Compartilhar via

Adicionar acesso condicional aos fluxos de usuário no Azure Active Directory B2C

Importante

A partir de 1º de maio de 2025, o Azure AD B2C não estará mais disponível para compra para novos clientes. Saiba mais em nossas perguntas frequentes.

Antes de começar, use o seletor Escolher um tipo de política na parte superior desta página para escolher o tipo de política que você está configurando. O Azure Active Directory B2C oferece dois métodos para definir como os usuários interagem com seus aplicativos: por meio de fluxos dos usuários predefinidos ou de políticas personalizadas totalmente configuráveis. As etapas necessárias neste artigo são diferentes para cada método.

O Acesso Condicional pode ser adicionado aos fluxos de usuário do Azure AD B2C (Azure Active Directory B2C) ou a políticas personalizadas para gerenciar entradas arriscadas em seus aplicativos. O Acesso Condicional do Microsoft Entra é a ferramenta usada pelo Azure AD B2C para reunir sinais, tomar decisões e impor políticas organizacionais. Fluxo de acesso condicional Automatizar a avaliação de risco com condições de política significa que entradas arriscadas são identificadas imediatamente e, em seguida, corrigidas ou bloqueadas.

Visão geral do serviço

O Azure AD B2C avalia cada evento de entrada e garante que todos os requisitos de política sejam atendidos antes de conceder acesso ao usuário. Durante essa fase de Avaliação , o serviço de Acesso Condicional avalia os sinais coletados pelas detecções de risco da Proteção de Identidade durante eventos de entrada. O resultado desse processo de avaliação é um conjunto de declarações que indica se a entrada deve ser concedida ou bloqueada. A política do Azure AD B2C usa essas declarações para agir dentro do fluxo do usuário. Um exemplo é bloquear o acesso ou desafiar o usuário com uma correção específica, como a MFA (autenticação multifator). "Bloquear acesso" substitui todas as outras configurações.

O exemplo a seguir mostra um perfil técnico de Acesso Condicional usado para avaliar a ameaça de entrada.

<TechnicalProfile Id="ConditionalAccessEvaluation">
  <DisplayName>Conditional Access Provider</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
  <Metadata>
    <Item Key="OperationType">Evaluation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Para garantir que os sinais do Identity Protection sejam avaliados corretamente, você precisa chamar o ConditionalAccessEvaluationperfil técnico de todos os usuários, incluindo as contas locais e sociais. Caso contrário, o Identity Protection indica um grau incorreto de risco associado aos usuários.

Na fase de Correção a seguir, o usuário é desafiado com a MFA. Após a conclusão, o Azure AD B2C informa ao Identity Protection que a ameaça de entrada identificada foi corrigida e por qual método. Neste exemplo, o Azure AD B2C sinaliza que o usuário concluiu com êxito o desafio de autenticação multifator. A correção também pode ocorrer por meio de outros canais. Por exemplo, quando a senha da conta é redefinida, pelo administrador ou pelo usuário. Você pode verificar o estado de risco do usuário no relatório de usuários arriscados.

Importante

Para corrigir o risco com sucesso no percurso, verifique se o perfil técnico de Correção foi chamado após a execução do perfil técnico da Avaliação. Se a Avaliação for invocada sem Correção, o estado de risco indicará como Em risco. Quando a recomendação de perfil técnico de Avaliação é retornada Block, a chamada para o perfil técnico de Avaliação não é necessária. O estado de risco é definido como Em risco. O exemplo a seguir mostra um perfil técnico de Acesso Condicional usado para corrigir a ameaça identificada:

<TechnicalProfile Id="ConditionalAccessRemediation">
  <DisplayName>Conditional Access Remediation</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
  <Metadata>
    <Item Key="OperationType">Remediation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Componentes da solução

Estes são os componentes que habilitam o acesso condicional no Azure AD B2C:

  • Fluxo de usuário ou política personalizada que orienta o usuário por meio do processo de entrada e inscrição.
  • Política de Acesso Condicional que reúne sinais para tomar decisões e impor políticas organizacionais. Quando um usuário entra em seu aplicativo por meio de uma política do Azure AD B2C, a política de Acesso Condicional usa sinais da Proteção de ID do Microsoft Entra para identificar entradas arriscadas e apresenta a ação de correção apropriada.
  • Aplicativo registrado que direciona os usuários para o fluxo de usuário ou política personalizada apropriada do Azure AD B2C.
  • Navegador TOR para simular uma entrada arriscada.

