Compartilhar via

Autenticação multifator em locatários externos

  • Artigo

Aplica-se a: Círculo branco com um símbolo X cinza. Locatários da força de trabalho Círculo verde com um símbolo de marca de seleção branco. Locatários externos (saiba mais)

A MFA (autenticação multifator) adiciona uma camada de segurança aos seus aplicativos ao exigir que os usuários forneçam um segundo método para verificar a identidade durante a inscrição ou entrada. Os locatários externos aceitam dois métodos de autenticação como um segundo fator:

  • Enviar senha de uso único por email
  • Autenticação baseada em SMS, disponível como um complemento (conferir detalhes).

A imposição da MFA aumenta a segurança da sua organização adicionando uma camada extra de verificação, dificultando o acesso de usuários não autorizados.

Criação de uma política de MFA

Em um locatário externo, você pode usar o Acesso condicional do Microsoft Entra para criar uma política que solicite aos usuários uma MFA ao se inscreverem ou entrarem no seu aplicativo. Essa política é criada no centro de administração do Microsoft Entra em Acesso condicional na seção Proteção. Você pode especificar a quais usuários e grupos a política se aplica, incluindo todos os usuários e excluindo qualquer acesso de emergência ou contas de emergência.

Na política, você define os aplicativos que exigem MFA. Você pode aplicar a política a todos os aplicativos de nuvem ou selecionar aplicativos específicos, excluindo todos os aplicativos que não exigem a MFA. Em seguida, você configura a política para conceder acesso somente se os usuários concluírem o requisito de MFA.

Para mais detalhes, consulte como criar uma política de acesso condicional em um locatário externo.

Habilitação de métodos de MFA

Ao selecionar opções de provedor de identidade em seus fluxos dos usuário, você define os métodos de autenticação de primeiro fator de inscrição e entrada. Os métodos de verificação de segundo fator para MFA são configurados em uma seção separada do centro de administração do Microsoft Entra, em Métodos de autenticação na seção Proteção.

Dependendo da opção escolhida como primeiro fator, diferentes métodos de verificação de segundo fator estão disponíveis para MFA (autenticação multifator).

  • Email com senha e provedores de identidade externos: para qualquer um desses métodos de primeiro fator, você pode habilitar a senha única de email, SMS ou ambos como métodos de verificação de segundo fator para MFA.
  • Senha de uso único por email: quando o email com a senha de uso único é selecionado como o método de autenticação de primeiro fator, ele não pode ser usado para verificação de segundo fator. Portanto, somente a verificação baseada em SMS pode ser habilitada para MFA.

Para mais detalhes, consulte como habilitar métodos de MFA em um locatário externo.

Enviar senha de uso único por email

A autenticação da senha de uso único por email está disponível em um locatário externo como um método de verificação de primeiro e segundo fator. Para permitir o uso de senhas de uso único por email para MFA, o método de autenticação da conta local deve ser definido como Email com senha. Se você escolher Email com senha de uso único, os clientes que usam esse método para entrada principal não poderão usá-lo para verificação secundária de MFA.

Quando a senha de uso único por email estiver habilitada para MFA, o usuário entrará com seu método de entrada principal e receberá uma notificação de que um código será enviado para o endereço de email do usuário. O usuário optará por enviar o código, recuperará a senha na caixa de entrada de email e a inserirá na janela de entrada. O usuário deve concluir esse processo de verificação em até 10 minutos.

Autenticação baseada em SMS

O SMS está disponível a um custo adicional para verificação de segundo fator em locatários externos. Atualmente, o SMS não está disponível para autenticação de primeiro fator ou redefinição de senha self-service em locatários externos.

Quando o SMS estiver habilitado para a MFA, os usuários entrarão com o método principal e serão solicitados a verificar a identidade com um código enviado por SMS. Após inserir o número de telefone, os usuários receberão um SMS com o código de verificação.

Captura de tela do texto SMS para MFA.

O ID externo atenua inscrições fraudulentas via SMS aplicando as seguintes medidas:

  • Os limites de limitação de telefonia ajudam a evitar interrupções e lentidão. Consulte Restrições e limites de serviço.
  • O CAPTCHA para MFA por SMS ajuda a evitar ataques automatizados ao distinguir usuários humanos de bots automatizados. Se um usuário suspeito for detectado, bloquearemos a entrada do usuário ou solicitaremos que preencha um CAPTCHA antes de enviar um código de verificação por SMS.

Tipos de preços de SMS por país/região

A tabela abaixo fornece detalhes sobre os diferentes tipos de preço para serviços de autenticação baseados em SMS em vários países ou regiões. Para obter detalhes sobre preços, confira os Preços da ID externa do Microsoft Entra.

