Como funciona os níveis de autenticação de Acesso Condicional
Este tópico explica como o nível de autenticação de Acesso Condicional pode restringir quais métodos de autenticação têm permissão para a obtenção de acesso a um recurso.
Como a força da autenticação funciona com a política de métodos de autenticação
Existem duas políticas que determinam quais métodos de autenticação podem ser usados para acessar recursos. Se um usuário estiver habilitado para um método de autenticação em qualquer uma das políticas, ele poderá entrar com esse método.
Segurança>Métodos de autenticação>Políticas é uma maneira mais moderna de gerenciar métodos de autenticação para usuários e grupos específicos. Você pode especificar usuários e grupos para diferentes métodos. Você também pode configurar parâmetros para controlar como um método pode ser usado.
Segurança>autenticação multifator>Configurações adicionais de autenticação multifator com base na nuvem é uma forma herdada de controlar métodos de autenticação multifator para todos os usuários no inquilino.
Os usuários podem se registrar nos métodos de autenticação para os quais estão habilitados. Um administrador também pode configurar o dispositivo de um usuário com um método, como autenticação baseada em certificado.
Como uma política de força de autenticação é avaliada durante a entrada
A política de acesso condicional de força de autenticação define quais métodos podem ser usados. O Microsoft Entra ID verifica a política durante a entrada para determinar o acesso do usuário ao recurso. Por exemplo, um administrador configura uma política de acesso condicional com uma força de autenticação personalizada que requer uma chave de acesso (chave de segurança FIDO2) ou palavra-passe + mensagem de texto. O usuário acessa um recurso protegido por esta política.
Durante a entrada, todas as configurações são verificadas para determinar quais métodos são permitidos, quais métodos são registrados e quais métodos são exigidos pela política de Acesso Condicional. Para entrar, o método deve ser permitido, registrado pelo usuário (antes ou como parte da solicitação de acesso) e satisfazer a força de autenticação.
Como várias políticas de força de autenticação de Acesso Condicional são avaliadas
Em geral, quando múltiplas políticas de Acesso Condicional se aplicam a uma entrada, todas as condições de todas as políticas devem ser cumpridas. Na mesma linha, quando múltiplas políticas de força de autenticação de Acesso Condicional se aplicam à entrada, o utilizador deve satisfazer todas as condições de força de autenticação. Por exemplo, se duas políticas de força de autenticação diferentes exigirem uma chave de acesso (FIDO2), o usuário poderá usar uma chave de segurança FIDO2 para satisfazer ambas as políticas. Se as duas políticas de força de autenticação tiverem diferentes conjuntos de métodos, o usuário deverá usar vários métodos para atender às duas políticas.
Como várias políticas de força de autenticação de Acesso Condicional são avaliadas para registrar informações de segurança
Para o modo de interrupção no registro de informações de segurança, a avaliação da força de autenticação é tratada de forma diferente – as forças de autenticação que visam a ação do usuário de Registrar informações de segurança têm preferência sobre outras políticas de força de autenticação que visam Todos os recursos (anteriormente “Todos os aplicativos em nuvem”). Todos os outros controles de concessão (como Exigir que o dispositivo seja marcado como em conformidade) de outras políticas de Acesso Condicional no escopo para a entrada serão aplicados normalmente.
Por exemplo, vamos supor que a Contoso gostaria de exigir que seus usuários sempre entrem com um método de autenticação multifator e em um dispositivo compatível. A Contoso também deseja permitir que novos funcionários registrem esses métodos de MFA usando uma Senha de Acesso Temporária (TAP). A TAP não pode ser usada em nenhum outro recurso. Para atingir essa meta, o administrador pode seguir as seguintes etapas:
- Crie uma força de autenticação personalizada chamada Bootstrap e recuperação que inclui a combinação de autenticação Senha de Acesso Temporária, mas também pode incluir qualquer um dos métodos MFA.
- Crie uma força de autenticação personalizada chamada MFA para login que inclua todos os métodos de MFA permitidos, sem Senha de Acesso Temporária.
- Crie uma política de acesso condicional que vise Todos os recursos (anteriormente “Todos os aplicativos em nuvem”) e exija MFA para login como força de autenticação E Exigir dispositivo compatível nos controles de concessão.
- Crie uma política de Acesso Condicional direcionada à ação de usuário Registrar informações de segurança e que exija a força de autenticação de Inicialização e recuperação.
Como resultado, os usuários em um dispositivo compatível poderiam usar um Senha de Acesso Temporária para registrar qualquer método MFA e, em seguida, usar o método recém-registrado para autenticar outros recursos como o Outlook.
Observação
Se várias políticas de Acesso Condicional forem direcionadas à ação de usuário Registrar informações de segurança e cada uma delas aplicar uma força de autenticação, o usuário deverá atender a todas essas forças de autenticação para entrar.
Alguns métodos sem senha e resistentes a phishing não podem ser registrados no modo Interrupção. Para obter mais informações, consulte Registrar métodos de autenticação sem senha.
Experiência do usuário
Os seguintes fatores determinam se o usuário obtém acesso ao recurso:
- Qual método de autenticação foi usado anteriormente?
- Quais métodos estão disponíveis para a força da autenticação?
- Quais métodos são permitidos para login do usuário na política de métodos de autenticação?
- O usuário está cadastrado em algum método disponível?
Quando um usuário acessa um recurso protegido por uma política de acesso condicional com força da autenticação, o Microsoft Entra ID avalia se os métodos usados anteriormente atendem à força da autenticação. Se um método satisfatório foi usado, o Microsoft Entra ID permite acesso ao recurso. Por exemplo, digamos que um usuário entre com senha + mensagem de texto. Eles acessam um recurso protegido pela força da autenticação MFA. Nesse caso, o usuário pode acessar o recurso sem outro prompt de autenticação.
Vamos supor que eles acessem um recurso protegido pela força de autenticação MFA resistente a phishing. Nesse ponto, eles serão solicitados a fornecer um método de autenticação resistente a phishing, como o Windows Hello for Business.
Se o usuário não tiver se registrado em nenhum método que satisfaça a força de autenticação, ele será redirecionado para registro combinado.
Os usuários devem registrar apenas um método de autenticação que atenda ao requisito de força de autenticação.
Se a força da autenticação não incluir um método que o usuário possa registrar e usar, o usuário será impedido de entrar no recurso.
Registrar os métodos de autenticação sem senha
Os seguintes métodos de autenticação não podem ser registrados como parte do modo de interrupção de registro combinado. Verifique se os usuários estão registrados para esses métodos antes de aplicar uma política de Acesso Condicional que pode exigir que eles sejam usados para fazer login. Se um usuário não estiver registrado para esses métodos, ele não poderá acessar o recurso até que o método necessário seja registrado.
| Método | Requisitos de registro |
|---|---|
| Microsoft Authenticator (login pelo telefone) | Pode ser registrado no aplicativo Authenticator. |
| Chave de acesso (FIDO2) | Pode ser registrado usando o modo gerenciado de registro combinado e aplicado por forças de autenticação usando o modo assistente de registro combinado |
| Autenticação baseada em certificado | Requer a configuração do administrador; não pode ser registrado pelo usuário. |
| Windows Hello for Business | Pode ser registrado na OOBE (configuração inicial pelo usuário) do Windows ou no menu Configurações do Windows. |
Experiência do usuário federado
Para os domínios federados, a MFA pode ser imposta pelo acesso condicional do Microsoft Entra ou pelo provedor de federação local definindo o federatedIdpMfaBehavior. Se a configuração federatedIdpMfaBehavior for definida como enforcementMfaByFederatedIdp, o usuário deverá autenticar em seu IdP federado e só poderá atender à combinação Federated Multi-Factor do requisito de força de autenticação. Para obter mais informações sobre as configurações de federação, consulte Planejar suporte para MFA.
Se um usuário de um domínio federado tiver configurações de autenticação multifator no escopo do lançamento gradual, o usuário poderá concluir a autenticação multifator na nuvem e atender a qualquer uma das combinações de fator único federado + algo que você tenha. Para obter mais informações sobre a distribuição em etapas, consulte Ativar Distribuição em Etapas.