Limitações e considerações do serviço

Ao usar o Acesso Condicional do Microsoft Entra, considere o seguinte:

  • O Identity Protection está disponível para identidades locais e sociais, como Google ou Facebook. Para identidades sociais, você precisa ativar manualmente o Acesso Condicional. A detecção é limitada porque as credenciais de conta social são gerenciadas pelo provedor de identidade externo.
  • Nos locatários do Azure AD B2C, apenas um subconjunto de políticas de Acesso Condicional do Microsoft Entra está disponível.

Pré-requisitos

Tipo de preço

O Azure AD B2C Premium P2 é necessário para criar políticas de entrada arriscadas, mas agora foi preterido a partir de 1º de maio de 2025. Os locatários Premium P1 podem criar uma política baseada em políticas baseadas em localização, aplicativo, usuário ou grupo.

Prepare seu locatário do Azure AD B2C

Para adicionar uma política de acesso condicional, desabilite os padrões de segurança:

  1. Entre no portal do Azure.

  2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.

  3. Em Serviços do Azure, selecione Microsoft Entra ID. Ou use a caixa de pesquisa para localizar e selecionar ID do Microsoft Entra.

  4. Selecione Propriedades e selecione Gerenciar Padrões de Segurança.

    Desabilitar os padrões de segurança

  5. Em Habilitar Padrões de Segurança, selecione Não.

    Definir a alternância Habilitar padrões de segurança como Não

Adicionar uma política de Acesso Condicional

Uma política de Acesso condicional é uma instrução if-then de atribuições e controles de acesso. Uma política de Acesso Condicional reúne sinais para tomar decisões e impor políticas organizacionais.

Dica

Nesta etapa, você configura a política de acesso condicional. Recomendamos que você use um dos seguintes modelos: Modelo 1: Acesso Condicional baseado em risco de entrada, Modelo 2: Acesso Condicional baseado em risco do usuário ou Modelo 3: Bloquear locais com acesso condicional. Você pode configurar a política de acesso condicional por meio do portal do Azure ou da API do MS Graph.

O operador lógico entre as atribuições é And. O operador em cada atribuição é Or.

Atribuições de acesso condicional Para adicionar uma política de Acesso Condicional:

  1. No portal do Azure, pesquise e selecione Azure AD B2C.

  2. Em Segurança, selecione Acesso Condicional. A página Políticas de Acesso Condicional é aberta.

  3. Selecione + Nova política.

  4. Insira um nome para a política, como Bloquear entrada arriscada.

  5. Em Atribuições, escolha Usuários e grupos e selecione uma das seguintes configurações com suporte:

    Incluir Licença Anotações
    Todos os usuários P1, P2 Essa política afeta todos os usuários. Para não se bloquear, exclua sua conta administrativa escolhendo Excluir, selecionando funções de Diretório e selecionando Administrador Global na lista. Você também pode selecionar Usuários e Grupos e selecionar sua conta na lista Selecionar usuários excluídos .

  6. Selecione aplicativos ou ações de nuvem e selecione aplicativos. Procure seu aplicativo de terceira parte confiável.

  7. Selecione Condições e selecione entre as condições a seguir. Por exemplo, selecione Risco de entrada e níveis de risco Alto, Médio e Baixo .

    Condição Licença Anotações
    Risco do usuário P2 O risco do usuário representa a probabilidade de que determinada identidade ou conta seja comprometida.
    Risco de login P2 O risco de entrada representa a probabilidade de uma determinada solicitação de autenticação não ser autorizada pelo proprietário da identidade.
    Plataformas de dispositivo Sem suporte Caracterizado pelo sistema operacional executado em um dispositivo. Para obter mais informações, consulte plataformas de dispositivo.
    Locais P1, P2 Os locais nomeados podem incluir as informações públicas da rede IPv4, país ou região ou áreas desconhecidas que não são mapeadas para países ou regiões específicas. Para obter mais informações, veja Localizações.

