Autenticação e acesso condicional para ID externa
Dica
Este artigo se aplica à colaboração B2B e à conexão direta B2B. Se o locatário estiver configurado para gerenciamento de acesso e identidade do cliente, confira Segurança e governança na ID externa do Microsoft Entra para clientes.
Quando um usuário externo acessa recursos em sua organização, o fluxo de autenticação é determinado pelo método de colaboração (colaboração B2B ou conexão direta B2B), provedor de identidade do usuário (um locatário externo do Microsoft Entra, provedor de identidade social e etc.), políticas de acesso condicional e as configurações de acesso entre locatários configuradas no locatário inicial do usuário e nos recursos de hospedagem do locatário.
Este artigo descreve o fluxo de autenticação para usuários externos que estão acessando recursos na sua organização. As organizações podem impor várias políticas de acesso condicional para seus usuários externos, que podem ser impostas no nível de locatário, de aplicativo ou de usuário individual, da mesma forma que são habilitadas para membros e funcionários em tempo integral da organização.
Fluxo de autenticação para usuários externos do Microsoft Entra
O diagrama a seguir ilustra o fluxo de autenticação quando uma organização do Microsoft Entra compartilha recursos com usuários de outras organizações do Microsoft Entra. Este diagrama mostra como as configurações de acesso entre locatários funcionam com políticas de acesso condicional, como autenticação multifator, para determinar se o usuário pode acessar recursos. Esse fluxo se aplica à colaboração B2B e à conexão direta de B2B, exceto conforme observado na etapa 6.
| Etapa | Descrição |
|---|---|
| 1 | Um usuário da Fabrikam (locatário inicial do usuário) inicia a entrada em um recurso na Contoso (locatário de recursos). |
| 2 | Durante a entrada, o serviço de token de segurança (STS) do Microsoft Entra avalia as políticas de acesso condicional da Contoso. Ele também verifica se o usuário da Fabrikam tem permissão de acesso por meio da avaliação das configurações de acesso entre locatários (configurações de saída da Fabrikam e configurações de entrada da Contoso). |
| 3 | O Microsoft Entra ID verifica as configurações de confiança de entrada da Contoso para ver se a Contoso confia na MFA e em declarações de dispositivo (conformidade do dispositivo, status de ingresso híbrido do Microsoft Entra) da Fabrikam. Em caso negativo, pule para a etapa 6. |
| 4 | Se a Contoso confiar na MFA e nas declarações de dispositivo da Fabrikam, o Microsoft Entra ID verificará a sessão de autenticação do usuário para obter uma indicação de que o usuário concluiu a MFA. Se a Contoso confiar nas informações do dispositivo da Fabrikam, o Microsoft Entra ID procurará uma declaração na sessão de autenticação indicando o estado do dispositivo (compatível ou ingressado no Microsoft Entra híbrido). |
| 5 | Se a MFA for necessária, mas não for concluída, ou se uma declaração de dispositivo não for fornecida, o Microsoft Entra ID emitirá desafios de MFA e dispositivo no locatário da casa do usuário, conforme necessário. Quando os requisitos de MFA e de dispositivo são satisfeitos na Fabrikam, o usuário tem permissão para acessar o recurso na Contoso. Se as verificações não podem ser satisfeitas, o acesso é bloqueado. |
| 6 | Quando nenhuma configuração de confiança é definida e a MFA é necessária, os usuários da colaboração B2B são solicitados a autenticar com a MFA. Eles precisam concluir a MFA no locatário do recurso. O acesso está bloqueado para usuários da conexão direta de B2B. Se a conformidade do dispositivo for necessária, mas não puder ser avaliada, o acesso será bloqueado para a colaboração B2B e para os usuários da conexão direta de B2B. |
Para obter mais informações, confira a seção Acesso condicional para usuários externos.
Fluxo de autenticação para usuários externos, não pertencentes ao Azure AD
Quando uma organização do Microsoft Entra compartilha recursos com usuários externos com um provedor de identidade diferente do Microsoft Entra ID, o fluxo de autenticação depende se o usuário está se autenticando com um provedor de identidade ou com autenticação de senha única por email. Em ambos os casos, o locatário do recurso identifica qual método de autenticação usar e, em seguida, redireciona o usuário ao provedor de identidade ou emite uma senha de uso único.
