Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Neste tutorial, aprenda como migrar uma organização a partir de políticas globais ou de credenciais no nível do aplicativo no Acesso Condicional do Okta no Microsoft Entra ID. As políticas de Acesso Condicional protegem o acesso do usuário em aplicativos conectados e no Microsoft Entra ID.
Saiba mais: O que é acesso condicional?
Este tutorial presume que você tenha:
- Locatário Federado do Office 365 ao Okta para credenciais e autenticação multifator
- Um servidor do Microsoft Entra Connect ou agentes de provisionamento em nuvem do Microsoft Entra Connect configurados para o provisionamento de usuário na ID do Microsoft Entra
Pré-requisitos
Veja as duas seções seguintes para os pré-requisitos de licenciamento e credenciais.
Licenciamento
Há requisitos de licenciamento se você alternar da credencial de entrada do Okta para o Acesso Condicional. O processo requer uma licença de ID P1 Microsoft Entra para habilitar o registro para autenticação multifator do Microsoft Entra.
Saiba mais: Atribuir ou remover licenças no Centro de administração do Microsoft Entra
Credenciais de Administrador Corporativo
Para configurar o registro do ponto de conexão de serviço (SCP), Certifique-se de ter as credenciais de Administrador Corporativo na floresta local.
Avalie as políticas de credenciais de entrada do Okta para a transição
Localize e avalie as políticas de credenciais de entrada do Okta para determinar o que será transitado para o Microsoft Entra ID.
No Okta, vá para Segurança>Autenticação>Entrar.
Vá para Aplicativos.
No submenu, selecione Aplicativos
Na lista de aplicativos ativos, selecione a instância conectada do Microsoft Office 365.
Selecione Entrar.
Role até o final do painel à direita.
A política de credenciais do aplicativo Microsoft Office 365 tem quatro regras:
- Exigir MFA para sessões móveis - exige MFA de sessões de autenticação moderna ou navegador no iOS ou Android
- Permitir dispositivos confiáveis do Windows – impede verificações ou solicitações desnecessárias de autenticação para dispositivos confiáveis da Okta
- Exigir MFA de dispositivos Windows não confiáveis – requer MFA por métodos de autenticação moderna ou sessões de navegador em dispositivos Windows não confiáveis
- Bloquear a autenticação herdada – impede que clientes de autenticação herdados se conectem ao serviço
A seguinte captura de tela mostra as condições e ações para as quatro regras, na tela Política de Credenciais.
Configurar as políticas de acesso condicional
Configure as políticas de Acesso Condicional para corresponder às condições do Okta. Entretanto, em alguns cenários, talvez você precise de mais configuração:
- Locais de rede do Okta para locais nomeados no Microsoft Entra ID
- Confiança do dispositivo Okta para Acesso Condicional baseado em dispositivo (duas opções para avaliar os dispositivos de usuário):
- Consulte a seção a seguir, configuração de junção híbrida do Microsoft Entra para sincronizar dispositivos Windows, como Windows 10, Windows Server 2016 e 2019, com o Microsoft Entra ID
- Consulte a seção a seguir, Configurar a conformidade do dispositivo
- Consulte, Usar a junção do Microsoft Entra Híbrido, um recurso no servidor Microsoft Entra Connect que sincroniza dispositivos Windows, tais como Windows 10, Windows Server 2016 e Windows Server 2019 para o Microsoft Entra
- Veja, Registrar o dispositivo no Microsoft Intune e atribuir uma política de conformidade
Configurar o ingresso no Microsoft Entra híbrido
Para habilitar a junção híbrida do Microsoft Entra no servidor Microsoft Entra Connect, execute o assistente de configuração. Após as configurações, inscreva os dispositivos.
Observação
a junção híbrida do Microsoft Entra não tem suporte com os agentes de provisionamento de nuvem do Microsoft Entra Connect.
Na página Configuração do SCP, selecione o menu suspenso Serviço de autenticação.
Selecione um URL do provedor de federação do Okta.
Selecione Adicionar.
Insira suas credenciais de Administrador Corporativo local
Selecione Avançar.
Dica
Se você bloqueou a autenticação herdada em clientes Windows na política global ou de credenciais em nível de aplicativo, crie uma regra que habilite o processo de junção do Microsoft Entra Híbrido para ser finalizado. Permita a pilha de autenticação herdada para clientes Windows.
Para habilitar cadeias de caracteres de cliente personalizadas em políticas de aplicativo, entre em contato com a Central de Ajuda do Okta.
Configurar a conformidade do dispositivo
A junção do Microsoft Entra Híbrido é uma substituição da confiança do dispositivo Okta no Windows. As políticas de Acesso Condicional reconhecem a conformidade para dispositivos inscritos no Microsoft Intune.
Política de conformidade do dispositivo
- Usar políticas de conformidade para definir regras para dispositivos gerenciados com o Intune
- Criar uma política de conformidade no Microsoft Intune
Inscrição de Windows 10/11, iOS, iPadOS e Android
Se você implantou a junção do Microsoft Entra Híbrido, você pode implantar outra política de grupo para concluir a inscrição automática desses dispositivos no Intune.
- Registro no Microsoft Intune
- Início Rápido: Configurar o registro automático para dispositivos Windows 10/11
- Registrar dispositivos Android
- Registrar dispositivos iOS/iPadOS no Intune
Definir a configuração de locatário da autenticação multifator do Microsoft Entra
Antes de você converter para Acesso Condicional, confirme as configurações base do locatário do MFA para sua organização.
Entre no Centro de administração do Microsoft Entra como administrador de identidade híbrida.
Navegue até Entra ID>Usuários.
Selecione MFA por usuário no menu superior do painel Usuários .
O portal de autenticação multifator do Microsoft Entra herdado é exibido. Ou selecione o portal de autenticação multifator do Microsoft Entra.
Confirme se não há usuários habilitados para MFA legado: no menu Autenticação multifator, no Status de autenticação multifator, selecione Habilitado e Exigido. Se o locatário tiver usuários nas seguintes exibições, desabilite-os no menu herdado.
Verifique se o campo Aplicado está vazio.
Selecione a opção Configurações de serviço .
Altere a seleção de senhas de aplicativo para Não permitir que os usuários criem senhas de aplicativo para entrar em aplicativos que não são do navegador.
Desmarque as caixas de seleção de Ignorar a autenticação multifator para solicitações de usuários federados na minha intranet e Permitir usuários a lembrar da autenticação multifator em dispositivos em que confiam (no intervalo de um a 365 dias).
Selecione Salvar.
Compilar uma política de Acesso Condicional
Para configurar políticas de Acesso Condicional, consulte as práticas recomendadas para implantar e projetar o Acesso Condicional.
Após você configurar os pré-requisitos e as configurações básicas estabelecidas, você pode compilar a política de Acesso Condicional. A política pode ser destinada a um aplicativo, a um grupo de teste de usuários, ou a ambos.
Antes de começar:
- Entender os componentes da política de acesso condicional
- Criando uma política de acesso condicional
Navegue até Entra ID>Acesso Condicional.
Para saber como criar uma política no Microsoft Entra ID. Consulte a política de Acesso Condicional Comum: Exigir MFA para todos os usuários.
Crie uma regra de acesso condicional baseada em confiança do dispositivo.
Depois de configurar a política baseada em localização e a política de confiança do dispositivo, bloqueie a autenticação herdada com Microsoft Entra ID com Acesso Condicional.
Com estas três políticas de Acesso Condicional, a experiência original do Okta com políticas de credenciais é replicada no Microsoft Entra ID.
Inscrever membros piloto em MFA
Registro de usuários para métodos de MFA.
Para registro individual, os usuários vão para o painel de login da Microsoft.
Para gerenciar o registro, os usuários vão para o Microsoft My Sign-Ins | Informações de segurança.
Saiba mais: Habilitar o registro combinado de informações de segurança na ID do Microsoft Entra.
Observação
Se os usuários estiverem registrados, eles são redirecionados para a página Minha Segurança , depois de satisfazerem a MFA.
Habilitar políticas de acesso condicional
Para testar, altere as políticas criadas para habilitar o logon do usuário de teste.
No painel Entrar do Office 365, será solicitado que o usuário de teste John Smith entre com a MFA do Okta e a autenticação multifator do Microsoft Entra.
Conclua a verificação de MFA por meio do Okta.
É solicitado ao usuário o Acesso Condicional.
Garanta que as políticas sejam configuradas para serem acionadas para o MFA.
Adicionar membros da organização às políticas de Acesso Condicional
Após realizar testes em membros piloto, adicione os membros restantes da organização às políticas de Acesso Condicional, após o registro.
Para evitar o prompt duplo da autenticação multifator do Microsoft Entra e da MFA do Okta, recuse a MFA do Okta modificando as políticas de logon.
Vá para o console de administração Okta
Selecionar Segurança>Autenticação
Vá para a Política de Autenticação.
Observação
Defina políticas globais como Inativas se todos os aplicativos do Okta estiverem protegidos por políticas de logon do aplicativo.
Defina a política Impor MFA como Inativa. Você pode atribuir a política a um novo grupo que não inclui os usuários do Microsoft Entra.
No painel de política de logon no nível do aplicativo, selecione a opção Desabilitar Regra .
Selecione Inativo. Você pode atribuir a política a um novo grupo que não inclui os usuários do Microsoft Entra.
certifique-se que haja pelo menos uma política de credencial em nível de aplicativo habilitada para o aplicativo que permita o acesso sem MFA.
Os usuários são solicitados a ter Acesso Condicional na próxima vez que entrarem no sistema.