Partilhar via

Gerenciar um método de autenticação externa no Microsoft Entra ID (Visualização)

  • Artigo

Um método de autenticação externa (EAM) permite que os usuários escolham um provedor externo para atender aos requisitos de autenticação multifator (MFA) quando assinam o Microsoft Entra ID. Um EAM pode satisfazer os requisitos de MFA a partir de políticas de Acesso Condicional, políticas de risco de entrada da Proteção de Identidade, ativação de Gerenciamento de Identidade Privilegiada (PIM) e quando o próprio aplicativo requer MFA.

Os EAMs diferem da federação porque a identidade do usuário é originada e gerenciada no Microsoft Entra ID. Com a federação, a identidade é gerenciada no provedor de identidade externo. Os EAMs exigem pelo menos uma licença do Microsoft Entra ID P1.

Diagrama de como funciona a autenticação de método externo.

Metadados necessários para configurar um EAM

Para criar um EAM, você precisa das seguintes informações do seu provedor de autenticação externo:

  • Uma ID de aplicativo geralmente é um aplicativo multilocatário do seu provedor, que é usado como parte da integração. Você precisa fornecer consentimento de administrador para este aplicativo em seu locatário.

  • Uma ID de Cliente é um identificador do seu provedor usado como parte da integração de autenticação para identificar a ID do Microsoft Entra solicitando autenticação.

  • Um URL de descoberta é o ponto de extremidade de descoberta do OpenID Connect (OIDC) para o provedor de autenticação externo.

    Nota

    Consulte Configurar um novo provedor de autenticação externo com a ID do Microsoft Entra para configurar o registro do aplicativo.

Gerenciar um EAM no centro de administração do Microsoft Entra

Os EAMs são gerenciados com a política de métodos de Autenticação de ID do Microsoft Entra, assim como os métodos internos.

Criar um EAM no centro de administração

Antes de criar um EAM no centro de administração, verifique se você tem os metadados para configurar um EAM.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

  2. Navegue até Métodos>de autenticação de proteção>Adicionar método externo (Visualização).

    Captura de ecrã de como adicionar um EAM no centro de administração do Microsoft Entra.

    Adicione propriedades de método com base nas informações de configuração do seu provedor. Por exemplo:

    • Nome: Adatum
    • ID do cliente: 00001111-aaaa-2222-bbbb-3333cccc4444
    • Ponto de extremidade de descoberta: https://adatum.com/.well-known/openid-configuration
    • ID do aplicativo: 11112222-bbbb-3333-cccc-4444dddd5555

    Importante

    O nome para exibição é o nome mostrado ao usuário no seletor de métodos. Ele não pode ser alterado depois que o método é criado. Os nomes de exibição devem ser exclusivos.

    Captura de tela de como adicionar propriedades EAM.

    Você precisa de pelo menos a função de Administrador de Função Privilegiada para conceder consentimento de administrador para o aplicativo do provedor. Se você não tiver a função necessária para conceder consentimento, ainda poderá salvar seu método de autenticação, mas não poderá habilitá-lo até que o consentimento seja concedido.

    Depois de inserir os valores do seu provedor, pressione o botão para solicitar que o consentimento do administrador seja concedido ao aplicativo para que ele possa ler as informações necessárias do usuário para autenticar corretamente. Você será solicitado a entrar com uma conta com permissões de administrador e conceder ao aplicativo do provedor as permissões necessárias.

    Depois de iniciar sessão, clique em Aceitar para conceder o consentimento do administrador:

    Captura de ecrã a mostrar como conceder consentimento de administrador.

    Você pode ver as permissões que o aplicativo do provedor solicita antes de conceder consentimento. Depois que você concede o consentimento de administrador e a alteração é replicada, a página é atualizada para mostrar que o consentimento de administrador foi concedido.

    Captura de ecrã da política de Métodos de autenticação após a concessão do consentimento.

Se o aplicativo tiver permissões, você também pode habilitar o método antes de salvar. Caso contrário, você precisará salvar o método em um estado desabilitado e habilitar após o consentimento do aplicativo.

Depois que o método estiver habilitado, todos os usuários no escopo poderão escolher o método para qualquer prompt de MFA. Se o aplicativo do provedor não tiver o consentimento aprovado, qualquer entrada com o método falhará.

Se o aplicativo for excluído ou não tiver mais permissão, os usuários verão um erro e o login falhará. O método não pode ser usado.

Configurar um EAM no centro de administração

Para gerenciar seus EAMs no centro de administração do Microsoft Entra, abra a política de métodos de autenticação. Selecione o nome do método para abrir as opções de configuração. Você pode escolher quais usuários são incluídos e excluídos do uso desse método.

Captura de tela de como definir o escopo de uso do EAM para usuários específicos.

Excluir um EAM no centro de administração

Se você não quiser mais que seus usuários possam usar o EAM, você pode:

  • Defina Enable como Off para salvar a configuração do método
  • Clique em Excluir para remover o método

Captura de tela de como excluir um EAM.

Gerenciar um EAM usando o Microsoft Graph

Para gerenciar a política de métodos de autenticação usando o Microsoft Graph, você precisa da Policy.ReadWrite.AuthenticationMethod permissão. Para obter mais informações, consulte Update authenticationMethodsPolicy.

Experiência de utilizador

Os usuários habilitados para o EAM podem usá-lo quando entrarem e a autenticação multifator for necessária.

Nota

Estamos trabalhando ativamente para oferecer suporte a MFA preferencial do sistema com EAMs.

Se o usuário tiver outras maneiras de entrar e a MFA preferida do sistema estiver habilitada, esses outros métodos aparecerão por ordem padrão. O usuário pode optar por usar um método diferente e, em seguida, selecionar o EAM. Por exemplo, se o usuário tiver o Authenticator habilitado como outro método, ele será solicitado a fazer a correspondência de números.

Captura de tela de como escolher um EAM quando o MFA preferido do sistema está habilitado.

Se o usuário não tiver outros métodos habilitados, basta escolher o EAM. Eles são redirecionados para o provedor de autenticação externo para concluir a autenticação.

Captura de ecrã de como iniciar sessão com um EAM.

Usando controles personalizados EAM e Acesso Condicional em paralelo

EAMs e controles personalizados podem operar em paralelo. A Microsoft recomenda que os administradores configurem duas políticas de Acesso Condicional:

  • Uma política para impor o controle personalizado
  • Outra política com a subvenção do AMF exigida

Inclua um grupo de teste de usuários para cada política, mas não ambas. Se um utilizador estiver incluído em ambas as políticas, ou em qualquer política com ambas as condições, o utilizador tem de satisfazer a MFA durante o início de sessão. Eles também têm que satisfazer o controle personalizado, o que os torna redirecionados para o provedor externo uma segunda vez.

Próximos passos

Para obter mais informações sobre como gerenciar métodos de autenticação, consulte Gerenciar métodos de autenticação para o Microsoft Entra ID.

Para referência do provedor EAM, consulte Referência do provedor de método externo de autenticação multifator do Microsoft Entra (Visualização).