Como funciona os níveis de autenticação de Acesso Condicional para usuários externos
A política de métodos de autenticação é especialmente útil para restringir o acesso externo a aplicativos confidenciais em sua organização porque você pode impor métodos de autenticação específicos, como métodos resistentes a phishing, para usuários externos.
Quando você aplica uma política de acesso condicional com força da autenticação aos usuários externos do Microsoft Entra, a política funciona em conjunto com as configurações da relação de confiança da MFA nas suas configurações de acesso entre locatários para determinar onde e como o usuário externo precisa executar a MFA. Um usuário do Microsoft Entra se autentica no respectivo locatário inicial do Microsoft Entra. Depois, quando ele acessa seu recurso, o Microsoft Entra ID aplica a política e verifica se você habilitou a relação de confiança da MFA. Observe que habilitar a confiança de MFA é opcional para colaboração B2B, mas é necessário para conexão direta B2B.
Em cenários de usuário externo, os métodos de autenticação que podem satisfazer a força da autenticação variam, dependendo se o usuário está concluindo a MFA em seu locatário inicial ou no locatário de recurso. A tabela a seguir indica os métodos permitidos em cada locatário. Se um locatário do recurso tiver optado por confiar nas declarações de organizações externas do Microsoft Entra, somente as declarações listadas na coluna “Locatário inicial” abaixo serão aceitas pelo locatário do recurso na MFA. Se o locatário do recurso tiver desabilitado a confiança de MFA, o usuário externo deverá concluir a MFA no locatário do recurso usando um dos métodos listados na coluna "Locatário do recurso".
| Método de autenticação | Locatário da página inicial | Locatário do recurso |
|---|---|---|
| Mensagem SMS como segundo fator | ✅ | ✅ |
| Chamada de voz | ✅ | ✅ |
| Notificação por push Microsoft Authenticator | ✅ | ✅ |
| Credenciais no telefone do Microsoft Authenticator | ✅ | |
| Token de software OATH | ✅ | ✅ |
| Token OATH de hardware | ✅ | |
| Chave de segurança FIDO2 | ✅ | |
| Windows Hello for Business | ✅ | |
| Autenticação baseada em certificado | ✅ |
Para obter mais informações de como definir a força da autenticação para usuários externos, confira Acesso condicional: exigir uma força de autenticação para usuários externos.
Experiência do usuário para usuários externos
Uma política de acesso condicional de força de autenticação funciona em conjunto com as configurações de confiança de MFA em suas configurações de acesso entre locatários. Primeiro, um usuário do Microsoft Entra se autentica com a respectiva conta no locatário inicial. Em seguida, quando esse usuário tenta acessar seu recurso, o Microsoft Entra ID aplica a política de acesso condicional com força da autenticação e verifica se você habilitou a relação de confiança da MFA.
- Se a relação de confiança da MFA estiver habilitada, o Microsoft Entra ID verificará a sessão de autenticação do usuário em busca de uma declaração que indique que a MFA foi atendida no locatário inicial do usuário. Consulte a tabela anterior para métodos de autenticação aceitáveis para MFA quando concluídos no locatário inicial de um usuário externo. Se a sessão contiver uma declaração que indique que as políticas de MFA já foram atendidas no locatário inicial do usuário e os métodos atenderem aos requisitos de níveis de autenticação, o usuário terá o acesso permitido. Caso contrário, o Microsoft Entra ID apresentará ao usuário um desafio para concluir a MFA no locatário inicial usando um método de autenticação aceitável.
- Se a relação de confiança da MFA estiver desabilitada, o Microsoft Entra ID apresentará ao usuário um desafio para concluir a MFA no locatário do recurso usando um método de autenticação aceitável. Consulte a tabela anterior para conhecer os métodos de autenticação aceitáveis para a MFA por um usuário externo.