  8. Em controles de acesso, selecione Conceder. Em seguida, selecione se deseja bloquear ou conceder acesso:

    Opção Licença Anotações
    Acesso bloqueado P1, P2 Impede o acesso com base nas condições especificadas nesta política de acesso condicional.
    Conceder acesso com Exigir autenticação multifator P1, P2 Com base nas condições especificadas nessa política de acesso condicional, o usuário deve passar pela autenticação multifator do Azure AD B2C.

  9. Em Habilitar política, selecione um dos seguintes:

    Opção Licença Anotações
    Somente relatório P1, P2 O modo de relatório permite que os administradores analisem o impacto das políticas de Acesso Condicional antes de habilitá-las em seu ambiente. Recomendamos que você verifique a política com esse estado e determine o impacto para os usuários finais sem a necessidade de autenticação multifator ou bloqueio de usuários. Para obter mais informações, consulte Examinar os resultados do Acesso Condicional no relatório de auditoria
    Em P1, P2 A política de acesso é avaliada e não imposta.
    Desativado P1, P2 A política de acesso não está ativada e não tem nenhum efeito sobre os usuários.

  10. Habilite sua política de acesso condicional de teste selecionando Criar.

Modelo 1: Acesso condicional baseado em risco de entrada

A maioria dos usuários tem um comportamento normal que pode ser acompanhado; quando eles saem do padrão, pode ser arriscado permitir que eles se conectem diretamente. Talvez seja melhor bloquear esse usuário ou pedir que ele faça a autenticação multifator para provar que realmente é quem diz ser. Um risco de entrada representa a probabilidade de uma determinada solicitação de autenticação não estar autorizada pelo proprietário da identidade. Locatários do Azure AD B2C com licenças P2 podem criar políticas de Acesso Condicional incorporando detecções de risco de entrada do Microsoft Entra ID Protection.

Observe as limitações nas detecções de Proteção de Identidade para B2C. Se o risco for detectado, os usuários poderão executar a autenticação multifator para corrigir automaticamente e fechar o evento de entrada arriscado para evitar ruídos desnecessários para os administradores.

Configure o Acesso Condicional por meio do portal do Azure ou das APIs do Microsoft Graph para habilitar uma política de acesso condicional baseada em risco de entrada que exige MFA quando o risco de entrada é médio ou alto.

  1. Em Incluir, selecione Todos os usuários.
  2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou "break-glass" da sua organização.
  3. Selecione Concluído.
  4. Em Aplicativos ou ações de nuvem>Incluir, selecione Todos os aplicativos de nuvem.
  5. Em Condições>Risco de entrada, defina Configurar como Sim. Em Selecionar o nível de risco de acesso ao qual esta política será aplicada
    1. Selecione Alto e Médio.
    2. Selecione Concluído.
  6. Em Controles de acesso>Conceder, selecione Conceder acesso, Exigir autenticação multifator e clique em Selecionar.
  7. Confirme suas configurações e defina Habilitar política como Ativado.
  8. Selecione Criar para criar e habilitar sua política.

Habilitar o modelo 1 com APIs de Acesso Condicional (opcional)

Crie uma política de Acesso condicional baseada em risco de entrada com as APIs do MS Graph. Para obter mais informações, consulte APIs de Acesso Condicional. O modelo a seguir pode ser usado para criar uma política de Acesso condicional com o nome de exibição "Modelo 1: exigir MFA para risco de entrada médio+" no modo somente relatório.

{
    "displayName": "Template 1: Require MFA for medium+ sign-in risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "signInRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "mfa"
        ]
    }
}

Modelo 2: Acesso Condicional baseado em risco do usuário

O Identity Protection pode calcular o que acredita ser normal para o comportamento de um usuário e usá-lo para basear decisões para seu risco. O risco do usuário é um cálculo de probabilidade de que uma identidade tenha sido comprometida. Locatários B2C com licenças P2 podem criar políticas de Acesso Condicional que incorporam o risco do usuário. Quando um usuário é detectado como em risco, você pode exigir que ele altere com segurança sua senha para corrigir o risco e obter acesso à sua conta. É altamente recomendável configurar uma política de risco do usuário para exigir uma alteração de senha segura para que os usuários possam se auto-corrigir.

