Adicionar acesso condicional aos fluxos de usuário no Azure Ative Directory B2C

Antes de começar, use o seletor Escolha um tipo de política para escolher o tipo de política que você está configurando. O Azure Ative Directory B2C oferece dois métodos para definir como os usuários interagem com seus aplicativos: por meio de fluxos de usuário predefinidos ou por meio de políticas personalizadas totalmente configuráveis. As etapas exigidas neste artigo são diferentes para cada método.

O Acesso Condicional pode ser adicionado aos seus fluxos de usuário do Azure Ative Directory B2C (Azure AD B2C) ou políticas personalizadas para gerenciar entradas arriscadas em seus aplicativos. O Acesso Condicional do Microsoft Entra é a ferramenta usada pelo Azure AD B2C para reunir sinais, tomar decisões e aplicar políticas organizacionais. Automatizar a avaliação de riscos com condições de política significa que as entradas arriscadas são identificadas imediatamente e, em seguida, corrigidas ou bloqueadas.

Descrição geral do serviço

O Azure AD B2C avalia cada evento de entrada e garante que todos os requisitos de política sejam atendidos antes de conceder acesso ao usuário. Durante esta fase de Avaliação, o serviço de Acesso Condicional avalia os sinais recolhidos pelas deteções de risco da Proteção de Identidade durante eventos de início de sessão. O resultado desse processo de avaliação é um conjunto de declarações que indica se o login deve ser concedido ou bloqueado. A política do Azure AD B2C usa essas declarações para agir dentro do fluxo de usuário. Um exemplo é bloquear o acesso ou desafiar o usuário com uma correção específica, como a autenticação multifator (MFA). "Bloquear acesso" substitui todas as outras configurações.

O exemplo a seguir mostra um perfil técnico de Acesso Condicional usado para avaliar a ameaça de entrada.

<TechnicalProfile Id="ConditionalAccessEvaluation">
  <DisplayName>Conditional Access Provider</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
  <Metadata>
    <Item Key="OperationType">Evaluation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Para garantir que os sinais de Proteção de Identidade sejam avaliados corretamente, convém chamar o ConditionalAccessEvaluation perfil técnico para todos os usuários, incluindo contas locais e sociais. Caso contrário, a Proteção de Identidade indicará um grau incorreto de risco associado aos usuários.

Na fase de remediação que se segue, o usuário é desafiado com MFA. Depois de concluído, o Azure AD B2C informa a Proteção de Identidade de que a ameaça de entrada identificada foi corrigida e por qual método. Neste exemplo, o Azure AD B2C sinaliza que o usuário concluiu com êxito o desafio de autenticação multifator. A remediação também pode acontecer através de outros canais. Por exemplo, quando a senha da conta é redefinida, seja pelo administrador ou pelo usuário. Você pode verificar o estado de risco do usuário no relatório de usuários arriscados.

Importante

Para remediar o risco com sucesso dentro da jornada, certifique-se de que o perfil técnico de Remediação seja chamado após a execução do perfil técnico de Avaliação . Se a Avaliação for invocada sem Remediação, o estado de risco estará em risco. Quando a recomendação do perfil técnico de Avaliação retornaBlock, a chamada para o perfil técnico de Avaliação não é necessária. O estado de risco está definido como Em risco. O exemplo a seguir mostra um perfil técnico de Acesso Condicional usado para remediar a ameaça identificada:

<TechnicalProfile Id="ConditionalAccessRemediation">
  <DisplayName>Conditional Access Remediation</DisplayName>
  <Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.ConditionalAccessProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null"/>
  <Metadata>
    <Item Key="OperationType">Remediation</Item>
  </Metadata>
  ...
</TechnicalProfile>

Componentes da solução

Estes são os componentes que habilitam o Acesso Condicional no Azure AD B2C:

• Fluxo de usuário ou política personalizada que orienta o usuário pelo processo de entrada e inscrição.
• Política de Acesso Condicional que reúne sinais para tomar decisões e aplicar políticas organizacionais. Quando um usuário entra em seu aplicativo por meio de uma política do Azure AD B2C, a política de Acesso Condicional usa sinais de Proteção de ID do Microsoft Entra para identificar entradas arriscadas e apresenta a ação de correção apropriada.
• Aplicativo registrado que direciona os usuários para o fluxo de usuário ou política personalizada apropriada do Azure AD B2C.
• Navegador TOR para simular um início de sessão arriscado.

