Compartilhar via

Habilitar a autenticação multifator no Azure Active Directory B2C

Importante

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.

Antes de começar, use o seletor Escolher um tipo de política na parte superior desta página para escolher o tipo de política que você está configurando. O Azure Active Directory B2C oferece dois métodos para definir como os usuários interagem com seus aplicativos: por meio de fluxos dos usuários predefinidos ou de políticas personalizadas totalmente configuráveis. As etapas necessárias neste artigo são diferentes para cada método.

O Azure Active Directory B2C (Azure AD B2C) integra-se diretamente à autenticação multifator do Microsoft Entra para que você possa adicionar uma segunda camada de segurança às experiências de inscrição e entrada em seus aplicativos. Se você já criou fluxos de usuário de inscrição e entrada, ainda poderá habilitar a autenticação multifator.

Usando esse recurso, os aplicativos podem lidar com vários cenários, como:

  • Exigir autenticação multifator para acessar um aplicativo, mas não exigir que ele acesse outro. Por exemplo, um cliente pode entrar em um aplicativo de seguro de automóvel com uma conta social ou local, mas deve verificar o número de telefone antes de acessar o aplicativo de seguro residencial registrado no mesmo diretório.
  • Exigir autenticação multifator para acessar um aplicativo em geral, mas não exigir que ele acesse as partes confidenciais dentro dele. Por exemplo, um cliente pode entrar em um aplicativo bancário com uma conta social ou local e verificar o saldo da conta, mas deve verificar o número de telefone antes de tentar uma transferência eletrônica.

Pré-requisitos

Métodos de verificação

Com o Acesso Condicional, os usuários podem ser solicitados a realizar MFA ou não, dependendo das decisões de configuração que você pode tomar como administrador. Os métodos da autenticação multifator são:

  • E-mail - Durante a entrada, um e-mail de verificação contendo uma senha de uso único (OTP) é enviado ao usuário. O usuário fornece o código OTP que foi enviado no e-mail para o aplicativo.
  • SMS ou chamada telefônica - Durante a primeira inscrição ou entrada, o usuário é solicitado a fornecer e verificar um número de telefone. Durante as entradas subsequentes, o usuário é solicitado a selecionar a opção Enviar Código ou Ligar para Mim . Dependendo da escolha do usuário, uma mensagem de texto é enviada ou uma chamada telefônica é feita para o número de telefone verificado para identificar o usuário. O usuário fornece o código OTP enviado por mensagem de texto ou aprova a chamada telefônica.
  • Somente chamada telefônica - Funciona da mesma forma que a opção SMS ou chamada telefônica, mas apenas uma chamada telefônica é feita.
  • Somente SMS - Funciona da mesma forma que a opção SMS ou chamada telefônica, mas apenas uma mensagem de texto é enviada.
  • Aplicativo autenticador – TOTP – o usuário deve instalar um aplicativo autenticador que dê suporte à verificação de senha de uso único baseada em tempo (TOTP), como o aplicativo Microsoft Authenticator, em um dispositivo de sua propriedade. Durante a primeira inscrição ou login, o usuário digitaliza um código QR ou insere um código manualmente usando o aplicativo autenticador. Durante as entradas subsequentes, o usuário digita o código TOTP que aparece no aplicativo autenticador. Veja como configurar o aplicativo Microsoft Authenticator.

Importante

Aplicativo autenticador - O TOTP oferece segurança mais forte do que SMS/telefone e o e-mail é o menos seguro. A autenticação multifator baseada em SMS/telefone incorre em encargos separados do modelo de preços normal do Azure AD B2C MAU.

Definir a autenticação multifator

  1. Entre no portal do Azure.

  2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.

  3. No menu à esquerda, selecione Azure AD B2C. Ou selecione Todos os serviços e pesquise e selecione Azure AD B2C.

  4. Escolha Fluxos de usuário.

  5. Selecione o fluxo de usuário para o qual você deseja habilitar a MFA. Por exemplo, B2C_1_signinsignup.

  6. Selecione Propriedades.

  7. Na seção Autenticação multifator , selecione o Tipo de método desejado. Em seguida, em Imposição de MFA , selecione uma opção:

    • Desativado – A Autenticação Multifator (MFA) nunca é aplicada durante o login e os usuários não são solicitados a se inscrever na MFA durante o cadastro ou login.