Exemplo 1: fluxo de autenticação e token para um usuário externo não pertencente ao Azure AD
O diagrama a seguir ilustra o fluxo de autenticação quando um usuário externo entra com uma conta de um provedor de identidade não pertencente ao Azure AD (como Google, Facebook ou um provedor de identidade federado SAML/WS-Fed).
| Etapa | Descrição |
|---|---|
| 1 | O usuário convidado B2B solicita acesso a um recurso. O recurso redireciona o usuário para o locatário do recurso, um IdP confiável. |
| 2 | O locatário do recurso identifica o usuário como externo e redireciona o usuário para o IdP do usuário convidado B2B. O usuário executa a autenticação primária no IdP. |
| 3 | As políticas de autorização são avaliadas no IdP do usuário convidado B2B. Se o usuário satisfaz essas políticas, o IdP do usuário convidado B2B emite um token para o usuário. O usuário é redirecionado de volta para o locatário do recurso com o token. O locatário de recursos valida o token e avalia o usuário em relação às políticas de acesso condicional. Por exemplo, o locatário do recurso pode exigir que o usuário execute a autenticação multifator do Microsoft Entra. |
| 4 | As configurações de acesso entre locatários e as políticas de acesso condicional de entrada são avaliadas. Se todas as políticas são satisfeitas, o locatário de recursos emite um token próprio e redireciona o usuário para os recursos do locatário de recursos. |
Exemplo 2: fluxo de autenticação e token para usuário que adota senha de uso único
O diagrama a seguir ilustra o fluxo quando a autenticação de senha única de email está habilitada e o usuário externo não é autenticado por outros meios, como Microsoft Entra ID, conta Microsoft (MSA) ou provedor de identidade social.
| Etapa | Descrição |
|---|---|
| 1 | O usuário solicita acesso a um recurso em outro locatário. O recurso redireciona o usuário para o locatário do recurso, um IdP confiável. |
| 2 | O locatário do recurso identifica o usuário como um usuário externo para envio de OTP (senha de uso único) por email e envia um email com a OTP para o usuário. |
| 3 | O usuário recupera a OTP e envia o código. O locatário de recursos avalia o usuário em relação às políticas de acesso condicional. |
| 4 | Depois que todas as políticas de acesso condicional são satisfeitas, o locatário de recursos emite um token e redireciona o usuário para os recursos do locatário de recursos. |
Acesso condicional para usuários externos
As organizações podem impor políticas de Acesso Condicional a usuários externos de colaboração B2B e conexão direta de B2B da mesma forma como elas estão habilitadas para membros e funcionários em tempo integral da organização. Com a introdução das configurações de acesso entre locatários, você também pode confiar em declarações de MFA e dispositivo de organizações externas do Microsoft Entra. Esta seção descreve considerações importantes para a aplicação de acesso condicional a usuários fora da sua organização.
Observação
Controles personalizados com Acesso Condicional não são compatíveis com relações de confiança entre locatários.
Atribuindo políticas de Acesso Condicional a tipos de usuário externos
Ao configurar uma política de Acesso Condicional, você tem controle granular sobre os tipos de usuários externos aos quais deseja aplicar a política. A tabela a seguir descreve os usuários da colaboração B2B com base em como eles são autenticados (interna ou externamente) e a relação deles com a sua organização (convidado ou membro).
- Usuários convidados de colaboração B2B – a maioria dos usuários que normalmente são considerados convidados se enquadram nessa categoria. Esse usuário de colaboração B2B tem uma conta em uma organização externa do Microsoft Entra ou em um provedor de identidade externo (como uma identidade social) e tem permissões de nível de convidado em sua organização. O objeto de usuário criado no diretório do Microsoft Entra tem um UserType de Convidado. Essa categoria inclui os usuários da colaboração B2B que foram convidados e que usaram a inscrição de autoatendimento.