Limitações e considerações do serviço

Ao usar o Acesso Condicional do Microsoft Entra, considere o seguinte:

• A Proteção de Identidade está disponível para identidades locais e sociais, como Google ou Facebook. Para identidades sociais, você precisa ativar manualmente o Acesso Condicional. A deteção é limitada porque as credenciais da conta social são gerenciadas pelo provedor de identidade externo.
• Nos locatários do Azure AD B2C, apenas um subconjunto de políticas de Acesso Condicional do Microsoft Entra está disponível.

Pré-requisitos

• Conclua as etapas em Introdução às políticas personalizadas no Ative Directory B2C.
• Se ainda não o fez, registe uma aplicação Web.

Escalão de preço

O Azure AD B2C Premium P2 é necessário para criar políticas de entrada arriscadas. Os locatários Premium P1 podem criar uma política baseada em políticas de localização, aplicativo, baseadas no usuário ou em grupo. Para obter mais informações, consulte Alterar a camada de preços do Azure AD B2C

Preparar seu locatário do Azure AD B2C

Para adicionar uma política de Acesso Condicional, desative os padrões de segurança:

1. Inicie sessão no portal do Azure.

2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas .

3. Em Serviços do Azure, selecione Microsoft Entra ID. Ou use a caixa de pesquisa para localizar e selecionar Microsoft Entra ID.

4. Selecione Propriedades e, em seguida, selecione Gerir predefinições de segurança.

   

5. Em Ativar padrões de segurança, selecione Não.

   

Adicionar uma política de Acesso Condicional

Uma política de Acesso Condicional é uma instrução if-then de atribuições e controles de acesso. Uma política de Acesso Condicional reúne sinais para tomar decisões e aplicar políticas organizacionais.

Gorjeta

Nesta etapa, você configura a política de acesso condicional. Recomendamos que você use um dos seguintes modelos: Modelo 1: Acesso condicional baseado em risco de entrada, Modelo 2: Acesso condicional baseado em risco do usuário ou Modelo 3: Bloquear locais com acesso condicional. Você pode configurar a política de acesso condicional por meio do portal do Azure ou da API do MS Graph.

O operador lógico entre as atribuições é E. O operador em cada atribuição é Or.

Para adicionar uma política de Acesso Condicional:

1. No portal do Azure, procure e selecione Azure AD B2C.

2. Em Segurança, selecione Acesso Condicional. A página Políticas de Acesso Condicional é aberta.

3. Selecione + Nova política.

4. Insira um nome para a política, como Bloquear entrada arriscada.

5. Em Atribuições, escolha Usuários e grupos e selecione uma das seguintes configurações suportadas:

   Incluir	Licença	Notas
   Todos os utilizadores	P1, P2	Esta política afetará todos os seus usuários. Para ter certeza de que não se bloqueia, exclua sua conta administrativa escolhendo Excluir, selecionando Funções de diretório e, em seguida, selecionando Administrador Global na lista. Também pode selecionar Utilizadores e Grupos e, em seguida, selecionar a sua conta na lista Selecionar utilizadores excluídos.

6. Selecione Aplicações ou ações na nuvem e, em seguida , selecione aplicações. Procure seu aplicativo de terceira parte confiável.

7. Selecione Condições e, em seguida, selecione uma das seguintes condições. Por exemplo, selecione Risco de entrada e Níveis de risco Alto, Médio e Baixo.

   Condição	Licença	Notas
   Risco do utilizador	P2	O risco do utilizador representa a probabilidade de uma determinada identidade ou conta ser comprometida.
   Risco de início de sessão	P2	O risco de início de sessão representa a probabilidade de um determinado pedido de autenticação não ser autorizado pelo proprietário da identidade.
   Plataformas de dispositivos	Não suportado	Caracterizado pelo sistema operacional que é executado em um dispositivo. Para obter mais informações, consulte Plataformas de dispositivos.
   Localizações	P1, P2	Os locais nomeados podem incluir as informações de rede IPv4 pública, país ou região, ou áreas desconhecidas que não são mapeadas para países ou regiões específicos. Para obter mais informações, consulte Locais.

8. Em Controles de acesso, selecione Conceder. Em seguida, selecione se deseja bloquear ou conceder acesso:

   Opção	Licença	Notas
   Bloquear acesso	P1, P2	Impede o acesso com base nas condições especificadas nesta política de acesso condicional.
   Conceder acesso com Exigir autenticação multifator	P1, P2	Com base nas condições especificadas nesta política de acesso condicional, o usuário precisa passar pela autenticação multifator do Azure AD B2C.