    • Sempre ativado – a MFA é sempre necessária, independentemente da configuração do Acesso Condicional. Durante a inscrição, os usuários são solicitados a se inscrever no MFA. Durante a entrada, se os usuários ainda não estiverem registrados na MFA, eles serão solicitados a se registrar.

    • Condicional – durante a inscrição e a entrada, os usuários são solicitados a se inscrever no MFA (usuários novos e usuários existentes que não estão registrados no MFA). Durante a entrada, a MFA é aplicada somente quando for exigida por uma avaliação da Política de Acesso condicional ativa:

      • Se o resultado for um desafio de MFA e não houver risco, a MFA é aplicada. Se o usuário ainda não estiver registrado na MFA, será solicitado que ele se registre.
      • Se o resultado for um desafio de MFA devido ao risco e o usuário não estiver registrado na MFA, o acesso será bloqueado.

    Observação

    • Com a disponibilidade geral do Acesso Condicional no Azure AD B2C, os usuários agora são solicitados a se inscrever em um método MFA durante a inscrição. Qualquer fluxo de usuário de inscrição criado antes da disponibilidade geral não refletirá automaticamente esse novo comportamento, mas você pode incluir o comportamento criando novos fluxos de usuário.
    • Se você selecionar Condicional, também precisará adicionar Acesso Condicional aos fluxos de usuário e especificar os aplicativos aos quais deseja que a política se aplique.
    • A autenticação multifator está desabilitada por padrão para fluxos de usuário de inscrição. Você pode habilitar a MFA em fluxos de usuário com inscrição por telefone, mas como um número de telefone é usado como o identificador principal, a senha de uso único por email é a única opção disponível para o segundo fator de autenticação.

  8. Clique em Salvar. A MFA agora está habilitada para esse fluxo de usuário.

Você pode usar Executar fluxo de usuário para verificar a experiência. Confirme o seguinte cenário:

Uma conta de cliente é criada em seu locatário antes que a etapa de autenticação multifator ocorra. Durante a etapa, o cliente é solicitado a fornecer um número de telefone e verificá-lo. Se a verificação for bem-sucedida, o número de telefone será anexado à conta para uso posterior. Mesmo que o cliente cancele ou desista, ele pode ser solicitado a verificar um número de telefone novamente durante a próxima entrada com a autenticação multifator habilitada.

Para habilitar a autenticação multifator, obtenha o pacote inicial de política personalizada do GitHub da seguinte maneira:

  • Baixe o arquivo .zip ou clone o repositório do https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack e atualize os arquivos XML no pacote inicial SocialAndLocalAccountsWithMFA com o nome do locatário do Azure AD B2C. O SocialAndLocalAccountsWithMFA habilita opções de entrada social e local e opções de autenticação multifator, exceto para o aplicativo Autenticador - opção TOTP.
  • Para dar suporte à opção de MFA Aplicativo Autenticador - TOTP, baixe os arquivos de política personalizados do https://github.com/azure-ad-b2c/samples/tree/master/policies/totp e atualize os arquivos XML com o nome do locatário do Azure AD B2C. Certifique-se de incluir os arquivos TrustFrameworkExtensions.xml, TrustFrameworkLocalization.xml e TrustFrameworkBase.xml XML do pacote inicial SocialAndLocalAccounts.
  • Atualize seu [layout de página] para a versão 2.1.14. Para obter mais informações, consulte Selecionar um layout de página.

