Compartilhar via


Adicionar a MFA (autenticação multifator) a um aplicativo

Aplica-se a: Círculo branco com um símbolo X cinza. Locatários da força de trabalho Círculo verde com um símbolo de marca de seleção branco. Locatários externos (saiba mais)

A MFA (autenticação multifator) adiciona uma camada de segurança aos seus aplicativos ao exigir que os usuários forneçam um segundo método para verificar a identidade durante a inscrição ou entrada. Os locatários externos aceitam dois métodos de autenticação como um segundo fator:

  • Senha de uso único por email: depois que o usuário faz login com o email e a senha, é solicitado fornecer uma senha que é enviada para o email do usuário. Para permitir o uso de senhas de uso único por email para MFA, defina o método de autenticação da conta local como Email com senha. Se você escolher Email com senha de uso único, os clientes que usam esse método para entrada principal não poderão usá-lo para verificação secundária de MFA.
  • Autenticação baseada em SMS: embora o SMS não seja uma opção para autenticação de primeiro fator, ele está disponível como segundo fator para MFA. Os usuários que entrarem com email e senha, email e senha única ou identidades sociais, como Google, Facebook ou Apple, são solicitados a segunda verificação usando SMS. Nossa MFA por SMS inclui verificações automáticas de fraude. Se suspeitarmos de fraude, pediremos ao usuário que preencha um CAPTCHA para confirmar que não é um robô antes de enviar o código SMS para verificação. Também são fornecidas proteções contra fraudes telefônicas. O SMS é um recurso complementar. Seu locatário deve estar vinculado a uma assinatura ativa e válida. Saiba mais

Este artigo descreve como impor a MFA para seus clientes criando uma política de acesso condicional do Microsoft Entra e adicionando a MFA ao fluxo de inscrição e entrada dos usuários.

Dica

Teste agora

Para experimentar esse recurso, vá para a demonstração do Woodgrove Groceries e inicie o caso de uso "Autenticação Multifator".

Pré-requisitos

  • Um locatário externo do Microsoft Entra.
  • Um fluxo de usuário de inscrição e de entrada.
  • Um aplicativo que é registrado em seu locatário externo e adicionado ao fluxo de inscrição e entrada de usuário.
  • Uma conta com, no mínimo, a função Administrador da segurança para configurar políticas de acesso condicional e MFA.
  • O SMS é um recurso complementar e requer uma assinatura vinculada. Se a assinatura expirar ou for cancelada, os usuários finais não poderão mais se autenticar usando SMS, o que pode impedi-los de fazer login, dependendo da política de MFA.

Criar uma política de Acesso Condicional

Crie uma política de Acesso Condicional no locatário externo que solicite aos usuários a MFA quando eles se inscreverem ou entrarem em seu aplicativo. (Para obter mais informações, consulte, Política de Acesso Condicional Comum: Exigir MFA para todos os usuários).

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

  2. Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o locatário externo no menu Diretórios + assinaturas.

  3. Navegue até Proteção>Acesso Condicional>Políticas e selecione Nova política.

    Captura de tela do botão Nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Em Atribuições, selecione o link abaixo de Usuários.

    a. Na guia Incluir, selecione Todos os usuários.

    b. Na guia Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de break-glass da sua organização. Em seguida, escolha Selecionar.

    Captura de tela de como atribuir usuários à nova política.

  6. Selecione o link em Recursos de destino.

    a. Na guia Incluir, escolha uma das seguintes opções:

    • Selecione Todos os recursos (anteriormente "Todos os aplicativos de nuvem").

    • Clique em Selecionar recursos e, em seguida, no link em Selecionar. Localize seu aplicativo, selecione-o e escolha Selecionar.

    b. Na guia Excluir, selecione os aplicativos que não exigem autenticação multifator.

    Captura de tela de como atribuir aplicativos à nova política.

  7. Em Controles de acesso, selecione o link em Conceder. Selecione Conceder acesso, Exigir autenticação multifator e, em seguida, escolha Selecionar.

    Captura de tela da exigência de MFA.

  8. Confirme suas configurações e defina Habilitar política como Ativado.

  9. Selecione Criar para criar e habilitar sua política.

Habilitar a senha de uso único por email como um método de MFA

Habilite o método de autenticação de senha de uso único por email no locatário externo para todos os usuários.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

  2. Navegue até Proteção>Métodos de autenticação.

  3. Na lista Método, selecione OTP por Email.

    Captura de tela da opção de enviar senha de uso único por email.

  4. Em Habilitar e Direcionar, ative a opção Habilitar.

  5. Em Incluir, ao lado de Destino, selecione Todos os usuários.

    Captura de tela de como habilitar senha de uso único por email.

  6. Selecione Salvar.

Habilitar SMS como um método de MFA

Habilite o método de autenticação por SMS no locatário externo para todos os usuários.

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.

  2. Navegue até Proteção>Métodos de autenticação.

  3. Na lista Método, escolha SMS.

    Captura de tela da opção SMS.

  4. Em Habilitar e Direcionar, ative a opção Habilitar.

  5. Em Incluir, ao lado de Destino, selecione Todos os usuários.

    Captura de tela da habilitação de SMS.

  6. Selecione Salvar.

Ativar telecomunicações para regiões de aceitação

A partir de janeiro de 2025, certos códigos de país serão desativados por padrão para verificação por SMS. Se você deseja permitir o tráfego de regiões desativadas, precisará ativá-las para o seu aplicativo usando a política do Microsoft Graph onPhoneMethodLoadStartevent. Consulte Regiões que exigem aceitação para verificação por SMS.

Testar a entrada

Em um navegador privado, abra seu aplicativo e selecione Entrar. Você deve ser solicitado a fornecer outro método de autenticação.