Compartilhar via

Tutorial: Migrar as políticas de logon do Okta para o acesso condicional do Microsoft Entra

Neste tutorial, aprenda como migrar uma organização a partir de políticas globais ou de credenciais no nível do aplicativo no Acesso Condicional do Okta no Microsoft Entra ID. As políticas de Acesso Condicional protegem o acesso do usuário em aplicativos conectados e no Microsoft Entra ID.

Saiba mais: O que é acesso condicional?

Este tutorial presume que você tenha:

  • Locatário Federado do Office 365 ao Okta para credenciais e autenticação multifator
  • Um servidor do Microsoft Entra Connect ou agentes de provisionamento em nuvem do Microsoft Entra Connect configurados para o provisionamento de usuário na ID do Microsoft Entra

Pré-requisitos

Veja as duas seções seguintes para os pré-requisitos de licenciamento e credenciais.

Licenciamento

Há requisitos de licenciamento se você alternar da credencial de entrada do Okta para o Acesso Condicional. O processo requer uma licença de ID P1 Microsoft Entra para habilitar o registro para autenticação multifator do Microsoft Entra.

Saiba mais: Atribuir ou remover licenças no Centro de administração do Microsoft Entra

Credenciais de Administrador Corporativo

Para configurar o registro do ponto de conexão de serviço (SCP), Certifique-se de ter as credenciais de Administrador Corporativo na floresta local.

Avalie as políticas de credenciais de entrada do Okta para a transição

Localize e avalie as políticas de credenciais de entrada do Okta para determinar o que será transitado para o Microsoft Entra ID.

  1. No Okta, vá para Segurança>Autenticação>Entrar.

    Captura de tela das entradas da Política de Login do MFA Global na página de Autenticação.

  2. Vá para Aplicativos.

  3. No submenu, selecione Aplicativos

  4. Na lista de aplicativos ativos, selecione a instância conectada do Microsoft Office 365.

    Captura de tela das configurações em Logon do Microsoft Office 365.

  5. Selecione Entrar.

  6. Role até o final do painel à direita.

A política de credenciais do aplicativo Microsoft Office 365 tem quatro regras:

  • Exigir MFA para sessões móveis - exige MFA de sessões de autenticação moderna ou navegador no iOS ou Android
  • Permitir dispositivos confiáveis do Windows – impede verificações ou solicitações desnecessárias de autenticação para dispositivos confiáveis da Okta
  • Exigir MFA de dispositivos Windows não confiáveis – requer MFA por métodos de autenticação moderna ou sessões de navegador em dispositivos Windows não confiáveis
  • Bloquear a autenticação herdada – impede que clientes de autenticação herdados se conectem ao serviço

A seguinte captura de tela mostra as condições e ações para as quatro regras, na tela Política de Credenciais.

Captura de tela das condições e ações das quatro regras, na tela Política de Login.

Configurar as políticas de acesso condicional

Configure as políticas de Acesso Condicional para corresponder às condições do Okta. Entretanto, em alguns cenários, talvez você precise de mais configuração:

  • Locais de rede do Okta para locais nomeados no Microsoft Entra ID
  • Confiança do dispositivo Okta para Acesso Condicional baseado em dispositivo (duas opções para avaliar os dispositivos de usuário):
    • Consulte a seção a seguir, configuração de junção híbrida do Microsoft Entra para sincronizar dispositivos Windows, como Windows 10, Windows Server 2016 e 2019, com o Microsoft Entra ID
    • Consulte a seção a seguir, Configurar a conformidade do dispositivo
    • Consulte, Usar a junção do Microsoft Entra Híbrido, um recurso no servidor Microsoft Entra Connect que sincroniza dispositivos Windows, tais como Windows 10, Windows Server 2016 e Windows Server 2019 para o Microsoft Entra
    • Veja, Registrar o dispositivo no Microsoft Intune e atribuir uma política de conformidade

Configurar o ingresso no Microsoft Entra híbrido

Para habilitar a junção híbrida do Microsoft Entra no servidor Microsoft Entra Connect, execute o assistente de configuração. Após as configurações, inscreva os dispositivos.

Observação

a junção híbrida do Microsoft Entra não tem suporte com os agentes de provisionamento de nuvem do Microsoft Entra Connect.

  1. Configure o ingresso híbrido no Microsoft Entra.

  2. Na página Configuração do SCP, selecione o menu suspenso Serviço de autenticação.

    Captura de tela da lista suspensa de Serviço de Autenticação na caixa de diálogo do Microsoft Entra Connect.

  3. Selecione um URL do provedor de federação do Okta.

  4. Selecione Adicionar.

  5. Insira suas credenciais de Administrador Corporativo local

  6. Selecione Avançar.

    Dica

    Se você bloqueou a autenticação herdada em clientes Windows na política global ou de credenciais em nível de aplicativo, crie uma regra que habilite o processo de junção do Microsoft Entra Híbrido para ser finalizado. Permita a pilha de autenticação herdada para clientes Windows.
    Para habilitar cadeias de caracteres de cliente personalizadas em políticas de aplicativo, entre em contato com a Central de Ajuda do Okta.

Configurar a conformidade do dispositivo

A junção do Microsoft Entra Híbrido é uma substituição da confiança do dispositivo Okta no Windows. As políticas de Acesso Condicional reconhecem a conformidade para dispositivos inscritos no Microsoft Intune.

Política de conformidade do dispositivo

Inscrição de Windows 10/11, iOS, iPadOS e Android

Se você implantou a junção do Microsoft Entra Híbrido, você pode implantar outra política de grupo para concluir a inscrição automática desses dispositivos no Intune.

Definir a configuração de locatário da autenticação multifator do Microsoft Entra

Antes de você converter para Acesso Condicional, confirme as configurações base do locatário do MFA para sua organização.

  1. Entre no Centro de administração do Microsoft Entra como administrador de identidade híbrida.

  2. Navegue até Entra ID>Usuários.

  3. Selecione MFA por usuário no menu superior do painel Usuários .

  4. O portal de autenticação multifator do Microsoft Entra herdado é exibido. Ou selecione o portal de autenticação multifator do Microsoft Entra.

    Captura de tela da tela de autenticação multifator.

  5. Confirme se não há usuários habilitados para MFA legado: no menu Autenticação multifator, no Status de autenticação multifator, selecione Habilitado e Exigido. Se o locatário tiver usuários nas seguintes exibições, desabilite-os no menu herdado.

    Captura de tela da tela de autenticação multifator com o recurso de pesquisa realçado.

  6. Verifique se o campo Aplicado está vazio.

  7. Selecione a opção Configurações de serviço .

  8. Altere a seleção de senhas de aplicativo para Não permitir que os usuários criem senhas de aplicativo para entrar em aplicativos que não são do navegador.

    Captura de tela da tela de autenticação multifator com as configurações de serviço realçadas.

  9. Desmarque as caixas de seleção de Ignorar a autenticação multifator para solicitações de usuários federados na minha intranet e Permitir usuários a lembrar da autenticação multifator em dispositivos em que confiam (no intervalo de um a 365 dias).

  10. Selecione Salvar.

    Captura de tela das caixas de seleção desmarcadas na tela Exigir Dispositivos Confiáveis para Acesso.

    Observação

    Confira Otimizar as solicitações de nova autenticação e entender o tempo de vida da sessão da autenticação multifator do Microsoft Entra.

Compilar uma política de Acesso Condicional

Para configurar políticas de Acesso Condicional, consulte as práticas recomendadas para implantar e projetar o Acesso Condicional.

Após você configurar os pré-requisitos e as configurações básicas estabelecidas, você pode compilar a política de Acesso Condicional. A política pode ser destinada a um aplicativo, a um grupo de teste de usuários, ou a ambos.

Antes de começar:

  1. Entre no Centro de administração do Microsoft Entra.

  2. Navegue até Entra ID>Acesso Condicional.

  3. Para saber como criar uma política no Microsoft Entra ID. Consulte a política de Acesso Condicional Comum: Exigir MFA para todos os usuários.

  4. Crie uma regra de acesso condicional baseada em confiança do dispositivo.

    Captura de tela das entradas para Exigir Dispositivos Confiáveis para Acesso, em Acesso Condicional.

    Captura de tela da caixa de diálogo Manter sua conta segura com a mensagem de êxito.

  5. Depois de configurar a política baseada em localização e a política de confiança do dispositivo, bloqueie a autenticação herdada com Microsoft Entra ID com Acesso Condicional.

Com estas três políticas de Acesso Condicional, a experiência original do Okta com políticas de credenciais é replicada no Microsoft Entra ID.

Inscrever membros piloto em MFA

Registro de usuários para métodos de MFA.

Para registro individual, os usuários vão para o painel de login da Microsoft.

Para gerenciar o registro, os usuários vão para o Microsoft My Sign-Ins | Informações de segurança.

Saiba mais: Habilitar o registro combinado de informações de segurança na ID do Microsoft Entra.

Observação

Se os usuários estiverem registrados, eles são redirecionados para a página Minha Segurança , depois de satisfazerem a MFA.

Habilitar políticas de acesso condicional

  1. Para testar, altere as políticas criadas para habilitar o logon do usuário de teste.

    Captura de tela das políticas na tela Acesso Condicional, Políticas.

  2. No painel Entrar do Office 365, será solicitado que o usuário de teste John Smith entre com a MFA do Okta e a autenticação multifator do Microsoft Entra.

  3. Conclua a verificação de MFA por meio do Okta.

    Captura de tela da verificação de MFA por meio do Okta.

  4. É solicitado ao usuário o Acesso Condicional.

  5. Garanta que as políticas sejam configuradas para serem acionadas para o MFA.

    Captura de tela da verificação MFA através do Okta, solicitado para o Acesso Condicional.

Adicionar membros da organização às políticas de Acesso Condicional

Após realizar testes em membros piloto, adicione os membros restantes da organização às políticas de Acesso Condicional, após o registro.

Para evitar o prompt duplo da autenticação multifator do Microsoft Entra e da MFA do Okta, recuse a MFA do Okta modificando as políticas de logon.

  1. Vá para o console de administração Okta

  2. Selecionar Segurança>Autenticação

  3. Vá para a Política de Autenticação.

    Observação

    Defina políticas globais como Inativas se todos os aplicativos do Okta estiverem protegidos por políticas de logon do aplicativo.

  4. Defina a política Impor MFA como Inativa. Você pode atribuir a política a um novo grupo que não inclui os usuários do Microsoft Entra.

    Captura de tela da Política de Global de Credenciais com MFA como Inativa.

  5. No painel de política de logon no nível do aplicativo, selecione a opção Desabilitar Regra .

  6. Selecione Inativo. Você pode atribuir a política a um novo grupo que não inclui os usuários do Microsoft Entra.

  7. certifique-se que haja pelo menos uma política de credencial em nível de aplicativo habilitada para o aplicativo que permita o acesso sem MFA.

    Captura de tela do acesso ao aplicativo sem MFA.

  8. Os usuários são solicitados a ter Acesso Condicional na próxima vez que entrarem no sistema.

Próximas etapas