Resumo: Desde outubro/2024 a Microsoft exige MFA para qualquer operação administrativa no Microsoft 365. Em fevereiro/2025 a exigência foi estendida para o admin center geral. MFA não é mais opcional — a única decisão que sobra é qual método usar: app authenticator (mínimo), FIDO2 (recomendado para admins) ou passkey (caminho do futuro). Esqueça SMS como método primário.
1Por que MFA virou obrigatório no Microsoft 365
Em outubro de 2024, a Microsoft começou a exigir MFA para qualquer operação de criação, leitura, atualização ou exclusão (CRUD) no Azure portal, Microsoft Entra admin center e Intune admin center. Em fevereiro de 2025, a exigência foi estendida gradualmente para o Microsoft 365 admin center. Em 2026 a aplicação está plenamente em vigor: nenhuma tarefa administrativa Microsoft 365 acontece sem MFA.
Para o usuário final (não administrador), MFA também é o baseline desde 2019: tenants criados após 22 de outubro de 2019 vêm com Security Defaults ativo, o que habilita MFA para todos os usuários quando o sistema detecta risco. A partir de 2022, a Microsoft estendeu essa proteção também a tenants antigos que nunca tinham mexido em configurações de segurança.
A pergunta deixou de ser "preciso de MFA?" — virou "qual MFA?".
2Escolher o método de MFA certo
Os métodos suportados pelo Microsoft Entra variam em segurança e usabilidade. A regra geral: quanto mais resistente a phishing, melhor. Quanto mais conveniente, maior adoção. O ideal está no meio.
| Método | Resistente a phishing | Conveniência | Recomendado para |
|---|---|---|---|
| SMS / chamada telefônica | Não | Média | Apenas recuperação. NÃO usar como primário. |
| Email para conta secundária | Não | Média | Apenas recuperação. |
| Microsoft Authenticator (push) | Médio | Alta | Usuários gerais. Ativar number matching. |
| Microsoft Authenticator + number matching | Bom | Alta | Baseline para PMEs em 2026. |
| FIDO2 / chave de segurança física | Alta | Média (precisa chave) | Administradores, financeiro, cargos sensíveis. |
| Passkey (FIDO2 sincronizado) | Alta | Alta | Caminho recomendado Microsoft para todos. |
| Certificate-based authentication | Alta | Complexa | Ambientes regulados ou com PKI. |
Resumo da escolha para uma PME típica em 2026: Microsoft Authenticator com number matching para todos. FIDO2 ou passkey para administradores e cargos sensíveis (financeiro, RH, jurídico). SMS apenas como recuperação. Plano de migração para passkey nos próximos 12 meses.
Sua empresa tem MFA ativo só para administradores?
O diagnóstico Microsoft 365 da AKADNYX mostra em até 48 horas quem está protegido por MFA, quem ainda não está, e qual método está em uso.
3Ativar MFA: Security Defaults ou Conditional Access
Há dois caminhos para ativar MFA no Microsoft 365 de uma PME:
Caminho 1 — Security Defaults (Microsoft 365 Business Basic / Standard)
Ativo por padrão em qualquer tenant criado após 22 de outubro de 2019. Caracteriza-se por aplicar MFA obrigatório para administradores e exigir MFA para usuários comuns quando o sistema detecta risco. É simples e funciona — mas é tudo ou nada, sem flexibilidade por grupo, localização, dispositivo.
Confirmação rápida: entra.microsoft.com → Identity → Overview → Properties → Security defaults.
Caminho 2 — Conditional Access (Microsoft 365 Business Premium)
Versão profissional. Permite políticas baseadas em localização (bloquear logins fora do Brasil), dispositivo gerenciado (só liberar acesso a notebooks corporativos), risco de sign-in (Microsoft detecta padrão suspeito e exige MFA extra), grupo de usuários (financeiro tem regra mais restritiva que marketing). Recomendado para empresas com mais de 25 colaboradores ou cargos sensíveis.