Registrar um usuário no TOTP com um aplicativo autenticador (para usuários finais)

Quando um aplicativo do Azure AD B2C usa a opção TOTP para MFA, os usuários finais precisam usar um aplicativo autenticador para gerar códigos TOTP. Os usuários podem usar o aplicativo Microsoft Authenticator ou qualquer outro aplicativo autenticador que dê suporte à verificação TOTP. Se estiver usando o aplicativo Microsoft Authenticator, um administrador de sistema do Azure AD B2C precisará aconselhar os usuários finais a configurar o aplicativo Microsoft Authenticator usando as seguintes etapas:

  1. Baixe e instale o aplicativo Microsoft Authenticator em seu dispositivo móvel Android ou iOS.
  2. Abra o aplicativo Azure AD B2C que exige que você use TOTP para MFA, por exemplo, Contoso webapp e, em seguida, entre ou inscreva-se inserindo as informações necessárias.
  3. Se você for solicitado a registrar sua conta digitalizando um código QR usando um aplicativo autenticador, abra o aplicativo Microsoft Authenticator em seu telefone e, no canto superior direito, selecione o ícone de menu de 3 pontos (para Android) ou + ícone de menu (para iOS).
  4. Selecione + Adicionar conta.
  5. Selecione Outra conta (Google, Facebook etc.) e digitalize o código QR mostrado no aplicativo Azure AD B2C para registrar sua conta. Se você não conseguir escanear o código QR, poderá adicionar a conta manualmente:
    1. No aplicativo Microsoft Authenticator em seu telefone, selecione OU INSIRA O CÓDIGO MANUALMENTE.
    2. No aplicativo Azure AD B2C, selecione Ainda está com problemas?. Isso exibe o nome da conta e o segredo.
    3. Insira o Nome da Conta e o Segredo em seu aplicativo Microsoft Authenticator e selecione CONCLUIR.
  6. No aplicativo Azure AD B2C, selecione Continuar.
  7. Em Insira seu código, insira o código que aparece no aplicativo Microsoft Authenticator.
  8. Selecione Verificar.
  9. Durante a entrada subsequente no aplicativo, digite o código que aparece no aplicativo Microsoft Authenticator.

Saiba mais sobre os tokens de software da OATH

Excluir a inscrição do autenticador TOTP de um usuário (para administradores do sistema)

No Azure AD B2C, você pode excluir o registro do aplicativo autenticador TOTP de um usuário. O usuário será forçado a registrar novamente sua conta para usar a autenticação TOTP novamente. Para excluir o registro TOTP de um usuário, você pode usar o portal do Azure ou a API do Microsoft Graph.

Observação

  • A exclusão do registro do aplicativo autenticador TOTP de um usuário do Azure AD B2C não remove a conta do usuário no aplicativo autenticador TOTP em seu dispositivo. O administrador do sistema precisa instruir o usuário a excluir manualmente sua conta do aplicativo autenticador TOTP em seu dispositivo antes de tentar se registrar novamente.
  • Se o usuário excluir acidentalmente sua conta do aplicativo autenticador TOTP, ele precisará notificar um administrador do sistema ou proprietário do aplicativo que possa excluir o registro do autenticador TOTP do usuário do Azure AD B2C para que o usuário possa se registrar novamente.

Excluir o registro do aplicativo autenticador TOTP usando o portal do Azure

  1. Entre no portal do Azure.
  2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.
  3. No menu à esquerda, selecione Usuários.
  4. Pesquise e selecione o usuário para o qual você deseja excluir o registro do aplicativo autenticador TOTP.
  5. No menu à esquerda, selecione Métodos de autenticação.
  6. Nos Métodos de autenticação usáveis, localize o Token OATH de software e selecione o menu de reticências ao seu lado. Se você não vir essa interface, selecione a opção "Alternar para a nova experiência de métodos de autenticação de usuário! Clique aqui para usá-lo agora" para alternar para a nova experiência de métodos de autenticação.
  7. Selecione Excluir e, em seguida, selecione Sim para confirmar.

Captura de tela da página Métodos de autenticação no portal do Azure com o item de menu Métodos de autenticação, método de autenticação com token de software OATH e Botão Excluir realçados

Excluir o registro do aplicativo autenticador TOTP usando a API do Microsoft Graph

Saiba como excluir o método de autenticação de token OATH de software de um usuário usando a API do Microsoft Graph.

Tipos de preços de SMS por país/região

A tabela abaixo fornece detalhes sobre os diferentes tipos de preço para serviços de autenticação baseados em SMS em vários países ou regiões. Para obter detalhes de preços, consulte Preços do Azure AD B2C.

O SMS é um recurso complementar e requer uma assinatura vinculada. Se sua assinatura expirar ou for cancelada, os usuários finais não poderão mais se autenticar usando SMS, o que pode impedi-los de iniciar sessão, dependendo da sua política de MFA.

