Gerenciar um método de autenticação externa no Microsoft Entra ID (Visualização)
Um método de autenticação externa (EAM) permite que os usuários escolham um provedor externo para atender aos requisitos de autenticação multifator (MFA) quando entrarem no Microsoft Entra ID. Um EAM pode satisfazer os requisitos de MFA a partir de políticas de Acesso Condicional, políticas de Acesso Condicional baseadas em risco da Proteção de ID do Microsoft Entra, ativação de Gerenciamento de Identidade Privilegiada (PIM) e quando o próprio aplicativo requer MFA.
Os EAMs diferem da federação porque a identidade do usuário é originada e gerenciada no Microsoft Entra ID. Com a federação, a identidade é gerenciada no provedor de identidade externo. Os EAMs exigem pelo menos uma licença do Microsoft Entra ID P1.
Metadados necessários para configurar um EAM
Para criar um EAM, você precisa das seguintes informações do seu provedor de autenticação externo:
Uma ID de aplicativo geralmente é um aplicativo multilocatário do seu provedor, que é usado como parte da integração. Você precisa fornecer consentimento de administrador para este aplicativo em seu locatário.
Uma ID de Cliente é um identificador do seu provedor usado como parte da integração de autenticação para identificar a ID do Microsoft Entra solicitando autenticação.
Um URL de descoberta é o ponto de extremidade de descoberta do OpenID Connect (OIDC) para o provedor de autenticação externo.
Observação
Consulte Configurar um novo provedor de autenticação externo com a ID do Microsoft Entra para configurar o registro do aplicativo.
Gerenciar um EAM no centro de administração do Microsoft Entra
Os EAMs são gerenciados com a política de métodos de Autenticação de ID do Microsoft Entra, assim como os métodos internos.
Criar um EAM no centro de administração
Antes de criar um EAM no centro de administração, verifique se você tem os metadados para configurar um EAM.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Navegue até Métodos>de autenticação de proteção>Adicionar método externo (Visualização).
Adicione propriedades de método com base nas informações de configuração do seu provedor. Por exemplo:
- Nome: Adatum
- ID do cliente: 00001111-aaaa-2222-bbbb-3333cccc4444
- Ponto de extremidade de descoberta:
https://adatum.com/.well-known/openid-configuration
- ID do aplicativo: 11112222-bbbb-3333-cccc-4444dddd5555
Importante
O nome para exibição é o nome mostrado ao usuário no seletor de métodos. Ele não pode ser alterado depois que o método é criado. Os nomes de exibição devem ser exclusivos.
Você precisa de pelo menos a função de Administrador de Função Privilegiada para conceder consentimento de administrador para o aplicativo do provedor. Se você não tiver a função necessária para conceder consentimento, ainda poderá salvar seu método de autenticação, mas não poderá habilitá-lo até que o consentimento seja concedido.
Depois de inserir os valores do seu provedor, pressione o botão para solicitar que o consentimento do administrador seja concedido ao aplicativo para que ele possa ler as informações necessárias do usuário para autenticar corretamente. Você será solicitado a entrar com uma conta com permissões de administrador e conceder ao aplicativo do provedor as permissões necessárias.
Depois de iniciar sessão, clique em Aceitar para conceder o consentimento do administrador:
Você pode ver as permissões que o aplicativo do provedor solicita antes de conceder consentimento. Depois que você concede o consentimento de administrador e a alteração é replicada, a página é atualizada para mostrar que o consentimento de administrador foi concedido.
Se o aplicativo tiver permissões, você também pode habilitar o método antes de salvar. Caso contrário, você precisará salvar o método em um estado desabilitado e habilitar após o consentimento do aplicativo.
Depois que o método estiver habilitado, todos os usuários no escopo poderão escolher o método para qualquer prompt de MFA. Se o aplicativo do provedor não tiver o consentimento aprovado, qualquer entrada com o método falhará.
Se o aplicativo for excluído ou não tiver mais permissão, os usuários verão um erro e o login falhará. O método não pode ser usado.
Configurar um EAM no centro de administração
Para gerenciar seus EAMs no centro de administração do Microsoft Entra, abra a política de métodos de autenticação. Selecione o nome do método para abrir as opções de configuração. Você pode escolher quais usuários são incluídos e excluídos do uso desse método.
Excluir um EAM no centro de administração
Se você não quiser mais que seus usuários possam usar o EAM, você pode:
- Defina Enable como Off para salvar a configuração do método
- Clique em Excluir para remover o método
Gerenciar um EAM usando o Microsoft Graph
Para gerenciar a política de métodos de autenticação usando o Microsoft Graph, você precisa da Policy.ReadWrite.AuthenticationMethod
permissão. Para obter mais informações, consulte Update authenticationMethodsPolicy.
Experiência do utilizador
Os usuários habilitados para o EAM podem usá-lo quando entrarem e a autenticação multifator for necessária.
Observação
Estamos trabalhando ativamente para oferecer suporte a MFA preferencial do sistema com EAMs.
Se o usuário tiver outras maneiras de entrar e a MFA preferida do sistema estiver habilitada, esses outros métodos aparecerão por ordem padrão. O usuário pode optar por usar um método diferente e, em seguida, selecionar o EAM. Por exemplo, se o usuário tiver o Authenticator habilitado como outro método, ele será solicitado a fazer a correspondência de números.
Se o usuário não tiver outros métodos habilitados, basta escolher o EAM. Eles são redirecionados para o provedor de autenticação externo para concluir a autenticação.
Registro de método de autenticação para EAMs
Na visualização, todos os usuários em um grupo de inclusão para o EAM são considerados capazes de MFA e podem usar o método de autenticação externa para satisfazer MFA. Os usuários que são compatíveis com MFA devido a serem um destino de inclusão para um EAM não são incluídos em relatórios sobre o registro do método de autenticação.
Observação
Estamos trabalhando ativamente para adicionar recursos de registro para EAMs. Uma vez que o registro é adicionado, os usuários que estavam usando anteriormente um EAM precisarão ter o EAM registrado com o ID do Entra antes de serem solicitados a usá-lo para satisfazer o MFA.
Usando controles personalizados EAM e Acesso Condicional em paralelo
EAMs e controles personalizados podem operar em paralelo. A Microsoft recomenda que os administradores configurem duas políticas de Acesso Condicional:
- Uma política para impor o controle personalizado
- Outra política com a subvenção do AMF exigida
Inclua um grupo de teste de usuários para cada política, mas não ambas. Se um utilizador estiver incluído em ambas as políticas, ou em qualquer política com ambas as condições, o utilizador tem de satisfazer a MFA durante o início de sessão. Eles também têm que satisfazer o controle personalizado, o que os torna redirecionados para o provedor externo uma segunda vez.
Próximos passos
Para obter mais informações sobre como gerenciar métodos de autenticação, consulte Gerenciar métodos de autenticação para o Microsoft Entra ID.
Para referência do provedor EAM, consulte Referência do provedor de método externo de autenticação multifator do Microsoft Entra (Visualização).