Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este documento descreve as considerações de operações de segurança para implantar a ID Externa do Microsoft Entra, uma solução extensível para adicionar soluções de CIAM (gerenciamento de acesso e identidade do cliente) aos seus aplicativos. Este documento enfatiza ataques baseados em borda de rede, especialmente bots direcionados aos endpoints de cadastro e login. Esses vetores são comumente explorados em sistemas de identidade externos e exigem estratégias de defesa proativas e em camadas.
Os principais tópicos abordados incluem:
- Proteção de locatário
- Integração do WAF (firewall do aplicativo Web)
- Mitigação do bot
- Higiene de credenciais e de tokens
- Controle de acesso baseado em geografia
A atenção especial vai para processos para proteger as jornadas de inscrição e entrada contra fraudes automatizadas, como o recheio de credenciais e a IRSF (International Revenue Share Fraud). Encontre informações sobre a importância do monitoramento e alertas, validação contínua, acompanhamento de uso e detecção de anomalias. Essas são ações essenciais para detecção e resposta de ameaças precoces. Consulte o diagrama a seguir de um fluxo de operações de segurança.
Segurança do locatário com proteção de borda contra ataques de DDoS e bot
Os locatários do Microsoft Entra expõem pontos de extremidade publicamente acessíveis pela Internet para habilitar a autenticação do usuário e o acesso ao serviço. Essas áreas incluem pontos de extremidade de autenticação e metadados. Os pontos de extremidade são acessíveis anonimamente; isso os torna alvos potenciais para ataques de negação de serviço distribuído (DDoS) e atividades automatizadas mal-intencionadas, como a criação fraudulenta de contas. Uma estratégia de proteção baseada em borda ajuda a garantir a disponibilidade do serviço e a segurança do usuário.
Para evitar interrupções de serviço e garantir acesso seguro e confiável, use uma estratégia de defesa em camadas. Microsoft fortalece a proteção de identidade integrando-se aos principais provedores de mitigação de bot e WAF não Microsoft. As integrações permitem a análise em tempo real e o filtro do tráfego mal-intencionado ou de alto risco, antes que ele atinja os endpoints de identidade.
Esse modelo de defesa em profundidade ajuda a proteger contra o preenchimento de credenciais, substituições de conta e ataques de DDoS em larga escala, enquanto você mantém uma experiência fluida para usuários legítimos.
Para aprimorar a proteção, recomendamos implementar um WAF. Use essa configuração para colocar controles de segurança diante dos endpoints do CIAM. Aprimore a resiliência e reduza o risco de interrupção do serviço contra ameaças automatizadas.
Quando você usa um redirecionamento baseado na Web para fluxos de usuário, os consumidores veem o nome de domínio do ponto de extremidade de autenticação. Por padrão, este endpoint usa o formato <tenantprefix.ciamlogin.com>, em que <tenantprefix> é o prefixo do nome do tenant. Por exemplo, para contoso.onmicrosoft.com, o prefixo do locatário é contoso.
Detalhes do domínio
Na ID Externa do Microsoft Entra, você pode alterar o nome de domínio para um que você possui e um que seu cliente possa se relacionar com seu serviço. Por exemplo, você pode usar login.contoso.com.
Com recursos de identidade visual, use um nome de domínio personalizado para habilitar a integração de uma solução WAF, que tem mais proteção contra bots e atores mal-intencionados.
Saiba mais sobre domínios de URL personalizados em locatários externos.
No diagrama a seguir, consulte o exemplo de domínio personalizado.
Considerações sobre a configuração do WAF
Use a tabela a seguir para saber mais sobre controles de segurança e suas descrições.
| Controle de segurança | Descrição |
|---|---|
| Limitação de taxa e limitação adaptativa | A limitação de taxa é uma defesa eficaz e configurável contra ataques volumétricos e de baixa intensidade e lentidão. Os WAFs líderes dão suporte a políticas detalhadas que limitam solicitações por segundo ou por minuto em vários níveis: por IP, endpoint ou sessão. A limitação adaptável aperta automaticamente as restrições em resposta a picos de tráfego repentinos, padrões de ataque conhecidos ou anomalias no comportamento.
