Compartilhar via


Ativar a autenticação multifator no Azure Active Directory B2C

Antes de começar, use o seletor Escolher um tipo de política para escolher o tipo de política que você está configurando. O Azure Active Directory B2C oferece dois métodos para definir como os usuários interagem com seus aplicativos: por meio de fluxos dos usuários predefinidos ou de políticas personalizadas totalmente configuráveis. As etapas necessárias neste artigo são diferentes para cada método.

O Azure Active Directory B2C (Azure AD B2C) integra-se diretamente à autenticação multifator do Microsoft Entra para que seja possível adicionar uma segunda camada de segurança às experiências de inscrição e de logon nos aplicativos. Você habilita a autenticação multifator sem escrever uma única linha de código. Se você já criou fluxos de usuário de inscrição e de login, ainda poderá ativar a autenticação multifator.

Esse recurso ajuda os aplicativos a lidarem com cenários, tais como:

  • Não é necessário a autenticação multifator para acessar um aplicativo, mas precisa dele para acessar outro. Por exemplo, o cliente pode entrar em um aplicativo de seguro de automóvel com uma conta social ou local, mas deve verificar o número de telefone antes de acessar o aplicativo de seguro residencial registrado no mesmo diretório.
  • Não é necessário a autenticação multifator para acessar um aplicativo em geral, mas você precisa dele para acessar as partes confidenciais dentro dele. Por exemplo, o cliente pode entrar em um aplicativo bancário com uma conta social ou local e verificar o saldo da conta, mas deve verificar o número de telefone antes de tentar fazer uma transferência eletrônica.

Pré-requisitos

Métodos de verificação

Com o Acesso Condicional, os usuários podem ou não ser desafiados por MFA com base nas decisões de configuração que você pode tomar como administrador. Os métodos de autenticação multifator são:

  • Email - durante a entrada, um email de verificação contendo uma senha de uso único (OTP) é enviado ao usuário. O usuário fornece o código de OTP que foi enviado no email.
  • SMS ou chamada telefônica - durante a primeira inscrição ou entrada, o usuário é solicitado a fornecer e verificar um número de telefone. Durante as entradas subsequentes, o usuário será solicitado a selecionar a opção enviar código ou ligar para mim telefone do MFA. Dependendo da escolha do usuário, uma mensagem de texto é enviada ou uma chamada telefônica é feita para o número de telefone verificado para identificar o usuário. O usuário fornece o código de OTP enviado por mensagem de texto ou aprova a chamada telefônica.
  • Telefone somente chamada - funciona da mesma maneira que a opção SMS ou chamada telefônica, mas apenas uma chamada telefônica é feita.
  • SMS somente - funciona da mesma maneira que a opção SMS ou chamada telefônica, mas apenas uma mensagem de texto é enviada.
  • Aplicativo Autenticador – TOTP (versão prévia) – O usuário deve instalar um aplicativo autenticador que dá suporte à verificação de TOTP (senha de uso único) baseada em tempo, como o aplicativo Microsoft Authenticator, em um dispositivo pertencente a ele. Durante a primeira inscrição ou entrada, o usuário examina um código QR ou insere um código manualmente usando o aplicativo autenticador. Durante as entradas subsequentes, o usuário digita o código TOTP que aparece no aplicativo autenticador. Consulte, Como configurar o aplicativo Microsoft Authenticator.

Importante

O aplicativo Autenticador - TOTP fornece segurança mais forte do que o SMS/Telefone e o email é o menos seguro. A autenticação multifator baseada em SMS/Telefone incorre em encargos separados do modelo de preços da Azure AD B2C MAU normal.

Definir autenticação multifator

  1. Entre no portal do Azure.

  2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o seu locatário do Azure Active Directory B2C no menu Diretórios + assinaturas.

