Adicionar autenticação multifator (MFA) a um aplicativo
Aplica-se a:Locatários da força detrabalho Locatários externos (saiba mais)
A autenticação multifator (MFA) adiciona uma camada de segurança aos seus aplicativos, exigindo que os usuários forneçam um segundo método para verificar sua identidade durante a inscrição ou o login. Os locatários externos oferecem suporte a dois métodos de autenticação como um segundo fator:
- Código de acesso único por e-mail: depois que o usuário entra com seu e-mail e senha, ele é solicitado a fornecer uma senha que é enviada para seu e-mail. Para permitir o uso de senhas únicas de e-mail para MFA, defina seu método de autenticação de conta local como Email com senha. Se você escolher Email com senha única, os clientes que usarem esse método para entrada principal não poderão usá-lo para verificação secundária de MFA.
- Autenticação baseada em SMS: Embora o SMS não seja uma opção para autenticação de primeiro fator, ele está disponível como um segundo fator para MFA. Os usuários que fazem login com e-mail e senha, e-mail e senha de uso único, ou identidades sociais como Google, Facebook ou Apple, são solicitados para segunda verificação usando SMS. Nosso SMS MFA inclui verificações automáticas de fraude. Se suspeitarmos de fraude, pediremos ao usuário que preencha um CAPTCHA para confirmar que não é um robô antes de enviar o código SMS para verificação. Prevê igualmente salvaguardas contra a fraude no sector da telefonia. O SMS é um recurso adicional. Seu locatário deve estar vinculado a uma assinatura ativa e válida. Mais informações
Este artigo descreve como impor a MFA para seus clientes criando uma política de Acesso Condicional do Microsoft Entra e adicionando MFA ao seu fluxo de usuário de inscrição e entrada.
Gorjeta
Para experimentar esse recurso, vá para a demonstração do Woodgrove Groceries e inicie o caso de uso "Autenticação multifator".
Pré-requisitos
- Um locatário externo do Microsoft Entra.
- Um fluxo de usuário de inscrição e login.
- Um aplicativo registrado em seu locatário externo e adicionado ao fluxo de usuário de inscrição e entrada.
- Uma conta com pelo menos a função de Administrador de Segurança para configurar políticas de Acesso Condicional e MFA.
- O SMS é um recurso complementar e requer uma assinatura vinculada. Se sua assinatura expirar ou for cancelada, os usuários finais não poderão mais se autenticar usando SMS, o que pode impedi-los de entrar, dependendo da sua política de MFA.
Criar uma política de Acesso Condicional
Crie uma política de Acesso Condicional em seu locatário externo que solicite aos usuários MFA quando eles se inscreverem ou entrarem em seu aplicativo. (Para obter mais informações, consulte Política comum de acesso condicional: requer MFA para todos os usuários).
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
Navegue até Políticas de Acesso>e selecione Nova política.
Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
Em Atribuições, selecione o link em Usuários.
a. Na guia Incluir, selecione Todos os usuários.
b. Na guia Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização. Em seguida, escolha Selecionar.
Selecione o link em Recursos de destino.
a. Na guia Incluir, escolha uma das seguintes opções:
Escolha Todos os recursos (anteriormente "Todos os aplicativos na nuvem").
Escolha Selecionar recursos e selecione o link em Selecionar. Encontre seu aplicativo, selecione-o e escolha Selecionar.
b. Na guia Excluir, selecione todos os aplicativos que não exigem autenticação multifator.
Em Controles de acesso, selecione o link em Conceder. Selecione Conceder acesso, selecione Exigir autenticação multifator e, em seguida, escolha Selecionar.
Confirme suas configurações e defina Ativar política como Ativado.
Selecione Criar para criar para habilitar sua política.
Habilite a senha única de e-mail como um método MFA
Habilite o método de autenticação de senha única de e-mail em seu locatário externo para todos os usuários.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
Navegue até Métodos de autenticação de proteção>.
Na lista Método, selecione Enviar OTP por e-mail.
Em Ativar e Destino, ative a opção Ativar .
Em Incluir, ao lado de Destino, selecione Todos os usuários.
Selecione Guardar.
Habilitar o SMS como um método de MFA
Habilite o método de autenticação SMS em seu locatário externo para todos os usuários.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Segurança.
Navegue até Métodos de autenticação de proteção>.
Na lista Método, selecione SMS.
Em Ativar e Destino, ative a opção Ativar .
Em Incluir, ao lado de Destino, selecione Todos os usuários.
Selecione Guardar.
Ativar telecomunicações para regiões opt-in
A partir de janeiro de 2025, determinados códigos de país serão desativados por padrão para verificação por SMS. Se você quiser permitir o tráfego de regiões desativadas, precisará ativá-los para seu aplicativo usando a política do Microsoft Graph onPhoneMethodLoadStartevent
. Consulte Regiões que exigem aceitação para verificação por SMS.
Testar o início de sessão
Em um navegador privado, abra seu aplicativo e selecione Entrar. Você deve ser solicitado a fornecer outro método de autenticação.