Relevante para: Plano Enterprise
Configurado por: Admins da empresa
Autenticação em dois fatores (2FA) para organizações
A autenticação em dois fatores (2FA) adiciona uma camada extra de segurança aos perfis online, indo além de apenas nome de usuário e senha. Os Admins da empresa Enterprise podem exigir uma comprovação adicional de identidade quando os usuários acessam a assinatura da organização na Miro. Este requisito é aplicável para todos os logins usando e-mail e senha. Para empresas que utilizam logon único, a autenticação em dois fatores inclui especificamente colaboradores externos; para organizações sem logon único, ela se estende a todos os usuários.
✏️ Este artigo explica a autenticação de dois fatores (2FA) para planos Enterprise. Para todos os outros planos, veja Autenticação em dois fatores (2FA) na Administração.
Configurando a aplicação obrigatória do 2FA para a sua organização
✏️ Antes de ativar a autenticação em dois fatores (2FA), é importante informar todos os usuários impactados, incluindo tanto os membros da sua organização quanto os colaboradores externos. Para garantir uma transição tranquila, sugerimos compartilhar nosso guia do usuário para autenticação em dois fatores para ajudá-los nesse processo.
Como habilitar a autenticação em dois fatores para os seus usuários
- Vá para o console de admin > Segurança > Autenticação.
- Ativar Exigir 2FA para usuários sem SSO.
Implementando autenticação 2FA para usuários sem logon único
Dispositivos confiáveis de 2FA
Quando ativada, os usuários de 2FA verão uma caixa de seleção que lhes permite pular o 2FA cada vez que fazem login nesse dispositivo por X dias seguintes, onde "X" é o período definido pelo admin. Você pode permitir que os dispositivos dos usuários sejam confiáveis por 7 a 90 dias. Por padrão, confiar em dispositivos 2FA está habilitado, embora você possa desabilitar a funcionalidade no seu console de admin.
⚠️ Se a confiança em dispositivos 2FA estiver desabilitada, os usuários terão que inserir um código 2FA em cada login. Isso tornará a experiência de login mais lenta.
A autenticação em dois fatores será exigida novamente após o período de confiança expirar.
A autenticação em dois fatores (2FA) não será ignorada se os usuários fizerem login em um novo dispositivo ou navegador ou se limparem os cookies do navegador.
Redefinindo 2FA para usuários
Se um usuário perder o acesso ao seu método de autenticação em dois fatores, os admins podem redefinir sua autenticação em dois fatores. Quando um usuário solicita que seu método de autenticação em dois fatores seja redefinido, o admin apropriado receberá uma notificação por e-mail.
Para redefinir o método de autenticação em dois fatores para o usuário:
- Vá para console do admin > Usuários > guia Usuários ativos.
- Encontre o usuário que precisa ter seu método de autenticação em dois fatores (2FA) redefinido.
- Clique no ícone de três pontos (...) na linha do usuário.
Redefinindo a autenticação em dois fatores no console do admin - Clique em Redefinir a autenticação em dois fatores.
Uma caixa de diálogo será aberta pedindo confirmação. - Clique no botão Redefinir 2FA na caixa de diálogo.
- Uma mensagem de confirmação aparecerá na parte superior da sua tela confirmando que as instruções de redefinição foram enviadas ao usuário.
Impacto na experiência do usuário
- Os usuários sem logon único serão solicitados a configurar seu segundo fator durante o próximo login. Este processo não fará logout de nenhuma sessão em andamento.
- Os usuários são obrigados a configurar a autenticação em dois fatores (2FA) usando seu dispositivo móvel juntamente com um aplicativo de senha única baseada no tempo (TOTP), como o Microsoft Authenticator, o Google Authenticator ou o Authy.
- Para usuários que usam autenticação em dois fatores, há um limite de 3 tentativas para inserir um código TOTP válido. Se esse limite for excedido, será necessário iniciar o processo de autenticação novamente.
- Embora o login com autenticação em dois fatores (2FA) esteja disponível em aplicativos para celular e tablet, o processo de registro inicial é suportado exclusivamente em navegadores e aplicativos para desktop.
Importante saber
A aplicação da autenticação em dois fatores só se aplica a usuários que se autenticam com seu e-mail e senha ou via links mágicos (enviados por e-mail).
- Se um colaborador externo de sua organização Enterprise já está se autenticando usando logon único (SSO) de sua organização de origem, ele continuará acessando todos os times e boards na Miro usando logon único (SSO).
- Quando um usuário se autentica através de uma integração de login de terceiros (por exemplo, Google, Microsoft, Slack), ele manterá acesso a todos os times e boards da Miro por meio desse método de login. Os Admins têm a opção de incentivar esses usuários a configurarem um segundo fator dentro de suas respectivas integrações de login. No entanto, o fluxo de autenticação da Miro não pedirá a esses usuários que configurem um segundo fator.
Logs de auditoria
Os admins podem rastrear os usuários que configuraram a autenticação em dois fatores, juntamente com os sucessos e falhas de login em 2FA com os seguintes eventos de log de auditoria:
- `mfa_setup_succeeded` - se um usuário configurou com sucesso o segundo fator
- Atualização para o evento `sign_in_succeeded` para incluir o atributo MfaFactorType se um login bem-sucedido for concluído com 2FA
- Atualização para o evento `sign_in_failed` para incluir o atributo MfaFactorType se um login com 2FA falhar devido ao usuário exceder o número máximo de tentativas (falha não técnica)