- Usuários membros da colaboração B2B – esse usuário de colaboração B2B tem uma conta em uma organização externa do Microsoft Entra ou em um provedor de identidade externo (como uma identidade social) e acesso em nível de membro aos recursos em sua organização. Esse cenário é comum em organizações que consistem em vários locatários, em que os usuários são considerados parte da organização maior e precisam ter o acesso em nível de membro aos recursos dos outros locatários da organização. O objeto de usuário criado no diretório do Azure AD do recurso tem o UserType de Membro.
- Usuários de conexão direta B2B – usuários externos que podem acessar seus recursos por meio da conexão direta B2B, que é uma conexão mútua e bidirecional com outra organização do Microsoft Entra que permite acesso de logon único a determinados aplicativos da Microsoft (atualmente, canais compartilhados do Microsoft Teams Connect). Os usuários de conexão direta B2B não têm presença em sua organização do Microsoft Entra, mas são gerenciados de dentro do aplicativo (por exemplo, pelo proprietário do canal compartilhado do Teams).
- Usuários convidados locais – os usuários convidados locais têm credenciais gerenciadas em seu diretório. Antes da colaboração do Microsoft Entra B2B estar disponível, era comum colaborar com distribuidores, fornecedores, fornecedores e outros, configurando credenciais internas para eles e designando-os como convidados definindo o objeto de usuário UserType como Convidado.
- Usuários do provedor de serviços – As organizações que servem como provedores de serviços de nuvem para sua organização (a propriedade isServiceProvider na configuração específica do parceiro do Microsoft Graph é verdadeira).
- Outros usuários externos – aplica-se a todos os usuários que não se enquadram nas categorias acima, mas que não são considerados membros internos da sua organização, o que significa que eles não se autenticam internamente por meio do Microsoft Entra ID e o objeto de usuário criado no diretório do Microsoft Entra não tem um UserType de Membro.
Observação
A seleção "Todos os usuários convidados e externos" foi substituída por "Usuários convidados e externos" e todos os seus subtipos. Para clientes que anteriormente tinham uma política de Acesso Condicional com "Todos os usuários convidados e externos" selecionado, agora haverá "Usuários convidados e externos" juntamente com todos os subtipos que estão sendo selecionados. Essa alteração na experiência do usuário não tem nenhum impacto funcional sobre como a política é avaliada pelo back-end de Acesso Condicional. A nova seleção fornece aos clientes a granularidade necessária para escolher tipos de especificações de usuários convidados e externos para incluir/excluir do escopo do usuário ao criar sua política de Acesso Condicional.
Saiba mais sobre as atribuições de usuário do Acesso Condicional.
Comparação de políticas de acesso condicional das Identidades Externas
A tabela a seguir fornece uma comparação detalhada das opções de política de segurança e conformidade na ID Externa do Microsoft Entra. A política de segurança e a conformidade são gerenciadas pela organização host/emissora do convite nas políticas de acesso condicional.
| Política | Usuários de colaboração B2B | Usuários de conexão direta de B2B |
|---|---|---|
| Controles de concessão – Bloquear acesso | Com suporte | Com suporte |
| Controles da concessão – Exigir autenticação multifator | Com suporte | Com suporte. Exige a definição das configurações da relação de confiança de entrada para aceitar declarações da MFA da organização externa |
| Controles da concessão – Exigir dispositivo em conformidade | Com suporte. Exige a definição das configurações da relação de confiança de entrada para aceitar declarações do dispositivo em conformidade da organização externa. | Com suporte. Exige a definição das configurações da relação de confiança de entrada para aceitar declarações do dispositivo em conformidade da organização externa. |
| Controles da concessão – Exigir dispositivo híbrido ingressado no Microsoft Entra | Com suporte, requer a configuração de suas configurações de confiança de entrada para aceitar declarações de dispositivo ingressados no Microsoft Entra híbrido da organização externa | Com suporte, requer a configuração de suas configurações de confiança de entrada para aceitar declarações de dispositivo ingressados no Microsoft Entra híbrido da organização externa |
| Controles da concessão – Exigir um aplicativo cliente aprovado | Sem suporte | Sem suporte |
| Controles da concessão – Exigir uma política de proteção de aplicativo | Sem suporte | Sem suporte |
| Controles da concessão – Exigir a alteração de senha | Sem suporte | Sem suporte |
| Controles da concessão – Termos de uso | Com suporte | Sem suporte |
| Controles da sessão – Usar as restrições impostas pelo aplicativo | Com suporte | Sem suporte |
| Controles da sessão – Usar o controle do Aplicativo de Acesso Condicional | Com suporte | Sem suporte |
| Controles da sessão – Frequência de entrada | Com suporte | Sem suporte |
| Controles da sessão – Sessão persistente do navegador | Com suporte | Sem suporte |
MFA para usuários externos do Microsoft Entra
Em um cenário entre locatários do Microsoft Entra, a organização de recursos pode criar políticas de acesso condicional que exigem conformidade de dispositivo ou MFA para todos os usuários convidados e externos. Geralmente, um usuário de colaboração B2B que acessa um recurso é então necessário para configurar sua autenticação multifator do Microsoft Entra com o locatário do recurso. No entanto, o Microsoft Entra ID agora oferece a capacidade de confiar em declarações de MFA de outros locatários do Microsoft Entra. Habilitar a confiança de MFA com outro locatário simplifica o processo de entrada para usuários de colaboração B2B e permite o acesso de usuários de conexão direta de B2B.