9. Em Ativar política, selecione uma das seguintes opções:

   Opção	Licença	Notas
   Apenas relatórios	P1, P2	Somente relatório permite que os administradores avaliem o impacto das políticas de Acesso Condicional antes de habilitá-las em seu ambiente. Recomendamos que você verifique a política com esse estado e determine o impacto para os usuários finais sem exigir autenticação multifator ou bloquear usuários. Para obter mais informações, consulte Revisar os resultados do Acesso Condicional no relatório de auditoria
   Em	P1, P2	A política de acesso é avaliada e não imposta.
   Desligado	P1, P2	A política de acesso não está ativada e não tem efeito sobre os usuários.

10. Habilite sua política de Acesso Condicional de teste selecionando Criar.

Modelo 1: Acesso condicional baseado no risco de entrada

A maioria dos utilizadores tem um comportamento normal que pode ser controlado. Quando fugirem a esta norma, pode ser arriscado permitir-lhes iniciar sessão. Você pode querer bloquear esse usuário ou talvez apenas pedir-lhes para executar a autenticação multifator para provar que eles são realmente quem eles dizem ser. Um risco de início de sessão representa a probabilidade de um determinado pedido de autenticação não ser autorizado pelo proprietário da identidade. Os locatários do Azure AD B2C com licenças P2 podem criar políticas de Acesso Condicional incorporando deteções de risco de entrada do Microsoft Entra ID Protection.

Observe as limitações das deteções de Proteção de Identidade para B2C. Se o risco for detetado, os usuários poderão executar a autenticação multifator para auto-corrigir e fechar o evento de entrada arriscado para evitar ruídos desnecessários para os administradores.

Configure o Acesso Condicional através do portal do Azure ou das APIs do Microsoft Graph para ativar uma política de Acesso Condicional baseada no risco de início de sessão que exija MFA quando o risco de início de sessão for médio ou elevado.

1. Em Incluir, selecione Todos os usuários.
2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
3. Selecionar Concluído.
4. Em Aplicações ou ações>na nuvem Incluir, selecione Todas as aplicações na nuvem.
5. Em Condições>Risco de início de sessão, defina Configurar como Sim. Em Selecione o nível de risco de início de sessão a que esta política se aplicará
   1. Selecione Alto e Médio.
   2. Selecionar Concluído.
6. Em Conceder controles>de acesso, selecione Conceder acesso, Exigir autenticação multifator e selecione Selecionar.
7. Confirme suas configurações e defina Ativar política como Ativado.
8. Selecione Criar para criar para habilitar sua política.

Habilitar o modelo 1 com APIs de Acesso Condicional (opcional)

Crie uma política de Acesso Condicional baseada em risco de entrada com APIs do MS Graph. Para obter mais informações, consulte APIs de acesso condicional. O modelo a seguir pode ser usado para criar uma política de Acesso Condicional com o nome de exibição "Modelo 1: Exigir MFA para risco de entrada médio+ " no modo somente relatório.

{
    "displayName": "Template 1: Require MFA for medium+ sign-in risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "signInRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "mfa"
        ]
    }
}

Modelo 2: Acesso condicional baseado no risco do utilizador

A Proteção de Identidade pode calcular o que acredita ser normal para o comportamento de um usuário e usá-lo para basear as decisões em seu risco. O risco do usuário é um cálculo de probabilidade de que uma identidade tenha sido comprometida. Os locatários B2C com licenças P2 podem criar políticas de Acesso Condicional incorporando o risco do usuário. Quando um usuário é detetado como em risco, você pode exigir que ele altere sua senha com segurança para corrigir o risco e obter acesso à sua conta. É altamente recomendável configurar uma política de risco do usuário para exigir uma alteração de senha segura para que os usuários possam se auto-corrigir.

Saiba mais sobre o risco do usuário na Proteção de Identidade, levando em consideração as limitações nas deteções de Proteção de Identidade para B2C.

Configure o Acesso Condicional por meio do portal do Azure ou das APIs do Microsoft Graph para habilitar uma política de Acesso Condicional baseada em risco do usuário que exija autenticação multifator (MFA) e alteração de senha quando o risco do usuário for médio OU alto.

