Desabilitando MFA no Azure AD via PowerShell


Como Desabilitar a Autenticação Multifator (MFA) no Azure AD Usando PowerShell

A autenticação multifator (MFA) é uma camada adicional de segurança que protege as contas de usuário no Azure Active Directory (Azure AD). No entanto, pode haver situações em que você precisa desativar a MFA para determinados usuários. Este artigo irá guiá-lo pelo processo de desabilitar a MFA usando o PowerShell, fornecendo um passo a passo detalhado.

## Passo 1: Instalar o Módulo AzureAD

Antes de mais nada, precisamos instalar o módulo AzureAD no PowerShell. Este módulo permite a administração do Azure AD diretamente do PowerShell.

Abra o PowerShell com privilégios de administrador e execute o seguinte comando:

Install-Module AzureAD

## Passo 2: Conectar ao Azure AD

Depois de instalar o módulo AzureAD, o próximo passo é se conectar ao Azure AD. Isso exigirá que você insira suas credenciais de administrador.

Execute o comando abaixo no PowerShell:

Connect-AzureAD

Uma janela de login será aberta. Insira suas credenciais de administrador do Azure AD para se autenticar.

## Passo 3: Obter o ObjectId do Usuário

Para desabilitar a MFA para um usuário específico, precisamos do ObjectId desse usuário. Podemos obter essa informação usando o comando `Get-AzureADUser`.

Substitua `"user@domain.com"` pelo endereço de e-mail do usuário alvo e execute o seguinte comando:

$user = Get-AzureADUser -SearchString "user@domain.com"

## Passo 4: Desabilitar a MFA para o Usuário

Com o ObjectId do usuário em mãos, agora podemos configurar o status da MFA para "Disabled". Como a MFA é gerenciada pelo serviço de MFA do Azure, precisamos redefinir seu status.


Primeiro, criamos um novo objeto de autenticação forte com o estado "Disabled":

$mfa = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement

$mfa.RelyingParty = "*"

$mfa.State = "Disabled"

Agora, usamos o `ObjectId` do usuário para aplicar essa configuração:

powershell

$userId = $user.ObjectId

Set-MsolUser -UserPrincipalName $user.UserPrincipalName -StrongAuthenticationRequirements @($mfa)

**Nota**: O comando `Set-MsolUser` faz parte do módulo MSOnline. Caso você não tenha esse módulo, instale-o com:

Install-Module MSOnline

E conecte-se ao serviço MSOnline:

Connect-MsolService

Insira suas credenciais de administrador quando solicitado.

Conclusão

Desabilitar a autenticação multifator (MFA) para um usuário específico no Azure AD pode ser necessário em várias situações. Este guia detalhado mostrou como realizar essa tarefa utilizando o PowerShell, desde a instalação dos módulos necessários até a execução dos comandos apropriados. Lembre-se sempre de considerar as políticas de segurança da sua organização ao realizar tais mudanças, pois desabilitar a MFA pode aumentar os riscos de segurança.

Esperamos que este guia tenha sido útil. Se você tiver dúvidas ou sugestões, deixe um comentário abaixo!

Autor do Post
Escrito por:

Diego Simoes