descrição geral da API de pontos fortes de autenticação Microsoft Entra
Namespace: microsoft.graph
Os pontos fortes de autenticação permitem que os administradores exijam combinações específicas de Microsoft Entra métodos de autenticação para aceder a um recurso. Cada força de autenticação é composta por uma ou mais combinações de métodos de autenticação, em que cada combinação é um ou mais métodos de autenticação. Quando a força é aplicada a um cenário como um controlo de concessão no Acesso Condicional, é necessário um utilizador no âmbito da política para satisfazer uma dessas combinações permitidas no início de sessão antes de poder aceder ao recurso. Como parte do Acesso Condicional, os pontos fortes de autenticação também podem ser emparelhados com outros controlos de Acesso Condicional, como o risco e a localização do utilizador.
Por exemplo, um administrador pode exigir que os utilizadores se autentiquem através de métodos de autenticação resistentes ao phishing antes de poderem aceder a um recurso confidencial. O administrador também pode permitir que os utilizadores se autentiquem através de combinações de autenticação multifator (MFA) menos seguras, como palavra-passe e SMS, para que acedam a aplicações não confidenciais.
Este artigo apresenta as APIs do Microsoft Graph que permitem aos administradores gerir programaticamente os pontos fortes de autenticação.
Políticas de força de autenticação
As políticas de força de autenticação definem os pontos fortes de autenticação que estão disponíveis para utilização no inquilino. Utilize o tipo de recurso authenticationStrengthPolicy e os respetivos métodos associados para definir e gerir estas políticas. As políticas incluem as seguintes configurações:
- O nome, identificador e descrição da política.
- Combinações de métodos de autenticação que fazem parte da política.
- Se a política, quando os requisitos do método de autenticação são cumpridos, pode ser utilizada para satisfazer uma afirmação de MFA no token de acesso.
Microsoft Entra ID suporta políticas de força de autenticação incorporadas e personalizadas. A Microsoft forneceu as três políticas incorporadas seguintes:
- Autenticação de vários fatores
- Autenticação multifator sem palavra-passe
- Autenticação multifator resistente a phishing
Só pode ler políticas incorporadas, mas pode criar até 15 políticas personalizadas de acordo com os seus requisitos.
Combinações de métodos de autenticação
O núcleo de uma política são as combinações de métodos de autenticação. Uma combinação consiste num ou mais métodos de autenticação numa lista separada por vírgulas. As combinações são predefinidas e são utilizadas para definir uma força de autenticação. Estes métodos de autenticação baseiam-se na enumeração sinalizada authenticationMethodModes . Algumas combinações de exemplo incluem:
| Combinação permitida de exemplo | Descrição |
|---|---|
fido2 |
O utilizador tem de iniciar sessão com uma chave de segurança FIDO2 para satisfazer o requisito de força de autenticação. |
password,microsoftAuthenticatorPush |
O utilizador tem de iniciar sessão com a palavra-passe e a aprovação push do Microsoft Authenticator para satisfazer o requisito de força de autenticação. |
password,softwareOath |
O utilizador tem de iniciar sessão com a palavra-passe e o token OATH de software para satisfazer o requisito de força de autenticação. |
Microsoft Entra ID fornece as combinações predefinidas só de leitura com os seguintes princípios:
- Métodos de autenticação de fator único que podem ser utilizados como primeiros fatores, como palavra-passe e SMS.
- Combinações de palavra-passe e um segundo fator que fazem uma combinação de autenticação multifator válida ("algo que tem" e "algo que sabe").
- Autenticadores multifator sem palavra-passe, como a autenticação de certificado FIDO2 e x509.
Os pontos fortes de autenticação incorporados utilizam estas combinações e as combinações podem ser utilizadas em pontos fortes de autenticação personalizados.
Para ver os detalhes dos métodos de autenticação suportados e as combinações permitidas, chame a API List authenticationMethodModes .
As combinações de autenticação de políticas incorporadas são só de leitura. Para ver todas as políticas incorporadas e as respetivas configurações, chame a API List authenticationStrengthPolicies .
Para criar uma política de força de autenticação personalizada, tem de configurar as combinações de métodos de autenticação com as combinações permitidas.
Configurações de combinação
Pode aplicar restrições adicionais a determinados métodos de autenticação para controlar quais as instâncias do método que um utilizador pode utilizar para autenticar. Estes tipos de restrições são configurações combinadas e também podem fazer parte de um objeto authenticationStrengthPolicy .
Uma configuração de combinação pode aplicar-se a uma ou mais combinações que incluam o método de autenticação específico. Atualmente, FIDO2 é o único método que suporta configurações de combinação.
Por exemplo, uma política personalizada permite as seguintes combinações: password,softwareOath, fido2e x509CertificateMultiFactor. Para esta política, pode restringir as chaves de segurança FIDO2 que o utilizador pode utilizar para autenticar ao configurar uma configuração de combinação com GUIDs de Atestado de Autenticador (AAGUIDs) específicos.
Uma política de força de autenticação tem zero ou mais configurações de combinação.
Aplicar políticas de força de autenticação no Acesso Condicional
Depois de definir a política de força de autenticação, aplica-a e impõe-a ao recurso protegido com Microsoft Entra políticas de acesso condicional.
Nos controlos de concessão de Acesso Condicional, configure a relação authenticationStrength ao atribuir o objeto authenticationStrengthPolicy que deve ser associado à política de acesso condicional. Quando uma política de acesso condicional se aplica a um início de sessão e essa política tem um controlo de concessão de força de autenticação, o utilizador terá de utilizar uma das combinações de métodos de autenticação permitidas para iniciar sessão. As políticas de força de autenticação também podem ser impostas aos utilizadores convidados através das políticas de acesso condicional e das definições de confiança de entrada entre inquilinos.
O objeto authenticationStrength corresponde ao controlo "Exigir força de autenticação" da UX da política de Acesso Condicional no centro de administração do Microsoft Entra.
Não pode configurar os pontos fortes de autenticação e o controlo de concessão de autenticação multifator na mesma política de acesso condicional.
Próximas etapas
- Leia mais sobre os pontos fortes de autenticação.
- Experimente a API no Graph Explorer.