Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este documento descreve as considerações sobre operações de segurança para implantar o Microsoft Entra External ID, uma solução extensível para adicionar soluções de gerenciamento de acesso e identidade do cliente (CIAM) aos seus aplicativos. Este documento enfatiza ataques baseados na periferia da rede, particularmente bots direcionados a endpoints de registo e de início de sessão. Esses vetores são comumente explorados em sistemas de identidade externa e exigem estratégias de defesa proativas e em camadas.
Os principais tópicos abordados incluem:
- Proteção do inquilino
- Integração com firewall de aplicativo Web (WAF)
- Mitigação de bots
- Higiene de credenciais e tokens
- Controle de acesso baseado em geografia
Uma atenção especial vai para os processos para proteger as jornadas de inscrição e login contra fraudes automatizadas, como preenchimento de credenciais e Fraude Internacional de Participação nos Lucros (IRSF). Encontre informações sobre a importância do monitoramento e alerta, validação contínua, rastreamento de uso e deteção de anomalias. Trata-se de ações essenciais para a deteção e resposta precoces a ameaças. Veja o diagrama a seguir de um fluxo de operações de segurança.
Proteção de segurança periférica para clientes contra ataques DDoS e bots
Os locatários do Microsoft Entra expõem pontos de extremidade acessíveis ao público através da Internet para permitir a autenticação de utilizadores e o acesso ao serviço. Essas áreas incluem pontos de extremidade de autenticação e metadados. Os pontos finais são acessíveis anonimamente; portanto, alvos potenciais para ataques distribuídos de negação de serviço (DDoS) e atividades automatizadas maliciosas, como a criação fraudulenta de contas. Uma estratégia de proteção baseada em borda ajuda a garantir a disponibilidade do serviço e a segurança do usuário.
Para evitar interrupções de serviço e garantir acesso seguro e confiável, use uma estratégia de defesa em camadas. A Microsoft fortalece a proteção de identidade integrando-se com os principais provedores de mitigação de WAF e bots de terceiros. O as integrações permitem a análise em tempo real e a filtragem de tráfego malicioso ou de alto risco, antes que ele atinja os seus endpoints de identidade.
Esse modelo de defesa profunda ajuda a proteger contra preenchimento de credenciais, aquisições de contas e ataques DDoS em larga escala, enquanto você mantém uma experiência perfeita para usuários legítimos.
Para melhorar a proteção, recomendamos a implementação de um WAF. Utilize esta configuração para colocar os controlos de segurança à frente dos endpoints CIAM. Melhore a resiliência e reduza o risco de interrupção do serviço devido a ameaças automatizadas.
Quando você usa um redirecionamento baseado na Web para fluxos de usuário, os consumidores veem o nome de domínio do ponto de extremidade de autenticação. Por padrão, este ponto de extremidade usa o formato <tenantprefix>.ciamlogin.com, onde <tenantprefix> é o prefixo do nome do locatário. Por exemplo, para contoso.onmicrosoft.com, o prefixo do inquilino é contoso.
Detalhes do domínio
No Microsoft Entra External ID, você pode alterar o nome de domínio para um que você possui e um que seu cliente pode relacionar com o seu serviço. Por exemplo, você pode usar login.contoso.com.
Com recursos de branding, use um nome de domínio personalizado para permitir a integração de uma solução WAF, que tem mais proteção contra bots e agentes mal-intencionados.
Saiba mais sobre domínios de URL personalizados em locatários externos.
No diagrama a seguir, consulte o exemplo de domínio personalizado.
Considerações sobre a configuração do WAF
Use a tabela a seguir para saber mais sobre controles de segurança e suas descrições.
| Controlo de segurança | Descrição |
|---|---|
| Limitação de taxa e estrangulamento adaptativo | A limitação de taxa é uma defesa eficaz e configurável contra ataques volumétricos e de baixa intensidade e lenta execução. Os principais WAFs suportam políticas detalhadas que limitam solicitações por segundo ou por minuto em diferentes níveis: por IP, endereço ou sessão. O controlo adaptativo aperta automaticamente as restrições em resposta a picos súbitos de tráfego, padrões de ataques conhecidos ou comportamentos anómalos.
Por exemplo, configure um endpoint de login para um número definido de tentativas de autenticação dentro de um curto prazo. Este esforço reduz o risco de ataques de preenchimento de credenciais e dos ataques de força bruta. Além disso, ajuste dinamicamente os limites de taxa com base em sinais contextuais, como geolocalização, cabeçalhos de solicitação ou impressão digital do dispositivo. |
| Proteção contra DDoS | Esse controle garante defesa interna contra ataques DDoS de camada de rede (camada 3) e camada de aplicativo (camada 7). Ajude a absorver ou filtrar o tráfego mal-intencionado na periferia e garanta que os componentes de autenticação permaneçam disponíveis para usuários legítimos, mesmo durante ataques de alto volume. |
| Proteção de bots | Recomendamos a proteção integrada de bots alimentada por aprendizado de máquina. Esses recursos ajudam a detetar e prevenir ataques automatizados usando uma variedade de opções de aplicação, desde o bloqueio silencioso até desafios interativos, como CAPTCHA ou reCAPTCHA. |
| Geografia (Geo)-esgrima | Avalie se o tráfego é aceito de todas as regiões geográficas. Se não, o bloqueio geográfico ou a restrição reduzem a exposição a regiões irrelevantes ou de alto risco. Para acesso global, analise a distribuição percentual aproximada do tráfego legítimo de clientes por região para orientar o design da política. O tráfego de regiões geográficas não atendidas pode ser bloqueado ou limitado com base nas necessidades de negócios e na inteligência de ameaças. |
| Limitação de IP e ASN | Semelhante à cerca geográfica, você pode restringir ou limitar o tráfego com base no endereço IP ou no ASN (Autonomous System Number). Embora as identidades dos clientes normalmente se originem de IPs diversos, mas de baixo volume, analise exceções, como quiosques ou sistemas de alto rendimento, por exemplo, agentes de seguros. Excepcionalmente, altos volumes de solicitações de um único IP ou ASN desencadeiam o escrutínio. |
| Bloquear tráfego para o domínio padrão | Ao usar a proteção WAF, bloqueie o acesso ao nome de domínio ciamlogin.com padrão. Caso contrário, os atacantes usam o nome de domínio e ignoram as proteções WAF. |
Segurança de aplicativos: gerenciamento de credenciais e segredos
Os aplicativos CIAM são autenticados com o Microsoft Entra External ID usando protocolos como OAuth 2.0 ou SAML (security assertion markup language) 2.0. o que torna essencial o gerenciamento seguro de credenciais de aplicativos. Na tabela a seguir, encontre as principais considerações de segurança para credenciais e segredos do aplicativo.
| Considerações de segurança | Detalhes |
|---|---|
| Prefira certificados em vez de segredos | Quando possível, use credenciais de certificado X.509 em vez de segredos de senha. Embora os segredos sejam mais fáceis de configurar, os certificados oferecem maior segurança e podem ser o método padrão para adquirir tokens.
Atualmente, identidades gerenciadas e identidades de carga de trabalho não estão disponíveis no Microsoft Entra External ID. |
| Impor políticas de uso de credenciais | Configure políticas de método de autenticação de aplicativo para restringir ou bloquear o uso de segredos. Se você usar segredos, defina expirações para minimizar a exposição. |
| Evite credenciais em aplicativos cliente públicos | Para aplicativos que são aplicativos cliente públicos, verifique se nenhuma credencial está configurada no registro do aplicativo. Um exemplo são as aplicações com autenticação do utilizador por meio de endpoints públicos. Esses aplicativos não devem exigir segredos de cliente ou certificados. |
| Auditar credenciais regularmente | Para garantir que as credenciais sejam usadas e não tenham expirado, revise periodicamente as credenciais atribuídas aos aplicativos. Remova credenciais obsoletas ou não utilizadas, evite o compartilhamento de credenciais entre aplicativos e limite as credenciais por aplicativo. |
| Verificar o código do aplicativo em busca de dados confidenciais | Para detetar credenciais de aplicativos, use ferramentas de análise estática, como um scanner de credenciais. Use a ferramenta para outras informações confidenciais no código-fonte. Crie artefatos antes que eles sejam confirmados ou implantados. |
Redução de riscos com gerenciamento do tempo de vida do token
Configure o tempo de vida do token para ajudar a minimizar a exposição de tokens comprometidos.