Saiba mais sobre o risco do usuário no Identity Protection, levando em conta as limitações nas detecções de Proteção de Identidade para B2C.

Configure o Acesso Condicional por meio do portal do Azure ou das APIs do Microsoft Graph para habilitar uma política de Acesso Condicional baseada em risco do usuário que exige MFA (autenticação multifator) e alteração de senha quando o risco do usuário é médio ou alto.

Para configurar o acesso condicional baseado no usuário:

  1. Entre no portal do Azure.
  2. Navegue até Azure AD B2C>Segurança>Acesso Condicional.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários e grupos.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou "break-glass" da sua organização.
    3. Selecione Concluído.
  6. Em Aplicativos ou ações de nuvem>Incluir, selecione Todos os aplicativos de nuvem.
  7. Em Condições>Risco do usuário, defina Configurar como Sim. Em Configurar os níveis de risco do usuário necessários para que a política seja imposta
    1. Selecione Alto e Médio.
    2. Selecione Concluído.
  8. Em Controles de acesso>, selecione Conceder acesso, Exigir alteração de senha, e Selecione. A necessidade de autenticação multifator também é necessária por padrão.
  9. Confirme suas configurações e defina Habilitar política como Ativado.
  10. Selecione Criar para criar e habilitar sua política.

Habilitar o modelo 2 com APIs de Acesso Condicional (opcional)

Para criar uma política de Acesso Condicional baseada em risco do usuário com APIs de Acesso Condicional, consulte a documentação das APIs de Acesso Condicional.

O modelo a seguir pode ser usado para criar uma política de Acesso Condicional com o nome de exibição "Modelo 2: Exigir alteração de senha segura para risco médio+ de usuário" no modo somente relatório.

{
    "displayName": "Template 2: Require secure password change for medium+ user risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "userRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "mfa",
            "passwordChange"
        ]
    }
}

Modelo 3: Bloquear locais com acesso condicional

Com a condição de localização no Acesso Condicional, você pode controlar o acesso aos seus aplicativos na nuvem com base no local de rede de um usuário. Configure o Acesso Condicional por meio do portal do Azure ou das APIs do Microsoft Graph para habilitar uma política de Acesso Condicional bloqueando o acesso a locais específicos. Para obter mais informações, consulte Como usar a condição de local em uma política de Acesso Condicional

Definir locais

  1. Entre no portal do Azure.
  2. Navegue até Azure AD B2C>Segurança>Acesso Condicional>Locais Nomeados.
  3. Selecione o local dos países ou o local dos intervalos de IP
  4. Dê um nome ao seu local.
  5. Forneça os intervalos de IP ou selecione os Países/Regiões para o local que você está especificando. Se você escolher Países/Regiões, você poderá opcionalmente optar por incluir áreas desconhecidas.
  6. Escolha Salvar.

Para habilitar a política de acesso condicional:

  1. Entre no portal do Azure.
  2. Navegue até Azure AD B2C>Segurança>Acesso Condicional.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários e grupos.
    1. Em Incluir, selecione Todos os usuários.
    2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou "break-glass" da sua organização.
    3. Selecione Concluído.
  6. Em Aplicativos ou ações de nuvem>Incluir, selecione Todos os aplicativos de nuvem.
  7. Em Condições>Localização
    1. Defina Configurar como Sim.
    2. Em Incluir, selecione Locais selecionados
    3. Selecione o local nomeado que você criou.
    4. Clique em Selecionar
  8. Em Controles de acesso> selecione Controle de acesso e selecione Selecionar.
  9. Confirme suas configurações e defina Habilitar política como Ativado.
  10. Selecione Criar para criar e habilitar sua política.

Habilitar o modelo 3 com APIs de Acesso Condicional (opcional)

Para criar uma política de Acesso Condicional baseada em local com APIs de Acesso Condicional, consulte a documentação das APIs de Acesso Condicional. Para configurar locais nomeados, consulte as documentações de Locais Nomeados.

