RM Informática

tecnico

MFA no Microsoft 365 e no ERP: porque já não é opcional

Autenticação em dois passos no M365, no XD e no ERP deixou de ser 'boa prática' e passou a ser requisito mínimo — tanto pelas seguradoras como por regulação. Explicamos como activar sem complicar a vida à equipa.

Publicado em 5 de agosto de 2025 · Actualizado a 5 de agosto de 2025

A Microsoft começou a forçar MFA em novas tenants há vários anos. Muitas seguradoras cibernéticas passaram a negar sinistros quando o MFA não está activo. A NIS2 tornou-o requisito para sectores abrangidos. Já não é opcional.

MFA (multi-factor authentication, ou autenticação em dois passos) significa: para entrar na tua conta profissional, password + segunda validação (app no telemóvel, código por SMS, chave física). Sem a segunda, quem tem a password não entra.

Este artigo explica como activar no M365, no XD e no ERP da empresa sem parar a operação.

Porque já não é opcional

Três razões práticas:

  1. Ataques automáticos com password única — bots tentam milhões de combinações por segundo. Sem MFA, a única defesa é a complexidade da password. Com MFA, a password deixa de bastar.
  2. Seguros cibernéticos — a maioria das apólices passou a exigir MFA em contas de administração, email profissional e acesso remoto. Sem isso, o sinistro é negado.
  3. Compliance — NIS2, RGPD, normas sectoriais (saúde, financeiro) esperam MFA obrigatório.

A conta é simples: activar MFA custa 1 hora de configuração + 15 min de formação por utilizador. Não activar pode custar a empresa numa tarde.

Métodos MFA — bons e maus

Muito bons:

  • Authenticator app no telemóvel (Microsoft Authenticator, Google Authenticator, Authy). Notificação push, código de 6 dígitos.
  • Chaves físicas FIDO2 (YubiKey, Feitian). A mais segura — requer toque físico, imune a phishing.

Aceitáveis:

  • SMS para código numérico. Melhor que nada, mas SIM-swap é risco real.

Fracos / a evitar:

  • Email como segundo factor — se a password da conta é igual à do email, MFA não serve.
  • Perguntas de segurança — respostas estão no LinkedIn.

Recomendação RM: Authenticator app por omissão, chave FIDO2 para contas administrativas críticas (administrador M365, financeiro, gerência).

Activar no Microsoft 365

Para todos os utilizadores (Security Defaults)

Se tens tenant pequena sem políticas avançadas:

  1. Entra no portal.azure.com → Azure Active Directory (Entra ID).
  2. PropertiesManage Security Defaults → ligar.

Pronto. Todos os utilizadores vão ser forçados a registar MFA no próximo login. Pedirá Authenticator app ou SMS.

Para tenants Premium

Com plano Business Premium ou superior, usa-se Conditional Access:

  • MFA obrigatório sempre que login vem de IP fora do escritório.
  • MFA obrigatório para aplicações administrativas.
  • Chave física requerida para contas de gestão.
  • Excepção controlada para contas de serviço (com mitigações).

Mais afinado, menos fricção para o utilizador do dia-a-dia. Ver que plano M365 realmente precisas.

Activar no XD (e no ERP em geral)

O XD suporta MFA no login da aplicação, configurado por utilizador. Na prática:

  • Geram-se códigos de recuperação para cada utilizador.
  • Utilizador regista o Authenticator app no arranque.
  • A partir daí, login pede password + código.

Se o ERP não tem MFA nativo, MFA no Windows + VPN é o próximo melhor controlo. Sempre que o utilizador entra na rede corporativa, valida dois factores — e só depois pode abrir o ERP.

Rollout em 2 semanas

Semana 1 — Piloto

  • Activar MFA só para gerência e administradores.
  • Usar Authenticator app.
  • Registar dúvidas e atritos.

Semana 2 — Rollout

  • Comunicar à equipa com 48h de antecedência.
  • Preparar folheto de 1 página com o processo: instalar app → fazer scan QR → testar.
  • Activar MFA para toda a tenant.
  • Estar ao lado 2 horas para apoiar quem não consegue.

Manutenção

  • Procedimento para telefones perdidos — códigos de recuperação, ou reset pelo admin.
  • Rotação anual dos códigos de recuperação.
  • Revisão semestral das excepções (contas de serviço, utilizadores externos).

Os quatro erros comuns

  1. Activar só para alguns. Os atacantes atacam os que não têm MFA. Todos ou ninguém.
  2. Ignorar contas de serviço. Muitas empresas activam MFA nos humanos e esquecem-se das contas administrativas usadas por scripts ou integrações. Estas continuam sem MFA e são exactamente o que os atacantes procuram.
  3. Não preparar a equipa. Se o utilizador não percebe porquê, resiste. Uma apresentação de 15 min evita semanas de queixas.
  4. Não ter plano para telemóvel perdido. Quando acontece, é urgente. Códigos de recuperação guardados em cofre resolvem em 5 minutos; sem isso, demora horas.

O que a RM faz

  • Análise das contas com e sem MFA.
  • Rollout faseado ao ritmo da equipa (gerência → administrativos → chão).
  • Configuração Conditional Access em clientes Business Premium.
  • Integração com ERP (XD, Sage) onde suportado.
  • Formação presencial ou videochamada, conforme a dispersão da equipa.
  • Procedimento documentado para perdas de telemóvel e gestão de excepções.

Próximo passo

Se a tua tenant M365 não tem MFA activo, é o primeiro controlo a corrigir — antes de comprar mais licenças, antes de mais antivírus, antes de qualquer outra coisa.

Pedir plano de rollout MFA ou falar connosco por telefone.

Links relacionados:

Queres discutir como isto se aplica ao teu negócio?

Primeira análise sem compromisso. Respondemos com brevidade.

Pedir proposta Voltar ao blog