Não combine os dois: Security Defaults e Conditional Access são mutuamente exclusivos. Para migrar de um para o outro, primeiro crie e teste as políticas Conditional Access em modo report-only, depois desative Security Defaults — não o contrário, senão a empresa fica sem proteção no intervalo.
4Onboarding seguro de novos colaboradores
O ponto mais frágil de qualquer programa de MFA é o onboarding: o momento em que um colaborador novo recebe a credencial pela primeira vez. Se a empresa entrega usuário/senha sem registrar MFA junto, abre uma janela de comprometimento.
Boas práticas para o onboarding em uma PME:
- Configurar MFA junto com a entrega da senha inicial. O analista de TI (ou MSP) registra o Authenticator no celular do colaborador antes de liberar acesso completo.
- Usar Temporary Access Pass (TAP) da Microsoft Entra para o primeiro login — uma senha temporária de uso único que força registro de MFA antes da entrada.
- Documentar o método de MFA registrado em planilha ou no portal de RH. Quando o colaborador perde o celular, dá para revogar e reconfigurar rapidamente.
- Bloquear self-service de redefinição de senha sem MFA — atacantes adoram esse caminho.
- Para cargos sensíveis (financeiro, RH, jurídico, C-level), entregar chave FIDO2 física junto com o notebook corporativo. Tratar como item de patrimônio.
5Ataques de fadiga MFA e adversary-in-the-middle
MFA não é infalível. Em 2026, dois tipos de ataque conseguem contornar MFA mesmo bem configurado:
Fadiga MFA (MFA fatigue, push bombing)
O atacante já tem usuário e senha do alvo (vazamento de banco de dados, phishing inicial). Aciona o login várias vezes seguidas. Cada tentativa dispara um prompt push no celular do usuário. Eventualmente, o usuário aceita por engano — quer parar de receber notificação.
Mitigação:
- Ativar number matching no Microsoft Authenticator: o app mostra um número e o usuário precisa digitar o número que aparece na tela de login. Não basta clicar "aprovar" — precisa de ação consciente.
- Ativar geographical / app context: o app mostra a aplicação solicitando o login e a localização aproximada. Se for tentativa estranha (geo-IP em outro país, aplicação desconhecida), o usuário tem como perceber.
- Treinar: "se chegou um prompt MFA que você não esperava, NEGUE e reporte ao TI. Sempre."
Adversary-in-the-middle (AITM)
O atacante hospeda uma página falsa que imita Microsoft 365 login. O usuário insere credencial + token MFA. A página falsa retransmite tudo ao Microsoft em tempo real, captura o cookie de sessão autenticada e usa para acesso futuro — sem precisar do MFA novamente.
Mitigação:
- Phishing-resistant MFA: FIDO2 ou passkey. Esses métodos amarram a sessão ao domínio real do Microsoft — uma página falsa não consegue completar o desafio criptográfico, mesmo retransmitindo.
- Conditional Access com requirement Authentication Strengths: permite exigir phishing-resistant MFA para acessos sensíveis (administradores, financeiro).
- Token binding e sign-in risk-based no Conditional Access: bloqueia sessão se Microsoft detectar reúso de cookie em IP/localização inesperados.
Implementar phishing-resistant MFA para administradores não é trivial.
A AKADNYX configura FIDO2 / passkey + Conditional Access Authentication Strengths sem travar produtividade do time. Parte do diagnóstico Microsoft 365.
6Migrar para passkey / FIDO2 quando faz sentido
Passkey é a tecnologia que a Microsoft (e Apple e Google) está empurrando como substituto definitivo da senha. Tecnicamente é uma credencial FIDO2 sincronizada entre dispositivos do usuário (iCloud Keychain, Google Password Manager, Microsoft Authenticator). Para o usuário, é mais conveniente que senha + MFA: basta biometria ou PIN local.
Em 2026, a Microsoft já recomenda oficialmente passkey como método primário de autenticação em vez de senha. Atualizações recentes do Entra incluem campanhas de registro automático para incentivar usuários a registrar passkey durante login.
Quando migrar?
- Administradores e cargos sensíveis: migrar agora. Chave FIDO2 física ou passkey vinculado a dispositivo gerenciado.
