Exigir autenticação multifator
Exercício – Habilitar a autenticação multifator (MFA)
A autenticação multifator (MFA) protege as identidades do consumidor solicitando-lhes um segundo método de verificação. O Acesso Condicional do Microsoft Entra reúne sinais para a tomada de decisões e impor políticas de segurança. Para nosso site de compras, imporemos uma política de Acesso Condicional que solicita a MFA. A política de Acesso Condicional destina-se a todos os usuários sem nenhuma condição.
Observação
Você precisará, pelo menos, da função do diretório Administrador da Política de Autenticação para habilitar a autenticação multifator.
Possui comentários? Conte-nos como está indo seu projeto de prova de conceito. Gostaríamos muito de ouvir de você!
Comece criando uma política de Acesso Condicional para proteger o aplicativo. Entre no centro de administração do Microsoft Entra e navegue até Proteção>Acesso Condicional. Em seguida, selecione Nova política.
Dê um Nomeà sua política, por exemplo, risco de entrada.
Em Atribuições, selecione o link abaixo de Usuários. Na guia Incluir, selecione Todos os Usuários. Na guia Excluir, você pode selecionar usuários e grupos para as contas de acesso de emergência ou de break-glass da sua organização.
Em Atribuições, selecione Recursos de Destino. Em seguida, na guia Incluir, escolha a opção Selecionar Aplicativos e clique no botão Selecionar. Localize seu aplicativo, selecione-o e escolha Selecionar.
Ignore a seção Condições e siga para a próxima etapa.
Em Controles de acesso>Conceder, selecione Conceder acesso. Em seguida, selecione Exigir Autenticação Multifator. Com esse tipo de concessão, os usuários devem preencher requisitos de segurança adicionais, como email, chamada telefônica ou mensagem de texto.
Confirme suas configurações e defina Habilitar política como Ativado. Selecione Criar para criar seu projeto.
Muito bem! Você criou uma política de acesso condicional que exige que os usuários concluam a MFA. Para verificar a experiência do usuário, entre no aplicativo.
Criar política de acesso condicional
O exemplo a seguir cria uma política de acesso condicional. Essa política destina-se a todas as entradas para todos os usuários (exceto para o Administrador Global do locatário). Na solicitação abaixo, substitua o {web-or-mobile-app-ID} por seu próprio aplicativo Web ou móvel (a ID do aplicativo, não a ID do objeto). Observe que você pode adicionar mais aplicativos.
POST https://graph.microsoft.com/v1.0/identity/conditionalAccess/policies
{
"templateId": null,
"displayName": "Woodgrove demo - sign in risk",
"state": "enabled",
"sessionControls": null,
"conditions": {
"userRiskLevels": [],
"signInRiskLevels": [
"high",
"medium"
],
"clientAppTypes": [
"all"
],
"platforms": null,
"locations": null,
"times": null,
"deviceStates": null,
"devices": null,
"clientApplications": null,
"applications": {
"includeApplications": [
"{web-or-mobile-app-ID}"
],
"excludeApplications": [],
"includeUserActions": [],
"includeAuthenticationContextClassReferences": [],
"applicationFilter": null
},
"users": {
"includeUsers": [
"All"
],
"excludeUsers": [],
"includeGroups": [],
"excludeGroups": [],
"includeRoles": [],
"excludeRoles": [],
"includeGuestsOrExternalUsers": null,
"excludeGuestsOrExternalUsers": null
}
},
"grantControls": {
"operator": "OR",
"builtInControls": [
"mfa"
],
"customAuthenticationFactors": [],
"termsOfUse": [],
"authenticationStrength": null
}
}