O argumento a favor de uma camada de MFA independente em ambientes Microsoft
A mudança silenciosa de que ninguém fala. Algo aconteceu nos últimos anos que a maioria dos MSP não antecipou. Os seus clientes migraram para o Microsoft 365, adotaram o Entra ID como fornecedor de identidade e começaram a utilizar o Microsoft Authenticator para MFA. Na altura, fazia sentido: era simples, estava incluído na licença e funcionava.
Mas, pelo caminho, foi tomada uma decisão estratégica por defeito. A Microsoft passou a ser, ao mesmo tempo, fornecedor de identidade, diretório, repositório de credenciais e fornecedor de MFA. Não porque alguém tenha avaliado as opções e decidido que era a melhor arquitetura, mas porque era o caminho de menor resistência.
Para os MSP, isto cria um problema que vai além da tecnologia. Quando toda a infraestrutura de identidade dos seus clientes está concentrada num único fornecedor, não controlam a experiência de autenticação. Não definem as políticas. Não gerem o processo de recuperação. E, se esse fornecedor alterar algo, aumentar preços ou tiver uma indisponibilidade, os seus clientes sentem o impacto — e não existe uma alternativa para oferecer.
A identidade é infraestrutura. Trate-a como tal.
Nenhuma empresa opera sem cópias de segurança dos seus dados. Nem sem um plano de recuperação para os seus sistemas. No entanto, a maioria das organizações não tem um plano de contingência para a identidade. Toda a camada de autenticação está concentrada num único fornecedor e, se algo correr mal — ou se a evolução desse fornecedor deixar de corresponder às suas necessidades — não há alternativa.
A escala desta concentração é significativa. Segundo a Microsoft, o Entra ID é uma das maiores plataformas de identidade do mundo, processando milhares de milhões de pedidos de autenticação diariamente. É um nível extraordinário de confiança depositado numa única plataforma. Para a grande maioria destas organizações, especialmente no segmento PME, a Microsoft não é apenas uma parte da infraestrutura de identidade — é a própria infraestrutura de identidade.
O MFA nativo da Microsoft é sólido. Funciona e está incluído na licença. Esse não é o problema. O problema é que configurar o que já está incluído não é um serviço gerido — é manutenção. E, quando os seus clientes conseguem obter MFA básico sem si, o valor de um MSP tem de vir de outro lado: melhores políticas, maior cobertura, mais métodos, mais controlo.
Um MSP que gere 30 clientes em Entra ID com o MFA nativo da Microsoft não tem uma camada de autenticação independente.
Se uma política de Acesso Condicional se comportar de forma inesperada, o MSP está a fazer troubleshooting dentro da consola da Microsoft, com ferramentas da Microsoft.
Se um cliente quiser uma experiência de MFA diferente para um grupo específico de utilizadores, as opções ficam limitadas ao que a Microsoft disponibiliza.
E, se o MSP quiser aplicar políticas de autenticação consistentes entre ambientes Microsoft e não Microsoft (VPN, endpoints, aplicações de terceiros), isso simplesmente não é possível com uma stack de identidade de fornecedor único.
O MFA externo existe exatamente por esta razão
A Microsoft introduziu o MFA Externo (anteriormente designado External Authentication Methods ou EAM) no Entra ID para permitir a integração direta de fornecedores de MFA de terceiros. O conceito é simples: a Microsoft mantém-se como fornecedor de identidade e gere o primeiro fator. Quando é necessário MFA, o Entra ID redireciona o utilizador para o fornecedor externo para validação do segundo fator. Após validação, o acesso é concedido.
Para os MSP, isto muda a conversa. Passam a poder oferecer uma experiência de MFA gerido que funciona dentro dos ambientes Microsoft e se estende a tudo o resto: VPN, login em Windows, macOS, aplicações de terceiros. Um conjunto próprio de políticas de autenticação que controlam, uma única aplicação com a qual os utilizadores interagem e uma única plataforma para gerir todas as contas. A camada de identidade passa a ser um serviço que dominam — não algo que configuram dentro da plataforma de terceiros.
A questão é simples: o MFA que está hoje a oferecer é algo pelo qual os seus clientes pagariam? Ou é apenas uma opção que poderiam configurar por si próprios? Se for a segunda hipótese, uma camada de autenticação independente é o que transforma a identidade de um custo operacional num serviço com valor real.
Camada resistente a phishing que falta à maioria das PME
Com uma camada de autenticação independente, é possível ir além do que uma stack de fornecedor único permite.