Por exemplo, configure um endpoint de entrada para um número específico de tentativas de autenticação em um curto período de tempo. Esse esforço reduz o risco de recheio de credenciais e ataques de força bruta. Além disso, ajuste dinamicamente os limites de taxa com base em sinais contextuais, como localização geográfica, cabeçalhos de solicitação ou impressão digital do dispositivo. |
| proteção contra DDoS | Esse controle garante a defesa interna contra ataques DDoS da camada de rede (Camada 3) e da camada de aplicativo (Camada 7). Ajude a absorver e filtrar o tráfego mal-intencionado na extremidade e garanta que os endpoints de autenticação permaneçam disponíveis para usuários legítimos, mesmo durante tentativas de ataque em alto volume. |
| Proteção contra bots | Recomendamos a proteção integrada contra bots alimentada pelo aprendizado de máquina. Esses recursos ajudam a detectar e prevenir ataques automatizados usando uma variedade de opções de imposição, desde bloqueio silencioso até desafios interativos, como CAPTCHA ou captcha novamente. |
| Isolamento geográfico (geográfico) | Avalie se o tráfego é aceito de todas as regiões geográficas. Caso contrário, o bloqueio geográfico ou o estrangulamento reduz a exposição a regiões de alto risco ou irrelevantes. Para acesso global, analise a distribuição percentual aproximada do tráfego legítimo do cliente por região para orientar o design da política. O tráfego de geografias não atendidas pode ser bloqueado ou limitado com base nas necessidades de negócios e na inteligência contra ameaças. |
| Limitação de IP e ASN | Semelhante à cerca geográfica, você pode restringir ou limitar o tráfego com base no endereço IP ou no ASN (Número do Sistema Autônomo). Embora as identidades dos clientes normalmente se originem de IPs diversos de baixo volume, examine exceções como quiosques ou sistemas de alta capacidade utilizados por agentes de seguros. Volumes excepcionalmente altos de solicitações de um único IP ou ASN acionam escrutínio. |
| Bloquear o tráfego para o domínio padrão | Ao usar a proteção WAF, bloqueie o acesso ao domínio padrão ciamlogin.com. Caso contrário, os invasores usam o nome de domínio e ignoram as proteções do WAF. |
A ID Externa do Microsoft Entra permite que você se integre aos principais provedores de WAF (Firewall de Aplicativo Web), como Cloudflare e Akamai, para fornecer proteção de nível de borda contra ataques de DDoS, vulnerabilidades OWASP Top 10 e bots mal-intencionados. Essa integração garante a filtragem do tráfego prejudicial antes de atingir seu locatário. Recomendamos fortemente que os clientes usem essas soluções de WAF para melhorar e reforçar os controles de segurança mencionados na tabela anterior.
Segurança do aplicativo: gerenciamento de credenciais e segredos
Os aplicativos CIAM são autenticados com a ID Externa do Microsoft Entra usando protocolos como OAuth 2.0 ou SAML (security assertion markup language) 2.0., o que torna essencial o gerenciamento seguro de credenciais de aplicativo. Na tabela a seguir, encontre as principais considerações de segurança para credenciais e segredos do aplicativo.
| Considerações de segurança | Detalhes |
|---|---|
| Preferir certificados em vez de segredos | Quando possível, use credenciais de certificado X.509 em vez de segredos de senha. Embora os segredos sejam mais fáceis de configurar, os certificados oferecem uma segurança mais forte e podem ser o método padrão para adquirir tokens.
Atualmente, identidades gerenciadas e identidades de carga de trabalho não estão disponíveis na ID Externa do Microsoft Entra. |
| Impor políticas de uso de credenciais | Configure políticas de método de autenticação de aplicativo para restringir ou bloquear o uso de segredos. Se você usar segredos, defina datas de expiração para minimizar a exposição. |
| Evitar credenciais em aplicativos cliente públicos | Para aplicativos que são aplicativos cliente públicos, verifique se nenhuma credenciais está configurada no registro do aplicativo. Um exemplo são os aplicativos com login do usuário por meio de endpoints públicos. Esses aplicativos não devem exigir segredos ou certificados do cliente. |
| Auditar credenciais regularmente | Para garantir que as credenciais sejam usadas e não tenham expirado, examine periodicamente as credenciais atribuídas aos aplicativos. Remova credenciais obsoletas ou não usadas, evite o compartilhamento de credenciais entre aplicativos e limite as credenciais por aplicativo. |
| Verificar o código do aplicativo em busca de dados confidenciais | Para detectar credenciais de aplicativo, use ferramentas de análise estática como um verificador de credenciais. Use a ferramenta para outras informações confidenciais no código-fonte. Crie artefatos antes de serem comprometidos ou implantados. |
Redução de risco com gerenciamento de tempo de vida do token
Configure o tempo de vida do token para ajudar a minimizar a exposição de tokens comprometidos.
| Controle de segurança | Detalhes |
|---|---|
| Configurar o tempo de vida do token | Reduza o tempo de vida do token de acesso para ajudar a reduzir o risco. Atores mal-intencionados usam um token de ID ou acesso comprometido. Os tokens não podem ser revogados.
Os tokens precisam de atualizações frequentes, portanto, isso pode impactar potencialmente o desempenho. Para obter mais informações, consulte Tempos de vida de token configuráveis na plataforma de identidade da Microsoft. |
Extensões de autenticação personalizadas
Um componente importante do planejamento de implantação é proteger extensões de autenticação personalizadas. A API REST que apoia essas extensões é hospedada com base em requisitos comerciais e operacionais, portanto, projeta para segurança, disponibilidade e resiliência. Qualquer degradação no desempenho ou disponibilidade dessas APIs por meio de atividades mal-intencionadas ou outras falhas pode afetar os fluxos de inscrição e entrada relacionados. Essas interrupções prejudicam a experiência do usuário, mas podem dificultar a confiabilidade geral da implementação da ID Externa do Microsoft Entra. Use a tabela a seguir para examinar considerações como escala e segurança.
| Consideração | Detalhes |
|---|---|
| Escala | – Corresponder RPS proveniente da ID Externa do Microsoft Entra – Responder dentro da janela de tempo limite com códigos HTTP de acordo com as diretrizes de extensões personalizadas |
| Segurança | – Verifique se as solicitações vêm da ID Externa do Microsoft Entra. Os intervalos de datacenter da Microsoft estão documentados. Para bloquear as solicitações de entrada, use intervalos.
- Para proteger a API contra ataques como DDoS, use um WAF na frente da API REST. Esse esforço garante que os ataques sejam mitigados se o endpoint da API REST for alvo. – Para gerar alertas para a API REST ou a API que enfrentam desafios relacionados à segurança, como DDoS, use auditorias e registro em log com monitoramento. |
| Resiliência | - Escalar verticalmente e reduzir perfeitamente - Para garantir um efeito baixo ou nenhum na qualidade do serviço, recupere o serviço de API REST e a tolerância a falhas |
Segurança do usuário: proteção de inscrição
Nesta seção, saiba como proteger os usuários contra fraudes de inscrição. O design de fluxo do usuário ajuda a determinar a probabilidade de fraude de inscrição. Os percursos de inscrição que executam a verificação mínima do usuário são suscetíveis a atividades fraudulentas. Controles, como proteção avançada contra fraudes, distinguem os usuários humanos dos bots. Além disso, você pode deter o abuso automatizado. A ID Externa do Microsoft Entra dá suporte a vários controles que introduzem graus de atrito do usuário. A tabela a seguir tem uma lista de controles de segurança para a segurança do usuário
| Controle de segurança | Detalhes |
|---|---|
| WAF: Proteção contra bot | Essa proteção é a linha de frente da defesa contra ataques de IRSF (Fraude de Participação na Receita Internacional), normalmente impulsionados por bots que geram tráfego de alto volume para disparar mensagens OTP durante o processo de inscrição. |
| Filtragem de email de reputação | Para atenuar o risco de contas de email fraudulentas, implemente a validação de domínio. Restrinja a inscrição de endereços de email com reputação ruim ou associações conhecidas com atividades mal-intencionadas. A ID Externa do Microsoft Entra dá suporte a extensões personalizadas durante a inscrição. Para avaliar a reputação do domínio de email, invoque uma API REST durante o fluxo de inscrição. Com base na pontuação de reputação, o sistema permite ou bloqueia a solicitação de inscrição. |
| Filtragem de email IP | Para reduzir o risco de criação fraudulenta de conta, aconselhamos que você restrinja as inscrição de proxies anônimos ou endereços IP vinculados a ASNs (Números do Sistema Autônomo) fora das regiões comerciais da sua organização. Essa estratégia ajuda a reduzir a exposição a fontes de tráfego de alto risco ou não confiáveis.
A ID Externa do Microsoft Entra dá suporte a extensões de autenticação personalizadas a serem invocadas durante o processo de inscrição. Use essas extensões para chamar uma API REST para avaliar a reputação ou a localização geográfica do endereço IP que inicia a solicitação de inscrição. Use esse processo durante a verificação de senha única (OTP) por email. |
| Excesso de OTPs de um único endereço IP ou ASN | Implemente o monitoramento e alerte quando um alto volume de solicitações de OTP por email se originar do mesmo endereço IP, ASN ou local. Por exemplo, dispare um alerta se os OTPs de email forem provenientes de um único IP ou coordenadas geográficas semelhantes em pouco tempo. |
Para fortalecer as defesas, a ID Externa do Microsoft Entra tem um recurso premium de prevenção de fraude com provedores líderes do setor em proteção contra fraudes não Microsoft, como o provedor Arkose Labs, para proteção avançada contra bots e HUMAN para ajudar a evitar registros de conta falsa durante o cadastro de usuário. Esses provedores oferecem funcionalidades abrangentes de detecção e mitigação de fraudes e permitem que as organizações detectem e bloqueiem ameaças automatizadas, incluindo inscrição controlada por bots, durante todo o processo de registro.
Fraude de Compartilhamento de Receita Internacional
Uma IRSF (Fraude de Compartilhamento de Receita Internacional) é um ataque controlado financeiramente possível quando você expõe a verificação de SMS (serviço de mensagens curtas) em um ponto de extremidade acessível publicamente. Quando você habilita a MFA (autenticação multifator) do Microsoft Entra na ID Externa do Microsoft Entra, os ataques de IRSF são possíveis. Com a verificação de SMS habilitada, o Microsoft Entra tem duas proteções internas:
- A limitação de telefonia ajuda a reduzir o risco de interrupções de serviço e degradação do desempenho
- O CAPTCHA para MFA baseado em SMS ajuda a se defender contra ataques automatizados distinguindo usuários humanos de bots. Se um usuário for considerado de alto risco, o acesso será bloqueado ou um desafio CAPTCHA será exibido antes de um código de verificação sms ser enviado.
Como outra camada de defesa, recomendamos que você examine a tabela a seguir para considerar alguns controles de segurança.
| Controle de segurança | Descrição |
|---|---|
| WAF: Proteção contra bot | Para disparar mensagens OTP durante a inscrição, habilite a linha de frente de defesa contra ataques do IRSF, normalmente impulsionados por bots que geram tráfego de alto volume. |
| Regiões que exigem adesão para verificação por telefonia MFA | Ajude a evitar fraudes baseadas em telefonia: a Microsoft não habilita automaticamente a verificação de MFA baseada em telefone para alguns códigos de país ou região. Para dar suporte à autenticação a partir dessas regiões, um administrador envia uma solicitação de suporte para optar por e habilitar a verificação por telefone para esses códigos. Para permitir o tráfego de regiões desativadas, ative-o com a API do Microsoft Graph. Para obter mais informações, consulte Adesão regional para verificação telefônica MFA com arrendatários externos. |
| Excesso de códigos de uso único por SMS de um endereço IP ou ASN. | Implemente o monitoramento e o alerta para um alto volume de solicitações OTP (senha única) de SMS provenientes do mesmo endereço IP, ASN ou localização geográfica. Por exemplo, acione um alerta para OTPs SMS excessivos de um único IP ou coordenadas geográficas em um curto período de tempo. Esse cenário pode indicar um ataque IRSF.
Para melhorar a precisão e reduzir o ruído, refinar os critérios de alerta. Concentre-se em solicitações OTP malsucedidas por usuários. Em cenários IRSF, os invasores normalmente não completam a autenticação. Então, deseja gerar tráfego de SMS para números de telefone visando ganhos financeiros. Use essa abordagem para ver atividades potencialmente mal-intencionadas, minimizando falsos positivos. |
Proteção de login: comprometimento da conta
A tomada de conta significa que uma conta de usuário está comprometida. O invasor altera as credenciais da conta, como email, senha ou número de telefone. Essas ações impedem que o proprietário da conta recupere o controle. Esses ataques são realizados com um spray de senha.
Use várias camadas de defesa para reduzir a taxa de comprometimento da conta. Empregue uma combinação dos seguintes controles de segurança.
| Controle de segurança | Detalhes |
|---|---|
| Política de Acesso Condicional do Microsoft Entra: MFA adaptativo baseado no contexto de autenticação | Os aplicativos podem aplicar o MFA (autenticação multifator) do Microsoft Entra dinamicamente usando o contexto de autenticação em políticas de Acesso Condicional. Aplique a autenticação de etapa quando necessário, como atividades de alto valor, como transações financeiras, acesso a dados confidenciais ou operações privilegiadas. Enquanto isso, mantenha uma experiência sem atrito para interações de menor risco.
Por exemplo, um usuário navega até um site de comércio eletrônico e adiciona itens ao carrinho. Eles não veem nenhuma solicitação de MFA. No entanto, na finalização da compra ou antes do pagamento, a política reavalia o contexto de autenticação e requer autenticação multifator (MFA). Esse cenário ocorre se o usuário concluiu a autenticação multifator durante o login inicial. Essa abordagem direcionada atinge um equilíbrio entre segurança e usabilidade. |
| Política de acesso condicional: controle de acesso por local | Você pode restringir as entradas do usuário com base na localização geográfica. Configure políticas de Acesso Condicional usando filtros de país ou região ou intervalos de endereços IP. Você pode bloquear o acesso de regiões em que sua organização não prevê atividades legítimas do usuário. Recomendamos que você use esse controle com a cerca geográfica do WAF. O WAF bloqueia o tráfego na borda antes da entrada do usuário. Acesso Condicional é uma camada de controle no nível de identidade. |
| Monitoramento: Falhas excessivas de autenticação | Monitore e gere alertas para tentativas excessivas de autenticação com falha de uma conta de usuário.
Por exemplo, dispare um alerta se a taxa de falha de autenticação do usuário exceder um limite, como 10% por hora. Essa medida aumenta a visibilidade e a conscientização sobre o potencial comprometimento da conta ou a atividade de ataque automatizada. Para obter mais informações, consulte Obter informações sobre a atividade dos usuários do aplicativo e configurar o Azure Monitor em locatários externos. |
Auditar e monitorar
Uma auditoria é realizada para entender um sistema, suas atividades de usuário e processos relacionados. O monitoramento é uma atividade contínua que informa sobre o que está ocorrendo. O monitoramento geralmente envolve alertas e automação.
Auditoria e registros
O Microsoft Entra External ID armazena dados de login e registros de auditoria por 30 dias. Para retenção e análise, exporte essas informações para um armazenamento ou ferramenta externo.
Configure o Azure Monitor como uma ponte para exportar logs. Consulte o diagrama a seguir das exportações de log de ID externa do Microsoft Entra com o Azure Monitor. Para obter mais informações, consulte Configurar o Azure Monitor em locatários externos.
Essa configuração requer a projeção de um grupo de recursos do Microsoft Azure com os recursos do locatário da empresa para o locatário do Microsoft Entra.
Monitorar e alertar
O monitoramento ajuda a garantir a operação eficiente da identidade e dos sistemas associados. Essas ações incluem estabelecer a infraestrutura de monitoramento, definir procedimentos de monitoramento, configurar dashboards ou alertas e criar um protocolo de resposta para lidar com alertas. Veja a observação a seguir e uma lista do que monitorar.
Observação
Monitore os logs em busca de exceções e erros do serviço de identidade. Monitore também serviços dependentes, como WAFs e APIs que chamam extensões personalizadas.
- Disponibilidade – descubra se o serviço está operacional. Às vezes chamado de pulsação ou endpoint de saúde. Configure-o no sistema de monitoramento para que ele seja executado com frequência em componentes em uso. Para APIs de extensão personalizadas, recomendamos implementar o monitoramento de endpoint de saúde. Se você desenvolver APIs usando .NET, use verificações de integridade no ASP.NET Core para expor endpoints de integridade. A disponibilidade de monitoramento é essencial, mas pode indicar apenas falhas de serviço.
- Funcionalidade – Acompanhe a funcionalidade com transações sintéticas que imitam interações de usuário ou sistema de ponta a ponta envolvendo dependências: interface do usuário, chamadas à API, registro em log. Muitas ferramentas de monitoramento têm recursos para automatizar experiências da Web de várias etapas, como inscrição, edição de perfil e MFA.
- Desempenho – Acompanhe o desempenho com transações sintéticas e instrumentação do lado do servidor para coletar telemetria relacionada ao desempenho. Em sistemas distribuídos como o IAM (gerenciamento de acesso à identidade) com dependências, identifique e resolva problemas de desempenho. Implante sondas de desempenho em locais de clientes e estabeleça uma linha de base para experiências de identidade. Configure gatilhos e notificações para detectar desvios de uma linha de base. Um sistema não será benéfico se estiver disponível, mas tiver um desempenho ruim.
As solicitações de autenticação e identidade incluem um identificador de correlação de sessão. Quando o sistema de identidade chama extensões personalizadas externas, esse identificador está no contexto de autenticação. Para diagnosticar problemas, registre o identificador na extensão personalizada.
Observação
A Microsoft tem a meta de habilitar a telemetria do lado do cliente usando ferramentas de análise, como o Google Analytics e o Adobe Analytics.
O diagrama a seguir ilustra a configuração de monitoramento e alertas.
Configuração de alerta de degradação e falha do serviço
Em sistemas grandes, algumas transações falham. Experiências de identidade incompletas, às vezes chamadas de conversões incompletas, podem ocorrer devido a usuários distraídos, falhas de telecomunicações e falhas no navegador. Em grande escala, resolver todas as falhas é impraticável. Configure uma linha de base para eventos de falha típicos. Configure também o monitoramento e alertas para detectar desvios, como monitoramento de desempenho. Use o seguinte auxílio de trabalho para registrar métricas de falha.
| Fracasso | Linha de base |
|---|---|
| Autenticação | |
| Entrar | |
| Inscrever-se | |
| MFA por tipo: OTP de email, OTP de telefonia | |
| Tipo de navegador: Google Chrome, Microsoft Edge, Mozilla Firefox, Apple Safari |
|
| Sistema operacional móvel: Android, iOS |
Validação contínua do sistema
As alterações nos ambientes são inevitáveis. Um ambiente de validação contínua automatizado ajuda a detectar problemas causados por alterações. Você pode usar a mesma infraestrutura de monitoramento sintactico para configurar essa automação de validação.
Transações sintéticas podem referenciar aplicativos e APIs usados para componentes de aquisição, validação e integração de tokens, como gerentes de API e barramentos de serviço. Recomendamos que você mantenha versões de serviços, sistemas operacionais e ambientes de runtime com suporte. Cada componente relata continuamente o êxito ou a falha do teste. Essa ação garante a disponibilidade dos serviços de identidade e a detecção antecipada de possíveis falhas.
Painéis: Telemetria operacional e informações de segurança
A ID Externa do Microsoft Entra tem painéis internos com telemetria útil de áreas-chave, como tendências de autenticação, uso de MFA e proteções relacionadas à verificação de SMS. Utilize insights para manter a visibilidade sobre a saúde do sistema de identidade e a postura frente a ameaças. Para sua implantação e estratégia operacional, recomendamos que você incorpore o monitoramento de métricas regulares. Detecte anomalias, avalie a exposição ao risco e garanta a eficácia dos controles de segurança. Use a tabela a seguir para ver métricas e detalhes. Para obter mais informações, consulte Obter informações sobre a atividade dos usuários do aplicativo.
| Métrica | Detalhes |
|---|---|
| Autenticações | O resumo do painel de controle de autenticações tem autenticações diárias e mensais no inquilino.
– Autenticações diárias por 30 dias – Autenticações diárias por sistema operacional – Autenticações mensais por 12 meses, por localização |
| Uso de Autenticação Multi-Fator | O resumo do painel de Uso de MFA apresenta o desempenho mensal da autenticação MFA para os aplicativos. Veja as seguintes tendências: – Usuários registrados para uso de MFA – tipos de MFA usados, com o número de sucessos e falhas nos últimos 12 meses – desencadeamentos e atividade de CAPTCHA nos últimos 30 dias |
| Telecomunicações | Para entender o desempenho da MFA de telecomunicações, use as métricas do painel para obter insights acionáveis sobre o uso de SMS MFA. Observe os estados a seguir. Permitido – Usuários que receberam um SMS durante a entrada ou inscrição. Bloqueado – Usuários que não receberam um SMS. Se a autenticação multifator de telecomunicações estiver bloqueada, os usuários serão notificados para tentar uma autenticação alternativa. Desafios – esse recurso é voltado para comportamentos de uso atípicos. Veja se um desafio CAPTCHA é exibido antes do SMS ser enviado. As seguintes métricas também são exibidas: - Os usuários não conseguem concluir o CAPTCHA – Rastrear usuários que não passaram no desafio CAPTCHA. Se necessário, você pode avaliar se o CAPTCHA é muito difícil para usuários legítimos. Faça os ajustes necessários para equilibrar a segurança e a acessibilidade. - Usuários que concluíram o CAPTCHA – Examine os usuários que concluíram o desafio CAPTCHA. Obtenha informações sobre como o CAPTCHA protege os usuários contra ataques automatizados, enquanto permite que usuários legítimos se autentiquem. |
Oferta e complementos principais da ID Externa do Microsoft Entra
Os preços da ID Externa do Microsoft Entra consistem em uma oferta principal e complementos premium. A cobrança do núcleo da oferta é baseada em usuários ativos mensais (MAUs), a contagem de usuários externos únicos que se autenticam em seus locatários em um mês de calendário. Um total vem de uma combinação de MAUs dos colaboradores e locatários externos vinculados a uma assinatura.
Veja mais informações sobre a estrutura de preços e o modelo de cobrança da ID Externa do Microsoft Entra.
Custos e análise
Exiba os custos incorridos na área de análise de custos da assinatura/grupo de recursos vinculado ao locatário da ID Externa do Microsoft Entra. Se a contagem de MAU estiver abaixo do plano gratuito, a fatura será de R$ 0. Os dados de uso, abaixo da camada gratuita, são exibidos na análise de custo.
No Centro de administração do Microsoft Entra, use o painel de utilização e análises para exibir detalhes de uso do locatário da ID Externa da Microsoft, mesmo quando o uso estiver abaixo da camada gratuita.
Saiba como listar activeUsers mensais no Microsoft Graph.
Consulte os tipos de recursos de gráfico no tipo de recurso dailyUserInsightMetricsRoot.
Observação
Os dados retornados pelas APIs não são em tempo real e podem estar sujeitos ao processamento agendado.
A tabela a seguir correlaciona a métrica e uma referência do Microsoft Graph.
| Métrica | Referência do grafo | Descrição |
|---|---|---|
| usuários ativos | activeUsersMetric | |
| Autenticações | authenticationsMetric | |
| mfaCompletions | mfaCompletionMetric | |
| inscrições | userSignUpMetric | |
| resumo | insightSummary | |
| contagemDeUsuários | userCountMetric |
Painel de controle de uso e insights
No Centro de administração do Microsoft Entra, em Monitoramento e saúde, selecione Uso e percepções. Exiba dados do usuário, ao longo do tempo e outras áreas, como autenticação e uso de MFA.
