Desvincular o Microsoft Authenticator após trocar de telefone (guia completo de recuperação MFA)

Perdeu o telemóvel (celular) antigo ou acabou de o substituir e agora a verificação em duas etapas (MFA) bloqueia o seu acesso? Este guia completo explica como desvincular o Microsoft Authenticator, restaurar o acesso à conta (pessoal ou corporativa) e prevenir que isto volte a acontecer.

Como reconhecer o problema

Os sinais típicos de que o Microsoft Authenticator ficou “amarrado” ao dispositivo antigo são:

• Ao iniciar sessão, surge um pedido para aprovar no Authenticator, mas o telemóvel já não existe ou não tem a app configurada.
• Não aparece a opção “Usar um método diferente” (SMS, chamada, chave de segurança) na etapa de MFA.
• Não consegue aceder ao myaccount.microsoft.com (Informações de segurança) nem ao portal do Azure/Entra ID para alterar os métodos.

Importante: se a sua organização exige MFA via políticas de Conditional Access, apenas um administrador, um método alternativo previamente configurado ou o processo de verificação da Equipa de Proteção de Dados poderá desbloquear a conta.

Escolha o caminho certo (árvore de decisão prática)

Antes de começar, identifique o cenário. A tabela abaixo resume os caminhos mais rápidos para recuperar o acesso:

Caminho	Passos recomendados	Quando usar
A. Restaurar a cópia de segurança do Authenticator	No novo telemóvel, instale a app Microsoft Authenticator. Inicie sessão na app com a mesma conta que usava no dispositivo antigo. Se o backup em nuvem estava ativo, toque em Recuperar contas; os códigos TOTP e aprovações serão restaurados.	Quando o backup estava ativado no dispositivo perdido/substituído.
B. Recuperar acesso via Equipa de Proteção de Dados da Microsoft	Siga o fluxo oficial de recuperação para administradores/contas bloqueadas. Preencha o formulário de verificação (identidade, faturação, domínio, etc.). Após a validação, será aplicado um reset de MFA ou disponibilizado acesso temporário.	Quando não há backup e não existe outro administrador para intervir.
C. Usar outro administrador ou método de recuperação	Se existir outro Global Administrator na organização, peça para remover os registos do Authenticator do seu utilizador e/ou forçar novo registo de MFA. Se o Self‑Service Password Reset (SSPR) estiver ativo, inicie o fluxo Esqueci‑me da palavra‑passe e valide por SMS/telefone/e‑mail secundário (SSPR).	Organizações com >1 admin ou SSPR configurado.
D. Abrir um chamado de suporte Microsoft 365	Com uma conta que ainda acede ao Centro de Administração, crie um tíquete com o assunto “Não consigo aprovar MFA – dispositivo perdido”. Forneça os dados solicitados para comprovar identidade e propriedade do tenant.	Pequenas empresas sem segundo admin, ou utilizadores individuais após falha nos passos A‑C.

Solução A — Restaurar a cópia de segurança do Microsoft Authenticator

Se já tinha ativado o backup em nuvem no Authenticator, este é o método mais rápido.

Confirmar se tinha backup ativo

• No telemóvel antigo (se ainda tiver acesso): Microsoft Authenticator → ⋮ → Definições/Configurações → Backup e recuperação. Deve ver o estado do backup.
• Se perdeu o dispositivo, parta do princípio de que talvez estivesse ativo; vale a pena tentar a recuperação.

Restaurar no novo dispositivo (Android/iOS)

1. Instale a app Microsoft Authenticator a partir da loja oficial do sistema.
2. Abra a app e inicie sessão com a mesma conta usada para o backup.
3. Toque em Começar → Recuperar contas → selecione a cópia mais recente.
4. Concluída a restauração, os métodos de MFA (aprovação por notificação e códigos TOTP) reaparecem.

Notas cruciais

• Contas corporativas (Entra ID) podem ter políticas que impedem restauração automática de aprovações. Ainda assim, os códigos TOTP costumam ser recuperados.
• Se as aprovações falharem, toque em Usar um código de verificação na página de MFA e introduza um código temporário da app.
• Se os códigos TOTP forem rejeitados com “código incorreto”, verifique se a hora do telemóvel está correta (sincronização automática).

