2 e passkeys).

A nova diretriz da Microsoft sobre MFA obrigatória não elimina a necessidade dessas práticas — pelo contrário, ela as reforça.

📌 Use esse artigo para expandir sua visão: MFA é o mínimo. A maturidade está no conjunto de proteções contextuais.

🔗 3. Pilar 1 – Autenticação

Esse artigo mapeia a estrutura técnica das identidades no Microsoft 365 — PHS, PTA, federação — e é extremamente útil agora. Isso porque a obrigatoriedade de MFA exige clareza sobre quem autentica, como, e por qual fluxo.

📌 Releia este post para entender onde sua arquitetura atual de autenticação pode criar gargalos ou exigir ajustes para atender a nova política obrigatória.

🔗 4. Aplicando segurança no Microsoft 365

Este conteúdo continua atual. Ele aborda:

  • Acesso condicional com base em risco,
  • Device compliance,
  • Identidade como superfície de ataque.

A nova MFA obrigatória, quando aliada às recomendações deste post, cria um ciclo de proteção em camadas, fundamental para ambientes híbridos e regulados.

📌 Utilize as recomendações combinadas para construir uma estratégia Zero Trust centrada na identidade.

🔗 5. Microsoft Authenticator agora suporta TOTP (Junho 2025)

A obrigatoriedade da MFA vem acompanhada de melhorias importantes. Entre elas, o suporte ao TOTP pelo Microsoft Authenticator — que amplia a adoção de métodos robustos mesmo sem conexão ativa.

📌 Esse avanço técnico responde diretamente à exigência de métodos modernos de MFA seguros e flexíveis.

Conclusão / Recomendação

A partir de outubro de 2024, a MFA obrigatória será aplicada a portais administrativos críticos. A partir de 1º de setembro de 2025, esta obrigatoriedade se estende também a ferramentas de automação e infraestrutura. Essa medida fortalece drasticamente a segurança do ambiente Azure, alinhando-se aos padrões de compliance e reduzindo consideravelmente o risco de acesso não autorizado.

Se sua organização ainda não implementou MFA de forma abrangente, este é o momento crítico para revisitar arquiteturas de identidade, migrar contas de usuário para identidades de trabalho, e escolher métodos MFA phishing‑resistant. Uma adoção correta não apenas protege seus ativos, mas também prepara o terreno para automação segura e compliance diante das exigências regulatórias.

Para aprofundamento, consulte a documentação oficial da Microsoft – “Plan for mandatory multifactor authentication for Azure and other admin portals” (publicada em 7 de julho de 2025)

Deixe um comentário