Se você tiver definido suas configurações de confiança de entrada para aceitar declarações da MFA de uma colaboração B2B ou do locatário inicial do usuário de conexão direta B2B, o Microsoft Entra ID verificará a sessão de autenticação do usuário. Se a sessão contiver uma declaração indicando que as políticas de MFA já foram cumpridas no locatário inicial do usuário, ele receberá logon contínuo no seu recurso compartilhado.
Se a confiança de MFA não estiver habilitada, a experiência do usuário será diferente para usuários de colaboração B2B e de conexão direta de B2B:
Usuários da colaboração B2B: se a organização do recurso não tiver habilitado a confiança de MFA com o locatário inicial do usuário, ele receberá um desafio de MFA da organização do recurso. (O fluxo é igual ao Fluxo de MFA para usuários externos não pertencentes ao Azure AD.)
Usuários da conexão direta B2B: se a organização do recurso não tiver habilitado a confiança da MFA com o locatário inicial do usuário, ele será impedido de acessar recursos. Se você quiser permitir a conexão direta B2B com uma organização externa e suas políticas de Acesso Condicional exigirem MFA, deverá definir suas configurações de confiança de entrada para que aceitem declarações de MFA dessa organização.
Saiba mais sobre como definir as configurações de confiança de entrada para MFA.
MFA para usuários externos não pertencentes ao Azure AD
Para usuários externos não pertencentes Azure AD, o locatário de recursos é sempre responsável pela MFA. O exemplo a seguir mostra um fluxo de MFA típico. Esse cenário funciona para qualquer identidade, inclusive uma MSA (conta Microsoft ) ou uma ID social. Esse fluxo também se aplica aos usuários externos do Microsoft Entra quando você não define as configurações de confiança com a organização inicial do Microsoft Entra.
Um administrador ou um operador de informações em uma empresa chamada Fabrikam convida um usuário de outra empresa chamada Contoso para usar o aplicativo da Fabrikam.
O aplicativo da Fabrikam está configurado para exigir a autenticação multifator do Microsoft Entra no acesso.
Quando o usuário de colaboração B2B da Contoso tenta acessar o aplicativo da Fabrikam, ele é solicitado a concluir o desafio de autenticação multifator do Microsoft Entra.
Em seguida, o usuário convidado pode configurar a autenticação multifator do Microsoft Entra com a Fabrikam e selecionar as opções.
A Fabrikam deve ter licenças Premium do Microsoft Entra ID suficientes que deem suporte à autenticação multifator do Microsoft Entra. Assim, o usuário da Contoso consome essa licença da Fabrikam. Confira o modelo de cobrança para a ID Externa do Microsoft Entra para obter informações sobre o licenciamento B2B.
Observação
A MFA é realizada no locatário de recursos para garantir a previsibilidade. Quando o usuário convidado entrar, ele verá a página de entrada do locatário de recursos em segundo plano, e sua própria página de entrada de locatário inicial e o logotipo da empresa em primeiro plano.
