Gerenciar um método de autenticação externa no Microsoft Entra ID (versão prévia)

Um método de autenticação externa (EAM) permite que os usuários escolham um provedor externo para atender aos requisitos de MFA (autenticação multifator) ao iniciarem a sessão no Microsoft Entra ID.

Aqui está um diagrama de como o método de autenticação externa funciona:

Metadados necessários para configurar um EAM

Para criar um EAM, você precisa das seguintes informações do seu provedor de autenticação externo:

• Uma ID de Aplicativo geralmente é um aplicativo multilocatário do seu provedor, que é usado como parte da integração. Você precisa fornecer consentimento do administrador para este aplicativo em seu locatário.

• Um Client ID é um identificador fornecido pelo seu provedor, usado como parte da integração de autenticação para identificar o Microsoft Entra ID que solicita autenticação.

• Uma URL de Descoberta é o endpoint de descoberta do OpenID Connect (OIDC) para o provedor de autenticação externo.

  Para obter mais informações sobre como configurar o registro do aplicativo, consulte Configurar um novo provedor de autenticação externa com a ID do Microsoft Entra.

  Importante

  Verifique se a propriedade kid (Key ID) é codificada em base64 no cabeçalho JWT (Token Web JSON) do id_token e no JWKS (Conjunto de Chaves Web JSON) recuperado do jwks_uri do provedor. Esse alinhamento de codificação é essencial para a validação perfeita de assinaturas de token durante os processos de autenticação. O desalinhamento pode resultar em problemas com correspondência de chave ou validação de assinatura.

Gerenciar um EAM no centro de administração do Microsoft Entra

Os EAMs são gerenciados com a política de métodos de autenticação do Microsoft Entra ID, assim como métodos internos.

Criar um EAM no centro de administração

Antes de criar um EAM no centro de administração, verifique se você tem os metadados para configurar um EAM.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Funções Com Privilégios.

2. Navegue até Entra ID>Métodos de autenticação>Adicionar método externo (versão prévia).

   

   Adicione propriedades de método com base nas informações de configuração do seu provedor. Por exemplo:

   • Nome: Adatum
   • ID do Cliente: 00001111-aaaa-2222-bbbb-3333cccc4444
   • Ponto de extremidade de descoberta: https://adatum.com/.well-known/openid-configuration
   • ID do Aplicativo: 11112222-bbbb-3333-cccc-4444dddd5555

   Importante

   O usuário vê o nome de exibição no seletor de método. Você não pode alterar o nome depois de criar o método. O nome de exibição deve ser exclusivo.

   

   Você precisa, pelo menos, da função Administrador de Função com Privilégios para conceder o consentimento de administrador para o aplicativo do provedor. Se você não tiver a função necessária para conceder consentimento, ainda poderá salvar o seu método de autenticação, mas não poderá habilitá-lo até que o consentimento seja concedido.

   Depois de inserir os valores do seu provedor, pressione o botão para solicitar que o consentimento do administrador seja concedido ao aplicativo para que ele possa ler as informações necessárias do usuário para se autenticar corretamente. Você será solicitado a entrar com uma conta com permissões de administrador e conceder ao aplicativo do provedor as permissões necessárias.

   Depois de entrar, selecione Aceitar para conceder consentimento do administrador:

   

   Você pode ver as permissões que o aplicativo do provedor solicita antes de conceder consentimento. Depois que você conceder o consentimento do administrador e a alteração for replicada, a página será atualizada para mostrar que o consentimento do administrador foi concedido.

   

Se o aplicativo tiver permissões, você também poderá habilitar o método antes de salvar. Caso contrário, você precisará salvar o método em um estado desabilitado e habilitá-lo depois que o aplicativo receber consentimento.

Depois que o método estiver habilitado, todos os usuários no escopo poderão escolher o método para qualquer prompt de MFA. Se o aplicativo do provedor não tiver consentimento aprovado, qualquer entrada com o método falhará.

Se o aplicativo for excluído ou não tiver mais permissão, os usuários verão um erro e a entrada falhará. O método não pode ser usado.

Configurar um EAM no centro de administração

Para gerenciar seus EAMs no centro de administração do Microsoft Entra, abra a política de métodos de autenticação. Selecione o nome do método para abrir as opções de configuração. Você pode escolher quais usuários estão incluídos e excluídos do uso deste método.

Excluir um EAM no centro de administração

Se você não quiser mais que seus usuários possam usar o EAM, você poderá:

• Definir Habilitar para Desativar para salvar a configuração do método
• Selecione Excluir para remover o método

Gerenciar um EAM usando o Microsoft Graph

Para gerenciar a política de métodos de autenticação usando o Microsoft Graph, você precisa da permissão Policy.ReadWrite.AuthenticationMethod. Para obter mais informações, consulte Update authenticationMethodsPolicy.

Experiência do usuário

Os usuários habilitados para o EAM podem usá-lo quando entrarem e a autenticação multifator for necessária.

Se o usuário tiver outras maneiras de entrar e a MFA preferencial do sistema estiver habilitada, esses outros métodos aparecerão por ordem padrão. O usuário pode optar por usar um método diferente e selecionar o EAM. Por exemplo, se o usuário tiver o Authenticator habilitado como outro método, ele será solicitado a fazer a correspondência de números.

Se o usuário não tiver outros métodos habilitados, ele poderá simplesmente escolher o EAM. Eles é redirecionado para o provedor de autenticação externa para concluir a autenticação.

Registro do método de autenticação para EAMs

Na Visualização do EAM, os usuários que são membros de grupos habilitados para EAM podem usar um EAM para satisfazer a MFA. Esses usuários não estão incluídos em relatórios sobre o registro do método de autenticação.

