A perda de acesso ao tenant Microsoft 365 é uma das situações mais críticas que um sysadmin ou helpdesk pode enfrentar — utilizador sem MFA por telemóvel perdido, único Global Admin bloqueado, ou parceiro sem GDAP activo. Este artigo cobre todos os cenários por ordem de gravidade crescente, com o procedimento exacto para cada um.

⚠ Documento de referência para situações críticas

Cada secção é independente — navegue directamente para o cenário aplicável. Em situação activa de bloqueio, comece pela Tabela de Decisão Rápida.

Tabela de Decisão Rápida

Situação Admin funcional? GDAP activo? Acção recomendada
Utilizador sem MFA ✓ Sim TAP ou reset MFA pelo admin → Cenário 1
Global Admin bloqueado ✗ Não ✓ Sim Parceiro reseta via GDAP → Cenário 3
Global Admin bloqueado ✗ Não ✗ Não Suporte Microsoft com verificação → Cenário 4
Sem admin, sem GDAP, MS não verifica ✗ Não ✗ Não Verificação DNS + parceiro CSP → Cenário 5
Prevenção activa ✓ Break-glass ✓ GDAP válido Situação controlada → Boas práticas

Cenário 1 — Utilizador Final: Perdeu o Telemóvel / Authenticator

O utilizador não consegue completar o MFA porque perdeu o dispositivo, foi roubado ou formatou sem fazer backup do Authenticator. Existe um administrador do tenant com acesso funcional.

Solução A — Admin reseta o MFA do utilizador

  1. Aceder ao Microsoft Entra admin centerUtilizadores → seleccionar o utilizador afectado.
  2. Em Métodos de autenticação clicar em Exigir novo registo de MFA (Require re-register MFA).
  3. Em alternativa: Autenticação multifator (legacy) → seleccionar o utilizador → Gerir definições do utilizador → “Exigir que os utilizadores forneçam métodos de contacto novamente”.
  4. O utilizador efectua login com a password e é solicitado a configurar um novo método MFA.
  5. Se o utilizador também não sabe a password, o admin deve fazer reset em Entra ID → Utilizadores → Repor palavra-passe primeiro.

Solução B — Código de Acesso Temporário (TAP) — método recomendado

O Temporary Access Pass (TAP) é o método preferido pela Microsoft. Requer Entra ID P1 ou superior (incluído no M365 Business Premium, E3, E5).

  1. Admin acede a Entra ID → Utilizadores → [utilizador] → Métodos de autenticação.
  2. Clicar em + Adicionar método → Código de Acesso Temporário.
  3. Definir duração (mínimo 10 min, máximo 30 dias) e se é de utilização única.
  4. Fornecer o código ao utilizador por canal seguro (telefone, presencialmente).
  5. O utilizador autentica com o TAP e configura imediatamente um novo método MFA permanente.
# Verificar se o TAP está habilitado no tenant:
# Entra ID → Segurança → Métodos de autenticação → Código de Acesso Temporário → Activar

# Verificar via PowerShell (Microsoft Graph)
Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"
Get-MgPolicyAuthenticationMethodPolicyAuthenticationMethodConfiguration -AuthenticationMethodConfigurationId "TemporaryAccessPass" |
    Select-Object State

Solução C — Exclusão temporária da política de Conditional Access

Se o utilizador estiver abrangido por uma política de CA que força MFA e não for possível usar TAP:

  1. Entra ID → Segurança → Acesso Condicional → abrir a política relevante.
  2. Em Utilizadores → Excluir, adicionar temporariamente o utilizador afectado.
  3. O utilizador faz login sem MFA e configura um novo dispositivo de autenticação.
  4. Após confirmação, remover a exclusão da política imediatamente.

⚠ Risco de segurança: Uma exclusão de CA activa é uma janela de vulnerabilidade. Definir um lembrete imediato para remover a exclusão — nunca deixar activa mais de 30 minutos.

Cenário 2 — Global Admin sem MFA (sem outro admin disponível)

O único Global Administrator do tenant perdeu acesso ao dispositivo MFA. Não existe outro admin com acesso funcional. Este é o cenário mais crítico para um tenant sem parceiro com GDAP.

Antes de avançar — verificar estas alternativas

  • Existe outro utilizador com papel de Global Administrator? Verificar em Entra ID → Funções e administradores.
  • Existe um Privileged Authentication Administrator que possa resetar o MFA?
  • Está configurada uma conta break-glass (conta de emergência sem MFA)?
  • O admin tem métodos alternativos configurados (email alternativo, SMS, voz)?

Opção 1 — Utilizar método alternativo de verificação

  1. No ecrã de MFA, clicar em “Problemas com a verificação? Experimente outro método” (Use a different verification method).
  2. Se o admin tiver configurado SMS, chamada telefónica ou email alternativo, autenticar por esses meios.
  3. Após acesso, ir imediatamente a Entra ID → Utilizadores → [próprio perfil] → Métodos de autenticação e configurar novo dispositivo.