- Usuários gerais com dispositivos compatíveis (Windows 11, iOS 16+, Android 9+): migrar nos próximos 12 meses. Ativar campanha de registro Entra para nudge automático.
- Usuários com dispositivos legados: manter Authenticator + number matching como interim. Plano de modernização paralelo.
Como executar a migração
- Verificar suporte: documentação Microsoft sobre passkeys (FIDO2).
- Habilitar passkey como método permitido no Entra (Authentication methods → Passkey).
- Configurar campanha de registro (Registration campaign) para usuários elegíveis.
- Comunicar à equipe — passkey é simples, mas precisa de explicação inicial.
- Acompanhar adoção via Sign-in logs por 30 dias. Ajustar.
Quer ativar 2FA / passkey na sua empresa sem traumas?
O diagnóstico Microsoft 365 da AKADNYX cobre 140 controles CIS em 9 domínios de segurança, identifica quem está protegido por MFA hoje e prioriza a migração para métodos resistentes a phishing. Relatório executivo em PDF em até 48 horas. Sem jargão técnico, sem você precisar dar senha.
→ Solicitar diagnóstico Microsoft 365: microsoft365.akadnyx.com.br
→ WhatsApp corporativo: +55 19 99610-9961
Perguntas frequentes sobre 2FA / MFA
MFA é mesmo obrigatório no Microsoft 365 em 2026?
Sim. A Microsoft passou a exigir MFA para qualquer operação de criação/leitura/atualização/exclusão (CRUD) no Azure portal, Microsoft Entra admin center e Intune admin center desde outubro de 2024. A partir de fevereiro de 2025 a exigência foi estendida gradualmente para o Microsoft 365 admin center. Em qualquer tenant novo, Security Defaults vem ativo por padrão desde outubro de 2019, o que já habilita MFA. Não dá mais para administrar Microsoft 365 sem MFA habilitado.
SMS é suficiente como segundo fator?
Não é o ideal. SMS é vulnerável a SIM swap (atacante convence operadora a transferir o número para outro chip) e a interceptação SS7. Como método primário, prefira app authenticator (Microsoft Authenticator) com number matching ou FIDO2 / passkey. SMS deve ficar apenas como método de recuperação.
Como evitar que colaboradores aprovem prompts MFA por engano?
Use number matching no Microsoft Authenticator (o app mostra um número e o usuário precisa digitar o mesmo número que aparece na tela de login) e GPS context. Treine a equipe: "se chegou um prompt que você não esperava, NEGUE e reporte ao TI". Para administradores e cargos sensíveis, use phishing-resistant MFA: FIDO2 / passkey.
Vale a pena migrar para passkey agora?
Para administradores e cargos sensíveis: sim, passkey é o método mais resistente disponível em 2026, recomendação oficial da Microsoft. Para usuários gerais: passkey sincronizado oferece boa conveniência e elimina senha; é o caminho recomendado. Mas migração precisa de plano: registrar passkey via campanha de registro, garantir dispositivos compatíveis, manter fallback durante transição.
Posso liberar MFA para alguns usuários e bloquear outros?
Em Security Defaults: não, é tudo ou nada. Em Conditional Access (disponível com Microsoft 365 Business Premium ou Entra ID P1): sim, dá para criar políticas por grupo, localização, dispositivo gerenciado, risco de sign-in. Recomendação: nunca permita exceção permanente para um usuário. Se precisa abrir exceção temporária, marque data de revogação e revise mensalmente.
Este conteúdo tem caráter educativo e não constitui parecer técnico ou jurídico vinculante. Para avaliação específica do ambiente Microsoft 365 da sua empresa, consulte um profissional qualificado. AKADNYX é membro do Microsoft AI Cloud Partner Program (Partner ID 1290730) e atua como Cloud Solution Provider (CSP) com acesso administrativo delegado (GDAP) aos tenants de clientes contratantes. Este artigo não é endossado pela Microsoft Corporation. Microsoft, Microsoft 365, Entra, Defender e Intune são marcas registradas da Microsoft Corporation.