Exigir força de autenticação para usuários externos

A força da autenticação é um controle de Acesso condicional que permite que você defina uma combinação específica de métodos de autenticação multifator (MFA) que um usuário externo deve concluir para acessar seus recursos. Esse controle é especialmente útil para restringir o acesso externo a aplicativos confidenciais na organização. Por exemplo, você pode criar uma política de acesso condicional, exigir uma força da autenticação resistente a phishing na política e então atribuí-la a convidados e usuários externos.

O Microsoft Entra ID fornece três forças de autenticação integradas:

• Força de autenticação multifator (menos restritiva) recomendada neste artigo
• Força da MFA sem senha
• Força da MFA resistente a phishing (mais restritiva)

Você pode usar um dos pontos fortes internos ou criar uma força de autenticação personalizada com base nos métodos de autenticação que você deseja exigir.

Em cenários de usuário externos, os métodos de autenticação de MFA que um locatário de recurso pode aceitar variam dependendo se o usuário estiver concluindo a MFA em seu locatário doméstico ou no locatário do recurso. Para obter detalhes, consulte a força de autenticação para usuários externos.

Definir as configurações de acesso entre locatários para MFA confiável

As políticas de força de autenticação funcionam em conjunto com as configurações de confiança da MFA nas configurações de acesso entre locatários para determinar onde e como o usuário externo deve executar a MFA. Primeiro, um usuário do Microsoft Entra se autentica com sua própria conta em seu locatário de origem. Em seguida, quando esse usuário tentar acessar seu recurso, o Microsoft Entra ID aplicará a política de Acesso condicional de força de autenticação e verificará se você habilitou a confiança da MFA.

• Se a confiança de MFA estiver habilitada, a ID do Microsoft Entra verificará a sessão de autenticação do usuário para obter uma declaração indicando que a MFA foi atendida no locatário residencial do usuário.
• Se a confiança de MFA estiver desabilitada, o locatário do recurso apresentará ao usuário um desafio para concluir a MFA no locatário do recurso usando um método de autenticação aceitável.

Os métodos de autenticação que os usuários externos podem usar para atenderem aos requisitos de MFA são diferentes, dependendo se o usuário estiver concluindo a MFA no locatário inicial ou no locatário do recurso. Consulte a tabela em Força de Autenticação de Acesso Condicional.

Exclusões de usuários

As políticas de Acesso Condicional são ferramentas avançadas, recomendamos excluir as seguintes contas das suas políticas:

• Acesso de emergência ou contas de acesso rápido para impedir o bloqueio devido à configuração incorreta da política. No cenário improvável de todos os administradores serem bloqueados, sua conta administrativa de acesso de emergência poderá ser usada para fazer logon e seguir as etapas para recuperar o acesso.
  • Mais informações podem ser encontradas no artigo, Gerenciar contas de acesso de emergência na ID do Microsoft Entra.
• Contas de serviço e principais de serviço, como a Conta de Sincronização do Microsoft Entra Connect. As contas de serviço são contas não interativas que não estão ligadas a nenhum usuário específico. Normalmente, elas são usadas por serviços de back-end que permitem acesso programático a aplicativos, mas também são usadas para entrar em sistemas para fins administrativos. As chamadas feitas pelas entidades de serviço não serão bloqueadas pelas políticas de acesso condicional com um escopo que inclua os usuários. Use o Acesso condicional para identidades de carga de trabalho para definir políticas que segmentam os principais de serviço.
  • Se sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas.

Criar uma política de Acesso Condicional

Use as etapas a seguir para criar uma política de acesso condicional que aplique uma força da autenticação a usuários externos.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.
2. Navegue até Entra ID>Acesso Condicional>Políticas.
3. Selecione Nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
   1. Em Incluir, escolha Selecionar usuários e grupos e selecione Usuários convidados ou externos.
      1. Selecione os tipos de usuários convidados ou externos aos quais você deseja aplicar a política.
   2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou contas de contingência da sua organização.
6. > Em Recursos de destino(anteriormente aplicativos de nuvem), em Incluir ou Excluir, selecione todos os aplicativos que você deseja incluir ou excluir dos requisitos de força de autenticação.
7. Em Controles de acesso>Conceda, selecione Conceder acesso.
   1. Selecione Exigir força de autenticação e, em seguida, selecione a força de autenticação interna ou personalizada apropriada na lista.
   2. Selecione Selecionar.
8. Confirme suas configurações e defina Habilitar política para Somente relatório.
9. Selecione Criar para criar para habilitar sua política.

Depois que os administradores avaliarem as configurações de política usando o impacto da política ou o modo somente relatório, eles poderão mover a alternância Ativar política de Relatório apenas para Ativar.

Conteúdo relacionado

• Modelos de Acesso Condicional
• Use o modo somente relatório para Acesso Condicional para determinar os resultados de novas decisões de política.