A Microsoft anunciou recentemente a disponibilidade geral (GA) de autenticação por E-mail e SMS OTP (One-Time Passcode) como segundo fator de Multi-Factor Authentication (MFA) para a funcionalidade de Native Authentication no Microsoft Entra External ID.
Para times de engenharia e arquitetos de soluções, este movimento corrige uma lacuna crítica: permitir que aplicações que operam com interfaces totalmente customizadas (native sign-in/sign-up) possam implementar desafios de MFA sem depender de redirecionamentos para o browser. Ao manter o fluxo dentro da própria interface, a empresa minimiza o atrito do usuário, mas traz desafios específicos para a integração via MSAL (Microsoft Authentication Library).
Entendendo o fluxo de autenticação
É fundamental distinguir a camada de first-factor da de second-factor no modelo do Entra External ID. Até o momento, o first-factor suportava:
- OTP de e-mail;
- Email e senha (com suporte a self-service password reset).
Com esta atualização, o MFA atua como uma barreira adicional validada após o sucesso do primeiro fator. O Entra agora permite:
- Email OTP como segundo fator;
- SMS OTP como segundo fator.
Implicações estratégicas para empresas brasileiras
Para o mercado brasileiro, que lida com alta demanda por experiências fluidas em dispositivos mobile e a necessidade de conformidade com normativas de segurança (como LGPD e diretrizes do Banco Central), esta mudança tem impactos práticos:\
- Experiência do Usuário (UX): A possibilidade de manter o usuário dentro da interface da aplicação melhora as taxas de conversão no onboarding, já que o abandono é tipicamente maior quando o usuário é submetido a fluxos delegados de browser.
- Customização da Marca: O controle total sobre o layout garante que a identidade da marca não seja quebrada, um requisito frequente em aplicações B2C de alta performance.
- Segurança seletiva via Conditional Access: A aplicação do MFA continua centralizada via Conditional Access no tenant, permitindo definir riscos e sensibilidade sem reescrever a lógica de segurança na aplicação cliente, tratando apenas a UI do desafio.
Pontos de atenção para implementação
O uso de SMS OTP exige atenção ao custo e à confiabilidade operacional. Em contextos brasileiros, é essencial considerar parceiros de entrega bem estabelecidos para evitar latência. Além disso, a implementação exige o uso das Native Authentication SDKs atualizadas (MSAL), que gerenciam estados complexos de autenticação em múltiplos passos. Se a sua empresa opera em um cenário de multi-cloud ou possui requisitos rigorosos de compliance, a orquestração desses fluxos via APIs precisa ser testada contra as políticas de Conditional Access para garantir que não haja bloqueio indevido durante deployments globais.
Artigo originalmente publicado em Azure Updates - Latest from Azure Charts.
