Partilhar via

Exigir força de autenticação multifator para usuários externos

A força da autenticação é um controle de Acesso Condicional que permite definir uma combinação específica de métodos de autenticação multifator (MFA) que um usuário externo deve concluir para acessar seus recursos. Esse controle é especialmente útil para restringir o acesso externo a aplicativos confidenciais em sua organização. Por exemplo, você pode criar uma política de Acesso Condicional, exigir uma força de autenticação resistente a phishing na política e atribuí-la a convidados e usuários externos.

O Microsoft Entra ID fornece três pontos fortes de autenticação internos:

  • Força de autenticação multifator (menos restritiva) recomendada neste artigo
  • Força do MFA sem necessidade de senha
  • Força MFA resistente a phishing (mais restritiva)

Você pode usar uma das forças internas ou criar uma força de autenticação personalizada com base nos métodos de autenticação que deseja exigir.

Em cenários de utilizador externo, os métodos de autenticação multifator (MFA) que um inquilino de recurso pode aceitar variam dependendo de o utilizador estar a concluir a MFA no seu inquilino principal ou no inquilino de recurso. Para obter detalhes, consulte Força de autenticação para usuários externos.

Nota

Atualmente, você só pode aplicar políticas de força de autenticação a usuários externos que se autenticam com a ID do Microsoft Entra. Para utilizadores de código de acesso único por e-mail, SAML/WS-Fed e federação Google, utilize o controlo de concessão de MFA para exigir MFA.

Definir configurações de acesso entre locatários para confiar no MFA

As políticas de robustez de autenticação funcionam em conjunto com as definições de confiança de MFA nas suas definições de acesso entre locatários para determinar onde e de que forma o utilizador externo deve efetuar a MFA. Um usuário do Microsoft Entra primeiro se autentica com sua própria conta em seu locatário doméstico. Em seguida, quando esse utilizador tenta aceder ao seu recurso, o Microsoft Entra ID aplica a política de Acesso Condicional de força de autenticação e verifica se você habilitou a confiança de MFA.

  • Se a confiança de MFA estiver ativada, a ID do Microsoft Entra verificará a sessão de autenticação do utilizador em busca de uma declaração indicando que a MFA foi cumprida no tenant de origem do utilizador.
  • Se a confiança de MFA estiver desabilitada, o locatário de recurso apresentará ao usuário um desafio para concluir a MFA no locatário de recurso usando um método de autenticação aceitável.

Os métodos de autenticação que os usuários externos podem usar para satisfazer os requisitos de MFA são diferentes, dependendo se o usuário está concluindo MFA em seu locatário doméstico ou no locatário de recurso. Consulte a tabela em Força da autenticação de Acesso Condicional.

Importante

Antes de criar a política de acesso condicional, verifique as configurações de acesso entre entidades para garantir que as configurações de confiança de MFA entrantes estejam configuradas conforme pretendido.

Exclusões de utilizadores

As políticas de Acesso Condicional são ferramentas poderosas. Recomendamos excluir as seguintes contas das suas políticas:

  • Acesso de emergência ou contas de quebra-vidro para evitar o bloqueio devido à configuração incorreta da política. No cenário improvável em que todos os administradores estão bloqueados, sua conta administrativa de acesso de emergência pode ser usada para entrar e recuperar o acesso.
  • Contas de serviço e principais de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão vinculadas a nenhum usuário específico. Eles geralmente são usados por serviços de back-end para permitir acesso programático a aplicativos, mas também são usados para entrar em sistemas para fins administrativos. As chamadas feitas por entidades de serviço não são bloqueadas pelas políticas de Acesso Condicional com escopo para os usuários. Use o Acesso Condicional para identidades de carga de trabalho para definir políticas destinadas a entidades de serviço.

Criar uma política de Acesso Condicional

Use as etapas a seguir para criar uma política de Acesso Condicional que aplique uma força de autenticação a usuários externos.

Aviso

Se utilizar métodos de autenticação externos, estes são atualmente incompatíveis com o nível de segurança da autenticação e deve usar o controlo de concessão Exigir autenticação multifator.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até Entra ID>Acesso Condicional>Políticas.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, escolha Selecionar usuários e grupos e, em seguida, selecione Usuários convidados ou externos.
      1. Selecione os tipos de usuários convidados ou externos aos quais você deseja aplicar a política.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
  6. Em Recursos de destino>(anteriormente aplicações na nuvem), em Incluir ou Excluir, selecione quaisquer aplicações que pretenda incluir ou excluir dos requisitos de força de autenticação.
  7. Em Controlos de acesso>Conceder, selecione Conceder acesso.
    1. Selecione Exigir força de autenticação e, em seguida, selecione a força de autenticação interna ou personalizada apropriada na lista.
    2. Selecione Selecionar.
  8. Confirme suas configurações e defina Habilitar política como Somente relatório.
  9. Selecione Criar para criar para habilitar sua política.

Depois de confirmar suas configurações usando o impacto da política ou o modo somente relatório, mova a alternância Habilitar política de Somente relatório para Ativado.

Conteúdos relacionados

  • Last updated on