  3. No menu à esquerda, selecione Azure AD B2C. Ou selecione Todos os serviços e pesquise e selecione Azure AD B2C.

  4. Escolha Fluxos de usuário.

  5. Selecione o fluxo de usuário para o qual deseja habilitar a MFA. Por exemplo, B2C_1_signinsignup.

  6. Selecione Propriedades.

  7. Na seção Autenticação multifator, selecione o Tipo de métododesejado. Em seguida, em Imposição de MFA, selecione uma opção:

    • Desabilitada – a MFA nunca é imposta durante a entrada, e os usuários não são solicitados a se registrar na MFA durante a inscrição ou entrada.

    • Sempre ativada – A MFA sempre é exigida, independentemente da configuração do Acesso condicional. Durante a inscrição, os usuários são solicitados a se registrarem na MFA. Durante a entrada, se os usuários ainda não estiverem registrados na MFA, será solicitado que eles se registrem.

    • Condicional – Durante a inscrição e a entrada, os usuários são solicitados a se registrar na MFA (usuários novos e existentes que não estiverem registrados na MFA). Durante a entrada, a MFA é aplicada somente quando exigida por uma avaliação da Política de Acesso Condicional ativa:

      • Se o resultado for um desafio MFA sem risco, a MFA será aplicada. Se o usuário ainda não estiver registrado na MFA, ele será solicitado a fazê-lo.
      • Se o resultado for um desafio de MFA devido a risco e o usuário não estiver registrado na MFA, a entrada será bloqueada.

    Observação

    • Com a disponibilidade geral do Acesso condicional no Azure AD B2C, agora os usuários são solicitados a se registrar em um método de MFA durante a inscrição. Os fluxos de usuário para inscrição criados antes da disponibilidade geral não refletirão esse novo comportamento automaticamente, mas você pode incluir o comportamento criando novos fluxos de usuário.
    • Se você selecionar Condicional, também precisará adicionar Acesso condicional aos fluxos de usuário e definir os aplicativos aos quais deseja que a política se aplique.
    • A autenticação multifator é desabilitada por padrão para fluxos de usuário de inscrição. É possível habilitar a MFA em fluxos de usuário com inscrição no telefone, mas como um número de telefone é usado como o identificador primário, o email de senha de uso único é a única opção disponível para o segundo fator de autenticação.
  8. Selecione Salvar. A MFA agora está habilitada para este fluxo de usuário.

Você pode usar Executar fluxo de usuário na política para verificar a experiência. Confirme o seguinte cenário:

Uma conta de cliente é criada em seu locatário antes que a etapa de autenticação de vários fatores ocorra. Durante a etapa, o cliente é solicitado a fornecer um número de telefone e a verificar. Se a verificação for bem-sucedida, o número de telefone será anexado à conta para uso posterior. Mesmo se o cliente cancelar ou desistir, o cliente poderá ser solicitado a confirmar um número de telefone novamente durante o próximo login, com a autenticação multifator ativada.

Para habilitar a autenticação multifator, obtenha o pacote de início da política personalizada no GitHub da seguinte maneira:

  • Baixe o arquivo de .zip ou clone o repositório do https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack e, em seguida, atualize os arquivos XML no pacote de início do SocialAndLocalAccountsWithMFA com o nome do locatário do Azure AD B2C. O SocialAndLocalAccountsWithMFA habilita opções de logon locais e sociais e opções de autenticação multifator, exceto o aplicativo Authenticator ─ TOTP.
  • Para dar suporte à opção de MFA aplicativo Autenticador - TOTP, baixe os arquivos de política personalizados do https://github.com/azure-ad-b2c/samples/tree/master/policies/totp e, em seguida, atualize os arquivos XML com o nome do locatário do Azure AD B2C. Certifique-se de incluir os arquivos TrustFrameworkExtensions.xml, TrustFrameworkLocalization.xml, e TrustFrameworkBase.xml XML do pacote inicial SocialAndLocalAccounts.
  • Atualize seu [layout de página] para a versão 2.1.14. Para obter mais informações, consulte Selecionar um layout da página.

