Partilhar via

Exigir força de autenticação multifator para usuários externos

  • Artigo

A força da autenticação é um controle de Acesso Condicional que permite definir uma combinação específica de métodos de autenticação multifator (MFA) que um usuário externo deve concluir para acessar seus recursos. Esse controle é especialmente útil para restringir o acesso externo a aplicativos confidenciais em sua organização. Por exemplo, você pode criar uma política de Acesso Condicional, exigir uma força de autenticação resistente a phishing na política e atribuí-la a convidados e usuários externos.

O Microsoft Entra ID fornece três pontos fortes de autenticação internos:

  • Força de autenticação multifator (menos restritiva) recomendada neste artigo
  • Força do MFA sem senha
  • Força MFA resistente a phishing (mais restritiva)

Você pode usar um dos pontos fortes internos ou criar um ponto forte de autenticação personalizado com base nos métodos de autenticação que deseja exigir.

Em cenários de usuário externo, os métodos de autenticação de MFA que um locatário de recurso pode aceitar variam dependendo se o usuário está concluindo MFA em seu locatário doméstico ou no locatário de recurso. Para obter detalhes, consulte Força de autenticação para usuários externos.

Nota

Atualmente, você só pode aplicar políticas de força de autenticação a usuários externos que se autenticam com a ID do Microsoft Entra. Para usuários de senha única de e-mail, SAML/WS-Fed e federação do Google, use o controle de concessão de MFA para exigir MFA.

Definir configurações de acesso entre locatários para confiar no MFA

As políticas de força de autenticação funcionam em conjunto com as configurações de confiança de MFA em suas configurações de acesso entre locatários para determinar onde e como o usuário externo deve executar MFA. Um usuário do Microsoft Entra primeiro se autentica com sua própria conta em seu locatário doméstico. Em seguida, quando esse usuário tenta acessar seu recurso, o Microsoft Entra ID aplica a política de Acesso Condicional de força de autenticação e verifica se você habilitou a confiança MFA.

  • Se a confiança de MFA estiver habilitada, a ID do Microsoft Entra verificará a sessão de autenticação do usuário em busca de uma declaração indicando que a MFA foi cumprida no locatário doméstico do usuário.
  • Se a confiança de MFA estiver desabilitada, o locatário de recurso apresentará ao usuário um desafio para concluir a MFA no locatário de recurso usando um método de autenticação aceitável.

Os métodos de autenticação que os usuários externos podem usar para satisfazer os requisitos de MFA são diferentes, dependendo se o usuário está concluindo MFA em seu locatário doméstico ou no locatário de recurso. Consulte a tabela em Força da autenticação de Acesso Condicional.

Importante

Antes de criar a política de Acesso Condicional, verifique as configurações de acesso entre locatários para garantir que as configurações de confiança de MFA de entrada estejam configuradas conforme pretendido.

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas, recomendamos excluir as seguintes contas das suas políticas:

  • Acesso de emergência ou contas de quebra-vidro para evitar o bloqueio devido à configuração incorreta da política. No cenário improvável de todos os administradores estarem bloqueados, sua conta administrativa de acesso de emergência pode ser usada para fazer login e tomar medidas para recuperar o acesso.
  • Contas de serviço e entidades de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum utilizador em particular. Normalmente, são usadas por serviços de back-end que permitem acesso programático a aplicações, mas também são usadas para iniciar sessão em sistemas para fins administrativos. As chamadas feitas por principais de serviço não serão bloqueadas pelas políticas de Acesso Condicional com âmbito definido para os utilizadores. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas direcionadas para principais de serviço.
    • Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.

Criar uma política de Acesso Condicional

Use as etapas a seguir para criar uma política de Acesso Condicional que aplique uma força de autenticação a usuários externos.

Aviso

Se você usar métodos de autenticação externos, eles são atualmente incompatíveis com a força da autenticação e você deve usar o controle de concessão Exigir autenticação multifator.

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Políticas de Acesso>Condicional de Proteção.>
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, escolha Selecionar usuários e grupos e, em seguida, selecione Usuários convidados ou externos.
      1. Selecione os tipos de usuários convidados ou externos aos quais você deseja aplicar a política.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
  6. Em Recursos de destino>(anteriormente aplicações na nuvem), em Incluir ou Excluir, selecione quaisquer aplicações que pretenda incluir ou excluir dos requisitos de força de autenticação.
  7. Em Conceder controles>de acesso, selecione Conceder acesso.
    1. Selecione Exigir força de autenticação e, em seguida, selecione a força de autenticação interna ou personalizada apropriada na lista.
    2. Selecione Selecionar.
  8. Confirme suas configurações e defina Habilitar política como Somente relatório.
  9. Selecione Criar para criar para habilitar sua política.

Depois de confirmar suas configurações usando o modo somente relatório, um administrador pode mover a alternância da política Habilitar de Somente relatório para Ativado.

Conteúdos relacionados