Partilhar via

Acesso condicional: requer uma força de autenticação para usuários externos

  • Artigo

A força da autenticação é um controle de Acesso Condicional que permite definir uma combinação específica de métodos de autenticação multifator (MFA) que um usuário externo deve concluir para acessar seus recursos. Esse controle é especialmente útil para restringir o acesso externo a aplicativos confidenciais em sua organização. Por exemplo, você pode criar uma política de Acesso Condicional, exigir uma força de autenticação resistente a phishing na política e atribuí-la a convidados e usuários externos.

O Microsoft Entra ID fornece três pontos fortes de autenticação internos:

  • Força de autenticação multifator
  • Força do MFA sem senha
  • Força do MFA resistente a phishing

Você pode usar um dos pontos fortes internos ou criar um ponto forte de autenticação personalizado com base nos métodos de autenticação que deseja exigir.

Em cenários de usuário externo, os métodos de autenticação de MFA que um locatário de recurso pode aceitar variam dependendo se o usuário está concluindo MFA em seu locatário doméstico ou no locatário de recurso. Para obter detalhes, consulte Força da autenticação de Acesso Condicional.

Nota

Atualmente, você só pode aplicar políticas de força de autenticação a usuários externos que se autenticam com a ID do Microsoft Entra. Para usuários de senha única de e-mail, SAML/WS-Fed e federação do Google, use o controle de concessão de MFA para exigir MFA.

Definir configurações de acesso entre locatários para confiar no MFA

As políticas de força de autenticação funcionam em conjunto com as configurações de confiança de MFA em suas configurações de acesso entre locatários para determinar onde e como o usuário externo deve executar MFA. Um usuário do Microsoft Entra primeiro se autentica com sua própria conta em seu locatário doméstico. Em seguida, quando esse usuário tenta acessar seu recurso, o Microsoft Entra ID aplica a política de Acesso Condicional de força de autenticação e verifica se você habilitou a confiança MFA.

  • Se a confiança de MFA estiver habilitada, a ID do Microsoft Entra verificará a sessão de autenticação do usuário em busca de uma declaração indicando que a MFA foi cumprida no locatário doméstico do usuário.
  • Se a confiança de MFA estiver desabilitada, o locatário de recurso apresentará ao usuário um desafio para concluir a MFA no locatário de recurso usando um método de autenticação aceitável.

Os métodos de autenticação que os usuários externos podem usar para satisfazer os requisitos de MFA são diferentes, dependendo se o usuário está concluindo MFA em seu locatário doméstico ou no locatário de recurso. Consulte a tabela em Força da autenticação de Acesso Condicional.

Importante

Antes de criar a política de Acesso Condicional, verifique as configurações de acesso entre locatários para garantir que as configurações de confiança de MFA de entrada estejam configuradas conforme pretendido.

Escolha uma força de autenticação

Determine se um dos pontos fortes de autenticação internos funciona para o seu cenário ou se você precisa criar um ponto forte de autenticação personalizado.

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.
  2. Navegue até Proteção>Métodos>de autenticação Pontos fortes da autenticação.
  3. Analise os pontos fortes de autenticação internos para ver se um deles atende aos seus requisitos.
  4. Se você quiser impor um conjunto diferente de métodos de autenticação, crie uma força de autenticação personalizada.

Criar uma política de Acesso Condicional

Use as etapas a seguir para criar uma política de Acesso Condicional que aplique uma força de autenticação a usuários externos.

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.

  2. Navegue até Acesso condicional de proteção>.

  3. Selecione Criar nova política.

  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.

  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.

  6. Em Incluir, escolha Selecionar usuários e grupos e, em seguida, selecione Usuários convidados ou externos.

  7. Selecione os tipos de usuários convidados ou externos aos quais você deseja aplicar a política.

  8. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.

  9. Em Recursos de destino>Aplicações na nuvem, em Incluir ou Excluir, selecione quaisquer aplicações que pretenda incluir ou excluir dos requisitos de intensidade de autenticação.

  10. Em Controles>de acesso Conceder:

    1. Escolha Conceder acesso.
    2. Selecione Exigir força de autenticação e, em seguida, selecione a força de autenticação interna ou personalizada na lista.

    Captura de tela mostrando onde selecionar uma força de autenticação.

  11. Confirme suas configurações e defina Habilitar política como Somente relatório.

  12. Selecione Criar para criar para habilitar sua política.

Depois de confirmar suas configurações usando o modo somente relatório, um administrador pode mover a alternância da política Habilitar de Somente relatório para Ativado.

Próximos passos

Modelos de Acesso Condicional

Use o modo somente relatório para Acesso Condicional para determinar os resultados de novas decisões de política.