Adicionar autenticação multifator (MFA) a um aplicativo
Aplica-se a:Locatários da força detrabalho Locatários externos (saiba mais)
A autenticação multifator (MFA) adiciona uma camada de segurança aos seus aplicativos. Com o MFA, os clientes que entram com um nome de usuário e senha são solicitados a fornecer uma senha única como um segundo método de verificação. Este artigo descreve como impor a MFA para seus clientes criando uma política de Acesso Condicional do Microsoft Entra e adicionando MFA ao seu fluxo de usuário de inscrição e entrada. Em um locatário externo do Microsoft Entra External ID, você pode adicionar uma camada de segurança aos seus aplicativos voltados para o consumidor e para o cliente corporativo impondo a autenticação multifator (MFA). Com o MFA, cada vez que um usuário faz login, ele é obrigado a fornecer uma senha única por e-mail. Este artigo descreve como impor a MFA para seus clientes criando uma política de Acesso Condicional do Microsoft Entra e adicionando MFA ao seu fluxo de usuário de inscrição e entrada.
Importante
Se você quiser habilitar o MFA, defina seu método de autenticação de conta local como Email com senha. Se você definir sua opção de conta local como Email com senha única, os clientes que usam esse método não poderão entrar porque a senha de uso único já é seu método de entrada de primeiro fator e não pode ser usada como um segundo fator. Atualmente, a senha única é o único método disponível para MFA em locatários externos.
Gorjeta
Para experimentar esse recurso, vá para a demonstração do Woodgrove Groceries e inicie o caso de uso "Autenticação multifator".
Pré-requisitos
- Um locatário externo do Microsoft Entra (se você não tiver um locatário, poderá iniciar uma avaliação gratuita.
- Um fluxo de usuário de inscrição e entrada com o método de autenticação de conta local definido como Email com senha.
- Um aplicativo registrado em seu locatário externo, adicionado ao fluxo de usuário de inscrição e entrada e atualizado para apontar para o fluxo de usuário para autenticação.
- Uma conta com pelo menos a função de Administrador de Segurança para configurar políticas de Acesso Condicional e MFA.
Criar uma política de Acesso Condicional
Crie uma política de Acesso Condicional em seu locatário externo que solicite aos usuários MFA quando eles se inscreverem ou entrarem em seu aplicativo. (Para obter mais informações, consulte Política comum de acesso condicional: requer MFA para todos os usuários).
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
Navegue até a Central de Segurança da Proteção>de Identidade>.
Selecione Políticas de Acesso>Condicional e, em seguida, selecione Nova política.
Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
Em Atribuições, selecione o link em Usuários.
a. Na guia Incluir, selecione Todos os usuários.
b. Na guia Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
Selecione o link em Aplicativos ou ações na nuvem.
a. Na guia Incluir, escolha uma das seguintes opções:
Escolha Todos os aplicativos na nuvem.
Escolha Selecionar aplicativos e selecione o link em Selecionar. Encontre seu aplicativo, selecione-o e escolha Selecionar.
b. Em Excluir, selecione todos os aplicativos que não exigem autenticação multifator.
Em Controles de acesso, selecione o link em Conceder. Selecione Conceder acesso, selecione Exigir autenticação multifator e, em seguida, escolha Selecionar.
Confirme suas configurações e defina Ativar política como Ativado.
Selecione Criar para criar para habilitar sua política.
Habilite a senha única de e-mail como um método MFA
Habilite o método de autenticação de senha única de e-mail em seu locatário externo para todos os usuários.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
Navegue até Métodos de autenticação de proteção>de identidade>.
Na lista Método, selecione Enviar OTP por e-mail.
Em Ativar e Destino, ative a opção Ativar .
Em Incluir, ao lado de Destino, selecione Todos os usuários.
Selecione Guardar.
Testar o início de sessão
Em um navegador privado, abra seu aplicativo e selecione Entrar. Você deve ser solicitado a fornecer outro método de autenticação.