Hack Alerta

Microsoft exige MFA para acessos ao Microsoft 365 Admin Center

Por Redação Hack Alerta Publicado em 08/01/2026 12:01 Cloud Tempo de leitura: 3 min

Microsoft anuncia enforcement de MFA para acessos ao Microsoft 365 Admin Center a partir de 9 de fevereiro de 2026. A medida afeta portais administrativos e pode bloquear logins de administradores sem MFA configurado, segundo a empresa.

Resumo

A Microsoft anunciou que o acesso ao Microsoft 365 Admin Center passará a exigir autenticação multifator (MFA) obrigatória em todos os ambientes. A medida entra em vigor em 9 de fevereiro de 2026 e afetará logins em portais administrativos críticos, segundo comunicado da empresa.

O que muda agora

A exigência de MFA aplica‑se aos usuários que acessam os portais de administração: portal.office.com/adminportal/home, admin.cloud.microsoft e admin.microsoft.com. A Microsoft informou que administradores sem MFA poderão ter o login bloqueado a partir da data de enforcement. A empresa recomenda que global admins e equipes de TI realizem a configuração usando o MFA Wizard ou o guia disponível em learn.microsoft.com, e que usuários verifiquem métodos em aka.ms/mfasetup.

Motivação e contexto

No anúncio, a Microsoft argumenta que a implementação de MFA reduz significativamente o risco de comprometimento de contas, protegendo contra phishing, credential stuffing, ataques de força bruta e reuso de senhas. A companhia também citou dados do seu Digital Defense Report de 2025, que registrou mais de 300 milhões de tentativas diárias de credential‑stuffing em seus serviços.

Impacto operacional e pontos de atenção

  • Risco de bloqueio de administradores: tenants que ainda dependam de configurações legadas sem MFA ativado no nível do tenant podem ver global admins bloqueados se não fizerem a transição antes do enforcement.
  • Ambientes híbridos: organizações que utilizam Active Directory on‑premises integradas ao Entra ID devem auditar métodos atribuídos e fluxos de autenticação para evitar inconsistências.
  • Métodos de MFA: a Microsoft lista métodos compatíveis, incluindo Microsoft Authenticator (push), códigos por SMS e tokens de hardware; administradores devem validar cobertura para contas de serviço e processos automatizados que dependam de credenciais.

Conformidade e arquitetura

A obrigatoriedade da MFA tem repercussões em frameworks de conformidade citados pela Microsoft, como SOC 2, HIPAA e controles NIST, nos quais o MFA frequentemente é requisito para acesso privilegiado. A empresa posiciona a medida como parte de uma abordagem mais ampla de zero‑trust, complementando políticas de Conditional Access e ferramentas de Privileged Identity Management (PIM).

Recomendações práticas

  • Executar inventário de contas com privilégios e confirmar métodos MFA atribuídos.
  • Planejar janelas de rollout e comunicação a administradores para reduzir risco de bloqueio.
  • Testar cenários híbridos (AD on‑premises → Entra ID) e fluxos automatizados que usem contas de serviço.
  • Considerar a adoção de hardware tokens para contas críticas e validar recovery flows.

O que falta esclarecer

A publicação oficial detalha portas e URLs afetadas e orienta para guias de configuração, mas não traz métricas sobre quantos tenants ainda operam sem MFA nem exemplos de cenários automatizados que exigirão alterações. Organizações devem consultar o Tech Community da Microsoft e o centro de administração para orientações específicas ao seu tenant.

Fontes

Comunicado da Microsoft no Tech Community e materiais de suporte em learn.microsoft.com, citados pelo relatório publicado no portal Cyber Security News.

Baseado em publicação original de Cyber Security News
Tags: #microsoft #mfa #microsoft-365 #admin-center #identidade #seguranca #entra-id #autenticacao #zero-trust
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar