Partilhar via

Exigir força de autenticação multifator para usuários externos

  • Artigo

A força da autenticação é um controle de Acesso Condicional que permite definir uma combinação específica de métodos de autenticação multifator (MFA) que um usuário externo deve concluir para acessar seus recursos. Esse controle é especialmente útil para restringir o acesso externo a aplicativos confidenciais em sua organização. Por exemplo, você pode criar uma política de Acesso Condicional, exigir uma força de autenticação resistente a phishing na política e atribuí-la a convidados e usuários externos.

O Microsoft Entra ID fornece três pontos fortes de autenticação internos:

  • Força de autenticação multifator (menos restritiva) recomendada neste artigo
  • Força do MFA sem necessidade de senha
  • Força MFA resistente a phishing (mais restritiva)

Você pode usar uma das forças internas ou criar uma força de autenticação personalizada com base nos métodos de autenticação que deseja exigir.

Em cenários de utilizador externo, os métodos de autenticação multifator (MFA) que um inquilino de recurso pode aceitar variam dependendo de o utilizador estar a concluir a MFA no seu inquilino principal ou no inquilino de recurso. Para obter detalhes, consulte Força de autenticação para usuários externos.

Nota

Atualmente, você só pode aplicar políticas de força de autenticação a usuários externos que se autenticam com a ID do Microsoft Entra. Para usuários de senha única de e-mail, SAML/WS-Fed e federação do Google, use o controle de concessão de MFA para exigir MFA.

Definir configurações de acesso entre locatários para confiar no MFA

As políticas de robustez de autenticação funcionam em conjunto com as definições de confiança de MFA nas suas definições de acesso entre locatários para determinar onde e de que forma o utilizador externo deve efetuar a MFA. Um usuário do Microsoft Entra primeiro se autentica com sua própria conta em seu locatário doméstico. Em seguida, quando esse utilizador tenta aceder ao seu recurso, o Microsoft Entra ID aplica a política de Acesso Condicional de força de autenticação e verifica se você habilitou a confiança de MFA.

  • Se a confiança de MFA estiver habilitada, o Microsoft Entra ID verificará a sessão de autenticação do utilizador em busca de uma declaração indicando que a MFA foi cumprida no locatário doméstico do utilizador.
  • Se a confiança de MFA estiver desativada, o tenant de recursos apresenta ao utilizador um desafio para concluir a MFA no tenant de recursos usando um método de autenticação aceitável.

Os métodos de autenticação que os usuários externos podem usar para satisfazer os requisitos de MFA são diferentes, dependendo se o usuário está concluindo MFA em seu locatário doméstico ou no locatário de recurso. Consulte a tabela em Força da autenticação de Acesso Condicional.

Importante

Antes de criar a política de acesso condicional, verifique as configurações de acesso entre entidades para garantir que as configurações de confiança de MFA entrantes estejam configuradas conforme pretendido.

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas das suas políticas:

  • Acesso de emergência ou contas de acesso temporário para evitar o bloqueio devido à configuração incorreta das políticas. No cenário improvável de todos os administradores estarem bloqueados, sua conta administrativa de acesso de emergência pode ser usada para fazer login e tomar medidas para recuperar o acesso.
  • Contas de serviço e principais de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum utilizador em particular. Normalmente, são usadas por serviços de back-end que permitem acesso programático a aplicações, mas também são usadas para iniciar sessão em sistemas para fins administrativos. As chamadas feitas por entidades de serviço não serão bloqueadas pelas políticas de Acesso Condicional dirigidas a utilizadores. Utilize o Acesso Condicional para identidades de serviço para definir políticas direcionadas a entidades de serviço.
    • Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.

Criar uma política de Acesso Condicional

Use as etapas a seguir para criar uma política de Acesso Condicional que aplique uma força de autenticação a usuários externos.

Aviso

Se você usar métodos de autenticação externos, eles são atualmente incompatíveis com a força da autenticação e você deve usar o Exigir autenticação multifator conceder controle.

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Proteção>Acesso Condicional>Políticas.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, escolha Selecionar usuários e grupos e, em seguida, selecione Usuários convidados ou externos.
      1. Selecione os tipos de usuários convidados ou externos aos quais você deseja aplicar a política.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
  6. Em Recursos de destino>(anteriormente aplicações na nuvem), em Incluir ou Excluir, selecione quaisquer aplicações que pretenda incluir ou excluir dos requisitos de força de autenticação.
  7. Em Controles de acesso>Conceder, selecione Conceder acesso.
    1. Selecione Exigir força de autenticação e, em seguida, selecione a força de autenticação interna ou personalizada apropriada na lista.
    2. Selecione Selecionar.
  8. Confirme as suas definições e defina Ativar política para Apenas relatório.
  9. Selecione Criar para criar para habilitar sua política.

Depois de confirmar as suas definições usando modo somente relatório, um administrador pode mover a alternância de política Habilitar de Somente relatório para Ativado.

Conteúdos relacionados