A distribuição do registro do EAM na ID do Microsoft Entra está em andamento. Depois que a distribuição for concluída, os usuários precisarão registrar seu EAM com a ID do Microsoft Entra antes de poderem usá-la para satisfazer a MFA. Como parte dessa distribuição, o Microsoft Entra ID registrará automaticamente usuários recentes do EAM que acessaram usando um EAM nos últimos 28 dias.

Os usuários que não entraram com o EAM dentro de 28 dias após a distribuição do recurso de registro devem registrar o EAM antes que possam usá-lo novamente. Esses usuários podem ver uma alteração na próxima vez que entrarem, dependendo da configuração de autenticação atual:

• Se eles estiverem habilitados apenas para o EAM, eles deverão concluir um registro just-in-time do EAM antes de prosseguir.
• Se estiverem habilitados para EAM e outros métodos de autenticação, eles poderão perder o acesso ao EAM para autenticação. Há duas maneiras de recuperar o acesso:
  • Eles podem registrar seu EAM nas informações de segurança.
  • Um administrador pode usar o Centro de administração do Microsoft Entra ou o Microsoft Graph para registrar o EAM em seu nome.

As próximas seções abrangem as etapas para cada opção.

Como os usuários registram seu EAM nas informações de segurança

Os usuários podem seguir estas etapas para registrar um EAM nas informações de segurança:

1. Entre nas informações de segurança.
2. Selecione + Adicionar método de entrada.
3. Quando solicitado a selecionar um método de entrada em uma lista de opções disponíveis, selecione métodos de Autenticação Externa.
4. Selecione Avançar na tela de confirmação.
5. Conclua o segundo desafio de fator com o provedor externo. Se tiver êxito, os usuários poderão ver o EAM listado em seus métodos de entrada.

Como os usuários registram seu EAM usando o assistente de registro

Quando um usuário entra, um assistente de registro ajuda a registrar os EAMs que ele está habilitado para usar. Se eles estiverem habilitados para outros métodos de autenticação, talvez precisem selecionar eu quero configurar um método> diferentemétodo métodos de Autenticação Externa para continuar. Eles precisam se autenticar com seu provedor de EAM para registrar o EAM na ID do Microsoft Entra.

Se a autenticação for bem-sucedida, uma mensagem confirmará a conclusão do registro e o EAM será registrado. O usuário é redirecionado para o recurso que queria acessar. 

Se a autenticação falhar, o usuário será redirecionado de volta para o assistente de registro e a página de registro mostrará uma mensagem de erro. O usuário pode tentar novamente ou escolher outra maneira de entrar se estiver habilitado para outros métodos. 

Como os administradores registram um EAM para um usuário

Os administradores podem registrar um usuário para um EAM. Se ele registrar um usuário para um EAM, o usuário não precisará registrar seu EAM nas informações de segurança ou usando o assistente de registro.

Os administradores também podem excluir o registro em nome de um usuário. Eles podem excluir um registro para ajudar os usuários em cenários de recuperação porque seu próximo sinal dispara um novo registro. Eles podem excluir o registro do EAM no Centro de administração do Microsoft Entra ou no Microsoft Graph. Os administradores podem criar um script do PowerShell para atualizar o estado de registro de vários usuários ao mesmo tempo.

No centro de administração do Microsoft Entra:

1. Sekecuibe Usuários>Todos os usuários.
2. Selecione o usuário que precisa ser registrado para o EAM.
3. No menu Usuário, selecione Métodos de Autenticação e selecione + Adicionar Método de Autenticação.
4. Selecione o método de autenticação externa.
5. Selecione um ou mais EAMs e selecione Salvar.
6. Uma mensagem de sucesso é exibida e os métodos selecionados anteriormente estão listados em métodos de autenticação utilizáveis.

Usando controles personalizados de acesso condicional e EAM em paralelo

EAMs e controles personalizados podem operar em paralelo. A Microsoft recomenda que os administradores configurem duas políticas de acesso condicional:

• Uma política para impor o controle personalizado
• Outra política com a concessão de MFA necessária

Inclua um grupo de teste de usuários para cada política, mas não ambos. Se um usuário estiver incluído em ambas as políticas ou em qualquer política com ambas as condições, o usuário deverá concluir a MFA durante a entrada. Ele também precisará ser submetido ao controle personalizado, o que redirecionará para o provedor externo uma segunda vez.

perguntas frequentes

1. Por que os Métodos de Autenticação Externa (EAM) não funcionam no Windows 10 durante a instalação do dispositivo?

Resposta:
Se você estiver configurando um dispositivo com Windows 10 usando uma identidade somente EAM, poderá encontrar um problema em que a experiência de configuração Out-of-Box (OOB) falha e impede que você prossiga com o login.

Esse comportamento ocorre porque o Windows 10 não dá suporte nativo ao EAM durante o OOBE (Experiência Pronta para Uso).
A Microsoft não dá mais suporte ao Windows 10 (https://www.microsoft.com/en-us/windows/end-of-support?msockid=26a3312b6b246f501ec624846a4f6e11) e não há planos para estender o suporte de EAM a ele.

Para usar métodos de autenticação externa para entrar, atualize para o Windows 11

Próximas etapas

Para obter mais informações sobre como gerenciar métodos de autenticação, consulte Gerenciar métodos de autenticação para a ID do Microsoft Entra.

Para referência do provedor EAM, consulte a referência do provedor de método externo de autenticação multifator do Microsoft Entra (versão prévia).