Autenticação multifator em locatários externos
Aplica-se a:
Locatários da força de
trabalho Locatários externos (saiba mais)
A autenticação multifator (MFA) adiciona uma camada de segurança aos seus aplicativos, exigindo que os usuários forneçam um segundo método para verificar sua identidade durante a inscrição ou o login. Os locatários externos oferecem suporte a dois métodos de autenticação como um segundo fator:
- Senha única por e-mail
- Autenticação baseada em SMS, disponível como um complemento (consulte os detalhes).
A aplicação da MFA melhora a segurança da sua organização adicionando uma camada extra de verificação, dificultando o acesso de usuários não autorizados.
Criando uma política de AMF
Em um locatário externo, você pode usar o Acesso Condicional do Microsoft Entra para criar uma política que solicita aos usuários MFA quando eles se inscrevem ou entram em seu aplicativo. Você cria essa política no centro de administração do Microsoft Entra em Acesso Condicional na seção Proteção. Você pode especificar a quais usuários e grupos a política se aplica, incluindo todos os usuários e excluindo qualquer acesso de emergência ou contas de quebra-vidro.
Na política, você define os aplicativos que exigem MFA. Você pode aplicar a política a todos os aplicativos na nuvem ou selecionar aplicativos específicos, excluindo todos os aplicativos que não exigem MFA. Em seguida, você configura a política para conceder acesso somente se os usuários concluírem o requisito de MFA.
Para obter detalhes, consulte como criar uma política de Acesso Condicional em um locatário externo.
Habilitando métodos de MFA
Ao selecionar as opções do provedor de identidade em seus fluxos de usuário, você define os métodos de autenticação de primeiro fator para inscrição e entrada. Os métodos de verificação de segundo fator para MFA são configurados em uma seção separada do centro de administração do Microsoft Entra, em Métodos de autenticação na seção Proteção .
Dependendo da opção escolhida como primeiro fator, diferentes métodos de verificação de segundo fator estão disponíveis para autenticação multifator (MFA).
- E-mail com senha e provedores de identidade externos: Para qualquer um desses métodos de primeiro fator, você pode habilitar a senha única de e-mail, SMS ou ambos como métodos de verificação de segundo fator para MFA.
- Senha única de e-mail: quando o e-mail com senha única é selecionado como o método de autenticação de primeiro fator, ele não pode ser usado para verificação de segundo fator. Portanto, apenas a verificação baseada em SMS pode ser habilitada para MFA.
Para obter detalhes, consulte como habilitar métodos MFA em um locatário externo.
Senha única por e-mail
A autenticação de senha única de e-mail está disponível em um locatário externo como um método de verificação de primeiro e segundo fator. Para permitir o uso de senhas únicas de e-mail para MFA, seu método de autenticação de conta local deve ser definido como Email com senha. Se você escolher Email com senha única, os clientes que usam esse método para entrada principal não poderão usá-lo para verificação secundária de MFA.
Quando a senha única de e-mail é habilitada para MFA, o usuário entra com seu método de entrada principal e é notificado de que um código será enviado para o endereço de e-mail do usuário. O usuário escolhe enviar o código, recupera a senha de sua caixa de entrada de e-mail e a insere na janela de login. O utilizador deve concluir este processo de verificação no prazo de 10 minutos.
Autenticação baseada em SMS
O SMS está disponível por um custo adicional para verificação de segundo fator em locatários externos. Atualmente, o SMS não está disponível para autenticação de primeiro fator ou redefinição de senha de autoatendimento em locatários externos.
Quando o SMS está habilitado para MFA, os usuários entram com seu método principal e são solicitados a verificar sua identidade com um código enviado por texto. Introduzem o seu número de telefone e recebem um SMS com o código de verificação.
O ID externo atenua inscrições e entradas fraudulentas via SMS, aplicando as seguintes medidas:
- Os limites de limitação de telefonia ajudam a evitar interrupções e lentidão. Consulte Limites e restrições de serviço.
- O CAPTCHA para SMS MFA ajuda a prevenir ataques automatizados, distinguindo usuários humanos de bots automatizados. Se um usuário arriscado for detetado, bloqueamos o usuário de entrar ou pedimos que o usuário preencha um CAPTCHA antes de enviar um código de verificação por SMS.
Níveis de preços de SMS por país/região
A tabela a seguir fornece detalhes sobre os diferentes níveis de preços para serviços de autenticação baseada em SMS em vários países ou regiões. Para obter detalhes de preços, consulte Preços de ID Externa do Microsoft Entra.
O SMS é um recurso complementar e requer uma assinatura vinculada. Se sua assinatura expirar ou for cancelada, os usuários finais não poderão mais se autenticar usando SMS, o que pode impedi-los de entrar, dependendo da sua política de MFA.
| Escalão de serviço | Países/Regiões |
|---|---|
| Autenticação por telefone de baixo custo | Austrália, Brasil, Brunei, Canadá, Chile, China, Colômbia, Chipre, Macedónia do Norte, Polónia, Portugal, Coreia do Sul, Tailândia, Türkiye, Estados Unidos |
| Autenticação por telefone de médio baixo custo | Gronelândia, Albânia, Samoa Americana, Áustria, Bahamas, Barém, Bósnia & Herzegovina, Botsuana, Costa Rica, República Checa, Dinamarca, Estónia, Ilhas Faroé, Finlândia, França, Grécia, RAE de Hong Kong, Hungria, Islândia, Irlanda, Itália, Japão, Letónia, Lituânia, Luxemburgo, RAE de Macau, Malta, México, Micronésia, Moldávia, Namíbia, Nova Zelândia, Nicarágua, Noruega, Roménia, São Tomé e Príncipe, República das Seicheles, Singapura, Eslováquia, Ilhas Salomão, Espanha, Suécia, Suíça, Taiwan, Reino Unido, Ilhas Virgens Americanas, Uruguai |
| Autenticação por telefone de custo médio alto | Andorra, Angola, Anguila, Antártida, Antígua e Barbuda, Argentina, Arménia, Aruba, Barbados, Bélgica, Benim, Bolívia, Bonaire, Curaçau, Saba, Santo Eustáquio e São Martinho, Ilhas Virgens Britânicas, Bulgária, Burkina Faso, Camarões, Ilhas Caimão, República Centro-Africana, Ilhas Cook, Costa do Marfim, Croácia, Diego Garcia, Jibuti, República Dominicana, República Dominicana, República Dominicana, Equador, El Salvador, Eritreia, Ilhas Malvinas, Fiji, Guiana Francesa, Polinésia Francesa, Gâmbia, Geórgia, Alemanha, Gibraltar, Granada, Guadalupe, Guam, Guiné, Guiana, Honduras, Índia, Quénia, Quiribati, Laos, Libéria, Malásia, Ilhas Marshall, Martinica, Maurícia, Mónaco, Montenegro, Montserrate, Países Baixos, Nova Caledónia, Niue, Omã, Palau, Panamá, Paraguai, Peru, Porto Rico, Porto Rico, Reunião, Ruanda, Santa Helena, Ascensão e Tristão de Cunha, São Cristóvão & Nevis, Santa Lúcia, São Pedro & Miquelon, São Vicente e Granadinas, Saipan, Samoa, São Marino, Arábia Saudita, São Martinho, Eslovénia, África do Sul, Sudão do Sul, Suriname, Suazilândia (Novo Nome é Reino de Eswatini), Timor-Leste, Tokelau, Tonga, Ilhas Turcas & Caicos, Tuvalu, Emirados Árabes Unidos, Vanuatu, Venezuela, Vietname, Wallis e Futuna |
| Autenticação por telefone de alto custo | Liechtenstein, Bermudas, Cabo Verde, Camboja, República Democrática do Congo, Dominica, Egito, Guiné Equatorial, Gana, Guatemala, Guiné-Bissau, Israel, Jamaica, Jamaica, Kosovo, Lesoto, Maldivas, Mali, Mauritânia, Marrocos, Moçambique, Papua-Nova Guiné, Filipinas, Qatar, Serra Leoa, Trinidad & Tobago, Ucrânia, Zimbabwe, Afeganistão, Argélia, Azerbaijão, Bangladesh, Bielorrússia, Belize, Butão, Burundi, Chade, Comores, Congo, Etiópia, República Gabonesa, Haiti, Indonésia, Iraque, Jordânia, Kuwait, Quirguistão, Líbano, Líbia, Madagáscar, Malawi, Mongólia, Mianmar, Nauru, Nepal, Níger, Nigéria, Paquistão, Autoridade Nacional Palestiniana, Rússia, Senegal, Sérvia, Somália, Sri Lanka, Sudão, Tajiquistão, Tanzânia, República Togolesa, Tunísia, Turquemenistão, Uganda, Uzbequistão, Iémen, Zâmbia |
Regiões de aceitação para SMS
A partir de janeiro de 2025, determinados códigos de país serão desativados por padrão para verificação por SMS. Se você quiser permitir o tráfego de regiões desativadas, precisará ativá-los para seu aplicativo usando a política do Microsoft Graph onPhoneMethodLoadStartevent . Consulte Regiões que exigem aceitação para verificação por SMS.