Níveis de autenticação de Acesso Condicional com personalização
Os administradores também podem criar até 15 de seus próprios níveis de autenticação com personalização para atender exatamente às suas necessidades. Um nível de autenticação personalizado pode conter qualquer uma das combinações com suporte na tabela anterior.
Inicie a sessão no centro de administração do Microsoft Entra como um administrador.
Navegue até Proteção>Métodos de autenticação>Forças de autenticação.
Selecione Nova força de autenticação.
Forneça um Nome descritivo para sua nova força de autenticação.
Opcionalmente, forneça uma Descrição.
Selecione qualquer um dos métodos disponíveis que você deseja permitir.
Escolha Próximo e revise a configuração da política.
Atualizar e excluir pontos fortes de autenticação personalizados
Você pode editar um nível de autenticação personalizado. Se for referenciado por uma política de acesso condicional, ele não poderá ser excluído e você precisará confirmar qualquer edição. Para verificar se um nível de autenticação é referenciado por uma política de Acesso Condicional, clique na coluna Políticas de Acesso Condicional.
Opções avançadas de chave de segurança FIDO2
É possível restringir o uso de chaves de segurança FIDO2 com base em seus GUIDs de Atestado de Autenticação (AAGUIDs). Essa funcionalidade permite que os administradores exijam uma chave de segurança FIDO2 de um fabricante específico para a obtenção de acesso ao recurso. Para exigir uma chave de segurança FIDO2 específica, primeiro é necessário criar um nível de autenticação com personalização. Em seguida, selecione Chave de Segurança FIDO2 e clique em Opções Avançadas.
Ao lado de Chaves FIDO2 permitidas, clique em +, copie o valor AAGUID e clique em Salvar.
Opções avançadas de autenticação baseada em certificado
Na política de métodos de autenticação, é possível configurar se os certificados estão vinculados no sistema a níveis de proteção de autenticação multifator ou de fator único, com base no emissor do certificado ou no OID da política. Além disso, você pode exigir certificados de autenticação multifator ou de fator único para recursos específicos, com base na política de níveis de autenticação de Acesso Condicional.
Ao usar as opções avançadas de níveis de autenticação, é possível exigir um emissor do certificado ou um OID de política específico para restringir ainda mais os logons em um aplicativo.
Por exemplo, a Contoso emite cartões inteligentes para os funcionários com três tipos diferentes de certificados multifator. Um certificado é para a autorização confidencial, outro para a autorização secreta e um terceiro é para a autorização ultrassecreta. Cada autorização é diferenciada pelas propriedades do certificado, como OID de política ou emissor. A Contoso deseja garantir que somente os usuários com o certificado multifator apropriado possam obter acesso aos dados de cada classificação.
As próximas seções demonstram como configurar as opções avançadas para a CBA ao usar o centro de administração do Microsoft Entra e o Microsoft Graph.
Centro de administração do Microsoft Entra
Inicie a sessão no centro de administração do Microsoft Entra como um administrador.
Navegue até Proteção>Métodos de autenticação>Forças de autenticação.
Selecione Nova força de autenticação.
Forneça um Nome descritivo para sua nova força de autenticação.
Opcionalmente, forneça uma Descrição.
Abaixo da Autenticação baseada em certificado (fator único ou multifator), clique em Opções Avançadas.
É possível selecionar os emissores dos certificados no menu suspenso, digitar os emissores dos certificados e inserir os OIDs de política permitidos. O menu suspenso lista todas as autoridades de certificação do locatário, independentemente de serem de fator único ou multifator.
- Se ambos emissor de certificado permitido E de OID de Política Permitida estão configurados, há uma relação AND. O usuário deve usar um certificado que satisfaça ambas as condições.
- Entre a lista de Emissor do certificado permitido e a lista de OID de política permitido, há um relacionamento OU. O usuário deve usar um certificado que satisfaça um dos emissores ou dos OIDs de política.
- Use Outro emissor do certificado por SubjectkeyIdentifier, se o certificado que pretende usar não for carregado para as Autoridades de certificação em seu locatário. Essa configuração poderá ser usada para cenários de usuário externo, se o usuário estiver autenticando em seu locatário inicial.
Clique em Avançar para realizar a revisão da configuração e, em seguida, clique em Criar.
Microsoft Graph
Para criar uma nova política de níveis de autenticação de Acesso Condicional com um certificado combinationConfiguration:
POST /beta/identity/conditionalAccess/authenticationStrength/policies
{
"displayName": "CBA Restriction",
"description": "CBA Restriction with both IssuerSki and OIDs",
"allowedCombinations": [
" x509CertificateMultiFactor "
],
"combinationConfigurations": [
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"appliesToCombinations": [
"x509CertificateMultiFactor"
],
"allowedIssuerSkis": ["9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"],
"allowedPolicyOIDs": [
"1.2.3.4.6",
"1.2.3.4.5.6"
]
}
]
}
Para adicionar um novo combinationConfiguration a uma política existente:
POST beta/identity/conditionalAccess/authenticationStrength/policies/{authenticationStrengthPolicyId}/combinationConfigurations
{
"@odata.type": "#microsoft.graph.x509CertificateCombinationConfiguration",
"allowedIssuerSkis": [
"9A4248C6AC8C2931AB2A86537818E92E7B6C97B6"
],
"allowedPolicyOIDs": [],
"appliesToCombinations": [
"x509CertificateSingleFactor "
]
}
Limitações
Opções avançadas de chave de segurança FIDO2
- Opções avançadas da chave de segurança FIDO2: Não há suporte para opções avançadas para usuários externos com um locatário inicial localizado em um nuvem da Microsoft diferente do locatário do recurso.
Opções avançadas de autenticação baseada em certificado
Somente um certificado pode ser usado em cada sessão do navegador. Após iniciar sessão com um certificado, ele será armazenado em cache no navegador durante a sessão. Você não será solicitado a escolher outro certificado se ele não atender aos requisitos de nível de autenticação. Você precisará desconectar e entrar novamente para reiniciar a sessão. Em seguida, deverá escolher o certificado relevante.
As Autoridades de Certificação e os certificados de usuário devem estar em conformidade com o padrão X.509 v3. Expressamente, para impor restrições de SKI para a CBA do emissor, os certificados precisam de AKIs válidos:
Observação
Se o certificado não estiver em conformidade, a autenticação do usuário poderá ser bem-sucedida, mas não satisfazer as restrições do issuerSki para a política de níveis de autenticação.
Durante o início de sessão, os primeiros cinco OIDs de política do certificado do usuário final são considerados e comparados com os OIDs de política configurados na política de níveis de autenticação. Se o certificado do usuário final tiver mais de cinco OIDs de política, os primeiros cinco OIDs de política em ordem lexical que correspondam aos requisitos de níveis de autenticação serão levados em consideração.
Para usuários B2B, vejamos um exemplo em que a Contoso convidou usuários da Fabrikam para seu locatário. Neste caso, a Contoso corresponde ao locatário do recurso e a Fabrikam ao locatário inicial.
- Quando a configuração de acesso entre locatários está Desativada (a Contoso não aceita a MFA executada pelo locatário inicial): não há suporte para o uso da autenticação baseada em certificado no locatário de recursos.
- Quando a configuração de acesso entre locatários está Ativada (a Fabrikam e a Contoso estão na mesma nuvem da Microsoft): os locatários da Fabrikam e da Contoso estão na nuvem comercial do Azure ou na nuvem do Azure para o governo dos Estados Unidos. Além disso, a Contoso confia na MFA executada no locatário inicial. Nesse caso:
- O acesso a um recurso específico pode ser restrito ao usar os OIDs da política ou o “outro emissor do certificado por SubjectkeyIdentifier” na política de níveis de autenticação com personalização.
- O acesso a recursos específicos pode ser restrito ao usar a configuração “Outro emissor do certificado por SubjectkeyIdentifier” na política de níveis de autenticação com personalização.
- Quando a configuração de acesso entre locatários está Ativada, a Fabrikam e a Contoso não estão na mesma nuvem da Microsoft – por exemplo, o locatário da Fabrikam está na nuvem comercial do Azure e o locatário da Contoso está na nuvem do Azure para o governo dos Estados Unidos –, o acesso a recursos específicos não pode ser restringido ao usar o ID do emissor ou os OIDs da política na política de níveis de autenticação com personalização.
Solução de problemas para as opções avançadas de níveis de autenticação
Os usuários não conseguem usar a chave de segurança FIDO2 para entrar
Um Administrador de Acesso Condicional pode restringir o acesso a chaves de segurança específicas. Quando um usuário tenta fazer login usando uma chave que não pode usar, esta mensagem Você não pode acessar daqui é exibida. O usuário precisa reiniciar a sessão e entrar com uma chave de segurança FIDO2 diferente.
Como verificar os OIDs e o emissor da política de certificação
É possível confirmar se as propriedades do certificado pessoal correspondem à configuração nas opções avançadas de níveis de autenticação.
No dispositivo do usuário, inicie a sessão como um Administrador. Clique em Executar, digite certmgr.msc e pressione Enter. Para verificar os OIDs da política, clique em Pessoal, clique com o botão direito do mouse no certificado e clique em Detalhes.