Opção 2 — Self-Service via portal de recuperação Microsoft

  1. Aceder a https://aka.ms/sspr ou https://passwordreset.microsoftonline.com.
  2. Se o SSPR estiver habilitado com métodos alternativos, é possível recuperar o acesso sem intervenção do suporte.
  3. O SSPR para administradores exige confirmação em dois métodos de autenticação (comportamento diferente dos utilizadores normais).

Se o SSPR não estiver habilitado ou não houver métodos alternativos configurados, avançar directamente para o Cenário 4.

Opção 3 — Contactar suporte Microsoft directamente

  1. Aceder a admin.microsoft.com e tentar iniciar sessão. Na janela de bloqueio, procurar “Can’t access your account?”.
  2. Ligar para o suporte Microsoft por telefone — Portugal: +351 800 208 265 (linha gratuita, horário comercial).
  3. Se existir um parceiro CSP associado (mesmo sem GDAP activo), o parceiro pode abrir o ticket com maior prioridade.
  4. A Microsoft irá solicitar verificação de identidade. Ver Cenário 4 para o detalhe completo do processo.

Cenário 3 — Parceiro com GDAP Activo: Recuperação pelo Parceiro

Existe uma relação GDAP (Granular Delegated Admin Privileges) activa entre o parceiro CSP e o tenant cliente. Este é o caminho mais rápido e recomendado quando disponível.

✓ Pré-requisitos para este cenário

  • Relação GDAP activa e não expirada no Partner Center.
  • O técnico do parceiro tem papel GDAP com permissão para gerir autenticação: Privileged Authentication Administrator ou Authentication Administrator.
  • Papéis de leitura apenas (ex: Global Reader) não são suficientes para resetar MFA.

Procedimento — Reset de MFA via GDAP

  1. No Partner Center (partnercenter.microsoft.com), seleccionar o tenant cliente em Clientes.
  2. Clicar em Gerir → Microsoft Entra ID para abrir o portal do cliente no contexto GDAP.
  3. Navegar para Utilizadores → [utilizador afectado] → Métodos de autenticação.
  4. Clicar em Exigir novo registo de MFA (Require re-register MFA).
  5. Opcionalmente, gerar um Temporary Access Pass (TAP) para acesso imediato e seguro.
  6. Confirmar com o utilizador/admin que consegue autenticar e configurar o novo método.

ℹ GDAP vs DAP: Um parceiro CSP com GDAP não tem acesso automático ao tenant — ao contrário do modelo DAP antigo, o GDAP é baseado em convite e aprovação explícita pelo cliente. Se o papel GDAP activo não incluir gestão de autenticação, é necessário solicitar ao cliente que aprove uma nova relação com o papel correcto — o que só é possível se existir outro admin funcional no cliente.

Se o GDAP não tiver permissões de autenticação

  1. No Partner Center: Clientes → [cliente] → Administração → Relações de administrador delegado → verificar os papéis activos.
  2. Se necessário, solicitar ao cliente (via outro admin funcional) aprovação de nova relação GDAP com papel Authentication Administrator.
  3. Se não houver nenhum admin funcional no cliente, avançar para o Cenário 4.

Cenário 4 — Sem GDAP: Recuperação via Suporte Microsoft

Não existe GDAP activo, o Global Admin está bloqueado e não há alternativas internas. É necessário abrir um pedido de suporte junto da Microsoft com verificação de identidade do tenant.

Documentação necessária — preparar antes de contactar

Documento / Informação Onde obter
Tenant ID (GUID) entra.microsoft.com → Overview, ou https://login.microsoftonline.com/[dominio]/.well-known/openid-configuration
Domínio principal verificado Ex: empresa.pt — o domínio que foi adicionado e verificado no tenant
Email da conta admin bloqueada Endereço UPN da conta Global Admin (ex: [email protected])
Dados de facturação Últimos 4 dígitos do cartão, última factura, montante de subscrição
Número de telefone de contacto registado O número que foi associado à conta ou à subscrição
Data aproximada de criação do tenant Mês e ano em que foi criado o tenant ou activada a subscrição

Procedimento — Abrir pedido de suporte Microsoft

  1. Via portal (se acesso parcial for possível): admin.microsoft.com → Suporte → Novo pedido de serviço. Descrever como “Global Admin locked out — MFA device lost”.
  2. Via telefone: Suporte Microsoft Portugal: +351 800 208 265 (linha gratuita, horário comercial). O número pode variar conforme o plano de suporte contratado.
  3. Via parceiro CSP: Se o cliente tiver um parceiro CSP associado (mesmo sem GDAP activo), o parceiro pode abrir o ticket em nome do cliente com prioridade acrescida.
  4. O suporte Microsoft inicia um processo de verificação de identidade que pode demorar de algumas horas a 2–3 dias úteis conforme o plano de suporte e os dados fornecidos.
  5. Após verificação, a Microsoft pode resetar o MFA da conta de admin ou criar uma conta temporária com acesso ao tenant.

