Compartilhar via

Instruções: impor a autenticação multifator para usuários convidados de B2B

Aplica-se a: Círculo verde com um símbolo de marca de seleção branca. Locatários da força de trabalho Círculo branco com um símbolo X cinza. Locatários externos (saiba mais)

Ao colaborar com usuários convidados B2B externos, proteja seus aplicativos com políticas de autenticação multifator. Os usuários externos precisam de mais do que apenas um nome de usuário e senha para acessar seus recursos. No Microsoft Entra ID, você pode atingir essa meta com uma política de Acesso Condicional que requer MFA para o acesso. Você pode impor políticas de autenticação multifator (MFA) no tenant, aplicativo ou no nível de usuário convidado individual, assim como para membros de sua própria organização. O locatário do recurso é responsável pela autenticação multifator do Microsoft Entra para usuários, mesmo que a organização do usuário convidado tenha as funcionalidades de autenticação multifator.

Exemplo:

Diagrama mostrando um usuário convidado conectando aplicativos de uma empresa.

  1. Um administrador ou um funcionário na empresa A convida um usuário convidado para usar uma nuvem ou um aplicativo local que está configurado para exigir MFA para acesso.
  2. O usuário convidado entra com as próprias identidades empresariais, estudantis ou sociais.
  3. O usuário é solicitado a concluir um desafio de MFA.
  4. O usuário configura sua MFA com a empresa A e escolhe a opção de MFA. O usuário tem permissão de acesso ao aplicativo.

Observação

A autenticação multifator do Microsoft Entra é feita no locatário do recurso para garantir a previsibilidade. Quando o usuário convidado faz login, ele vê a página de entrada do locatário do recurso exibida em segundo plano, e sua própria página de entrada do locatário residencial e o logotipo da empresa em primeiro plano.

Neste tutorial, você irá:

  • Teste a experiência de login antes de configurar a autenticação multifator (MFA).
  • Crie uma política de acesso condicional que exige MFA para acesso a um aplicativo de nuvem em seu ambiente. Neste tutorial, usaremos o aplicativo Azure Resource Manager para ilustrar o processo.
  • Use a ferramenta What If para simular a entrada da MFA.
  • Teste sua política de acesso condicional.
  • Limpe o usuário de teste e a política.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita para começar.

Pré-requisitos

Para concluir o cenário deste tutorial, você precisa de:

  • Acesso à edição P1 ou P2 do Microsoft Entra ID, que inclui os recursos de política de Acesso Condicional. Para impor a MFA, crie uma política de Acesso Condicional do Microsoft Entra. As políticas de MFA são sempre impostas em sua organização, mesmo que o parceiro não tenha recursos de MFA.
  • Uma conta de email externo válido que você pode adicionar ao diretório de locatário como um usuário convidado e usar para entrar. Se você não souber como criar uma conta de convidado, siga as etapas em Adicionar um usuário convidado B2B no Centro de administração do Microsoft Entra.

Criar um usuário convidado de teste no Microsoft Entra ID

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.

  2. Navegue até Entra ID>Usuários.

  3. Selecione Novo usuário e , em seguida, Convidar usuário externo.

    Captura de tela de onde selecionar a nova opção de usuário convidado.

  4. Em Identidade, na guia Itens Básicos, insira o endereço de email do usuário externo. Opcionalmente, você pode incluir um nome de exibição e uma mensagem de boas-vindas.

    Captura de tela de onde inserir o email de convidado.

  5. Opcionalmente, você pode adicionar mais detalhes ao usuário nas guias Propriedades e Atribuições .

  6. Selecione Revisar + convidar para enviar o convite ao usuário convidado automaticamente. Uma mensagem Usuário convidado com êxito será exibida.

  7. Depois de enviar o convite, a conta de usuário será adicionada ao diretório como convidado.

Testar a experiência de entrada antes da configuração da MFA

  1. Entre no Centro de administração do Microsoft Entra usando seu nome de usuário de teste e senha.
  2. Acesse o Centro de administração do Microsoft Entra usando apenas suas credenciais de entrada. Nenhuma outra autenticação é necessária.
  3. Saia do centro de administração do Microsoft Entra.

Criar uma política de acesso condicional que exige MFA

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.

  2. Navegue até Entra ID>Acesso Condicional>Políticas.

  3. Selecione Nova política.

  4. Nomeie sua política, como Exigir MFA para acesso ao portal B2B. Crie um padrão significativo para políticas de nomenclatura.

  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.

    1. Em Incluir, escolha Selecionar usuários e grupos e, em seguida, selecione Usuários externos ou convidados. Você pode atribuir a política a diferentes tipos de usuários externos, funções de diretório integradas ou usuários e grupos.

    Captura de tela mostrando a seleção de todos os usuários convidados.

  6. > Em Recursos de destino(anteriormente aplicativos de nuvem)>Inclua>Selecionar recursos, escolha o Azure Resource Manager e selecione o recurso.

    Captura de tela mostrando a página Aplicativos na nuvem e a opção Selecionar.

  7. Em Controles de acesso>Conceder, selecione Conceder acesso, Require multifactor authentication e Selecionar.

    Captura de tela mostrando a opção para exigir autenticação multifator.

  8. Em Habilitar política, selecione Ativar.

  9. Selecione Criar.

Use a opção What If para simular a entrada

A ferramenta de política de Acesso Condicional What If ajuda você a entender os efeitos das políticas de Acesso Condicional em seu ambiente. Em vez de testar manualmente suas políticas com várias entradas, você pode usar essa ferramenta para simular a entrada de um usuário. A simulação prevê como essa entrada afetará suas políticas e gerará um relatório. Para obter mais informações, consulte Usar a ferramenta What If para entender as políticas de Acesso Condicional.

Teste sua política de acesso condicional

  1. Use o nome de usuário e a senha de teste para entrar no Centro de administração do Microsoft Entra.

  2. Você deve ver uma solicitação para mais métodos de autenticação. Poderá demorar algum tempo até que a política entre em vigor.

    Captura de tela da mensagem

    Observação

    Você também pode definir as configurações de acesso entre locatários para confiar na MFA do locatário inicial do Microsoft Entra. Isso permite que os usuários externos do Microsoft Entra usem a MFA registrada em seu próprio locatário, em vez de se registrarem no locatário de recurso.

  3. Saia.

Limpar os recursos

Quando não for mais necessário, remova o usuário de teste e a política de acesso condicional de teste.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.

  2. Navegue até Entra ID>Usuários.

  3. Selecione o usuário de teste e, em seguida, selecione Excluir usuário.

  4. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.

  5. Navegue até Entra ID>Acesso Condicional>Políticas.

  6. Na lista Nome da Política , selecione o menu de contexto (...) para sua política de teste, selecione Excluir e confirme selecionando Sim.

Próximas etapas

Neste tutorial, você criou uma política de acesso condicional que exige que os usuários convidados usem a MFA ao entrar em um de seus aplicativos de nuvem. Para saber mais sobre como adicionar usuários convidados para colaboração, acesse Adicionar usuários de colaboração do Microsoft Entra B2B no Centro de administração do Microsoft Entra.