Depois de recuperar

• Acesse myaccount.microsoft.com → Informações de segurança e valide/atualize os métodos.
• Adicione múltiplos métodos (SMS, chamada, chave FIDO2, app em dispositivo de reserva). Para contas corporativas, o método e‑mail é usado para SSPR, não para MFA do dia a dia.

Solução B — Recuperar acesso via Equipa de Proteção de Dados da Microsoft

Se perdeu o telemóvel e não tinha backup (ou a política bloqueia a restauração), a via oficial é a verificação de titularidade da conta.

Como funciona

1. Inicia o fluxo de “Conta de administrador global bloqueada” ou “Sem acesso ao portal Entra ID”.
2. Preenche um formulário com dados que comprovem que é o titular (documentos, fatura do domínio, detalhes de cobrança, e-mails administrativos, etc.).
3. Após validação, a Microsoft procede ao reset do MFA ou fornece uma forma temporária de acesso para que adicione novos métodos.

Dicas para acelerar a validação

• Tenha à mão: ID do tenant, domínio principal (ex.: contoso.com), número de cliente, último fatura/recibo, e um e‑mail administrativo que consiga ler.
• Explique claramente: “Dispositivo com Authenticator perdido/substituído; preciso de reset de MFA para o utilizador <UPN>”.
• Para contas pessoais (Outlook/Hotmail), utilize o processo de recuperação de conta com as pistas de segurança previamente definidas.

Solução C — Intervenção de outro administrador ou recurso de recuperação

Se a sua organização possui mais de um Global Administrator, peça ajuda para eliminar os registos de MFA do seu utilizador e obrigar um novo registo no próximo início de sessão.

Passos no portal Entra ID (para administradores)

1. Entra ID → Utilizadores/Users → selecione o utilizador afetado.
2. Métodos de autenticação / Authentication methods:
   • Remova os métodos Microsoft Authenticator existentes (telefones, notificações, TOTP) associados ao utilizador.
   • Opcional: adicione um método temporário (por ex., número de telefone para SMS/voz) apenas para o primeiro login.
3. Em Proteção → Autenticação multifator (ou na experiência “por utilizador”), requerer re-registo de MFA para o utilizador.
4. Valide as políticas de Conditional Access para evitar loops (ex.: permitir TAP ou pelo menos um método alternativo no primeiro login).

Alternativas úteis para admins

• TAP (Temporary Access Pass): um código de duração limitada que permite iniciar sessão e reinscrever o MFA sem depender do telemóvel perdido. Precisa estar previamente configurado como método permitido.
• Chave de segurança FIDO2: se o utilizador possuir uma chave registada, autorize o uso como método temporário para o primeiro acesso.
• SSPR: útil para redefinir palavra‑passe e, em conjunto com políticas adequadas, recuperar o acesso. Lembre‑se: e‑mail alternativo é método de SSPR, não de MFA de login.

Boas práticas ao intervir

• Comunicar ao utilizador que, no próximo login, deverá configurar novamente o Authenticator no novo telemóvel.
• Após a recuperação, remover qualquer método temporário adicionado apenas para o desbloqueio.
• Registar o incidente para auditoria e melhorias de política (ver seção “Prevenção”).

Solução D — Abrir um chamado no Centro de Administração do Microsoft 365

Quando não há outro administrador com privilégios, o caminho é formalizar um tíquete de suporte.

1. Inicie sessão no centro de administração com qualquer conta que ainda tenha acesso.
2. Crie o chamado descrevendo o caso: “Utilizador X sem acesso ao MFA devido a dispositivo perdido; solicitar reset de MFA/desbloqueio”.
3. Anexe evidências (domínio, tenant, prova de propriedade) quando solicitado.

Procedimentos detalhados para contas pessoais vs. contas corporativas

Conta pessoal Microsoft (Outlook.com/Hotmail/Live)

1. Tente a recuperação na app Authenticator (Solução A).
2. Se não funcionar, no momento do login, clique em “Não tem o seu telefone?” (ou “Usar um método diferente”) e procure opções como SMS/chamada para o número secundário registado.
3. Se não houver nenhum método disponível, siga o processo de recuperação de conta: responder perguntas de segurança, histórico de e-mails, etc., até que o sistema libere o reset dos fatores.