O modelo a seguir pode ser usado para criar uma política de Acesso Condicional com o nome de exibição "Modelo 3: Bloquear locais não permitidos" no modo somente relatório.

{
    "displayName": "Template 3: Block unallowed locations",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        },
        "locations": {
            "includeLocations": [
                "b5c47916-b835-4c77-bd91-807ec08bf2a3"
          ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "block"
        ]
    }
}

Adicionar acesso condicional a um fluxo de usuário

Depois de adicionar a política de Acesso Condicional do Microsoft Entra, habilite o Acesso Condicional no fluxo do usuário ou na política personalizada. Ao habilitar o Acesso Condicional, você não precisa especificar um nome de política. Várias políticas de Acesso Condicional podem ser aplicadas a um usuário individual a qualquer momento. Nesse caso, a política de controle de acesso mais rigorosa tem precedência. Por exemplo, se uma política exigir MFA enquanto a outra bloquear o acesso, o usuário será bloqueado.

Habilitar a autenticação multifator (opcional)

Ao adicionar o Acesso Condicional a um fluxo de usuário, considere o uso da MFA (autenticação multifator). Os usuários podem usar um código único por sms ou voz, uma senha única por email ou um código TOTP (senha única) baseada em tempo por meio de um aplicativo autenticador para autenticação multifator. As configurações de MFA são definidas separadamente das configurações de Acesso Condicional. Você pode escolher entre estas opções de MFA:

  • Desativado – a MFA nunca é exigida no momento do login e os usuários não são solicitados a se inscrever no MFA durante o cadastro ou login.
  • Sempre ativado – a MFA é sempre necessária, independentemente da configuração do Acesso Condicional. Durante a inscrição, os usuários são solicitados a se inscrever no MFA. Durante a entrada, se os usuários ainda não estiverem registrados na MFA, eles serão solicitados a se registrar.
  • Condicional – durante a inscrição e a entrada, os usuários são solicitados a se inscrever no MFA (usuários novos e usuários existentes que não estão registrados no MFA). Durante a entrada, a MFA é aplicada somente quando exigida por uma avaliação da Política de Acesso condicional ativa:
    • Se o resultado for um desafio MFA sem risco, a MFA será aplicada. Se o usuário ainda não estiver registrado na MFA, será solicitado que ele se registre.
    • Se o resultado for um desafio de MFA devido ao risco e o usuário não estiver inscrito no MFA, o login será bloqueado.

    Observação

    Com a disponibilidade geral do Acesso Condicional no Azure AD B2C, os usuários agora são solicitados a se inscrever em um método MFA durante a inscrição. Qualquer fluxo de usuário de inscrição criado antes da disponibilidade geral não refletirá automaticamente esse novo comportamento, mas você pode incluir o comportamento criando novos fluxos de usuário.

Para habilitar o Acesso Condicional para um fluxo de usuário, verifique se a versão dá suporte ao Acesso Condicional. Essas versões de fluxo de usuário são rotuladas como Recomendadas.

  1. Entre no portal do Azure.
  2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.
  3. Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.
  4. Em Políticas, selecione Fluxos dos usuários. Em seguida, selecione o fluxo do usuário.
  5. Selecione Propriedades e verifique se o fluxo de usuário dá suporte ao Acesso Condicional procurando a configuração rotulada acesso condicional. Configurar MFA e Acesso Condicional em Propriedades
  6. Na seção autenticação multifator , selecione o tipo de método desejado e, em seguida, em Imposição de MFA, selecione Condicional.
  7. Na seção acesso condicional , marque a caixa de seleção Impor políticas de acesso condicional .
  8. Clique em Salvar.

Adicionar acesso condicional à sua política

  1. Obtenha o exemplo de uma política de acesso condicional no GitHub.
  2. Em cada arquivo, substitua a cadeia de caracteres yourtenant pelo nome do locatário do Azure AD B2C. Por exemplo, se o nome do seu locatário B2C for contosob2c, todas as instâncias de yourtenant.onmicrosoft.com se tornarão contosob2c.onmicrosoft.com.
  3. Carregue os arquivos de política.

Configurar uma declaração diferente do número de telefone para ser usada na MFA

Na política de Acesso Condicional acima, o método de transformação de DoesClaimExist declaração verifica se uma declaração contém um valor, por exemplo, se a strongAuthenticationPhoneNumber declaração contém um número de telefone. A transformação de declarações não se limita à declaração strongAuthenticationPhoneNumber . Dependendo do cenário, você pode usar qualquer outra reivindicação. No snippet XML a seguir, a declaração strongAuthenticationEmailAddress é verificada. A declaração escolhida deve ter um valor válido, caso contrário, a IsMfaRegistered declaração será definida como False. Quando definida como False, a avaliação da política de Acesso condicional retorna um tipo de concessão Block, impedindo que o usuário conclua o fluxo do usuário.

 <ClaimsTransformation Id="IsMfaRegisteredCT" TransformationMethod="DoesClaimExist">
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="strongAuthenticationEmailAddress" TransformationClaimType="inputClaim" />
  </InputClaims>
  <OutputClaims>
    <OutputClaim ClaimTypeReferenceId="IsMfaRegistered" TransformationClaimType="outputClaim" />
  </OutputClaims>
 </ClaimsTransformation>

Testar sua política personalizada

  1. Selecione a política B2C_1A_signup_signin_with_ca ou B2C_1A_signup_signin_with_ca_whatif para abrir sua página de visão geral. Em seguida, selecione Executar fluxo de usuário. Em Aplicativo, selecione webapp1. A URL de resposta deve mostrar https://jwt.ms.
  2. Copie a URL em Executar ponto de extremidade de fluxo de usuário.
  3. Para simular uma entrada arriscada, abra o Navegador Tor e use a URL copiada na etapa anterior para entrar no aplicativo registrado.
  4. Insira as informações solicitadas na página de entrada e tente entrar. O token é retornado para https://jwt.ms e deve ser exibido para você. No token decodificado em jwt.ms, você deverá ver que o login foi bloqueado.

Teste o fluxo do usuário

  1. Selecione o fluxo de usuário que você criou para abrir sua página de visão geral e, em seguida, selecione Executar fluxo de usuário. Em Aplicativo, selecione webapp1. A URL de resposta deve mostrar https://jwt.ms.
  2. Copie a URL em Executar ponto de extremidade de fluxo de usuário.
  3. Para simular uma entrada arriscada, abra o Navegador Tor e use a URL copiada na etapa anterior para entrar no aplicativo registrado.
  4. Insira as informações solicitadas na página de entrada e tente entrar. O token é retornado para https://jwt.ms e deve ser exibido para você. No token decodificado em jwt.ms, você deverá ver que o login foi bloqueado.

Examinar os resultados do Acesso Condicional no relatório de auditoria

Para examinar o resultado de um evento de Acesso Condicional:

  1. Entre no portal do Azure.
  2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas.
  3. Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.
  4. Em Atividades, selecione Logs de auditoria.
  5. Filtre o log de auditoria definindo Categoria como B2C e definindo o Tipo de Recurso de Atividade como IdentityProtection. Em seguida, selecione Aplicar.
  6. Examine a atividade de auditoria nos últimos sete dias. Os seguintes tipos de atividade estão incluídos:
    • Avaliar políticas de acesso condicional: essa entrada de log de auditoria indica que uma avaliação de Acesso Condicional foi executada durante uma autenticação.
    • Remediar o usuário: essa entrada indica que a concessão ou os requisitos de uma política de Acesso Condicional foram atendidos pelo usuário final, e essa atividade foi relatada ao mecanismo de risco para mitigar o risco relacionado ao usuário.
  7. Selecione uma entrada de log de Avaliação de política de acesso condicional na lista para abrir a página Detalhes da atividade: log de auditoria, que mostra os identificadores de log de auditoria, juntamente com essas informações na seção Detalhes adicionais:
    • ConditionalAccessResult: a concessão necessária para a avaliação da política condicional.
    • AppliedPolicies: uma lista de todas as políticas de Acesso Condicional em que as condições foram atendidas e as políticas estão ON.
    • ReportingPolicies: uma lista das políticas de Acesso Condicional que foram definidas como modo somente relatório e onde as condições foram atendidas.

Conteúdo relacionado

Personalizar a interface do usuário em um fluxo de usuário do Azure AD B2C