Compartilhar via

Tutorial: proteger eventos de entrada do usuário com a autenticação multifator do Microsoft Entra

A autenticação multifator é um processo no qual um usuário é solicitado para formas adicionais de identificação durante um evento de entrada. Por exemplo, o prompt pode ser o de inserir um código no celular ou fornecer uma digitalização de impressão digital. Quando você exige uma segunda forma de identificação, a segurança é aprimorada porque esse fator adicional não é fácil de ser obtido ou duplicado por um invasor.

As políticas de Acesso Condicional e autenticação multifator do Microsoft Entra oferecem a flexibilidade de exigir a MFA dos usuários para eventos de entrada específicos.

Importante

Este tutorial mostra a um administrador como habilitar a autenticação multifator do Microsoft Entra. Para realizar a autenticação multifator como usuário, veja Entrar em sua conta corporativa ou de estudante usando seu método de verificação em duas etapas.

Se a sua equipe de TI não tiver habilitado a capacidade de usar a autenticação multifator do Microsoft Entra ou se você tiver problemas durante a entrada, entre em contato com o suporte técnico para obter assistência adicional.

Neste tutorial, você aprenderá a:

  • Criar uma política de Acesso Condicional para habilitar a autenticação multifator do Microsoft Entra para um grupo de usuários.
  • Configurar as condições de política que solicitam MFA.
  • Testar a configuração e o uso da autenticação multifator como um usuário.

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:

Criar uma política de Acesso Condicional

A maneira recomendada de habilitar e usar a autenticação multifator do Microsoft Entra é com políticas de Acesso Condicional. O Acesso Condicional permite criar e definir políticas que reagem à entrada de eventos e que solicitam ações adicionais antes que um usuário tenha acesso a um aplicativo ou serviço.

Diagrama de visão geral de como o Acesso Condicional funciona para proteger o processo de entrada

As políticas de acesso condicional podem ser aplicadas a usuários, grupos e aplicativos específicos. O objetivo é proteger sua organização, fornecendo também os níveis certos de acesso aos usuários que precisam dela.

Neste tutorial, criamos uma política básica de Acesso Condicional para solicitar a MFA quando um usuário entrar. Em um tutorial posterior desta série, configuramos a autenticação multifator do Microsoft Entra usando uma política de Acesso Condicional com base em risco.

Primeiro, crie uma política de Acesso Condicional e atribua seu grupo de usuários de teste da seguinte maneira:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
  2. Navegue até a Visão Geral de Entra ID>Acesso> Condicional, selecione + Criar nova política.

Uma captura de tela da página Acesso Condicional, em que você seleciona

  1. Insira um nome para a política, como MFA Pilot.

  2. Em Atribuições, selecione o valor atual em usuários ou identidades de carga de trabalho.

    Uma captura de tela da página Acesso Condicional, em que você seleciona o valor atual em 'Usuários ou identidades de carga de trabalho'.

  3. Em O que essa política se aplica?, verifique se usuários e grupos estão selecionados.

  4. Em Incluir, escolha Selecionar usuários e grupos e selecione Usuários e grupos.

    Uma captura de tela da página para criar uma nova política, em que você seleciona opções para especificar usuários e grupos.

    Como nenhum foi atribuído ainda, a lista de usuários e grupos (mostrada na próxima etapa) é aberta automaticamente.

  5. Procure e selecione seu grupo do Microsoft Entra, como MFA-Test-Group, em seguida, escolha Selecionar.

    Uma captura de tela da lista de usuários e grupos, com resultados filtrados pelas letras M F A e 'MFA-Test-Group' selecionadas.

Selecionamos o grupo ao qual aplicar a política. Na próxima seção, configuramos as condições sob as quais aplicar a política.

Configurar as condições para a autenticação multifator

Agora que a política de Acesso Condicional foi criada e um grupo de teste de usuários foi atribuído, defina os aplicativos ou ações na nuvem que acionam a política. Esses aplicativos ou ações de nuvem são os cenários que você decide exigir processamento adicional, como solicitar a autenticação multifator. Por exemplo, você pode decidir que o acesso a um aplicativo financeiro ou o uso de ferramentas de gerenciamento requer um adicional para autenticação.

Configurar os aplicativos que necessitam de autenticação multifator

Neste tutorial, configure a política de Acesso Condicional para exigir a autenticação multifator quando um usuário entrar.

  1. Selecione o valor atual em aplicativos ou ações de nuvem e, em Seguida, em Selecionar ao que essa política se aplica, verifique se os aplicativos de nuvem estão selecionados.

  2. Em Incluir, escolha Selecionar recursos.

    Como nenhum aplicativo ainda está selecionado, a lista de aplicativos (mostrada na próxima etapa) é aberta automaticamente.

    Dica

    Você pode optar por aplicar a política de Acesso Condicional a Todos os recursos (anteriormente 'Todos os aplicativos de nuvem') ou selecionar recursos. Para fornecer flexibilidade, você também pode excluir certos aplicativos da política.

  3. Procure a lista de eventos de entrada disponíveis que podem ser usados. Para este tutorial, selecione a API de Gerenciamento de Serviços do Windows Azure para que a política se aplique a eventos de entrada. Em seguida, escolha Selecionar.

    Uma captura de tela da página Acesso Condicional, na qual você seleciona o aplicativo, a API de Gerenciamento de Serviços do Windows Azure, à qual a nova política será aplicada.

Configurar autenticação multifator para acesso

Em seguida, configuramos os controles de acesso. Os controles de acesso permitem que você defina os requisitos para um usuário receber acesso. Eles podem ser solicitados a usar um aplicativo cliente aprovado ou um dispositivo que é ingressado híbrido no Microsoft Entra ID.

Neste tutorial, configure os controles de acesso para exigir a autenticação multifator durante um evento de entrada.

  1. Em Controles de acesso, selecione o valor atual em Conceder e depois selecione Conceder acesso.

    Uma captura de tela da página Acesso Condicional, em que você seleciona

  2. Selecione Exigir autenticação multifator e escolha Selecionar.

    Uma captura de tela das opções para conceder acesso, em que você seleciona

Ativar a política

As políticas de Acesso Condicional podem ser definidas somente como relatório se você quiser ver como a configuração afetaria os usuários ou desativadas se você não quiser usar a política agora. Como um grupo de usuários de teste é direcionado para este tutorial, vamos habilitar a política e testar a autenticação multifator do Microsoft Entra.

  1. Em Habilitar política, selecione Ativar.

    Uma captura de tela do controle próximo à parte inferior da página da Web em que você especifica se a política está habilitada.

  2. Para aplicar a política de Acesso Condicional, selecione Criar.

Testar autenticação multifator do Microsoft Entra

Vamos ver sua política de Acesso Condicional e a autenticação multifator do Microsoft Entra em ação.

Primeiro, entre com um recurso que não requer MFA:

  1. Abra uma nova janela do navegador no modo InPrivate ou incógnito e navegue até https://account.activedirectory.windowsazure.com.

    Usar um modo particular para seu navegador impede que qualquer credencial existente afete esse evento de entrada.

  2. Entre com o usuário de teste não administrador, como o testuser. Certifique-se de incluir @ e o nome de domínio para a conta de usuário.

    Se esta for a primeira instância de login com esta conta, você será solicitado a alterar a senha. No entanto, não há nenhum prompt para configurar ou usar a autenticação multifator.

  3. Feche a janela do navegador.

Você configurou a política de acesso condicional para exigir autenticação adicional para entrada. Por causa dessa configuração, você será solicitado a usar a autenticação multifator do Microsoft Entra ou a configurar um método se ainda não tiver feito isso. Teste esse novo requisito entrando no centro de administração do Microsoft Entra:

  1. Abra uma nova janela do navegador no modo InPrivate ou incógnito e entre no Centro de administração do Microsoft Entra.

  2. Entre com o usuário de teste não administrador, como o testuser. Certifique-se de incluir @ e o nome de domínio para a conta de usuário.

    Você precisa se registrar e usar a autenticação multifator do Microsoft Entra.

    Um prompt que diz

  3. Selecione Avançar para iniciar o processo.

    É possível optar por configurar um telefone de autenticação, um telefone comercial ou um aplicativo móvel para autenticação. O telefone de autenticação dá suporte a mensagens de texto e chamadas telefônicas, o telefone office dá suporte a chamadas para números que têm uma extensão e o aplicativo móvel dá suporte ao uso de um aplicativo móvel para receber notificações de autenticação ou para gerar códigos de autenticação.

    Um prompt que diz:

  4. Conclua as instruções na tela para configurar o método de autenticação multifator que você selecionou.

  5. Feche a janela do navegador e entre novamente no Centro de administração do Microsoft Entra para testar o método de autenticação configurado. Por exemplo, se você configurou um aplicativo móvel para autenticação, deverá ver um prompt semelhante ao seguinte.

    Para acessar, siga as instruções no navegador e, em seguida, as instruções no dispositivo que você registrou para autenticação multifator.

  6. Feche a janela do navegador.

Limpar os recursos

Se você não quiser mais usar a política de Acesso Condicional que você configurou como parte deste tutorial, exclua a política usando as seguintes etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.

  2. Navegue até Políticas>Acesso Condicional e selecione a política que você criou, como MFA Pilot.

  3. selecione Excluir e confirme se deseja excluir a política.

    Para excluir a política de Acesso Condicional que você abriu, selecione Excluir, que está localizada sob o nome da política.

Próximas etapas

Neste tutorial, você habilitou a autenticação multifator do Microsoft Entra usando políticas de Acesso Condicional para um grupo selecionado de usuários. Você aprendeu a:

  • Criar uma política de Acesso Condicional para habilitar a autenticação multifator do Microsoft Entra para um grupo de usuários do Microsoft Entra.
  • Configure as condições de política que solicitam a autenticação multifator.
  • Testar a configuração e o uso da autenticação multifator como um usuário.

Habilitar o write-back de senha para SSPR (redefinição de senha de autoatendimento)