| Controlo de segurança | Detalhes |
|---|---|
| Configurar o tempo de vida do token | Reduza o tempo de vida do token de acesso para ajudar a reduzir o risco. Atores mal-intencionados usam um acesso comprometido ou token de ID. Os tokens não podem ser revogados.
Os tokens precisam de atualizações frequentes, então a troca é um efeito potencial no desempenho. |
Extensões de autenticação personalizadas
Um componente importante do planejamento da implantação é proteger extensões de autenticação personalizadas. A API REST que apoia essas extensões é hospedada com base em requisitos operacionais e de negócios, portanto, projetada para segurança, disponibilidade e resiliência. Qualquer degradação no desempenho ou na disponibilidade dessas APIs devido a atividades maliciosas ou outras falhas pode afetar os fluxos de inscrição e entrada relacionados. Essas interrupções degradam a experiência do usuário, mas podem prejudicar a confiabilidade geral da implementação do Microsoft Entra External ID. Use a tabela a seguir para revisar considerações como escala e segurança.
| Consideração | Detalhes |
|---|---|
| Escala | - Match RPS vindo do Microsoft Entra External ID - Responda dentro da janela de tempo limite com códigos HTTP de acordo com as orientações de extensões personalizadas |
| Segurança | - Certifique-se de que as solicitações vêm do ID Externo do Microsoft Entra. As gamas de datacenter da Microsoft são documentadas. Para bloquear as solicitações de entrada, use intervalos.
- Para proteger a API de ataques como DDoS, use um WAF na frente da API REST. Este esforço garante que os ataques sejam atenuados se o endpoint da API REST for alvo. - Para gerar alertas para APIs REST ou outras APIs que enfrentem desafios relacionados à segurança, como DDoS, utilize auditorias e registo com monitoramento. |
| Resiliência | - Aumente e diminua a escala sem problemas - Para garantir um efeito baixo ou nenhum na qualidade do serviço, recupere o serviço da API REST e a tolerância a falhas |
Segurança do utilizador: Proteção de inscrição
Nesta seção, saiba como proteger os usuários contra fraudes de inscrição. O design de fluxo de usuário ajuda a determinar a probabilidade de fraude de inscrição. Processos de inscrição que realizam verificação mínima do utilizador são suscetíveis a atividades fraudulentas. Controles, como proteção avançada contra fraudes, distinguem usuários humanos de bots. Além disso, você pode impedir o abuso automatizado. O Microsoft Entra External ID suporta vários controles que introduzem diferentes graus de dificuldade para o utilizador. A tabela a seguir tem uma lista de controles de segurança para segurança do usuário
| Controlo de segurança | Detalhes |
|---|---|
| WAF: Proteção de bots | Essa proteção é a linha de frente da defesa contra ataques de IRSF (International Revenue Share Fraud), normalmente impulsionados por bots que geram tráfego de alto volume para disparar mensagens OTP durante o processo de inscrição. |
| Filtragem de e-mail de reputação | Para mitigar o risco de contas de e-mail fraudulentas, implemente a validação de domínio. Restrinja a inscrição de endereços de e-mail com má reputação ou associações conhecidas com atividades maliciosas. O Microsoft Entra External ID suporta extensões personalizadas durante a inscrição. Para avaliar a reputação do domínio de email, invoque uma API REST durante o fluxo de inscrição. Com base na pontuação de reputação, o sistema permite ou bloqueia a solicitação de inscrição. |
| Filtragem de e-mail IP | Para reduzir o risco de criação de conta fraudulenta, recomendamos que você restrinja as inscrições de proxies anônimos ou endereços IP vinculados a ASNs (Números de Sistema Autônomos) fora das regiões de negócios da sua organização. Essa estratégia ajuda a reduzir a exposição a fontes de tráfego de alto risco ou não confiáveis.
O Microsoft Entra External ID suporta extensões de autenticação personalizadas para invocar durante o processo de inscrição. Use essas extensões para chamar uma API REST para avaliar a reputação ou a geolocalização do endereço IP que inicia a solicitação de inscrição. Use esse processo durante a verificação de senha única (OTP) de e-mail. |
| Número excessivo de OTPs de um endereço IP ou ASN | Implemente monitoramento e alerta quando um grande volume de solicitações OTP de e-mail se origina do mesmo endereço IP, ASN ou local. Por exemplo, acione um alerta se as OTPs de e-mail vierem de um único IP ou coordenadas geográficas semelhantes em um curto espaço de tempo. |
Para fortalecer as defesas, o Microsoft Entra External ID tem um recurso premium de prevenção de fraudes, atualmente em Private Preview. Há planos para expandir a disponibilidade no futuro. Esse recurso se integra ao Human Security, um provedor terceirizado confiável, para deteção avançada de bots e contas falsas. A funcionalidade tem um desafio de pressionar e segurar fácil de utilizar. As organizações podem melhorar a proteção sem atrito significativo do usuário.
Fraude na partilha de receitas internacionais
Uma Fraude Internacional de Partilha de Receitas (IRSF) é um ataque motivado financeiramente que ocorre quando expõe a verificação do serviço de mensagens curtas (SMS) numa interface pública acessível. Quando você habilita a autenticação multifator (MFA) do Microsoft Entra na ID externa do Microsoft Entra, os ataques IRSF são possíveis. Com a verificação por SMS ativada, o Microsoft Entra tem duas proteções integradas:
- A limitação de telefonia ajuda a reduzir o risco de interrupções de serviço e degradação do desempenho
- O CAPTCHA para MFA baseado em SMS ajuda a se defender contra ataques automatizados, distinguindo usuários humanos de bots. Se um usuário for considerado de alto risco, o acesso será bloqueado ou um desafio CAPTCHA aparecerá antes que um código de verificação por SMS seja enviado.
Como outra camada de defesa, recomendamos que você revise a tabela a seguir para considerar alguns controles de segurança.
| Controlo de segurança | Descrição |
|---|---|
| WAF: Proteção de bots | Para disparar mensagens OTP durante a inscrição, habilite a linha de frente de defesa contra ataques IRSF, normalmente impulsionados por bots que geram tráfego de alto volume. |
| Regiões que exigem a aceitação da verificação de telefonia MFA | Ajude a evitar fraudes baseadas em telefonia: a Microsoft não habilita automaticamente a verificação de MFA baseada em telefone para alguns códigos de país ou região. Para dar suporte ao login dessas regiões, um administrador envia uma solicitação de suporte para aceitar e habilitar a verificação de telefonia para esses códigos. Para permitir o tráfego de regiões desativadas, ative-as com a API do Microsoft Graph. |
| OTPs SMS excessivos provenientes de um único endereço IP ou ASN. | Implemente monitoramento e alertas para um grande volume de solicitações de senha única (OTP) SMS originadas do mesmo endereço IP, ASN ou localização geográfica. Por exemplo, acione um alerta para OTPs SMS excessivas de um único IP ou coordenadas geográficas em um curto espaço de tempo. Este cenário pode indicar um ataque IRSF.
Para melhorar a precisão e reduzir o ruído, refine os critérios de alerta. Concentre-se em solicitações OTP malsucedidas feitas pelos usuários. Em cenários de IRSF, os invasores normalmente não concluem a autenticação. Depois, queremos criar tráfego de SMS para números de telefone para lucro financeiro. Use essa abordagem para ver atividades potencialmente maliciosas enquanto minimiza falsos positivos. |
Proteção de início de sessão: Acesso não autorizado à conta
Tomada de conta significa que uma conta de usuário está comprometida. O invasor altera as credenciais da conta, como email, senha ou número de telefone. Essas ações impedem que o proprietário da conta recupere o controle. Esses ataques são realizados com um spray de senha.
Use várias camadas de defesa para reduzir a taxa de comprometimento da conta. Utilize uma combinação dos seguintes controlos de segurança.
| Controlo de segurança | Detalhes |
|---|---|
| Política de Acesso Condicional do Microsoft Entra: Autenticação multifator adaptativa a partir do contexto de autenticação. | Os aplicativos podem impor a autenticação multifator (MFA) do Microsoft Entra dinamicamente usando o contexto de autenticação nas políticas de Acesso Condicional . Aplique a autenticação intensificada quando necessário, como atividades de alto valor, como transações financeiras, acesso a dados confidenciais ou operações privilegiadas. Enquanto isso, mantenha uma experiência sem atrito para interações de menor risco.
Por exemplo, um usuário navega para um site de comércio eletrônico, adiciona itens ao carrinho. Não vêem qualquer pedido para o MFA. No entanto, no checkout ou antes do pagamento, a política reavalia o contexto de autenticação e requer MFA. Este cenário ocorre se o utilizador concluiu a autenticação multifator durante a sessão inicial. Esta abordagem direcionada estabelece um equilíbrio entre segurança e usabilidade. |
| Política de Acesso Condicional: Controlo de acesso por localização | Você pode restringir os logins do usuário com base na localização geográfica. Configure políticas de Acesso Condicional usando filtros de país ou região ou intervalos de endereços IP. Você pode bloquear o acesso de regiões nas quais sua organização não prevê atividades legítimas de usuários. Recomendamos que você use esse controle com a cerca geográfica WAF. O WAF bloqueia o tráfego na borda antes do login do usuário. O Acesso Condicional é uma camada de imposição no nível de identidade. |
| Monitoramento: falhas de autenticação excessivas | Monitore e gere alertas para tentativas excessivas de autenticação com falha a partir de uma conta de usuário.
Por exemplo, dispare um alerta se a taxa de falha de autenticação do usuário exceder um limite, como 10% por hora. Essa medida aumenta a visibilidade e a conscientização sobre possíveis comprometimentos de contas ou atividades de ataques automatizados. |
Auditoria e acompanhamento
Uma auditoria são ações tomadas para entender um sistema, suas atividades de usuário e processos relacionados. O monitoramento é uma atividade contínua que informa sobre o que está ocorrendo. O monitoramento geralmente envolve alertas e automação.
Auditoria e registos
O Microsoft Entra External ID armazena registos de entrada e auditoria por 30 dias. Para retenção e análise, exporte essas informações para um armazenamento ou ferramenta externa.
Configure o Azure Monitor como uma ponte para exportar logs. Consulte o diagrama a seguir das exportações de log de ID Externo do Microsoft Entra com o Azure Monitor.
Essa configuração requer a projeção de um grupo de recursos do Microsoft Azure com os recursos do locatário da empresa para o locatário do Microsoft Entra.
Monitorizar e alertar
O monitoramento ajuda a garantir a operação eficiente da identidade e dos sistemas associados. Essas ações incluem o estabelecimento de infraestrutura de monitoramento, a definição de procedimentos de monitoramento, a configuração de painéis ou alertas e a criação de um protocolo de resposta para lidar com alertas. Consulte a nota a seguir e uma lista do que monitorar.
Observação
Monitore os logs em busca de exceções e erros do serviço de identidade. Também monitorize serviços dependentes, como WAFs e APIs que utilizam extensões personalizadas.
