Partilhar via

Tutorial: Impor autenticação multifator para usuários convidados B2B

Aplica-se a: Círculo verde com um símbolo de marca de verificação branco. Locatários de força de trabalho Círculo branco com um símbolo X cinzento. Locatários externos (saiba mais)

Ao colaborar com usuários convidados B2B externos, proteja seus aplicativos com políticas de autenticação multifator. Os utilizadores externos precisam de mais do que apenas um nome de utilizador e palavra-passe para aceder aos seus recursos. No Microsoft Entra ID, você pode atingir essa meta com uma política de Acesso Condicional que requer MFA para acesso. Você pode impor políticas de MFA no nível de locatário, aplicativo ou usuário convidado individual, assim como para membros de sua própria organização. O locatário de recursos é responsável pela autenticação multifator do Microsoft Entra para usuários, mesmo que a organização do usuário convidado tenha recursos de autenticação multifator.

Exemplo:

Diagrama mostrando um usuário convidado entrando nos aplicativos de uma empresa.

  1. Um administrador ou colaborador na empresa A convida um utilizador convidado para utilizar uma aplicação na cloud ou no local, configurada para exigir autenticação multifator para acesso.
  2. O utilizador convidado inicia sessão com a respetiva identidade das redes sociais, da escola ou do trabalho.
  3. Pede-se ao utilizador que conclua o desafio de MFA.
  4. O utilizador configura a MFA com a Empresa A e escolhe a respetiva opção de MFA. Será concedido ao utilizador acesso à aplicação.

Nota

A autenticação multifator do Microsoft Entra é feita na locação de recursos para garantir a previsibilidade. Quando o usuário convidado faz login, ele vê a página de entrada do locatário de recurso exibida em segundo plano e sua própria página de entrada do locatário doméstico e o logotipo da empresa em primeiro plano.

Neste tutorial, irá:

  • Teste a experiência de início de sessão antes de configurar a Autenticação Multifatorial (MFA).
  • Crie uma política de Acesso Condicional que exija MFA para acesso a um aplicativo na nuvem em seu ambiente. Neste tutorial, usaremos o aplicativo Azure Resource Manager para ilustrar o processo.
  • Utilize a ferramenta What If para simular o início de sessão com autenticação multifator.
  • Teste sua política de Acesso Condicional.
  • Limpar a política e o utilizador de teste.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita para começar.

Pré-requisitos

Para concluir o cenário deste tutorial, precisa de:

  • Acesso à edição P1 ou P2 do Microsoft Entra ID, que inclui recursos de política de Acesso Condicional. Para impor o MFA, crie uma política de Acesso Condicional do Microsoft Entra. As políticas de MFA são sempre aplicadas em sua organização, mesmo que o parceiro não tenha recursos de MFA.
  • Uma conta de e-mail externa válida que pode adicionar ao diretório do seu inquilino como um utilizador convidado e utilizar para iniciar sessão. Se você não souber como criar uma conta de convidado, siga as etapas em Adicionar um usuário convidado B2B no centro de administração do Microsoft Entra.

Criar um usuário convidado de teste no Microsoft Entra ID

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.

  2. Navegue até Entra ID>Usuários.

  3. Selecione Novo usuário e, em seguida, Convidar usuário externo.

    Captura de tela de onde selecionar a nova opção de usuário convidado.

  4. Em Identidade, no separador Noções básicas, introduza o endereço de e-mail do utilizador externo. Opcionalmente, você pode incluir um nome para exibição e uma mensagem de boas-vindas.

    Captura de tela de onde inserir o e-mail do convidado.

  5. Opcionalmente, você pode adicionar mais detalhes ao usuário nas guias Propriedades e Atribuições .

  6. Selecione Rever + convidar para enviar automaticamente o convite ao utilizador convidado. Será apresentada a mensagem Utilizador convidado com sucesso.

  7. Depois de enviar o convite, a conta de usuário é adicionada ao diretório como convidado.

Testar a experiência de início de sessão antes de configurar a MFA

  1. Entre no centro de administração do Microsoft Entra usando seu nome de usuário e senha de teste.
  2. Aceda ao centro de administração do Microsoft Entra utilizando apenas as suas credenciais de início de sessão. Nenhuma outra autenticação é necessária.
  3. Saia do centro de administração do Microsoft Entra.

Criar uma política de Acesso Condicional que exija MFA

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.

  2. Navegue até Entra ID>Acesso Condicional>Políticas.

  3. Selecione Nova política.

  4. Nomeie sua política, como Exigir MFA para acesso ao portal B2B. Crie um padrão significativo para políticas de nomenclatura.

  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.

    1. Em Incluir, escolha Selecionar usuários e grupos e, em seguida, selecione Usuários convidados ou externos. Você pode atribuir a política a diferentes tipos de usuários externos, funções de diretório internas ou usuários e grupos.

    Captura de tela mostrando a seleção de todos os usuários convidados.

  6. Em Recursos de destino>Recursos (anteriormente aplicações na nuvem)>Incluir Selecionar>recursos, selecione Azure Resource Manager e, em seguida, Selecione o recurso.

    Captura de ecrã a mostrar a página Cloud apps e a opção Selecionar.

  7. Em Controlos de acesso>Conceder, selecione Conceder acesso, Exigir autenticação multifator, e selecione Selecionar.

    Captura de tela mostrando a opção para exigir autenticação multifator.

  8. Na opção Ativar política, selecione Ativado.

  9. Selecione Criar.

Utilizar a opção What If para simular o início de sessão

A ferramenta de política Acesso Condicional: E Se ajuda você a entender os efeitos das políticas de Acesso Condicional em seu ambiente. Em vez de testar manualmente suas políticas com várias entradas, você pode usar essa ferramenta para simular a entrada de um usuário. A simulação prevê como esse login afetará suas políticas e gera um relatório. Para obter mais informações, consulte Utilize a ferramenta E Se para perceber as políticas de Acesso Condicional.

Testar a política de Acesso Condicional

  1. Use seu nome de usuário e senha de teste para entrar no centro de administração do Microsoft Entra.

  2. Você verá uma solicitação para mais métodos de autenticação. Pode levar algum tempo até que a política entre em vigor.

    Captura de ecrã da mensagem 'Mais informações necessárias'.

    Nota

    Você também pode definir configurações de acesso entre locatários para confiar no MFA do locatário doméstico do Microsoft Entra. Isso permite que os utilizadores externos do Microsoft Entra utilizem a autenticação multifator (MFA) registada no seu próprio locatário em vez de se registarem no locatário de recursos.

  3. Terminar sessão.

Limpar recursos

Quando não for mais necessário, remova o usuário de teste e a política de Acesso Condicional de teste.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.

  2. Navegue até Entra ID>Usuários.

  3. Selecione o utilizador de teste e, em seguida, selecione Eliminar utilizador.

  4. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.

  5. Navegue até Entra ID>Acesso Condicional>Políticas.

  6. Na lista Nome da política , selecione o menu de contexto (...) para sua política de teste, selecione Excluir e confirme selecionando Sim.

Próximos passos

Neste tutorial, você criou uma política de Acesso Condicional que exige que os usuários convidados usem MFA ao entrar em um de seus aplicativos na nuvem. Para saber mais sobre como adicionar usuários convidados para colaboração, vá para Adicionar usuários de colaboração B2B do Microsoft Entra no centro de administração do Microsoft Entra.