Redefinição da autenticação multifator do Microsoft Entra (comprovação) para usuários de colaboração B2B
Os cmdlets do PowerShell a seguir estão disponíveis para fazer a comprovação ou solicitar o registro de MFA dos usuários de colaboração B2B.
Observação
Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: As versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.
Conecte-se ao Microsoft Entra ID:
$cred = Get-Credential Connect-MsolService -Credential $credObter todos os usuários com métodos de comprovação:
Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}Por exemplo:
Get-MsolUser | where { $_.StrongAuthenticationMethods} | select UserPrincipalName, @{n="Methods";e={($_.StrongAuthenticationMethods).MethodType}}Redefina o método de autenticação multifator do Microsoft Entra para um usuário específico para exigir que o usuário defina métodos de comprovação novamente, por exemplo:
Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName gsamoogle_gmail.com#EXT#@ WoodGroveAzureAD.onmicrosoft.com
Políticas de força de autenticação para usuários externos
A força de autenticação é um controle de acesso condicional que permite definir uma combinação específica de métodos de autenticação multifator que um usuário externo deve concluir acessando seus recursos. Esse controle é especialmente útil para restringir o acesso externo a aplicativos confidenciais em sua organização porque você pode impor métodos de autenticação específicos, como um método resistente a phishing, para usuários externos.
Você também tem a capacidade de aplicar força de autenticação aos diferentes tipos de usuários convidados ou externos com os quais você colabora ou se conecta. Isso significa que você pode impor requisitos de força de autenticação exclusivos para sua colaboração B2B, conexão direta B2B e outros cenários de acesso externo.
A ID do Microsoft Entra fornece três forças de autenticação internas:
- Força de autenticação multifator
- Força da MFA sem senha
- Força da MFA resistente a phishing
Você pode usar um desses pontos fortes internos ou criar uma política de nível de autenticação personalizada com base nos métodos de autenticação que deseja exigir.
Observação
Atualmente, você só pode aplicar políticas de força da autenticação aos usuários externos que se autenticam com a ID do Microsoft Entra. Para senha única de email, SAML/WS-Fed e usuários de federação do Google, use o controle de concessão de MFA para exigir a MFA.
Quando você aplica uma política de força de autenticação a usuários externos do Microsoft Entra, a política funciona em conjunto com as configurações de confiança da MFA nas configurações de acesso entre locatários para determinar onde e como o usuário externo deve executar a MFA. Um usuário do Microsoft Entra se autentica pela primeira vez usando sua própria conta em seu locatário do Microsoft Entra. Em seguida, quando esse usuário tenta acessar seu recurso, o Microsoft Entra ID aplica a política de acesso condicional com força da autenticação e verifica se você habilitou a relação de confiança da MFA.
Em cenários de usuário externos, os métodos de autenticação aceitáveis para cumprir a força de autenticação variam, dependendo se o usuário está concluindo a MFA em seu locatário doméstico ou no locatário do recurso. A tabela a seguir indica os métodos aceitáveis em cada locatário. Se um locatário de recurso tiver optado por confiar em declarações de organizações externas do Microsoft Entra, somente as declarações listadas na coluna "Locatário inicial" abaixo serão aceitas pelo locatário do recurso para o cumprimento da MFA. Se o locatário do recurso tiver desabilitado a confiança da MFA, o usuário externo deverá concluir a MFA no locatário do recurso usando um dos métodos listados na coluna "Locatário do recurso".
Tabela 1. Métodos MFA de força de autenticação para usuários externos
| Método de autenticação | Locatário da página inicial | Locatário do recurso |
|---|---|---|
| SMS como um fator secundário | ✅ | ✅ |
| Chamada de voz | ✅ | ✅ |
| Notificação por push Microsoft Authenticator | ✅ | ✅ |
| Credenciais no telefone do Microsoft Authenticator | ✅ | |
| Token de software OATH | ✅ | ✅ |
| Token OATH de hardware | ✅ | |
| Chave de segurança FIDO2 | ✅ | |
| Windows Hello for Business | ✅ |
Para configurar uma política de Acesso Condicional que aplica requisitos de força de autenticação a usuários ou convidados externos, consulte Acesso Condicional: Exigir uma força de autenticação para usuários externos.
