Temos um locatário M365 com MFA aplicado a todos os usuários.
Podemos usar mensagem de texto (SMS) ou aplicativo Microsoft Authenticator no smartphone com um código baseado em tempo (código TOTP de 6 dígitos).
Gostaríamos que alguns usuários tivessem o MFA configurado para o modo "aprovação". Ou seja, quando o usuário tenta fazer login, o MS Authenticator solicita que o usuário aprove a solicitação de login e o usuário simplesmente precisa pressionar o botão 'aprovar'.
Como podemos configurar isso?
Observação: sabemos que isso pode ser menos seguro e alguns usuários simplesmente aprovarão qualquer solicitação, mesmo que não sejam o originador. Isso deve ser configurado para usuários muito específicos nos quais confiamos para usar esse recurso corretamente.
Você precisa Ativar métodos de autenticação de login por telefone sem senha
Para habilitar o método de autenticação para login de telefone sem senha, conclua as seguintes etapas:
Entre no portal do Azure com uma conta de administrador de política de autenticação.
Pesquise e selecione Azure Active Directory e navegue até Segurança > Métodos de autenticação > Políticas.
Em Microsoft Authenticator, escolha as seguintes opções:
a. Ativar - Sim ou Não
b. Alvo - Todos os usuários ou Selecionar usuários
Cada grupo ou usuário adicionado é habilitado por padrão para usar o Microsoft Authenticator nos modos sem senha e de notificação por push (modo "Qualquer"). Para alterar o modo, para cada linha do modo de autenticação - escolha Qualquer ou Sem senha. Escolher Push impede o uso da credencial de login do telefone sem senha.
Para aplicar a nova política, clique em Salvar.
Espero que isto ajude!