Nível Países/Regiões
Autenticação por telefone de baixo custo Austrália, Brasil, Brunei, Canadá, Chile, China, Colômbia, Chipre, Macedônia do Norte, Polônia, Portugal, Coreia do Sul, Tailândia, Türkiye, Estados Unidos
Autenticação por telefone de custo médio e baixo Groenlândia, Albânia, Samoa Americana, Áustria, Bahamas, Bahrein, Bósnia & Herzegovina, Botsuana, Costa Rica, República Tcheca, Dinamarca, Estônia, Ilhas Faroé, Finlândia, França, Grécia, Hong Kong SAR, Hungria, Islândia, Irlanda, Itália, Japão, Letônia, Letônia, Lituânia, Luxemburgo, Macao SAR, Malta, México, Micronésia, Moldávia, Namíbia, Nova Zelândia, Nicarágua, Noruega, Romênia, São Tomé e Príncipe, República Seychelles, Cingapura, Eslováquia, Ilhas Salomão, Espanha, Espanha, Suécia, Suíça, Taiwan, Reino Unido, Ilhas Virgens Americanas, Uruguai
Autenticação por telefone de custo médio alto Andorra, Angola, Anguila, Antártida, Antígua e Barbuda, Argentina, Armênia, Aruba, Barbados, Bélgica, Benin, Bolívia, Bonaire, Curaçao, Saba, Santo Eustáquio e Sint Maarten, Ilhas Virgens Britânicas, Bulgária, Burquina Faso, Camarões, Ilhas Cayman, República Centro-Africana, Ilhas Cook, Côte d’Ivoire, Croácia, Diego Garcia, Djibuti, República Dominicana, Equador, El Salvador, Eritreia, Ilhas Malvinas, Fiji, Guiana Francesa, Polinésia Francesa, Gâmbia, Geórgia, Alemanha, Gibraltar, Granada, Guadalupe, Guam, Guiné, Guiana, Honduras, Índia, Quênia, Quiribati, Laos, Libéria, Malásia, Ilhas Marshall, Martinica, Maurício, Mônaco, Montenegro, Montserrat, Países Baixos, Nova Caledônia, Niue, Omã, Palau, Panamá, Paraguai, Peru, Porto Rico, Reunião, Ruanda, Santa Helena, Ascensão e Tristan de Cunha, São Cristóvão e Nevis, Santa Lúcia, Saint Pierre e Miquelon, São Vicente e Granadinas, Saipan, Samoa, San Marino, Arábia Saudita, Sint Maarten, Eslovênia, África do Sul, Sudão do Sul, Suriname, Suazilândia (Novo Nome é Reino de Essuatíni), Timor-Leste, Tokelau, Tonga, Turcas e Caicos, Tuvalu, Emirados Árabes Unidos, Vanuatu, Venezuela, Vietnã, Wallis e Futuna
Autenticação por telefone de alto custo Liechtenstein, Bermudas, Cabo Verde, Camboja, República Democrática do Congo, Dominica, Egito, Guiné Equatorial, Gana, Guatemala, Guiné-Bissau, Israel, Jamaica, Jamaica, Kosovo, Lesoto, Maldivas, Mali, Mauritânia, Marrocos, Moçambique, Papua-Nova Guiné, Filipinas, Catar, Serra Leoa, Trinidad & Tobago, Ucrânia, Zimbábue, Afeganistão, Argélia, Azerbaijão, Bangladesh, Bielorrússia, Belize, Butão, Burundi, Chade, Comoros, Congo, Etiópia, República Gabonese, Haiti, Indonésia, Iraque, Jordânia Kuwait, Quirguistão, Líbano, Líbia, Madagascar, Malawi, Mongólia, Mianmar, Nauru, Nepal, Níger, Nigéria, Paquistão, Autoridade Nacional Palestina, Rússia, Senegal, Sérvia, Somália, Sri Lanka, Sudão, Tajiquistão, Tanzânia, República Togolese, Tunísia, Turquemenistão, Uganda, Uzbequistão, Iêmen, Zâmbia

Próximas etapas