Para configurar o acesso condicional baseado no usuário:

1. Inicie sessão no portal do Azure.
2. Navegue até Acesso Condicional de Segurança>do Azure AD B2C>.
3. Selecione Nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários e grupos.
   1. Em Incluir, selecione Todos os usuários.
   2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
   3. Selecionar Concluído.
6. Em Aplicações ou ações>na nuvem Incluir, selecione Todas as aplicações na nuvem.
7. Em Condições>Risco do usuário, defina Configurar como Sim. Em Configurar os níveis de risco do usuário necessários para que a política seja imposta
   1. Selecione Alto e Médio.
   2. Selecionar Concluído.
8. Em Conceder controles>de acesso, selecione Conceder acesso, Exigir alteração de senha e selecione Selecionar. Exigir autenticação multifator também será exigido por padrão.
9. Confirme suas configurações e defina Ativar política como Ativado.
10. Selecione Criar para criar para habilitar sua política.

Habilitar o modelo 2 com APIs de Acesso Condicional (opcional)

Para criar uma política de Acesso Condicional baseada em risco de usuário com APIs de Acesso Condicional, consulte a documentação de APIs de Acesso Condicional.

O modelo a seguir pode ser usado para criar uma política de Acesso Condicional com o nome de exibição "Modelo 2: Exigir alteração segura de senha para risco de usuário médio+ " no modo somente relatório.

{
    "displayName": "Template 2: Require secure password change for medium+ user risk",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "userRiskLevels": [ "high" ,
            "medium"
        ],
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        }
    },
    "grantControls": {
        "operator": "AND",
        "builtInControls": [
            "mfa",
            "passwordChange"
        ]
    }
}

Modelo 3: Bloquear locais com acesso condicional

Com a condição de localização no Acesso Condicional, pode controlar o acesso às aplicações na cloud com base na localização da rede de um utilizador. Configure o Acesso Condicional por meio do portal do Azure ou das APIs do Microsoft Graph para habilitar uma política de Acesso Condicional bloqueando o acesso a locais específicos. Para obter mais informações, consulte Usando a condição de local em uma política de Acesso Condicional

Definir localizações

1. Inicie sessão no portal do Azure.
2. Navegue até Locais Nomeados do Acesso>Condicional de Segurança>do Azure AD B2C>.
3. Selecione a localização dos países ou a localização dos intervalos de IP
4. Dê um nome à sua localização.
5. Forneça os intervalos de IP ou selecione os Países/Regiões para o local que você está especificando. Se escolher Países/Regiões, pode opcionalmente optar por incluir áreas desconhecidas.
6. Escolha Guardar.

Para ativar com a política de acesso de condição:

1. Inicie sessão no portal do Azure.
2. Navegue até Acesso Condicional de Segurança>do Azure AD B2C>.
3. Selecione Nova política.
4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
5. Em Atribuições, selecione Usuários e grupos.
   1. Em Incluir, selecione Todos os usuários.
   2. Em Excluir, selecione Usuários e grupos e escolha as contas de acesso de emergência ou de quebra-vidro da sua organização.
   3. Selecionar Concluído.
6. Em Aplicações ou ações>na nuvem Incluir, selecione Todas as aplicações na nuvem.
7. Sob Condições>Localização
   1. Defina Configurar como Sim.
   2. Em Incluir, selecione Locais selecionados
   3. Selecione o local nomeado que você criou.
   4. Clique em Selecionar
8. Em Controles de> acesso, selecione Bloquear acesso e selecione Selecionar.
9. Confirme suas configurações e defina Ativar política como Ativado.
10. Selecione Criar para criar para habilitar sua política.

Habilitar o modelo 3 com APIs de Acesso Condicional (opcional)

Para criar uma política de Acesso Condicional baseada em local com APIs de Acesso Condicional, consulte a documentação de APIs de Acesso Condicional. Para configurar Locais Nomeados, consulte as documentações de Locais Nomeados.

O modelo a seguir pode ser usado para criar uma política de Acesso Condicional com o nome de exibição "Modelo 3: Bloquear locais não permitidos" no modo somente relatório.

