Exigir força de autenticação para usuários externos
A força da autenticação é um controle de acesso condicional que permite definir uma combinação específica de métodos de MFA (autenticação multifator) que um usuário externo deve concluir para acessar os recursos dele. Esse controle é especialmente útil para restringir o acesso externo a aplicativos confidenciais na organização. Por exemplo, você pode criar uma política de acesso condicional, exigir uma força da autenticação resistente a phishing na política e então atribuí-la a convidados e usuários externos.
A ID do Microsoft Entra fornece três forças de autenticação internas:
- Força de autenticação multifator (menos restritiva) recomendada neste artigo
- Força da MFA sem senha
- Força de MFA resistente a phishing (mais restritiva)
Você pode usar uma das forças internas ou criar uma força da autenticação personalizada com base nos métodos de autenticação que você deseja exigir.
Em cenários de usuário externos, os métodos de autenticação de MFA que um locatário de recurso pode aceitar variam dependendo se o usuário estiver concluindo a MFA em seu locatário doméstico ou no locatário do recurso. Para obter detalhes, consulte Força de autenticação para usuários externos.
Observação
Atualmente, você só pode aplicar políticas de força da autenticação aos usuários externos que se autenticam com a ID do Microsoft Entra. Para senha única de email, SAML/WS-Fed e usuários de federação do Google, use o controle de concessão de MFA para exigir a MFA.
Definir configurações de acesso entre locatários para MFA confiável
As políticas de força da autenticação funcionam em conjunto com asconfigurações de confiança da MFA nas configurações de acesso entre locatários para determinar onde e como o usuário externo deve executar a MFA. Primeiro, um usuário do Microsoft Entra se autentica com a respectiva conta no locatário inicial. Em seguida, quando esse usuário tenta acessar seu recurso, o Microsoft Entra ID aplica a política de acesso condicional com força da autenticação e verifica se você habilitou a relação de confiança da MFA.
- Se a relação de confiança da MFA estiver habilitada, o Microsoft Entra ID verificará a sessão de autenticação do usuário para obter uma declaração indicando que a MFA foi atendida no locatário inicial do usuário.
- Se a confiança da MFA estiver desabilitada, o locatário do recurso apresentará ao usuário um desafio para concluir a MFA no locatário do recurso usando um método de autenticação aceitável.
Os métodos de autenticação que os usuários externos podem usar para atender aos requisitos de MFA são diferentes, dependendo se o usuário está concluindo a MFA no locatário inicial ou no locatário do recurso. Para obter detalhes, consulte Força da autenticação de acesso condicional.
Importante
Antes de criar a política de acesso condicional, verifique as configurações de acesso entre locatários para verificar se as configurações de confiança da MFA de entrada estão definidas conforme o esperado.
Exclusões de usuários
As políticas de Acesso Condicional são ferramentas avançadas, recomendamos excluir as seguintes contas das suas políticas:
- Contas de acesso de emergência ou de interrupção para impedir o bloqueio devido à configuração incorreta da política. No cenário improvável de todos os administradores serem bloqueados, sua conta administrativa de acesso de emergência poderá ser usada para fazer logon e seguir as etapas para recuperar o acesso.
- Mais informações podem ser encontradas no artigo Gerenciar contas de acesso de emergência no Microsoft Entra ID.
- Contas de serviço e Entidades de serviço, como a conta de sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão ligadas a nenhum usuário específico. Normalmente, elas são usadas por serviços de back-end que permitem acesso programático a aplicativos, mas também são usadas para entrar em sistemas para fins administrativos. As chamadas feitas pelas entidades de serviço não serão bloqueadas pelas políticas de Acesso Condicional com um escopo que inclua os usuários. Use o Acesso Condicional a identidades de carga de trabalho para definir políticas direcionadas a entidades de serviço.
- Se a sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.
Criar uma política de Acesso Condicional
Use as etapas a seguir para criar uma política de acesso condicional que aplique uma força da autenticação a usuários externos.
Aviso
Se você usar métodos de autenticação externos, eles são incompatíveis com a força de autenticação no momento e você deve usar o controle de concessão Exigir de autenticação multifator.
- Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.
- Navegar para Proteção> de acesso condicional de >Políticas.
- Selecione Nova política.
- Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
- Em Incluir, escolha Selecionar usuários e grupos e, em seguida, selecione Usuários externos ou convidados.
- Selecione os tipos de usuários externos ou convidados aos quais você deseja aplicar a política.
- Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
- Em Incluir, escolha Selecionar usuários e grupos e, em seguida, selecione Usuários externos ou convidados.
- Em Recursos de destino>Recursos (anteriormente aplicativos de nuvem), em Incluir ou Excluir, selecione todos os aplicativos que você quer incluir ou excluir dos requisitos de força de autenticação.
- Em Controles de acesso>Conceder, selecione Conceder acesso.
- Selecione Exigir força de autenticação e selecione a força de autenticação interna ou personalizada apropriada na lista.
- Escolha Selecionar.
- Confirme suas configurações e defina Habilitar política com Somente relatório.
- Selecione Criar para criar e habilitar sua política.
Depois que você confirmar suas configurações com o modo somente relatório, um administrador poderá alternar a opção Habilitar política de Somente relatório para Ativado.