O SMS é um recurso complementar e requer uma assinatura vinculada. Se sua assinatura expirar ou for cancelada, os usuários finais não poderão mais se autenticar usando SMS, o que pode impedi-los de iniciar sessão, dependendo da sua política de MFA.

Camada Países/Regiões
Autenticação por telefone de baixo custo Austrália, Brasil, Brunei, Canadá, Chile, China, Colômbia, Chipre, Macedônia do Norte, Polônia, Portugal, Coreia do Sul, Tailândia, Turquia, Estados Unidos
Autenticação por telefone de custo médio e baixo Groenlândia, Albânia, Samoa Americana, Áustria, Bahamas, Bahrein, Bósnia e Herzegovina, Botsuana, Costa Rica, República Tcheca, Dinamarca, Estônia, Ilhas Faroé, Finlândia, França, Grécia, Hong Kong, Hungria, Islândia, Irlanda, Itália, Japão, Letônia, Lituânia, Luxemburgo, Macau, Malta, México, Micronésia, Moldávia, Namíbia, Nova Zelândia, Nicarágua, Noruega, Romênia, São Tomé e Príncipe, República das Seychelles, Cingapura, Eslováquia, Ilhas Salomão, Espanha, Suécia, Suíça, Taiwan, Reino Unido, Ilhas Virgens Americanas, Uruguai
Autenticação por telefone de custo médio alto Andorra, Angola, Anguilla, Antártida, Antígua e Barbuda, Argentina, Armênia, Aruba, Ascensão, Barbados, Bélgica, Benin, Bolívia, Ilhas Virgens Britânicas, Bulgária, Burkina Faso, Camarões, Ilhas Cayman, República Centro-Africana, Ilhas Cook, Croácia, Diego Garcia, Djibuti, República Dominicana, República Dominicana, República Dominicana, Timor Leste, Equador, El Salvador, Eritreia, Ilhas Malvinas, Fiji, Guiana Francesa, Polinésia Francesa, Gâmbia, Geórgia, Alemanha, Gibraltar, Granada, Guadalupe, Guam, Guiné, Guiana, Honduras, Índia, Costa do Marfim, Quênia, Kiribati, Laos, Libéria, Malásia, Ilhas Marshall, Martinica, Maurício, Mônaco, Montenegro, Montserrat, Holanda, Antilhas Holandesas, Nova Caledônia, Niue, Omã, Palau, Panamá, Paraguai, Peru, Porto Rico, Porto Rico, Reunião, Ruanda, Santa Helena, São Cristóvão e Nevis, Santa Lúcia, São Pedro e Miquelon, São Vicente e Granadinas, Saipan, Samoa, San Marino, Arábia Saudita, São Martinho, Eslovênia, África do Sul, Sudão do Sul, Suriname, Suazilândia (o novo nome é Reino de Eswatini), Tokelau, Tonga, Turks & Caicos, Tuvalu, Emirados Árabes Unidos, Vanuatu, Venezuela, Vietnã, Wallis e Futuna
Autenticação por telefone de alto custo Liechtenstein, Bermudas, Camboja, Cabo Verde, República Democrática do Congo, Dominica, Egito, Guiné Equatorial, Gana, Guatemala, Guiné-Bissau, Israel, Jamaica, Jamaica, Kosovo, Lesoto, Maldivas, Mali, Mauritânia, Marrocos, Moçambique, Papua Nova Guiné, Filipinas, Catar, Serra Leoa, Trinidad e Tobago, Ucrânia, Zimbábue, Afeganistão, Argélia, Azerbaijão, Bangladesh, Bielorrússia, Belize, Butão, Burundi, Chade, Comores, Congo, Etiópia, República Gabonesa, Haiti, Indonésia, Iraque, Jordânia, Kuwait, Quirguistão, Líbano, Líbia, Madagascar, Malawi, Mongólia, Mianmar, Nauru, Nepal, Níger, Nigéria, Paquistão, Autoridade Nacional Palestina, Rússia, Senegal, Sérvia, Somália, Sri Lanka, Sudão, Tajiquistão, Tanzânia, República Togolesa, Tunísia, Turcomenistão, Uganda, Uzbequistão, Iêmen, Zâmbia

Regiões de aceitação para SMS

A partir de janeiro de 2025, certos códigos de país serão desativados por padrão para verificação por SMS. Se você deseja permitir o tráfego de regiões desativadas, precisará ativá-las para o seu aplicativo usando a política do Microsoft Graph onPhoneMethodLoadStartevent. Consulte Regiões que exigem aceitação para verificação por SMS.

Próximas etapas

Adicionar a MFA (autenticação multifator) a um aplicativo