{
    "displayName": "Template 3: Block unallowed locations",
    "state": "enabledForReportingButNotEnforced",
    "conditions": {
        "applications": {
            "includeApplications": [
                "All"
            ]
        },
        "users": {
            "includeUsers": [
                "All"
            ],
            "excludeUsers": [
                "f753047e-de31-4c74-a6fb-c38589047723"
            ]
        },
        "locations": {
            "includeLocations": [
                "b5c47916-b835-4c77-bd91-807ec08bf2a3"
          ]
        }
    },
    "grantControls": {
        "operator": "OR",
        "builtInControls": [
            "block"
        ]
    }
}

Adicionar acesso condicional a um fluxo de usuário

Depois de adicionar a política de Acesso Condicional do Microsoft Entra, habilite o Acesso Condicional em seu fluxo de usuário ou política personalizada. Ao habilitar o Acesso Condicional, você não precisa especificar um nome de política. Várias políticas de Acesso Condicional podem ser aplicadas a um usuário individual a qualquer momento. Neste caso, a política de controle de acesso mais rigorosa tem precedência. Por exemplo, se uma política exigir MFA enquanto a outra bloquear o acesso, o usuário será bloqueado.

Ativar autenticação multifator (opcional)

Ao adicionar o Acesso Condicional a um fluxo de usuário, considere o uso da autenticação multifator (MFA). Os usuários podem usar um código único via SMS ou voz, uma senha única via e-mail ou um código de senha única baseada no tempo (TOTP) por meio de um aplicativo autenticador para autenticação multifator. As configurações de MFA são definidas separadamente das configurações de Acesso Condicional. Você pode escolher entre estas opções de MFA:

• Desativado - A MFA nunca é imposta durante o início de sessão e os utilizadores não são solicitados a inscrever-se na MFA durante a inscrição ou início de sessão.
• Sempre ativado - MFA é sempre necessária, independentemente da sua configuração de Acesso Condicional. Durante a inscrição, os usuários são solicitados a se inscrever no MFA. Durante o início de sessão, se os utilizadores ainda não estiverem inscritos no MFA, ser-lhes-á pedido que se inscrevam.
• Condicional - Durante a inscrição e o início de sessão, os utilizadores são solicitados a inscrever-se no MFA (tanto os novos utilizadores como os utilizadores existentes que não estão inscritos no MFA). Durante o início de sessão, a MFA é imposta apenas quando uma avaliação ativa da política de Acesso Condicional o exige:
  • Se o resultado for uma contestação da AMF sem risco, a AMF é executada. Se o usuário ainda não estiver inscrito no MFA, ele será solicitado a se inscrever.
  • Se o resultado for um desafio de MFA devido ao risco e o usuário não estiver inscrito no MFA, o login será bloqueado.

  Nota

  Com a disponibilidade geral do Acesso Condicional no Azure AD B2C, os usuários agora são solicitados a se inscrever em um método MFA durante a inscrição. Todos os fluxos de usuário de inscrição criados antes da disponibilidade geral não refletirão automaticamente esse novo comportamento, mas você pode incluir o comportamento criando novos fluxos de usuário.

Para habilitar o Acesso Condicional para um fluxo de usuário, verifique se a versão oferece suporte ao Acesso Condicional. Essas versões de fluxo de usuário são rotuladas como Recomendadas.

1. Inicie sessão no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas .
3. Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.
4. Em Políticas, selecione Fluxos de usuário. Em seguida, selecione o fluxo do usuário.
5. Selecione Propriedades e verifique se o fluxo de usuário oferece suporte ao Acesso Condicional procurando a configuração rotulada Acesso Condicional.
6. Na seção Autenticação multifator, selecione o Tipo de método desejado e, em imposição de MFA, selecione Condicional.
7. Na seção Acesso condicional, marque a caixa de seleção Impor políticas de acesso condicional.
8. Selecione Guardar.

Adicionar acesso condicional à sua política

1. Obtenha o exemplo de uma política de acesso condicional no GitHub.
2. Em cada arquivo, substitua a cadeia de caracteres yourtenant pelo nome do locatário do Azure AD B2C. Por exemplo, se o nome do seu locatário B2C for contosob2c, todas as instâncias de yourtenant.onmicrosoft.com tornar-se-ão contosob2c.onmicrosoft.com.
3. Carregue os ficheiros de política.