Os métodos tradicionais de MFA (notificações push, códigos de uso único) travam a maioria dos ataques. No entanto, técnicas avançadas de phishing com proxies em tempo real conseguem interceptar tanto a palavra-passe como a aprovação do MFA quando ocorrem. De acordo com o Verizon 2025 Data Breach Investigations Report, as credenciais roubadas foram o principal vetor de acesso inicial em 22% das violações analisadas, e 88% dos ataques básicos a aplicações web envolveram credenciais comprometidas. Estes ataques são reais e visam precisamente os utilizadores mais críticos: executivos, equipas financeiras e quem tem acesso a dados sensíveis.
Métodos de autenticação resistentes a phishing, como passkeys, mitigam este risco. As passkeys utilizam biometria associada ao website legítimo, pelo que um site falso não consegue desencadear a autenticação. A experiência para o utilizador é familiar (impressão digital ou reconhecimento facial, como desbloquear um telemóvel), mas a proteção é substancialmente mais robusta contra ataques sofisticados.
Para os MSP, a questão prática não é se devem oferecer autenticação resistente a phishing, mas por onde começar. Nem todos os utilizadores necessitam do mesmo nível de proteção. Executivos e equipas financeiras? Sem dúvida. Toda a organização desde o primeiro dia? Provavelmente não. A capacidade de implementar passkeys em paralelo com MFA tradicional, escolhendo onde aplicar cada método com base no risco, é o que torna esta abordagem viável em ambientes reais.
O que isto significa para o seu negócio
Se é um MSP que gere ambientes Microsoft, a oportunidade é clara. A identidade não tem de ser algo que configura dentro da plataforma de outro fornecedor. Pode ser algo que controla, gere e sobre o qual constrói um negócio. Uma camada de MFA externo dá-lhe esse controlo. Métodos resistentes a phishing, como passkeys, oferecem aos seus clientes um nível de proteção superior ao MFA básico. E a combinação de ambos permite-lhe apresentar uma proposta de valor concreta a qualquer cliente que utilize Microsoft 365. Além disso, à medida que os seguros cibernéticos distinguem cada vez mais entre MFA básico e métodos resistentes a phishing, dispor de uma camada de autenticação independente com suporte para passkeys coloca-o — e aos seus clientes — à frente desses requisitos.
Os MSP que reconhecerem isto cedo serão os que transformarão a identidade de um custo operacional numa fonte de receita. Esperar significa competir pelo preço em algo que os seus clientes já conseguem obter sem si.
Como o AuthPoint leva o MFA Externo aos ambientes Microsoft
O WatchGuard AuthPoint integra-se com o Microsoft Entra ID como fornecedor de MFA externo, permitindo aos parceiros oferecer uma experiência de autenticação gerida que cobre ambientes Microsoft e se estende a tudo o resto: VPN, login em Windows e macOS, aplicações SAML e OIDC de terceiros e o portal SSO do AuthPoint.
O AuthPoint suporta notificações push, códigos de utilização única baseados no tempo (TOTP), verificação por QR code, tokens físicos OTP e autenticação com passkeys FIDO2. As políticas de zero trust no WatchGuard Cloud controlam quais os métodos disponíveis para cada recurso e grupo de utilizadores, proporcionando aos MSP um controlo granular sobre a experiência de autenticação dos seus clientes.
O modelo de implementação foi concebido para MSP. A gestão multi-tenant no WatchGuard Cloud permite uma única consola para todas as contas, com herança de políticas e administração delegada. Do lado do utilizador final, a WatchGuard realizou uma renovação completa da experiência ao longo do último ano: novo agente para Windows, novo agente para macOS e uma aplicação móvel totalmente redesenhada, com modo escuro, gestão unificada de tokens e um processo de ativação simplificado. O resultado é uma experiência de autenticação moderna e consistente, que reduz a fricção na adoção e o número de pedidos de suporte.
O suporte para passkeys e MFA Externo para Entra ID está incluído nas licenças AuthPoint MFA e AuthPoint Total Identity Security, sem custos adicionais. Parceiros que já utilizam AuthPoint podem disponibilizar estas funcionalidades aos seus clientes simplesmente ativando-as, sem necessidade de alterações de licenciamento.
Para saber mais sobre segurança de identidade e como proteger o acesso contra ameaças baseadas em credenciais, consulte estes artigos no nosso blog: