Compartilhar via

Tutorial: impor a autenticação multifator para usuários convidados de B2B

  • Artigo

Aplica-se a: Círculo verde com um símbolo de marca de seleção branco. Locatários da força de trabalho Círculo branco com um símbolo X cinza. Locatários externos (saiba mais)

Ao colaborar com os usuários convidados de B2B externos, é uma boa ideia proteger seus aplicativos com políticas de autenticação multifator. Em seguida, os usuários externos precisam de mais do que apenas um nome de usuário e uma senha para acessar os recursos. No Microsoft Entra ID, você pode atingir essa meta com uma política de Acesso Condicional que requer MFA para o acesso. As políticas de MFA podem ser impostas no nível de locatário, aplicativo ou usuário convidado individual, da mesma maneira que são habilitadas para membros da própria organização. O locatário do recurso é sempre responsável pela autenticação multifator do Microsoft Entra para usuários, mesmo que a organização do usuário convidado tenha funcionalidades de autenticação multifator.

Exemplo:

Diagrama mostrando um usuário convidado conectando aplicativos de uma empresa.

  1. Um administrador ou um funcionário na empresa A convida um usuário convidado para usar uma nuvem ou um aplicativo local que está configurado para exigir MFA para acesso.
  2. O usuário convidado entra com as próprias identidades empresariais, estudantis ou sociais.
  3. O usuário é solicitado a concluir um desafio de MFA.
  4. O usuário configura sua MFA com a empresa A e escolhe a opção de MFA. O usuário tem permissão de acesso ao aplicativo.

Observação

A autenticação multifator do Microsoft Entra é feita no locatário do recurso para garantir a previsibilidade. Quando o usuário convidado entrar, ele verá a página de entrada do locatário de recursos em segundo plano, e sua própria página de entrada de locatário inicial e o logotipo da empresa em primeiro plano.

Neste tutorial, você irá:

  • Teste a experiência de entrada antes da configuração da MFA.
  • Crie uma política de acesso condicional que exige MFA para acesso a um aplicativo de nuvem em seu ambiente. Neste tutorial, usaremos o aplicativo API de Gerenciamento de Serviços do Windows Azure para ilustrar o processo.
  • Use a ferramenta What If para simular a entrada da MFA.
  • Teste sua política de acesso condicional.
  • Limpe o usuário de teste e a política.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

Para concluir o cenário deste tutorial, você precisa de:

  • Acesso à edição P1 ou P2 do Microsoft Entra ID, que inclui recursos de política de Acesso Condicional. Para impor a MFA, você precisa criar uma política de Acesso Condicional do Microsoft Entra. As políticas de MFA sempre serão impostas na organização, independentemente se o parceiro tem recursos de MFA.
  • Uma conta de email externo válido que você pode adicionar ao seu diretório de locatário como um usuário convidado e usar para entrar. Se você não souber como criar uma conta de convidado, confira Adicionar um usuário convidado de B2B no centro de administração do Microsoft Entra.

Criar um usuário convidado de teste no Microsoft Entra ID

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.

  2. Navegue até Identidade>Usuários>Todos os usuários.

  3. Selecione Novo usuário e selecione Convidar usuário externo.

    Captura de tela mostrando onde selecionar a opção Novo usuário convidado.

  4. Em Identidade, na guia Itens Básicos, insira o endereço de email do usuário externo. Opcionalmente, inclua um nome para exibição e uma mensagem de boas-vindas.

    Captura de tela mostrando onde inserir o email do convidado.

  5. Opcionalmente, você pode adicionar mais detalhes ao usuário nas guias Propriedades e Atribuições .

  6. Selecione Revisar + convidar para enviar o convite ao usuário convidado automaticamente. Uma mensagem Usuário convidado com êxito será exibida.

  7. Depois de enviar o convite, a conta de usuário é automaticamente adicionada ao diretório como convidado.

Testar a experiência de entrada antes da configuração da MFA

  1. Use o nome de usuário e a senha de teste para entrar no Centro de administração do Microsoft Entra.
  2. Deverá ser possível acessar o centro de administração do Microsoft Entra usando apenas suas credenciais de entrada. Nenhuma outra autenticação é necessária.
  3. Saia.

Criar uma política de acesso condicional que exige MFA

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.

  2. Navegue até Identidade>Proteção>Central de Segurança.

  3. Em Proteger, selecione Acesso Condicional.

  4. Na página Acesso Condicional, na barra de ferramentas na parte superior, selecione Criar nova política.

  5. Na página Novo, na caixa de texto Nome, digite Exigir MFA para acesso ao portal do B2B.

  6. Na seção Atribuições, escolha o link em Usuários e grupos.

  7. Na página Usuários e grupos, escolha Selecione usuários e grupos e, em seguida, Convidados ou usuários externos. Você pode atribuir a política a diferentes tipos de usuários externos, funções de diretório integradas ou usuários e grupos.

    Captura de tela mostrando a seleção de todos os usuários convidados.

  8. Na seção Atribuições, escolha o link em Aplicativos na nuvem ou ações.

  9. Escolha Selecionar aplicativos e, em seguida, escolha o link em Selecionar.

    Captura de tela mostrando a página Aplicativos na nuvem e a opção Selecionar.

  10. Na página Selecionar, escolha API de Gerenciamento de Serviços do Windows Azure e escolha Selecionar.

  11. Na página Novo, na seção Controles de acesso, escolha o link em Conceder.

  12. Na página Conceder, escolha Conceder acesso, marque a caixa de seleção Exigir autenticação multifator e escolha Selecionar.

    Captura de tela mostrando a opção para exigir autenticação multifator.

  13. Em Habilitar política, selecione Ativar.

    Captura de tela mostrando a opção Habilitar política definida como Ativada.

  14. Selecione Criar.

Use a opção What If para simular a entrada

  1. Na página Acesso condicional | Políticas, selecione What If.

    Captura de tela que realça onde selecionar a opção What if na página Acesso Condicional – Políticas.

  2. Selecione o link em Usuário.

  3. Na caixa de pesquisa, digite o nome do usuário convidado de teste. Nos resultados da pesquisa, escolha o usuário e clique em Selecionar.

    Captura de tela mostrando um usuário convidado selecionado.

  4. Selecione o link em Aplicativos na nuvem, ações ou conteúdo de autenticação. Escolha Selecionar aplicativos e, em seguida, escolha o link em Selecionar.

    Captura de tela mostrando o aplicativo selecionado.

  5. Na página Aplicativos na nuvem, na lista de aplicativos, escolha API de Gerenciamento de Serviços do Windows Azure e escolha Selecionar.

  6. Selecione What If e verifique se a nova política aparece nos Resultados da avaliação na guia Políticas que serão aplicadas.

    Captura de tela mostrando os resultados da avaliação What If.

Teste sua política de acesso condicional

  1. Use o nome de usuário e a senha de teste para entrar no Centro de administração do Microsoft Entra.

  2. Você deve ver uma solicitação para mais métodos de autenticação. Poderá demorar algum tempo até que a política entre em vigor.

    Captura de tela mostrando a mensagem Mais informações necessárias.

    Observação

    Você também pode definir as configurações de acesso entre locatários para confiar na MFA do locatário inicial do Microsoft Entra. Isso permite que os usuários externos do Microsoft Entra usem a MFA registrada em seu próprio locatário, em vez de se registrarem no locatário de recurso.

  3. Saia.

Limpar os recursos

Quando não for mais necessário, remova o usuário de teste e a política de acesso condicional de teste.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Selecione o usuário de teste e, em seguida, selecione Excluir usuário.
  4. Navegue até Identidade>Proteção>Central de Segurança.
  5. Em Proteger, selecione Acesso Condicional.
  6. Na lista Nome da Política, selecione o menu de contexto (...) da sua política de teste e, em seguida, selecione Excluir. Clique em Sim para confirmar.

Próxima etapa

Neste tutorial, você criou uma política de acesso condicional que exige que os usuários convidados usem a MFA ao entrar em um de seus aplicativos de nuvem. Para saber mais sobre como adicionar usuários convidados para colaboração, confira Adicionar usuários de colaboração do Microsoft Entra B2B no centro de administração do Microsoft Entra.