Como funciona a força da autenticação de Acesso Condicional para usuários externos
A política de Métodos de autenticação é especialmente útil para restringir o acesso externo a aplicativos confidenciais em sua organização, pois você pode impor métodos de autenticação específicos, como métodos resistentes a phishing, para usuários externos.
Quando você aplica uma política de Acesso Condicional de força de autenticação a usuários externos do Microsoft Entra, a política funciona em conjunto com as configurações de confiança de MFA em suas configurações de acesso entre locatários para determinar onde e como o usuário externo deve executar MFA. Um usuário do Microsoft Entra se autentica em seu locatário inicial do Microsoft Entra. Em seguida, quando eles acessam seu recurso, o Microsoft Entra ID aplica a política e verifica se você habilitou a confiança MFA. Observe que habilitar a confiança MFA é opcional para colaboração B2B, mas é necessário para conexão direta B2B.
Em cenários de usuário externo, os métodos de autenticação que podem satisfazer a força da autenticação variam, dependendo se o usuário está concluindo a MFA em seu locatário doméstico ou no locatário de recurso. A tabela a seguir indica os métodos permitidos em cada locatário. Se um locatário de recurso tiver optado por confiar em declarações de organizações externas do Microsoft Entra, somente as declarações listadas na coluna "Locatário inicial" abaixo serão aceitas pelo locatário de recurso para MFA. Se o locatário de recurso tiver desabilitado a confiança de MFA, o usuário externo deverá concluir a MFA no locatário de recurso usando um dos métodos listados na coluna "Locatário de recurso".
| Método de autenticação | Inquilino da casa | Locatário de recurso |
|---|---|---|
| Mensagem de texto como segundo fator | ✅ | ✅ |
| Chamada de voz | ✅ | ✅ |
| Notificação por push do Microsoft Authenticator | ✅ | ✅ |
| Entrada por telefone do Microsoft Authenticator | ✅ | |
| Token de software OATH | ✅ | ✅ |
| Token de hardware de OATH | ✅ | |
| Chave de segurança FIDO2 | ✅ | |
| Windows Hello para empresas | ✅ | |
| Autenticação baseada em certificados | ✅ |
Para obter mais informações sobre como definir pontos fortes de autenticação para usuários externos, consulte Acesso condicional: exigir uma força de autenticação para usuários externos.
Experiência do usuário para usuários externos
Uma política de Acesso Condicional de força de autenticação funciona em conjunto com as configurações de confiança de MFA em suas configurações de acesso entre locatários. Primeiro, um usuário do Microsoft Entra se autentica com sua própria conta em seu locatário doméstico. Em seguida, quando esse usuário tenta acessar seu recurso, a ID do Microsoft Entra aplica a política de Acesso Condicional de força de autenticação e verifica se você habilitou a confiança MFA.
- Se a confiança MFA estiver habilitada, o Microsoft Entra ID verificará a sessão de autenticação do usuário em busca de uma declaração que indique que a MFA foi cumprida no locatário doméstico do usuário. Consulte a tabela anterior para obter os métodos de autenticação aceitáveis para MFA quando concluídos no locatário doméstico de um usuário externo. Se a sessão contiver uma declaração que indique que as políticas de MFA já foram atendidas no locatário doméstico do usuário e os métodos satisfizerem os requisitos de força de autenticação, o usuário terá permissão de acesso. Caso contrário, o Microsoft Entra ID apresenta ao usuário um desafio para concluir o MFA no locatário doméstico usando um método de autenticação aceitável.
- Se a confiança de MFA estiver desabilitada, o Microsoft Entra ID apresentará ao usuário um desafio para concluir a MFA no locatário de recurso usando um método de autenticação aceitável. Consulte a tabela anterior para métodos de autenticação que são aceitáveis para MFA por um usuário externo.