O processo de verificação de identidade Microsoft — O que esperar

Fase O que acontece
1 — Inicial O agente solicita Tenant ID, domínio verificado e email do admin. Confirma que a conta existe e que está bloqueada.
2 — Propriedade São solicitados: última factura, últimos 4 dígitos do cartão, número de utilizadores licenciados, data de renovação da subscrição.
3 — Recuperação Após verificação positiva, a Microsoft efectua o reset do MFA ou envia instruções para completar a recuperação por email alternativo verificado.

Cenário 5 — Último Recurso: Verificação de Domínio DNS

Cenário extremo: sem GDAP activo, Global Admin bloqueado, Microsoft não consegue verificar identidade suficientemente, e o tenant tem um domínio personalizado registado. O acesso ao DNS do domínio é a prova de propriedade definitiva.

⚠ Pré-requisito crítico

O domínio personalizado (ex: empresa.pt) deve estar verificado no tenant M365 e a organização deve ter controlo sobre os registos DNS do domínio (acesso ao registar — DNS.PT, Cloudflare, GoDaddy, cPanel, etc.).

Método — Recuperação por verificação DNS junto da Microsoft

  1. Contactar o suporte Microsoft e indicar que pretende usar verificação DNS como prova de propriedade do tenant.
  2. A Microsoft solicita a adição de um registo TXT específico no DNS do domínio verificado (processo semelhante à verificação inicial de domínio).
  3. Aceder ao painel de gestão DNS do domínio (DNS.PT, Cloudflare, etc.) e adicionar o registo TXT fornecido.
  4. Confirmar ao suporte Microsoft que o registo foi adicionado. A Microsoft verifica via DNS lookup.
  5. Com verificação positiva, a Microsoft procede ao reset de acesso — habitualmente criando uma nova conta de admin temporária ou desbloqueando a existente.
  6. Após recuperação: remover o registo TXT de verificação e configurar imediatamente contas break-glass (ver secção de Prevenção).

Via parceiro CSP — mesmo sem GDAP activo

Se o tenant for gerido por um parceiro CSP, o parceiro tem um caminho adicional mesmo sem GDAP:

  1. O parceiro acede ao Partner Center → Clientes → [cliente] → Subscrições.
  2. Mesmo sem GDAP, o parceiro pode submeter um ticket de suporte Microsoft em nome do cliente com prioridade elevada por ser CSP.
  3. O parceiro pode solicitar a criação de uma relação DAP de emergência (o modelo legado ainda existe como fallback em situações críticas, sujeito a aprovação Microsoft).
  4. Em casos extremos, o parceiro CSP pode contactar o seu Microsoft Partner Account Manager para escalação interna.

⚠ Último recurso absoluto — novo tenant

Se absolutamente nenhuma opção anterior funcionar, é possível criar um novo tenant M365 com o mesmo domínio (após desassociar o domínio do tenant bloqueado, o que pode requerer intervenção da Microsoft). Este cenário implica perda de todos os dados (emails, SharePoint, Teams) a menos que existam backups externos (Acronis, Veeam, etc.). A Microsoft não garante migração de dados entre tenants em cenários de recuperação.

Prevenção — Boas Práticas para Evitar este Cenário

Medida Como implementar
Contas break-glass Criar 2 contas com domínio onmicrosoft.com, papel Global Admin, excluídas de todas as políticas CA, password 20+ caracteres guardada em cofre físico
Múltiplos métodos MFA Para contas admin: Microsoft Authenticator + SMS ou voz. Guardar os códigos de recuperação do Authenticator em local seguro
Múltiplos Global Admins Ter sempre 2 a 4 Global Admins com dispositivos MFA diferentes e fisicamente distribuídos (pessoas diferentes)
GDAP com o parceiro CSP Manter relação GDAP activa com papel mínimo de Authentication Administrator. Monitorizar a data de expiração no Partner Center
TAP habilitado Activar o Temporary Access Pass em Entra ID → Métodos de Autenticação — permite gerar código de acesso temporário em urgência sem suporte Microsoft
Registo do Tenant ID e dados Guardar em local seguro: Tenant ID, domínio primário, número de subscrição, email de facturação e dados do cartão associado — essenciais para verificação Microsoft

Como criar uma conta break-glass correctamente

  1. Criar conta com formato [email protected] — usar o domínio onmicrosoft.com, não o domínio personalizado (evita dependência de DNS externo ou problemas de federação).
  2. Atribuir papel Global Administrator.
  3. Excluir de todas as políticas de Conditional Access — criar exclusão explícita por nome de utilizador, não por grupo.
  4. Definir password longa (20+ caracteres, gerada aleatoriamente). Guardar em cofre físico além do digital.
  5. Criar alerta em Entra ID → Monitorização → Logs de sign-in para notificar imediatamente qualquer login desta conta — qualquer uso legítimo deve ser investigado.
  6. Testar o acesso semestralmente para garantir que a conta continua funcional e que a password está acessível.

Este artigo foi útil?

Duarte Spínola

Artigos  

Deixe um Comentário