Conta de trabalho ou escola (Entra ID / Azure AD)

1. Verifique se o SSPR está habilitado para o seu utilizador (pergunte ao TI). Se sim, inicie o fluxo de “Esqueci‑me da palavra‑passe”.
2. Se não houver SSPR ou método alternativo, peça intervenção de um Global Administrator (Solução C) para remover os registos do Authenticator e forçar re-registo.
3. Na ausência de outro admin, siga o fluxo de validação com a Equipa de Proteção de Dados (Solução B) ou registre um chamado (Solução D).

Guia rápido: configurar novamente o Authenticator no novo telemóvel

1. No computador, quando solicitado o MFA, escolha Usar um método diferente e opte por um método que ainda funcione (SMS/voz/chave FIDO2/TAP).
2. Uma vez autenticado, aceda a myaccount.microsoft.com → Informações de segurança.
3. Clique em Adicionar método → Aplicação Authenticator e siga o assistente para Configurar notificação por push e código TOTP.
4. Valide: aprove uma notificação e teste um código de 6 dígitos. Guarde também um número de telefone como alternativa.
5. (Opcional) Registe o Authenticator num segundo dispositivo de reserva se a sua política permitir.

Erros comuns e como resolver

Sintoma	Provável causa	Correção
“Código inválido” no TOTP	Relógio do telemóvel fora de sincronização	Ative a data/hora automática no sistema. Volte a tentar.
Não aparece “Usar método diferente”	Política exige apenas Authenticator	Peça a um admin para permitir método alternativo temporário ou emitir um TAP.
Backup não encontra contas	Backup nunca foi ativado ou usou conta diferente	Verifique a conta de backup e tente a Solução B/C.
Notificações por push não chegam	Bloqueio de notificações/sinal de dados	Use o código TOTP ou mude para SMS/voz temporariamente e reconfigure o push.
Loop de MFA após reset	Método temporário bloqueado por Conditional Access	Admin deve ajustar a política ou atribuir TAP para o primeiro login.

Checklists úteis

Para utilizadores finais

• Instale o Authenticator no novo dispositivo e tente Recuperar contas.
• Se falhar, tente Usar método diferente (SMS/voz/chave) na página de MFA.
• Sem opções? Contate o TI e peça reset/remoção dos métodos do Authenticator.
• Ao recuperar o acesso, adicione pelo menos dois métodos e ative o backup em nuvem.

Para administradores

• Verifique se o utilizador é alvo de políticas que exigem exclusivamente a app.
• Remova os métodos antigos do Microsoft Authenticator e force re-registo de MFA.
• Considere emitir um Temporary Access Pass (TAP) com validade curta.
• Confirme que SSPR e pelo menos dois métodos de autenticação estão configurados.

Prevenção: como não voltar a ficar bloqueado

1. Ativar backup em nuvem no Authenticator: ⋮ → Definições → Backup e recuperação.
2. Configurar múltiplos métodos de MFA:
   • SMS e chamada de voz (número corporativo e número pessoal de emergência).
   • Chave de segurança FIDO2 (YubiKey/Feitian) e/ou Windows Hello for Business.
   • App Authenticator em dispositivo de reserva, quando permitido.
3. Para admins:
   • Ter pelo menos dois Global Admins ativos.
   • Manter uma conta break‑glass (sem MFA, com controlos estritos e auditoria) apenas para emergências.
   • Aplicar Conditional Access com exceções controladas para cenários de recuperação.
4. Documentar e testar o procedimento de recuperação a cada trimestre.

Políticas que ajudam (exemplos)

Política/Configuração	Objetivo	Recomendação
SSPR com dois métodos	Recuperar sem intervenção do TI	Ativar SSPR e permitir SMS + e‑mail alternativo (para SSPR) ou SMS + Authenticator.
Temporary Access Pass (TAP)	Entrar sem o dispositivo perdido	Permitir TAP para grupos de break‑glass; validade curta, uso único.
Exceção de emergência no CA	Evitar loop de MFA	Política que, por tempo limitado, aceita método alternativo durante a recuperação.
Inventário de métodos	Visibilidade	Relatórios mensais de métodos por utilizador; obrigar 2+ métodos.

Modelos prontos para usar

Pedido do utilizador ao TI

Assunto: Reset de MFA – Authenticator perdido/substituído

Olá, equipa de TI.
Perdi/substituí o meu telemóvel e não consigo aprovar o MFA.
UPN: [nome@empresa.com](mailto:nome@empresa.com)
ID do colaborador: 12345 (se aplicável)

Peço a remoção dos métodos do Microsoft Authenticator e que seja forçado novo registo de MFA.
Se possível, emitir um Temporary Access Pass para o primeiro login.

