Partilhar via

Tutorial: Proteger eventos de entrada do usuário com a autenticação multifator do Microsoft Entra

  • Artigo

A autenticação multifator é um processo no qual um usuário é solicitado a fornecer formas adicionais de identificação durante um evento de entrada. Por exemplo, o pedido pode ser para inserir um código no celular ou para fornecer uma digitalização de impressão digital. Quando você precisa de uma segunda forma de identificação, a segurança é aumentada porque esse fator adicional não é fácil para um invasor obter ou duplicar.

As políticas de autenticação multifator e Acesso Condicional do Microsoft Entra oferecem a flexibilidade de exigir MFA dos usuários para eventos de entrada específicos.

Importante

Este tutorial mostra a um administrador como habilitar a autenticação multifator do Microsoft Entra. Para percorrer a autenticação multifator como utilizador, consulte Iniciar sessão na sua conta escolar ou profissional utilizando o seu método de verificação em dois passos.

Se sua equipe de TI não tiver habilitado a capacidade de usar a autenticação multifator do Microsoft Entra ou se você tiver problemas durante o login, entre em contato com o suporte técnico para obter assistência adicional.

Neste tutorial, ficará a saber como:

  • Crie uma política de Acesso Condicional para habilitar a autenticação multifator do Microsoft Entra para um grupo de usuários.
  • Configure as condições de política que solicitam MFA.
  • Teste, configure e use a autenticação multifator como usuário.

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

  • Um locatário do Microsoft Entra em funcionamento com o Microsoft Entra ID P1 ou licenças de avaliação habilitadas.

  • Uma conta com privilégios de Administrador de Acesso Condicional, Administrador de Segurança ou Administrador Global . Algumas configurações de MFA também podem ser gerenciadas por um Administrador de Política de Autenticação. Para obter mais informações, consulte Administrador de política de autenticação.

  • Uma conta de não administrador com uma senha que você conhece. Para este tutorial, criamos essa conta, chamada testuser. Neste tutorial, você testa a experiência do usuário final de configurar e usar a autenticação multifator do Microsoft Entra.

  • Um grupo do qual o usuário não administrador é membro. Para este tutorial, criamos esse grupo, chamado MFA-Test-Group. Neste tutorial, você habilita a autenticação multifator do Microsoft Entra para esse grupo.

Criar uma política de Acesso Condicional

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

A maneira recomendada de habilitar e usar a autenticação multifator do Microsoft Entra é com políticas de Acesso Condicional. O Acesso Condicional permite criar e definir políticas que reagem a eventos de entrada e que solicitam ações adicionais antes que um usuário tenha acesso a um aplicativo ou serviço.

Diagrama de visão geral de como o Acesso Condicional funciona para proteger o processo de entrada

As políticas de Acesso Condicional podem ser aplicadas a utilizadores, grupos e aplicações específicos. O objetivo é proteger sua organização e, ao mesmo tempo, fornecer os níveis certos de acesso aos usuários que precisam dela.

Neste tutorial, criamos uma política básica de Acesso Condicional para solicitar MFA quando um usuário entrar. Em um tutorial posterior desta série, configuramos a autenticação multifator do Microsoft Entra usando uma política de Acesso Condicional baseada em risco.

Primeiro, crie uma política de Acesso Condicional e atribua seu grupo de usuários de teste da seguinte maneira:

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.

  2. Navegue até Acesso condicional de proteção>, selecione + Nova política e, em seguida, selecione Criar nova política.

    Captura de ecrã da página Acesso Condicional, onde seleciona

  3. Insira um nome para a política, como MFA Pilot.

  4. Em Atribuições, selecione o valor atual em Usuários ou identidades de carga de trabalho.

    Uma captura de tela da página Acesso Condicional, onde você seleciona o valor atual em

  5. Em A que se aplica esta política?, verifique se a opção Utilizadores e grupos está selecionada.

  6. Em Incluir, escolha Selecionar usuários e grupos e, em seguida, selecione Usuários e grupos.

    Uma captura de tela da página para criar uma nova política, onde você seleciona opções para especificar usuários e grupos.

    Como ninguém foi atribuído ainda, a lista de usuários e grupos (mostrada na próxima etapa) é aberta automaticamente.

  7. Procure e selecione seu grupo do Microsoft Entra, como MFA-Test-Group, e escolha Selecionar.

    Uma captura de tela da lista de usuários e grupos, com os resultados filtrados pelas letras M F A e 'MFA-Test-Group' selecionados.

Selecionamos o grupo ao qual aplicar a política. Na próxima seção, configuramos as condições sob as quais aplicar a política.

Configurar as condições para autenticação multifator

Agora que a política de Acesso Condicional foi criada e um grupo de teste de usuários foi atribuído, defina os aplicativos ou ações na nuvem que acionam a política. Esses aplicativos ou ações na nuvem são os cenários que você decide que exigem processamento adicional, como solicitar autenticação multifator. Por exemplo, você pode decidir que o acesso a um aplicativo financeiro ou o uso de ferramentas de gerenciamento exigem um prompt adicional para autenticação.

Configurar quais aplicativos exigem autenticação multifator

Para este tutorial, configure a política de Acesso Condicional para exigir autenticação multifator quando um usuário entrar.

  1. Selecione o valor atual em Aplicações ou ações na nuvem e, em seguida, em Selecione a que esta política se aplica, verifique se as aplicações na nuvem estão selecionadas.

  2. Em Incluir, escolha Selecionar aplicativos.

    Como nenhum aplicativo ainda está selecionado, a lista de aplicativos (mostrada na próxima etapa) é aberta automaticamente.

    Gorjeta

    Pode optar por aplicar a política de Acesso Condicional a Todas as aplicações na nuvem ou a Selecionar aplicações. Para fornecer flexibilidade, você também pode excluir determinados aplicativos da política.

  3. Navegue pela lista de eventos de entrada disponíveis que podem ser usados. Para este tutorial, selecione API de Gerenciamento de Serviços do Windows Azure para que a política se aplique a eventos de entrada. Em seguida, escolha Selecionar.

    Uma captura de tela da página Acesso Condicional, onde você seleciona o aplicativo, API de Gerenciamento de Serviços do Windows Azure, ao qual a nova política será aplicada.

Configurar a autenticação multifator para acesso

Em seguida, configuramos os controles de acesso. Os controles de acesso permitem definir os requisitos para que um usuário receba acesso. Eles podem ser obrigados a usar um aplicativo cliente aprovado ou um dispositivo que ingressou híbrido na ID do Microsoft Entra.

Neste tutorial, configure os controles de acesso para exigir autenticação multifator durante um evento de entrada.

  1. Em Controlos de acesso, selecione o valor atual em Conceder e, em seguida, selecione Conceder acesso.

    Uma captura de ecrã da página Acesso Condicional, onde seleciona 'Subvenção' e, em seguida, seleciona 'Conceder acesso'.

  2. Selecione Exigir autenticação multifator e, em seguida, escolha Selecionar.

    Uma captura de tela das opções para conceder acesso, onde você seleciona 'Exigir autenticação multifator'.

Ativar a política

As políticas de Acesso Condicional podem ser definidas como Somente relatório se você quiser ver como a configuração afetaria os usuários ou Desativado se você não quiser usar a política no momento. Como um grupo de usuários de teste é direcionado para este tutorial, vamos habilitar a política e testar a autenticação multifator do Microsoft Entra.

  1. Em Ativar política, selecione Ativado.

    Uma captura de tela do controle que está perto da parte inferior da página da Web onde você especifica se a política está habilitada.

  2. Para aplicar a política de Acesso Condicional, selecione Criar.

Testar a autenticação multifator do Microsoft Entra

Vamos ver sua política de Acesso Condicional e a autenticação multifator do Microsoft Entra em ação.

Primeiro, entre em um recurso que não requer MFA:

  1. Abra uma nova janela de browser no modo InPrivate ou incógnito e navegue para https://account.activedirectory.windowsazure.com.

    A utilização de um modo privado para o seu browser impede que quaisquer credenciais existentes afetem este evento de início de sessão.

  2. Entre com seu usuário de teste que não é administrador, como testuser. Certifique-se de incluir @ e o nome de domínio para a conta de usuário.

    Se esta for a primeira instância de início de sessão com esta conta, ser-lhe-á pedido para alterar a palavra-passe. No entanto, não há nenhum prompt para você configurar ou usar a autenticação multifator.

  3. Feche a janela do browser.

Você configurou a política de Acesso Condicional para exigir autenticação adicional para entrar. Devido a essa configuração, você será solicitado a usar a autenticação multifator do Microsoft Entra ou a configurar um método, caso ainda não tenha feito isso. Teste este novo requisito iniciando sessão no centro de administração do Microsoft Entra:

  1. Abra uma nova janela do navegador no modo InPrivate ou anônimo e entre no centro de administração do Microsoft Entra.

  2. Entre com seu usuário de teste que não é administrador, como testuser. Certifique-se de incluir @ e o nome de domínio para a conta de usuário.

    É necessário registar-se e utilizar a autenticação multifator Microsoft Entra.

    Um aviso que diz

  3. Selecione Avançar para iniciar o processo.

    Você pode optar por configurar um telefone de autenticação, um telefone do escritório ou um aplicativo móvel para autenticação. O telefone de autenticação suporta mensagens de texto e chamadas telefónicas, o telefone do escritório suporta chamadas para números que têm uma extensão e a aplicação móvel suporta a utilização de uma aplicação móvel para receber notificações para autenticação ou para gerar códigos de autenticação.

    Um aviso que diz:

  4. Conclua as instruções na tela para configurar o método de autenticação multifator selecionado.

  5. Feche a janela do navegador e entre no centro de administração do Microsoft Entra novamente para testar o método de autenticação que você configurou. Por exemplo, se você configurou um aplicativo móvel para autenticação, verá um prompt como o seguinte.

    Para iniciar sessão, siga as instruções no seu browser e, em seguida, a mensagem no dispositivo que registou para autenticação multifator.

  6. Feche a janela do browser.

Clean up resources (Limpar recursos)

Se você não quiser mais usar a política de Acesso Condicional que configurou como parte deste tutorial, exclua a política usando as seguintes etapas:

  1. Inicie sessão no centro de administração Microsoft Entra como, pelo menos, Administrador de Acesso Condicional.

  2. Navegue até Acesso Condicional de Proteção>e selecione a política que você criou, como o MFA Pilot.

  3. selecione Eliminar e, em seguida, confirme que pretende eliminar a política.

    Para excluir a política de Acesso Condicional que você abriu, selecione Excluir, que está localizada abaixo do nome da política.

Próximos passos

Neste tutorial, você habilitou a autenticação multifator do Microsoft Entra usando políticas de Acesso Condicional para um grupo selecionado de usuários. Aprendeu a:

  • Crie uma política de Acesso Condicional para habilitar a autenticação multifator do Microsoft Entra para um grupo de usuários do Microsoft Entra.
  • Configure as condições de política que solicitam a autenticação multifator.
  • Teste, configure e use a autenticação multifator como usuário.

Habilitar write-back de senha para redefinição de senha de autoatendimento (SSPR)