Microsoft Entra visão geral da API de pontos fortes de autenticação
Namespace: microsoft.graph
Os pontos fortes de autenticação permitem que os administradores exijam combinações específicas de métodos de autenticação Microsoft Entra para acessar um recurso. Cada força de autenticação compreende uma ou mais combinações de métodos de autenticação, em que cada combinação é um ou mais métodos de autenticação. Quando a força é aplicada a um cenário como um controle de concessão no Acesso Condicional, um usuário no escopo da política é necessário para atender a uma dessas combinações permitidas na entrada antes de poder acessar o recurso. Como parte do Acesso Condicional, os pontos fortes de autenticação também podem ser emparelhados com outros controles de Acesso Condicional, como risco e localização do usuário.
Por exemplo, um administrador pode exigir que os usuários se autentiquem usando métodos de autenticação resistentes a phishing antes de poderem acessar um recurso confidencial. O administrador também pode permitir que os usuários se autentiquem usando combinações de MFA (autenticação multifator) menos seguras, como senha e SMS, para que eles acessem aplicativos não confidenciais.
Este artigo apresenta as APIs do Microsoft Graph que permitem que os administradores gerenciem programaticamente os pontos fortes de autenticação.
Políticas de força de autenticação
As políticas de força de autenticação definem os pontos fortes de autenticação disponíveis para uso no locatário. Use o tipo de recurso authenticationStrengthPolicy e seus métodos associados para definir e gerenciar essas políticas. As políticas incluem as seguintes configurações:
- O nome, o identificador e a descrição da política.
- Combinações de método de autenticação que fazem parte da política.
- Se a política, quando os requisitos do método de autenticação são atendidos, pode ser usada para atender a uma declaração MFA no token de acesso.
Microsoft Entra ID dá suporte a políticas internas e personalizadas de força de autenticação. A Microsoft forneceu as seguintes três políticas internas:
- Autenticação de vários fatores
- Autenticação multifator sem senha
- Autenticação multifator resistente a phishing
Você só pode ler políticas internas, mas pode criar até 15 políticas personalizadas para atender às suas necessidades.
Combinações de método de autenticação
O núcleo de uma política são as combinações de método de autenticação. Uma combinação consiste em um ou mais métodos de autenticação em uma lista separada por vírgulas. As combinações são pré-definidas e são usadas para definir uma força de autenticação. Esses métodos de autenticação baseiam-se na enumeração sinalizada authenticationMethodModes . Algumas combinações de exemplo incluem:
Combinação permitida por exemplo | Descrição |
---|---|
fido2 |
O usuário deve entrar usando uma chave de segurança FIDO2 para atender ao requisito de força de autenticação. |
password,microsoftAuthenticatorPush |
O usuário deve entrar usando a senha e a aprovação por push do Microsoft Authenticator para atender ao requisito de força de autenticação. |
password,softwareOath |
O usuário deve entrar usando o token OATH de senha e software para atender ao requisito de força de autenticação. |
Microsoft Entra ID fornece as combinações predefinidas e somente leitura usando os seguintes princípios:
- Métodos de autenticação de fator único que podem ser usados como primeiros fatores, como senha e SMS.
- Combinações de senha e um segundo fator que fazem uma combinação válida de autenticação multifator ("algo que você tem" e "algo que você sabe").
- Autenticadores multifatores sem senha, como autenticação de certificado FIDO2 e x509.
Os pontos fortes de autenticação internos usam essas combinações e as combinações podem ser usadas em pontos fortes de autenticação personalizados.
Para exibir os detalhes dos métodos de autenticação com suporte e as combinações permitidas, chame a API List authenticationMethodModes .
As combinações de autenticação de políticas internas são somente leitura. Para ver todas as políticas internas e suas configurações, chame a API de Autenticação de listaStrengthPolicies .
Para criar uma política de força de autenticação personalizada, você deve configurar as combinações de método de autenticação usando as combinações permitidas.
Configurações de combinação
Você pode aplicar restrições adicionais a determinados métodos de autenticação para controlar quais instâncias do método um usuário pode usar para autenticar. Esses tipos de restrições são configurações de combinação e também podem fazer parte de um objeto AuthenticationStrengthPolicy .
Uma configuração de combinação pode se aplicar a uma ou mais combinações que incluem o método de autenticação específico. Hoje, o FIDO2 é o único método que dá suporte a configurações de combinação.
Por exemplo, uma política personalizada permite as seguintes combinações: password,softwareOath
, fido2
e x509CertificateMultiFactor
. Para essa política, você pode restringir as chaves de segurança FIDO2 que o usuário pode usar para autenticar configurando uma configuração de combinação com GUIDs de Atestado de Autenticador específicos (AAGUIDs).
Uma política de força de autenticação tem zero ou mais configurações de combinação.
Aplicar políticas de força de autenticação no Acesso Condicional
Depois de definir a política de força de autenticação, aplique-a e aplique-a para o recurso protegido usando Microsoft Entra políticas de acesso condicional.
Nos controles de concessão do Acesso Condicional, configure a relação authenticationStrength atribuindo o objeto authenticationStrengthPolicy que deve ser associado à política de acesso condicional. Quando uma política de acesso condicional se aplica a uma entrada e essa política tem um controle de concessão de força de autenticação, o usuário será obrigado a usar uma das combinações de método de autenticação permitidas para entrar. As políticas de força de autenticação também podem ser impostas para usuários convidados por meio de políticas de acesso condicional e configurações de confiança de entrada de acesso entre locatários.
O objeto authenticationStrength corresponde ao controle "Exigir força de autenticação" do UX da política de Acesso Condicional no centro de administração do Microsoft Entra.
Você não pode configurar os pontos fortes de autenticação e o controle de concessão de autenticação multifator na mesma política de acesso condicional.
Próximas etapas
- Leia mais sobre os pontos fortes de autenticação.
- Experimente a API no Graph Explorer.