Experiência do usuário para usuários externos do Microsoft Entra
As políticas de força da autenticação funcionam em conjunto com asconfigurações de confiança da MFA nas configurações de acesso entre locatários para determinar onde e como o usuário externo deve executar a MFA.
Primeiro, um usuário do Microsoft Entra se autentica com a respectiva conta no locatário inicial. Em seguida, quando esse usuário tenta acessar seu recurso, o Microsoft Entra ID aplica a política de acesso condicional com força da autenticação e verifica se você habilitou a relação de confiança da MFA.
- Se a relação de confiança da MFA estiver habilitada, o Microsoft Entra ID verificará a sessão de autenticação do usuário para obter uma declaração indicando que a MFA foi atendida no locatário inicial do usuário. (Consulte a Tabela 1 para métodos de autenticação aceitáveis pela MFA quando concluídos no locatário inicial de um usuário externo.) Se a sessão contiver uma declaração indicando que as políticas de MFA já foram atendidas no locatário inicial do usuário e os métodos atenderem aos requisitos de força de autenticação, o usuário terá acesso permitido. Caso contrário, o Microsoft Entra ID apresentará ao usuário um desafio para concluir a MFA no locatário inicial usando um método de autenticação aceitável. O método MFA deve ser habilitado no locatário inicial e o usuário deve ser capaz de se registrar nele.
- Se a relação de confiança da MFA estiver desabilitada, o Microsoft Entra ID apresentará ao usuário um desafio para concluir a MFA no locatário do recurso usando um método de autenticação aceitável. (Consulte a Tabela 1 para métodos de autenticação aceitáveis para cumprimento de MFA por um usuário externo.)
Se o usuário não conseguir concluir a MFA ou se uma política de acesso condicional (como uma política de dispositivo compatível) impedir que ele se registre, o acesso será bloqueado.
Conformidade do dispositivo e políticas de dispositivo ingressados no Microsoft Entra híbrido
As organizações podem usar políticas de Acesso Condicional para exigir que os dispositivos dos usuários sejam gerenciados pelo Microsoft Intune. Essas políticas podem bloquear o acesso de usuários externos, pois um usuário externo não pode registrar seu dispositivo não gerenciado na organização do recurso. Os dispositivos só podem ser gerenciados pelo locatário inicial de um usuário.
No entanto, você pode usar configurações de confiança de dispositivo para desbloquear usuários externos, embora continue exigindo dispositivos gerenciados. Nas configurações de acesso entre locatários, você pode optar por confiar em declarações do locatário inicial de um usuário externo sobre se o dispositivo do usuário atende às políticas de conformidade do dispositivo ou é ingressado no Microsoft Entra híbrido. Você pode definir as configurações de confiança do dispositivo para todas as organizações do Microsoft Entra ou organizações individuais.
Quando as configurações de confiança de dispositivo estão habilitadas, o Microsoft Entra ID verifica a sessão de autenticação do usuário para obter uma declaração de dispositivo. Se a sessão contiver uma declaração de dispositivo indicando que as políticas de MFA já foram cumpridas no locatário inicial do usuário, ele receberá logon contínuo no seu recurso compartilhado.
Importante
- A menos que você esteja disposto a confiar em declarações relacionadas à conformidade do dispositivo ou ao status de ingresso no Microsoft Entra híbrido do locatário doméstico de um usuário externo, não recomendamos a aplicação de políticas de acesso condicional que exijam que usuários externos usem dispositivos gerenciados.
Filtros de dispositivo
Ao criar políticas de acesso condicional para usuários externos, você pode avaliar uma política com base nos atributos de dispositivo de um dispositivo registrado no Microsoft Entra ID. Usando a condição de filtro para dispositivos, você pode direcionar dispositivos específicos por meio dos operadores e propriedades com suporte e outras condições de atribuição disponíveis em suas políticas de Acesso Condicional.
Os filtros de dispositivo podem ser usados em conjunto com as configurações de acesso entre locatários para basear políticas em dispositivos gerenciados em outras organizações. Por exemplo, suponha que você queira bloquear dispositivos de um locatário externo do Microsoft Entra com base em um atributo de dispositivo específico. Você pode executar as seguintes etapas para configurar uma política baseada em atributo do dispositivo:
- Defina as configurações de acesso entre locatários para confiar em declarações de dispositivo dessa organização.
