Tutorial: impor a autenticação multifator para usuários convidados de B2B

  • Artigo

Ao colaborar com os usuários convidados de B2B externos, é uma boa ideia proteger seus aplicativos com políticas de autenticação multifator. Em seguida, os usuários externos precisarão de mais do que apenas um nome de usuário e senha para acessar os recursos. No Microsoft Entra ID, você pode atingir essa meta com uma política de Acesso Condicional que requer MFA para o acesso. As políticas de MFA podem ser impostas no nível de locatário, aplicativo ou usuário convidado individual, da mesma maneira que são habilitadas para membros da própria organização. O locatário do recurso é sempre responsável pela autenticação multifator do Microsoft Entra para usuários, mesmo que a organização do usuário convidado tenha funcionalidades de autenticação multifator.

Exemplo:

Diagram showing a guest user signing into a company's apps.

  1. Um administrador ou um funcionário na empresa A convida um usuário convidado para usar uma nuvem ou um aplicativo local que está configurado para exigir MFA para acesso.
  2. O usuário convidado entra com as próprias identidades empresariais, estudantis ou sociais.
  3. O usuário é solicitado a concluir um desafio de MFA.
  4. O usuário configura sua MFA com a empresa A e escolhe a opção de MFA. O usuário tem permissão de acesso ao aplicativo.

Observação

A autenticação multifator do Microsoft Entra é feita no locatário do recurso para garantir a previsibilidade. Quando o usuário convidado entrar, ele verá a página de entrada do locatário de recursos em segundo plano, e sua própria página de entrada de locatário inicial e o logotipo da empresa em primeiro plano.

Neste tutorial, você irá:

  • Teste a experiência de entrada antes da configuração da MFA.
  • Crie uma política de acesso condicional que exige MFA para acesso a um aplicativo de nuvem em seu ambiente. Neste tutorial, usaremos o aplicativo API de Gerenciamento de Serviços do Windows Azure para ilustrar o processo.
  • Use a ferramenta What If para simular a entrada da MFA.
  • Teste sua política de acesso condicional.
  • Limpe o usuário de teste e a política.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

Para concluir o cenário deste tutorial, você precisa de:

  • Acesso à edição P1 ou P2 do Microsoft Entra ID, que inclui recursos de política de Acesso Condicional. Para impor a MFA, você precisa criar uma política de Acesso Condicional do Microsoft Entra. As políticas de MFA sempre serão impostas na organização, independentemente se o parceiro tem recursos de MFA.
  • Uma conta de email externo válido que você pode adicionar ao seu diretório de locatário como um usuário convidado e usar para entrar. Se você não souber como criar uma conta de convidado, confira Adicionar um usuário convidado de B2B no centro de administração do Microsoft Entra.

Criar um usuário convidado de teste no Microsoft Entra ID

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.

  2. Navegue até Identidade>Usuários>Todos os usuários.

  3. Selecione Novo usuário e selecione Convidar usuário externo.

    Screenshot showing where to select the new guest user option.

  4. Em Identidade, na guia Itens Básicos, insira o endereço de email do usuário externo. Opcionalmente, inclua um nome para exibição e uma mensagem de boas-vindas.

    Screenshot showing where to enter the guest email.

  5. Opcionalmente, você pode adicionar mais detalhes ao usuário nas guias Propriedades e Atribuições .

  6. Selecione Revisar + convidar para enviar o convite ao usuário convidado automaticamente. Uma mensagem Usuário convidado com êxito será exibida.

  7. Depois de enviar o convite, a conta de usuário é automaticamente adicionada ao diretório como convidado.

Testar a experiência de entrada antes da configuração da MFA

  1. Use o nome de usuário e a senha de teste para entrar no Centro de administração do Microsoft Entra.
  2. Deverá ser possível acessar o centro de administração do Microsoft Entra usando apenas suas credenciais de entrada. Nenhuma outra autenticação é necessária.
  3. Saia.