Registrar um usuário no TOTP com um aplicativo autenticador (para usuários finais)

Quando um aplicativo Azure AD B2C habilita o MFA usando a opção TOTP, os usuários finais precisam usar um aplicativo autenticador para gerar códigos TOTP. Os usuários podem usar o aplicativo Microsoft Authenticator ou qualquer outro aplicativo autenticador com suporte para a verificação de TOTP. Um administrador de sistema Azure AD B2C precisa aconselhar os usuários finais a configurar o aplicativo Microsoft Authenticator usando as seguintes etapas:

  1. Baixar e instalar o aplicativo Microsoft Authenticator em seu dispositivo móvel Android ou iOS.
  2. Abra o aplicativo que exige que você use o TOTP para MFA, por exemplo, contoso webapp e, em seguida, entre ou Inscreva-se inserindo as informações necessárias.
  3. Se você for solicitado a registrar sua conta examinando um código QR usando um aplicativo autenticador, abra o aplicativo Microsoft Authenticator em seu telefone e, no canto superior direito, selecione o ícone de menu com três pontos (para Android) ou ícone de menu + (para IOS).
  4. Selecione + Adicionar Conta.
  5. Selecione outra conta (Google, Facebook, etc.)e, em seguida, verifique o código QR mostrado no aplicativo (por exemplo, contoso webapp) para registrar sua conta. Se não for possível verificar o código QR, você poderá adicionar a conta manualmente:
    1. No aplicativo Microsoft Authenticator em seu telefone, selecione ou insira o código manualmente.
    2. No aplicativo (por exemplo, o aplicativo Web da Contoso), selecione Ainda com problemas?. Você verá Nome da conta e Segredo.
    3. Insira o nome da conta e o segredo em seu aplicativo Microsoft Authenticator e, em seguida, selecione concluir.
  6. No aplicativo (por exemplo, contoso webapp), selecione continuar.
  7. Em inserir seu código, insira o código que aparece em seu aplicativo Microsoft Authenticator.
  8. Selecione Verificar.
  9. Durante a entrada subsequente no aplicativo, digite o código que aparece no aplicativo Microsoft Authenticator.

Saiba mais sobre Tokens de software OATH

Excluir o registro do autenticador TOTP do usuário (para administradores do sistema)

No Azure AD B2C, você pode excluir o registro de aplicativo do autenticador TOTP de um usuário. Em seguida, o usuário deve registrar novamente sua conta para usar a autenticação TOTP novamente. Para excluir o registro TOTP de um usuário, você pode usar o portal do Azure ou a API do Microsoft Graph.

Observação

  • Excluir o registro de aplicativo autenticador TOTP de um usuário Azure AD B2C não remove a conta do usuário no aplicativo autenticador TOTP. O administrador do sistema precisa direcionar o usuário para excluir manualmente sua conta do aplicativo autenticador TOTP antes de tentar se registrar novamente.
  • Se o usuário excluir acidentalmente sua conta do aplicativo autenticador TOTP, ele precisará notificar um administrador do sistema ou proprietário do aplicativo que pode excluir o registro do autenticador TOTP do usuário do Azure AD B2C para que o usuário possa registrar-se.

Excluir o registro do aplicativo autenticador TOTP usando o portal do Azure

  1. Entre no portal do Azure.
  2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para o seu locatário do Azure Active Directory B2C no menu Diretórios + assinaturas.
  3. No menu esquerdo, selecione Usuários.
  4. Pesquise e selecione o usuário para o qual você deseja excluir o registro de aplicativo autenticador TOTP.
  5. No menu à esquerda, selecione Métodos de autenticação.
  6. Em Métodos de autenticação utilizáveis, localize o Token OATH de software e selecione o menu de reticências ao lado dele. Se você não visualizar essa interface, selecione a opção para Alternar para a nova experiência de métodos de autenticação de usuário! Clique aqui para usá-lo agora e alternar para a nova experiência de métodos de autenticação.
  7. Selecione Excluir e, em seguida, selecione Sim para confirmar.

User authentication methods

Excluir o registro do aplicativo autenticador TOTP usando a API do Microsoft Graph

Saiba como excluir o método de autenticação de token OATH de software de um usuário usando a API do Microsoft Graph.