Adicionar a MFA (autenticação multifator) a um aplicativo
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
A MFA (autenticação multifator) adiciona uma camada de segurança aos seus aplicativos ao exigir que os usuários forneçam um segundo método para verificar a identidade durante a inscrição ou entrada. Os locatários externos aceitam dois métodos de autenticação como um segundo fator:
- Senha de uso único por email: depois que o usuário faz login com o email e a senha, é solicitado fornecer uma senha que é enviada para o email do usuário. Para permitir o uso de senhas de uso único por email para MFA, defina o método de autenticação da conta local como Email com senha. Se você escolher Email com senha de uso único, os clientes que usam esse método para entrada principal não poderão usá-lo para verificação secundária de MFA.
- Autenticação baseada em SMS: embora o SMS não seja uma opção para autenticação de primeiro fator, ele está disponível como segundo fator para MFA. Os usuários que entrarem com email e senha, email e senha única ou identidades sociais, como Google, Facebook ou Apple, são solicitados a segunda verificação usando SMS. Nossa MFA por SMS inclui verificações automáticas de fraude. Se suspeitarmos de fraude, pediremos ao usuário que preencha um CAPTCHA para confirmar que não é um robô antes de enviar o código SMS para verificação. Também são fornecidas proteções contra fraudes telefônicas. O SMS é um recurso complementar. Seu locatário deve estar vinculado a uma assinatura ativa e válida. Saiba mais
Este artigo descreve como impor a MFA para seus clientes criando uma política de acesso condicional do Microsoft Entra e adicionando a MFA ao fluxo de inscrição e entrada dos usuários.
Dica
Para experimentar esse recurso, vá para a demonstração do Woodgrove Groceries e inicie o caso de uso "Autenticação Multifator".
Pré-requisitos
- Um locatário externo do Microsoft Entra.
- Um fluxo de usuário de inscrição e de entrada.
- Um aplicativo que é registrado em seu locatário externo e adicionado ao fluxo de inscrição e entrada de usuário.
- Uma conta com, no mínimo, a função Administrador da segurança para configurar políticas de acesso condicional e MFA.
- O SMS é um recurso complementar e requer uma assinatura vinculada. Se a assinatura expirar ou for cancelada, os usuários finais não poderão mais se autenticar usando SMS, o que pode impedi-los de fazer login, dependendo da política de MFA.
Criar uma política de Acesso Condicional
Crie uma política de Acesso Condicional no locatário externo que solicite aos usuários a MFA quando eles se inscreverem ou entrarem em seu aplicativo. (Para obter mais informações, consulte, Política de Acesso Condicional Comum: Exigir MFA para todos os usuários).
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Se você tiver acesso a vários locatários, use o ícone Configurações no menu superior para alternar para o locatário externo no menu Diretórios + assinaturas.
Navegue até Proteção>Acesso Condicional>Políticas e selecione Nova política.
Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
Em Atribuições, selecione o link abaixo de Usuários.
a. Na guia Incluir, selecione Todos os usuários.
b. Na guia Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de break-glass da sua organização. Em seguida, escolha Selecionar.
Selecione o link em Recursos de destino.
a. Na guia Incluir, escolha uma das seguintes opções:
Selecione Todos os recursos (anteriormente "Todos os aplicativos de nuvem").
Clique em Selecionar recursos e, em seguida, no link em Selecionar. Localize seu aplicativo, selecione-o e escolha Selecionar.
b. Na guia Excluir, selecione os aplicativos que não exigem autenticação multifator.
Em Controles de acesso, selecione o link em Conceder. Selecione Conceder acesso, Exigir autenticação multifator e, em seguida, escolha Selecionar.
Confirme suas configurações e defina Habilitar política como Ativado.
Selecione Criar para criar e habilitar sua política.
Habilitar a senha de uso único por email como um método de MFA
Habilite o método de autenticação de senha de uso único por email no locatário externo para todos os usuários.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Proteção>Métodos de autenticação.
Na lista Método, selecione OTP por Email.
Em Habilitar e Direcionar, ative a opção Habilitar.
Em Incluir, ao lado de Destino, selecione Todos os usuários.
Selecione Salvar.
Habilitar SMS como um método de MFA
Habilite o método de autenticação por SMS no locatário externo para todos os usuários.
Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de segurança.
Navegue até Proteção>Métodos de autenticação.
Na lista Método, escolha SMS.
Em Habilitar e Direcionar, ative a opção Habilitar.
Em Incluir, ao lado de Destino, selecione Todos os usuários.
Selecione Salvar.
Ativar telecomunicações para regiões de aceitação
A partir de janeiro de 2025, certos códigos de país serão desativados por padrão para verificação por SMS. Se você deseja permitir o tráfego de regiões desativadas, precisará ativá-las para o seu aplicativo usando a política do Microsoft Graph onPhoneMethodLoadStartevent
. Consulte Regiões que exigem aceitação para verificação por SMS.
Testar a entrada
Em um navegador privado, abra seu aplicativo e selecione Entrar. Você deve ser solicitado a fornecer outro método de autenticação.