Blog do Chesley

Se você administra identidades no Microsoft 365 / Entra ID, sabe o quanto pode ser crítico perder o acesso a uma conta — seja por esquecimento de senha, perda de dispositivo, remoção de métodos de autenticação, ou outro incidente. Pensando nisso, a Microsoft lançou o recurso Recuperação de Conta (Account Recovery) no Entra ID, que permite aos usuários recuperar o acesso mesmo quando perderam todos os métodos de autenticação. Neste artigo, explico o que é, por que vale a pena habilitar, e como configurar passo a passo no seu tenant.

1. O que é a Recuperação de Conta no Entra ID
2. Pré-requisitos para habilitar
3. Etapas para habilitar a Recuperação de Conta (versão prévia)
4. Boas práticas e recomendações ao habilitar recuperação de conta
5. Por que vale a pena adotar no seu ambiente

O que é a Recuperação de Conta no Entra ID

• A “Recuperação de Conta” do Entra ID é um mecanismo de resgate para quando um usuário perder todos os seus métodos de autenticação (ex: perdeu o celular, token, e-mail de recuperação etc). Microsoft Learn
• O recurso utiliza provedores de verificação de identidade de terceiros (IDV — Identity Verification Providers). Através desses provedores, o usuário pode fazer uma verificação de identidade segura e, após aprovação, receber um “passe de acesso temporário” para redefinir seus métodos de autenticação e recuperar o acesso. Microsoft Learn
• Ou seja: não se trata apenas de redefinir senha — trata-se de garantir que, mesmo em casos extremos de perda de credenciais, o usuário possa recuperar acesso de forma segura.

Pré-requisitos para habilitar

Para habilitar a Recuperação de Conta no Entra ID, é necessário: Microsoft Learn

• Ter licença adequada — no caso, Microsoft Entra ID P1. Microsoft Learn
• Ser pelo menos um Administrador de Autenticação no tenant. Microsoft Learn
• Ter papel de Colaborador ou Administrador de Cobrança da assinatura Azure associada ao tenant. Microsoft Learn
• Habilitar a função de ID Verificada e configurar os requisitos de verificação exigidos pelo provedor de identidade. Microsoft Learn

Esses requisitos garantem que somente administradores com o nível apropriado e licenciamento correto possam atuar sobre esse recurso — o que reforça a segurança e governança do ambiente.

Etapas para habilitar a Recuperação de Conta (versão prévia)

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Autenticação.
2. Vá para Identidade>Recuperação de conta (Pré-visualização).
3. Em Configurar a recuperação de conta, selecione Começar.
4. Em Escolher um modo de recuperação, selecione Avaliação.

 Observação

No modo avaliação , os usuários só podem testar o processo de verificação de identidade sem realmente recuperar suas contas.

Em Seleção de grupo de usuários, clique em Selecionar grupos, escolha todos os grupos que você deseja incluir para recuperação de conta e selecione Salvar.

1. Depois de escolher grupos que deseja incluir para recuperação de conta, selecione Avançar.
2. Em Provedores de verificação de identidade, escolha um provedor e selecione Obter solução.

Selecione o Marketplace e entre na Microsoft Security Store como um proprietário ou colaborador de assinatura do Azure.

 Observação

Para esta etapa, você precisa começar a comprar uma oferta saaS (software como serviço) de um parceiro IDV, que requer uma assinatura do Azure. Verifique se sua conta conectada possui o papel de proprietário ou colaborador da assinatura do Azure vinculada ao locatário. Para verificar as atribuições de função, consulte Listar atribuições de função do Azure usando o portal do Azure. Para atribuir uma função, consulte Atribuir funções do Azure usando o portal do Azure.

Na página Visão geral do provedor de verificação de identidade, selecione Obter solução.

• Na página Obter solução :
  1. Em detalhes da conta, selecione uma assinatura de faturamento.
  2. Em detalhes da conta, selecione um grupo de recursos e forneça um nome de recurso.
  3. Em detalhes da solução, selecione Escolher plano e selecione um plano de preços.
  4. Selecione Próximo.
• Confirme os detalhes do pedido e selecione Fazer pedido.
• Quando sua assinatura saaS estiver pronta, selecione Configurar conta agora. ObservaçãoDepois de selecionar Configurar conta agora, você será redirecionado para o portal de administração do provedor SaaS para concluir a compra.
• Entre na assinatura SaaS como proprietário ou colaborador da assinatura do Azure.
• Na página Geral da assinatura saaS, forneça os detalhes necessários solicitados pelo provedor SaaS (como nome de contato, email e número de telefone) e selecione Ativar.
• Depois de ver Success, retorne ao processo de configuração da Recuperação de Conta no Centro de administração do Microsoft Entra para concluir as etapas restantes.
• Retorne ao menu do provedor de verificação de identidade no processo de configuração da Recuperação de Conta e escolha Selecionar.
• Na atualização da configuração de recuperação de conta (versão preliminar), selecione Avançar.

Na página Revisar e finalizar , examine os detalhes da configuração de recuperação de conta e selecione Concluído.

Depois que a instalação for finalizada, a home page de recuperação de conta será aberta no Centro de administração do Microsoft Entra.

Boas práticas e recomendações ao habilitar recuperação de conta

Com base em minha experiência e no uso de Microsoft Entra / Entra ID em ambientes corporativos, recomendo que você leve em consideração o seguinte ao adotar a recuperação de conta:

• Teste primeiro em um grupo restrito — nunca habilite diretamente para todo o tenant sem ter passado por testes. Isso minimiza riscos e garante que o fluxo de verificação de identidade funciona como esperado.
• Revise atributos de perfil de usuário — especialmente Nome e Sobrenome, que o provedor IDV usa para correspondência de identidade. Isso evita falhas de correspondência que bloqueiem a recuperação.
• Defina escopo com critério — avalie quais usuários realmente devem ter esse “seguro” de recuperação: talvez contas privilegiadas, administradores, ou pessoas com risco maior de perder métodos de autenticação.
• Combine com outros controles de segurança — mesmo com recuperação habilitada, mantenha práticas fortes de MFA, registro de autenticação, auditoria e governança de identidade. A recuperação não substitui essas proteções.
• Documente no seu plano de governança de acesso — registre quem pode usar recuperação, como validar identidade, quem aprova e aprovisiona provedores IDV. É um ponto importante de compliance e segurança.

Por que vale a pena adotar no seu ambiente

Para organizações de médio ou grande porte — como muitas que usam Microsoft 365 + Entra ID — a Recuperação de Conta traz vantagens importantes:

• Reduz o risco de lockout permanente de administradores ou usuários críticos.
• Evita perda de produtividade e custos com help-desk quando há problemas de acesso.
• Aumenta a resiliência operacional em cenários de falhas de autenticação ou dispositivos perdidos.
• Complementa a estratégia de segurança e governança de identidade, colaborando para um ambiente mais robusto e confiável.

Para você, que já trabalha com migração de AD, sincronização, controle de identidades e governança, integrar a recuperação de conta ao seu portfólio de boas práticas faz sentido — especialmente em cenários onde há muitos usuários e potencial de erro humano.

Depois que a instalação for concluída, todos os usuários com escopo de recuperação de conta poderão tentar a recuperação e concluir a Verificação de Identidade. Mas eles não podem recuperar suas contas porque a recuperação está definida no modo de avaliação.

Agora que você configurou o ambiente, nossa proxima postagem vamos mostrar como os usuários vão recuperar o ID do Microsoft Entra!

Fonte: Como habilitar e testar a recuperação de conta (versão prévia) no Centro de Administração do Microsoft Entra – Microsoft Entra ID | Microsoft Learn