Obrigado(a).

Checklist do administrador ao atender o chamado

• Confirmar identidade do utilizador (procedimentos internos).
• Remover métodos do Authenticator no perfil do utilizador.
• Forçar re-registo e, se necessário, emitir TAP de uso único.
• Confirmar que o utilizador voltou a ter acesso e que adicionou métodos alternativos.
• Fechar o ticket documentando a causa e a ação preventiva.

Perguntas frequentes (FAQ)

Posso mover o Authenticator para o novo telemóvel sem perder o acesso?

Sim. Se ainda tem o dispositivo antigo, ative o backup no antigo e depois recupere no novo. Evite desinstalar a app do dispositivo antigo até confirmar que o novo está a aprovar normalmente. O e‑mail pode ser usado como MFA?

Para contas corporativas, o e‑mail é um método útil para SSPR, mas não é aceito, de forma geral, como método de MFA para login diário no Entra ID. Use Authenticator, SMS/voz, FIDO2, TAP, etc. Por que o meu código TOTP não funciona?

O TOTP depende do horário exato do dispositivo. Ative a data/hora automática, aguarde alguns segundos e gere um novo código. Se persistir, o registo do método pode ter sido removido e precisará reconfigurar. O que é “number matching” nas aprovações?

É a funcionalidade em que o ecrã de login mostra um número e o utilizador deve introduzi‑lo na app Authenticator. Se não vê a notificação, utilize o TOTP ou um método alternativo e reconfigure o push. Não tenho segundo administrador. E agora?

Use o fluxo de validação com a Equipa de Proteção de Dados ou abra um chamado formal no Centro de Administração. Tenha documentos de propriedade do tenant prontos para acelerar. É seguro manter uma conta “break‑glass” sem MFA?

Sim, desde que seja estritamente controlada, com palavra‑passe longa/única, sem caixa de correio ativa, monitorização e alertas. É uma prática recomendada para emergências.

Resumo executivo

• Com backup: instale a app, recupere as contas e valide um segundo método.
• Sem backup: peça intervenção de outro admin ou siga o fluxo oficial de verificação para reset de MFA.
• Depois de recuperar: mantenha múltiplos métodos e backup em nuvem para não ficar “preso” quando trocar de telemóvel.

Passo a passo ilustrado (texto)

Desvincular/remover o Authenticator quando não consegue entrar

1. Tente um método alternativo de MFA (se existir): SMS/voz/chave FIDO2/TAP.
2. Entre em myaccount.microsoft.com → Informações de segurança.
3. Remova o dispositivo antigo listado em Microsoft Authenticator.
4. Adicione o novo dispositivo e valide um segundo método (por ex., SMS).

Se não tem nenhum método alternativo e não entra no portal: siga a Solução C (intervenção de admin) ou B (verificação de titularidade) para que o reset seja feito “por fora”.

Exemplos de políticas de Conditional Access para evitar bloqueios

• Política padrão: exigir MFA para todos, mas permitir Authenticator ou SMS/voz/Chave FIDO2.
• Política de recuperação: para um grupo “Recuperação MFA”, permitir TAP e SMS/voz por 24–48 horas.
• Exclusão controlada: excluir temporariamente o utilizador afetado da política mais restritiva até completar o novo registo.

Boas práticas adicionais para equipas de TI

• Implemente relatórios mensais de métodos de autenticação: quem só tem um método é prioritário para correção.
• Eduque utilizadores para manterem números atualizados e ativarem o backup do Authenticator.
• Registe um procedimento oficial de prova de identidade para resets, evitando engenharia social.
• Teste periodicamente o processo de onboarding do novo telemóvel em ambiente de laboratório.

Conclusão

Desvincular o Microsoft Authenticator após trocar de telemóvel não precisa ser um drama. Com backup em nuvem e métodos alternativos, a recuperação é imediata. Sem backup, as vias corretas — intervenção de admin, TAP, SSPR ou verificação de titularidade — garantem um reset seguro. Invista em prevenção (2+ métodos, backup e políticas bem definidas) e nunca mais ficará bloqueado ao trocar de dispositivo.