- Designe o atributo de dispositivo que você deseja usar para filtragem para um dos atributos de extensão de dispositivo com suporte.
- Crie uma política de Acesso Condicional com um filtro de dispositivo que bloqueie o acesso a dispositivos que contenham esse atributo.
Saiba mais sobre a filtragem de dispositivos com Acesso Condicional.
Políticas de gerenciamento de aplicativos móveis
Não recomendamos exigir uma política de proteção de aplicativo para usuários externos. Os controles de concessão de Acesso Condicional, como Exigir aplicativos cliente aprovados e Exigir políticas de proteção de aplicativo, precisam que o dispositivo seja registrado no locatário do recurso. Esses controles só podem ser aplicados a dispositivos iOS e Android. Como um dispositivo de usuário só pode ser gerenciado pelo locatário doméstico, esses controles não podem ser aplicados a usuários convidados externos.
Acesso condicional com base na localização
A política baseada na localização com base em intervalos de IP poderá ser imposta se a organização que está convidando puder criar um intervalo confiável de endereços IP que defina suas organizações parceiras.
As políticas também podem ser impostas com base na localização geográfica.
Acesso Condicional com base em risco
A Política de risco de entrada será imposta se o usuário convidado externo satisfizer o controle de concessão. Por exemplo, uma organização pode exigir a autenticação multifator do Microsoft Entra para risco de entrada média ou alta. No entanto, se um usuário não tiver se registrado anteriormente para autenticação multifator do Microsoft Entra no locatário do recurso, o usuário será bloqueado. Isso é feito para impedir que usuários mal-intencionados registrem suas próprias credenciais de autenticação multifator do Microsoft Entra caso comprometam a senha de um usuário legítimo.
No entanto, a Política de risco do usuário não pode ser resolvida no locatário de recursos. Por exemplo, se você precisar de uma alteração de senha para usuários convidados de alto risco, eles serão bloqueados devido à incapacidade de redefinir senhas no diretório do recurso.
Condição para aplicativos cliente de acesso condicional
As condições para aplicativos cliente se comportam da mesma forma para usuários convidados B2B e para qualquer outro tipo de usuário. Por exemplo, você pode impedir que usuários convidados usem protocolos de autenticação herdados.
Controles de sessão para acesso condicional
Os controles de sessão se comportam da mesma forma para usuários convidados B2B e para qualquer outro tipo de usuário.
Proteção de identidade e políticas de risco do usuário
O Identity Protection detecta credenciais comprometidas de usuários do Microsoft Entra e marca contas de usuário que podem estar comprometidas como "em risco". Como locatário de recurso, você pode aplicar políticas de risco de usuário a usuários externos para bloquear entradas arriscadas. Para um usuário externo, o risco do usuário é avaliado em seu diretório inicial. O risco de entrada em tempo real para esses usuários é avaliado no diretório de recursos quando eles tentam acessar o recurso. No entanto, como a identidade de um usuário externo existe no seu diretório inicial, os seguintes fatores são limitações:
- Se um usuário externo acionar a política de risco do usuário da Proteção de Identidade para forçar a redefinição de senha, será bloqueado porque não poderá redefinir sua senha na organização do recurso.
- O relatório de usuários suspeitos da organização do recurso não refletirá os usuários externos, pois a avaliação de risco ocorre no diretório inicial do usuário externo.
- Os administradores da organização do recurso não podem descartar ou atenuar um usuário externo suspeito, pois não têm acesso ao diretório inicial do usuário B2B.
Você pode impedir que usuários externos sejam afetados por políticas baseadas em risco criando um grupo no Microsoft Entra ID que contenha todos os usuários externos da sua organização. Em seguida, adicione esse grupo como uma exclusão para as políticas internas de risco do usuário e de entrada do Identity Protection, bem como as políticas de Acesso Condicional que usam o risco de entrada como uma condição.
Para obter mais informações, consulte Proteção de identidade e usuários B2B.
Próximas etapas
Para obter mais informações, consulte os seguintes artigos: