Partilhar via


Tutorial: Impor autenticação multifator para usuários convidados B2B

Aplica-se a:Círculo verde com um símbolo de marca de verificação branco. Locatários da força deCírculo branco com um símbolo X cinzento. trabalho Locatários externos (saiba mais)

Ao colaborar com usuários convidados B2B externos, é uma boa ideia proteger seus aplicativos com políticas de autenticação multifator. Em seguida, os usuários externos precisam de mais do que apenas um nome de usuário e senha para acessar seus recursos. No Microsoft Entra ID, você pode atingir essa meta com uma política de Acesso Condicional que requer MFA para acesso. As políticas de MFA podem ser aplicadas no nível de locatário, aplicativo ou usuário convidado individual, da mesma forma que são habilitadas para membros da sua própria organização. O locatário de recursos é sempre responsável pela autenticação multifator do Microsoft Entra para usuários, mesmo que a organização do usuário convidado tenha recursos de autenticação multifator.

Exemplo:

Diagrama mostrando um usuário convidado entrando nos aplicativos de uma empresa.

  1. Um administrador ou colaborador na Empresa A convida um utilizador para utilizar uma aplicação no local ou na cloud configurada para exigir a MFA para aceder.
  2. O utilizador convidado inicia sessão com a respetiva identidade das redes sociais, da escola ou do trabalho.
  3. É pedido ao utilizador que conclua o pedido da MFA.
  4. O utilizador configura a MFA com a Empresa A e escolhe a respetiva opção de MFA. Será concedido ao utilizador acesso à aplicação.

Nota

A autenticação multifator do Microsoft Entra é feita na locação de recursos para garantir a previsibilidade. Quando o usuário convidado entrar, ele verá a página de entrada do locatário de recurso exibida em segundo plano e sua própria página de entrada do locatário doméstico e o logotipo da empresa em primeiro plano.

Neste tutorial, vai:

  • Testar a experiência de início de sessão antes de configurar a MFA.
  • Crie uma política de Acesso Condicional que exija MFA para acesso a um aplicativo na nuvem em seu ambiente. Neste tutorial, usaremos o aplicativo API de Gerenciamento de Serviços do Windows Azure para ilustrar o processo.
  • Utilizar a ferramenta What If para simular o início de sessão com a MFA.
  • Teste sua política de Acesso Condicional.
  • Limpar a política e o utilizador de teste.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

Para concluir o cenário deste tutorial, precisa de:

  • Acesso à edição P1 ou P2 do Microsoft Entra ID, que inclui recursos de política de Acesso Condicional. Para impor o MFA, você precisa criar uma política de Acesso Condicional do Microsoft Entra. As políticas de MFA são sempre aplicadas em sua organização, independentemente de o parceiro ter recursos de MFA.
  • Uma conta de e-mail externa válida que pode adicionar ao diretório do seu inquilino como um utilizador convidado e utilizar para iniciar sessão. Se não souber como criar uma conta de convidado, consulte Adicionar um utilizador convidado B2B no centro de administração do Microsoft Entra.

Criar um usuário convidado de teste no Microsoft Entra ID

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.

  2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.

  3. Selecione Novo utilizador e, em seguida, selecione Convidar utilizador externo.

    Captura de tela mostrando onde selecionar a nova opção de usuário convidado.

  4. Em Identidade, no separador Noções básicas, introduza o endereço de e-mail do utilizador externo. Opcionalmente, inclua um nome para exibição e uma mensagem de boas-vindas.

    Captura de ecrã a mostrar onde introduzir o e-mail do hóspede.

  5. Opcionalmente, você pode adicionar mais detalhes ao usuário nas guias Propriedades e Atribuições .

  6. Selecione Rever + convidar para enviar automaticamente o convite ao utilizador convidado. Será apresentada a mensagem Utilizador convidado com sucesso.

  7. Após enviar o convite, a conta do utilizador será automaticamente adicionada ao diretório como convidada.

Testar a experiência de início de sessão antes de configurar a MFA

  1. Use seu nome de usuário e senha de teste para entrar no centro de administração do Microsoft Entra.
  2. Você deve ser capaz de acessar o centro de administração do Microsoft Entra usando apenas suas credenciais de entrada. Nenhuma outra autenticação é necessária.
  3. Terminar sessão.

Criar uma política de Acesso Condicional que exija MFA

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.

  2. Navegue até Políticas de Acesso>Condicional de Proteção.>

  3. Selecione Nova política.

  4. Dê um nome à sua política, como Exigir MFA para acesso ao portal B2B. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.

    1. Em Incluir, escolha Selecionar usuários e grupos e, em seguida, selecione Usuários convidados ou externos. Você pode atribuir a política a diferentes tipos de usuários externos, funções de diretório internas ou usuários e grupos.

    Captura de tela mostrando a seleção de todos os usuários convidados.

  6. Em Recursos de destino>Recursos (anteriormente aplicativos na nuvem)>Incluir Selecionar>recursos, escolha API de Gerenciamento de Serviços do Windows Azure e selecione Selecionar.

    Captura de ecrã a mostrar a página Cloud apps e a opção Selecionar.

  7. Em Conceder controles>de acesso, selecione Conceder acesso, Exigir autenticação multifator e selecione Selecionar.

    Captura de tela mostrando a opção para exigir autenticação multifator.

  8. Em Ativar política, selecione Ativado.

  9. Selecione Criar.

Utilizar a opção What If para simular o início de sessão

  1. Sobre o Acesso Condicional | Página Políticas , selecione E Se.

    Captura de ecrã que destaca onde selecionar a opção E se na página Acesso Condicional - Políticas.

  2. Selecione o link em Usuário.

  3. Na caixa de pesquisa, digite o nome do usuário convidado de teste. Escolha o usuário nos resultados da pesquisa e, em seguida, escolha Selecionar.

    Captura de tela mostrando um usuário convidado selecionado.

  4. Selecione o link em Aplicativos na nuvem, ações ou conteúdo de autenticação. Escolha Selecionar recursos e, em seguida, escolha o link em Selecionar.

    Captura de ecrã a mostrar a aplicação selecionada.

  5. Na página Aplicativos de nuvem, na lista de aplicativos, escolha API de Gerenciamento de Serviços do Windows Azure e selecione Selecionar.

  6. Escolha E Se e verifique se a nova política aparece em Resultados da avaliação na guia Políticas que serão aplicadas.

    Captura de ecrã a mostrar os resultados da avaliação What If.

Testar a política de Acesso Condicional

  1. Use seu nome de usuário e senha de teste para entrar no centro de administração do Microsoft Entra.

  2. Você verá uma solicitação para mais métodos de autenticação. Pode levar algum tempo até que a política entre em vigor.

    Captura de ecrã a mostrar a mensagem Mais informações necessárias.

    Nota

    Você também pode definir configurações de acesso entre locatários para confiar no MFA do locatário doméstico do Microsoft Entra. Isso permite que os usuários externos do Microsoft Entra usem o MFA registrado em seu próprio locatário em vez de se registrarem no locatário de recurso.

  3. Terminar sessão.

Clean up resources (Limpar recursos)

Quando não for mais necessário, remova o usuário de teste e a política de Acesso Condicional de teste.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.

  2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.

  3. Selecione o utilizador de teste e, em seguida, selecione Eliminar utilizador.

  4. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.

  5. Navegue até Políticas de Acesso>Condicional de Proteção.>

  6. Na lista Nome da política, selecione o menu de contexto (…) da sua política de teste e selecione Eliminar. Selecione Sim para confirmar.

Próximo passo

Neste tutorial, você criou uma política de Acesso Condicional que exige que os usuários convidados usem MFA ao entrar em um de seus aplicativos na nuvem. Para saber mais sobre como adicionar usuários convidados para colaboração, consulte Adicionar usuários de colaboração B2B do Microsoft Entra no centro de administração do Microsoft Entra.