Criar uma política de acesso condicional que exige MFA

  1. Entre no centro de administração do Microsoft Entra como pelo menos Administrador de acesso condicional.

  2. Navegue até Identidade>Proteção>Central de Segurança.

  3. Em Proteger, selecione Acesso Condicional.

  4. Na página Acesso Condicional, na barra de ferramentas na parte superior, selecione Criar nova política.

  5. Na página Novo, na caixa de texto Nome, digite Exigir MFA para acesso ao portal do B2B.

  6. Na seção Atribuições, escolha o link em Usuários e grupos.

  7. Na página Usuários e grupos, escolha Selecione usuários e grupos e, em seguida, Convidados ou usuários externos. Você pode atribuir a política a diferentes tipos de usuários externos, funções de diretório integradas ou usuários e grupos.

    Screenshot showing selecting all guest users.

  8. Na seção Atribuições, escolha o link em Aplicativos na nuvem ou ações.

  9. Escolha Selecionar aplicativos e, em seguida, escolha o link em Selecionar.

    Screenshot showing the Cloud apps page and the Select option.

  10. Na página Selecionar, escolha API de Gerenciamento de Serviços do Windows Azure e escolha Selecionar.

  11. Na página Novo, na seção Controles de acesso, escolha o link em Conceder.

  12. Na página Conceder, escolha Conceder acesso, marque a caixa de seleção Exigir autenticação multifator e escolha Selecionar.

    Screenshot showing the Require multifactor authentication option.

  13. Em Habilitar política, selecione Ativar.

    Screenshot showing the Enable policy option set to On.

  14. Selecione Criar.

Use a opção What If para simular a entrada

  1. Na página Acesso condicional | Políticas, selecione What If.

    Screenshot that highlights where to select the What if option on the Conditional Access - Policies page.

  2. Selecione o link em Usuário.

  3. Na caixa de pesquisa, digite o nome do usuário convidado de teste. Nos resultados da pesquisa, escolha o usuário e clique em Selecionar.

    Screenshot showing a guest user selected.

  4. Selecione o link em Aplicativos na nuvem, ações ou conteúdo de autenticação. Escolha Selecionar aplicativos e, em seguida, escolha o link em Selecionar.

    Screenshot showing the Windows Azure Service Management API app selected.

  5. Na página Aplicativos na nuvem, na lista de aplicativos, escolha API de Gerenciamento de Serviços do Windows Azure e escolha Selecionar.

  6. Selecione What If e verifique se a nova política aparece nos Resultados da avaliação na guia Políticas que serão aplicadas.

    Screenshot showing the results of the What If evaluation.

Teste sua política de acesso condicional

  1. Use o nome de usuário e a senha de teste para entrar no Centro de administração do Microsoft Entra.

  2. Você deve ver uma solicitação para mais métodos de autenticação. Poderá demorar algum tempo até que a política entre em vigor.

    Screenshot showing the More information required message.

    Observação

    Você também pode definir as configurações de acesso entre locatários para confiar na MFA do locatário inicial do Microsoft Entra. Isso permite que os usuários externos do Microsoft Entra usem a MFA registrada em seu próprio locatário, em vez de se registrarem no locatário de recurso.

  3. Saia.

Limpar os recursos

Quando não for mais necessário, remova o usuário de teste e a política de acesso condicional de teste.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Usuários.
  2. Navegue até Identidade>Usuários>Todos os usuários.
  3. Selecione o usuário de teste e, em seguida, selecione Excluir usuário.
  4. Navegue até Identidade>Proteção>Central de Segurança.
  5. Em Proteger, selecione Acesso Condicional.
  6. Na lista Nome da Política, selecione o menu de contexto (...) da sua política de teste e, em seguida, selecione Excluir. Clique em Sim para confirmar.

Próximas etapas

Neste tutorial, você criou uma política de acesso condicional que exige que os usuários convidados usem MFA ao entrar em um dos seus aplicativos de nuvem. Para saber mais sobre como adicionar usuários convidados para colaboração, confira Adicionar usuários de colaboração do Microsoft Entra B2B no portal do Azure.