Configurar declaração diferente do número de telefone a ser usado para MFA

Na política de Acesso Condicional acima, o método de transformação de DoesClaimExist declaração verifica se uma declaração contém um valor, por exemplo, se a strongAuthenticationPhoneNumber declaração contém um número de telefone. A transformação das reivindicações não se limita à strongAuthenticationPhoneNumber reivindicação. Dependendo do cenário, você pode usar qualquer outra declaração. No trecho XML a seguir, a declaração é verificada strongAuthenticationEmailAddress . A reivindicação escolhida deve ter um valor válido, caso contrário, a IsMfaRegistered reivindicação será definida como False. Quando definida como False, a avaliação da política de Acesso Condicional retorna um Block tipo de concessão, impedindo que o usuário conclua o fluxo de usuários.

 <ClaimsTransformation Id="IsMfaRegisteredCT" TransformationMethod="DoesClaimExist">
  <InputClaims>
    <InputClaim ClaimTypeReferenceId="strongAuthenticationEmailAddress" TransformationClaimType="inputClaim" />
  </InputClaims>
  <OutputClaims>
    <OutputClaim ClaimTypeReferenceId="IsMfaRegistered" TransformationClaimType="outputClaim" />
  </OutputClaims>
 </ClaimsTransformation>

Testar sua política personalizada

1. Selecione a política ou B2C_1A_signup_signin_with_ca_whatif para abrir a B2C_1A_signup_signin_with_ca página de visão geral. Em seguida, selecione Executar fluxo de usuário. Em Aplicativo, selecione webapp1. O URL de resposta deve mostrar https://jwt.ms.
2. Copie a URL em Executar ponto de extremidade de fluxo do usuário.
3. Para simular um início de sessão arriscado, abra o Navegador Tor e utilize o URL que copiou no passo anterior para iniciar sessão na aplicação registada.
4. Introduza as informações solicitadas na página de início de sessão e, em seguida, tente iniciar sessão. O token é devolvido e https://jwt.ms deve ser exibido para você. No jwt.ms token decodificado, você verá que o login foi bloqueado.

Teste seu fluxo de usuários

1. Selecione o fluxo de usuário que você criou para abrir sua página de visão geral e, em seguida, selecione Executar fluxo de usuário. Em Aplicativo, selecione webapp1. O URL de resposta deve mostrar https://jwt.ms.
2. Copie a URL em Executar ponto de extremidade de fluxo do usuário.
3. Para simular um início de sessão arriscado, abra o Navegador Tor e utilize o URL que copiou no passo anterior para iniciar sessão na aplicação registada.
4. Introduza as informações solicitadas na página de início de sessão e, em seguida, tente iniciar sessão. O token é devolvido e https://jwt.ms deve ser exibido para você. No jwt.ms token decodificado, você verá que o login foi bloqueado.

Rever os resultados do Acesso Condicional no relatório de auditoria

Para rever o resultado de um evento de Acesso Condicional:

1. Inicie sessão no portal do Azure.
2. Se você tiver acesso a vários locatários, selecione o ícone Configurações no menu superior para alternar para seu locatário do Azure AD B2C no menu Diretórios + assinaturas .
3. Em Serviços do Azure, selecione Azure AD B2C. Ou use a caixa de pesquisa para localizar e selecionar Azure AD B2C.
4. Em Atividades, selecione Logs de auditoria.
5. Filtre o log de auditoria definindo Category como B2C e definindo Activity Resource Type como IdentityProtection. Em seguida, selecione Aplicar.
6. Revise a atividade de auditoria até os últimos sete dias. Incluem-se os seguintes tipos de atividades:
   • Avaliar políticas de acesso condicional: esta entrada de log de auditoria indica que uma avaliação de Acesso Condicional foi executada durante uma autenticação.
   • Remediar usuário: esta entrada indica que a concessão ou os requisitos de uma política de Acesso Condicional foram atendidos pelo usuário final e essa atividade foi relatada ao mecanismo de risco para mitigar (reduzir o risco de) o usuário.
7. Selecione uma entrada de log da política de acesso condicional Avaliar na lista para abrir a página Detalhes da atividade: log de auditoria, que mostra os identificadores do log de auditoria, juntamente com essas informações na seção Detalhes adicionais:
   • ConditionalAccessResult: A subvenção exigida pela avaliação condicional da política.
   • AppliedPolicies: Uma lista de todas as políticas de Acesso Condicional em que as condições foram atendidas e as políticas estão ATIVADAS.
   • ReportingPolicies: uma lista das políticas de Acesso Condicional que foram definidas para o modo somente relatório e onde as condições foram atendidas.

Próximos passos

Personalizar a interface do usuário em um fluxo de usuário do Azure AD B2C