- Disponibilidade - Descubra se o serviço está operacional. Às vezes referido como um batimento cardíaco ou ponto de saúde. Configure-o no sistema de monitoramento para que ele seja executado com frequência em componentes em uso. Para APIs de extensão personalizadas, recomendamos que você implemente a monitorização do estado do ponto final. Se desenvolver API usando .NET, use verificações de integridade no ASP.NET Core para expor pontos finais de integridade. Monitorar a disponibilidade é essencial, mas pode indicar apenas falhas de serviço.
- Funcionalidade - Rastreie a funcionalidade com transações sintéticas que imitam interações de utilizador ou sistema de ponta a ponta envolvendo dependências: interface do utilizador, chamadas de API, registos. Muitas ferramentas de monitoramento têm recursos para automatizar experiências na Web em várias etapas, como inscrição, edição de perfil e MFA.
- Performance - Acompanhe o desempenho com transações sintéticas e instrumentação no lado do servidor para recolher telemetria relacionada ao desempenho. Em sistemas distribuídos, como o gerenciamento de acesso de identidade (IAM) com dependências, identifique e resolva problemas de desempenho. Implante sondas de desempenho em locais de clientes e defina uma referência para experiências de identidade. Configure gatilhos e notificações para detetar desvios de uma linha de base. Um sistema não é benéfico se estiver disponível, mas tiver um desempenho fraco.
As solicitações de autenticação e identidade vêm com um ID de correlação de sessão. Quando o sistema de identidade chama extensões personalizadas externas, esse identificador está no contexto de autenticação. Para diagnosticar problemas, registre o identificador na extensão personalizada.
Observação
A Microsoft tem como objetivo habilitar a telemetria do lado do cliente usando ferramentas de análise como o Google Analytics e o Adobe Analytics.
O diagrama a seguir ilustra a configuração de monitoramento e alerta.
Degradação do serviço e configuração de alerta de falhas
Em sistemas grandes, algumas transações falharão. Experiências de identidade incompletas, às vezes chamadas de conversões incompletas, podem ocorrer devido a usuários distraídos, falhas de telecomunicações e falhas no navegador. Em grande escala, resolver todas as falhas é impraticável. Configure uma linha de base para eventos típicos de falha. Configure também o monitoramento e o alerta para detetar desvios, como o monitoramento de desempenho. Utilize o seguinte auxílio de trabalho para registar métricas de falhas.
| Fracasso | Linha de base |
|---|---|
| Autenticação | |
| Iniciar sessão | |
| Inscrição | |
| MFA por tipo: OTP de e-mail, OTP de telefonia | |
| Tipo de navegador: Google Chrome, Microsoft Edge, Mozilla Firefox, Apple Safari |
|
| Sistema operacional móvel: Android, iOS |
Validação contínua do sistema
As mudanças nos ambientes são inevitáveis. Um ambiente de validação contínua automatizado ajuda a detetar problemas causados por alterações. Você pode usar a mesma infraestrutura de monitoramento sintático para configurar essa automação de validação.
As transações sintéticas podem fazer referência a aplicativos e APIs usados para componentes de aquisição, validação e integração de tokens, como gerenciadores de API e barramentos de serviço. Recomendamos que você mantenha versões de serviços, sistemas operacionais e ambientes de tempo de execução suportados. Cada componente relata continuamente o sucesso ou a falha do teste. Essa ação garante a disponibilidade dos serviços de identidade e a deteção precoce de possíveis falhas.
Painéis: Telemetria operacional e insights de segurança
O Microsoft Entra External ID tem painéis internos com telemetria útil de áreas-chave, como tendências de autenticação, uso de MFA e proteções relacionadas à verificação por SMS. Utilize análises para manter a visibilidade sobre a saúde do sistema de identidade e a postura de defesa contra ameaças. Para sua estratégia de implantação e operacional, recomendamos que você incorpore o monitoramento regular de métricas. Detetar anomalias, avaliar a exposição ao risco e garantir a eficácia dos controlos de segurança. Use a tabela a seguir para ver métricas e detalhes.
| Métrico | Detalhes |
|---|---|
| Autenticações | O resumo do painel de Autenticações inclui autenticações diárias e mensais na instância.
- Autenticações diárias durante 30 dias - Autenticações diárias por sistema operativo - Autenticações mensais durante 12 meses, por localização |
| Utilização de MFA | O resumo do dashboard de Utilização de MFA apresenta o desempenho mensal das autenticações via MFA para aplicações. Veja as seguintes tendências: - Utilizadores registados para MFA - Tipos de MFA utilizados, com contagem de sucessos e falhas ao longo de 12 meses - Ativação do CAPTCHA e atividade durante 30 dias |
| Telecomunicações | Para entender o desempenho de MFA de telecomunicações, use as métricas do painel para obter informações acionáveis sobre o uso de MFA por SMS. Observe os seguintes estados.
Permitido - Usuários que receberam um SMS durante o login ou inscrição. Bloqueado - Usuários que não receberam um SMS. Se o MFA de telecomunicações estiver bloqueado, os usuários serão notificados para tentar autenticação alternativa. Desafiado - Este recurso é para comportamento incomum. Veja quando um desafio CAPTCHA aparece antes do SMS ser enviado. As seguintes métricas também aparecem: - Usuários que não conseguiram concluir o CAPTCHA - Rastreie os usuários que não passaram no desafio CAPTCHA. Se necessário, você pode avaliar se o CAPTCHA é muito difícil para usuários legítimos. Faça os ajustes necessários para equilibrar segurança e acessibilidade. - Usuários que concluíram o CAPTCHA - Revise os usuários que concluíram o desafio CAPTCHA. Obtenha informações sobre como o CAPTCHA protege os usuários contra ataques automatizados enquanto permite que usuários legítimos se autentiquem. |
Oferta principal e complementos do Microsoft Entra External ID
O preço do Microsoft Entra External ID consiste em uma oferta principal e complementos premium. A cobrança da oferta principal é baseada em usuários ativos mensais (MAUs), a contagem de usuários externos exclusivos que se autenticam em seus locatários em um mês de calendário. Um total resulta de uma combinação de MAUs de funcionários e locatários externos associados a uma subscrição.
Veja mais informações sobre a estrutura de preços e o modelo de cobrança do Microsoft Entra External ID.
Custos e análise
Exiba os custos incorridos na área de análise de custos do grupo de assinaturas/recursos vinculado ao locatário do Microsoft Entra External ID. Se a contagem de Utilizadores Ativos Mensais (MAU) estiver abaixo do nível gratuito, a fatura é de $0. Os dados de uso, abaixo do nível gratuito, aparecem na análise de custos.
No centro de administração do Microsoft Entra, para o inquilino de ID Externa da Microsoft, use o painel de uso e insights para exibir detalhes de utilização, mesmo quando o uso estiver abaixo do nível gratuito.
Saiba como listar os usuários ativos mensais no Microsoft Graph.
Consulte os tipos de recursos do gráfico no recurso tipo dailyUserInsigntMetricsRoot em.
Observação
Os dados retornados pelas APIs não são em tempo real e podem estar sujeitos a processamento agendado.
A tabela a seguir correlaciona métrica e uma referência do Microsoft Graph.
| Métrico | Referência do gráfico | Descrição |
|---|---|---|
| utilizadores ativos | activeUsersMetric | |
| Autenticações | métrica de autenticações | |
| mfaConclusões | métricaDeConclusãoMFA | |
| Inscrições | userSignUpMetric | |
| Resumo | Resumo de Insights | |
| numeroDeUtilizadores | userCountMetric |
Painel de uso e insights
No centro de administração do Microsoft Entra, em Monitoramento e integridade, selecione Uso e informações. Visualize os dados do usuário, ao longo do tempo, e outras áreas, como autenticação e uso de MFA.
