Tutorial: Proteger eventos de entrada do usuário com a autenticação multifator do Microsoft Entra

A autenticação multifator é um processo no qual um usuário é solicitado a fornecer formas adicionais de identificação durante um evento de entrada. Por exemplo, o pedido pode ser para inserir um código no celular ou para fornecer uma digitalização de impressão digital. Quando você precisa de uma segunda forma de identificação, a segurança é aumentada porque esse fator adicional não é fácil para um invasor obter ou duplicar.

As políticas de autenticação multifator e Acesso Condicional do Microsoft Entra oferecem a flexibilidade de exigir MFA dos usuários para eventos de entrada específicos. Para obter uma visão geral da MFA, recomendamos assistir a este vídeo: Como configurar e impor a autenticação multifator em seu locatário.

Neste tutorial, ficará a saber como:

Pré-requisitos

Para concluir este tutorial, você precisa dos seguintes recursos e privilégios:

• Um locatário do Microsoft Entra em funcionamento com o Microsoft Entra ID P1 ou licenças de avaliação habilitadas.

  • Se precisar, crie um gratuitamente.

• Uma conta com privilégios de Administrador de Acesso Condicional, Administrador de Segurança ou Administrador Global. Algumas configurações de MFA também podem ser gerenciadas por um Administrador de Política de Autenticação. Para obter mais informações, consulte Administrador de política de autenticação.

• Uma conta de não administrador com uma senha que você conhece. Para este tutorial, criamos essa conta, chamada testuser. Neste tutorial, você testa a experiência do usuário final de configurar e usar a autenticação multifator do Microsoft Entra.

  • Se precisar de informações sobre como criar uma conta de usuário, consulte Adicionar ou excluir usuários usando o Microsoft Entra ID.

• Um grupo do qual o usuário não administrador é membro. Para este tutorial, criamos esse grupo, chamado MFA-Test-Group. Neste tutorial, você habilita a autenticação multifator do Microsoft Entra para esse grupo.

  • Se precisar de mais informações sobre como criar um grupo, consulte Criar um grupo básico e adicionar membros usando a ID do Microsoft Entra.

Criar uma política de Acesso Condicional

A maneira recomendada de habilitar e usar a autenticação multifator do Microsoft Entra é com políticas de Acesso Condicional. O Acesso Condicional permite criar e definir políticas que reagem a eventos de entrada e que solicitam ações adicionais antes que um usuário tenha acesso a um aplicativo ou serviço.

As políticas de Acesso Condicional podem ser aplicadas a utilizadores, grupos e aplicações específicos. O objetivo é proteger sua organização e, ao mesmo tempo, fornecer os níveis certos de acesso aos usuários que precisam dela.

Neste tutorial, criamos uma política básica de Acesso Condicional para solicitar MFA quando um usuário entrar. Em um tutorial posterior desta série, configuramos a autenticação multifator do Microsoft Entra usando uma política de Acesso Condicional baseada em risco.

Primeiro, crie uma política de Acesso Condicional e atribua seu grupo de usuários de teste da seguinte maneira:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.

2. Navegue até Acesso condicional de proteção>, selecione + Nova política e, em seguida, selecione Criar nova política.

   

3. Insira um nome para a política, como MFA Pilot.

4. Em Atribuições, selecione o valor atual em Usuários ou identidades de carga de trabalho.

   

5. Em A que se aplica esta política?, verifique se a opção Utilizadores e grupos está selecionada.

6. Em Incluir, escolha Selecionar usuários e grupos e, em seguida, selecione Usuários e grupos.

   

   Como ninguém foi atribuído ainda, a lista de usuários e grupos (mostrada na próxima etapa) é aberta automaticamente.

7. Procure e selecione seu grupo do Microsoft Entra, como MFA-Test-Group, e escolha Selecionar.

   

Selecionamos o grupo ao qual aplicar a política. Na próxima seção, configuramos as condições sob as quais aplicar a política.

Configurar as condições para autenticação multifator

Agora que a política de Acesso Condicional foi criada e um grupo de teste de usuários foi atribuído, defina os aplicativos ou ações na nuvem que acionam a política. Esses aplicativos ou ações na nuvem são os cenários que você decide que exigem processamento adicional, como solicitar autenticação multifator. Por exemplo, você pode decidir que o acesso a um aplicativo financeiro ou o uso de ferramentas de gerenciamento exigem um prompt adicional para autenticação.

Configurar quais aplicativos exigem autenticação multifator

Para este tutorial, configure a política de Acesso Condicional para exigir autenticação multifator quando um usuário entrar.

1. Selecione o valor atual em Aplicações ou ações na nuvem e, em seguida, em Selecione a que esta política se aplica, verifique se as aplicações na nuvem estão selecionadas.

2. Em Incluir, escolha Selecionar aplicativos.

   Como nenhum aplicativo ainda está selecionado, a lista de aplicativos (mostrada na próxima etapa) é aberta automaticamente.

   Gorjeta

   Pode optar por aplicar a política de Acesso Condicional a Todas as aplicações na nuvem ou a Selecionar aplicações. Para fornecer flexibilidade, você também pode excluir determinados aplicativos da política.

3. Navegue pela lista de eventos de entrada disponíveis que podem ser usados. Para este tutorial, selecione API de Gerenciamento de Serviços do Windows Azure para que a política se aplique a eventos de entrada. Em seguida, escolha Selecionar.

   

Configurar a autenticação multifator para acesso

Em seguida, configuramos os controles de acesso. Os controles de acesso permitem definir os requisitos para que um usuário receba acesso. Eles podem ser obrigados a usar um aplicativo cliente aprovado ou um dispositivo que ingressou híbrido na ID do Microsoft Entra.

Neste tutorial, configure os controles de acesso para exigir autenticação multifator durante um evento de entrada.

1. Em Controlos de acesso, selecione o valor atual em Conceder e, em seguida, selecione Conceder acesso.

   

2. Selecione Exigir autenticação multifator e, em seguida, escolha Selecionar.

   

Ativar a política

As políticas de Acesso Condicional podem ser definidas como Somente relatório se você quiser ver como a configuração afetaria os usuários ou Desativado se você não quiser usar a política no momento. Como um grupo de usuários de teste é direcionado para este tutorial, vamos habilitar a política e testar a autenticação multifator do Microsoft Entra.

1. Em Ativar política, selecione Ativado.

   

2. Para aplicar a política de Acesso Condicional, selecione Criar.

Testar a autenticação multifator do Microsoft Entra

Vamos ver sua política de Acesso Condicional e a autenticação multifator do Microsoft Entra em ação.

Primeiro, entre em um recurso que não requer MFA:

1. Abra uma nova janela de browser no modo InPrivate ou incógnito e navegue para https://account.activedirectory.windowsazure.com.

   A utilização de um modo privado para o seu browser impede que quaisquer credenciais existentes afetem este evento de início de sessão.

2. Entre com seu usuário de teste que não é administrador, como testuser. Certifique-se de incluir @ e o nome de domínio para a conta de usuário.

   Se esta for a primeira instância de início de sessão com esta conta, ser-lhe-á pedido para alterar a palavra-passe. No entanto, não há nenhum prompt para você configurar ou usar a autenticação multifator.

3. Feche a janela do browser.

Você configurou a política de Acesso Condicional para exigir autenticação adicional para entrar. Devido a essa configuração, você será solicitado a usar a autenticação multifator do Microsoft Entra ou a configurar um método, caso ainda não tenha feito isso. Teste este novo requisito iniciando sessão no centro de administração do Microsoft Entra:

1. Abra uma nova janela do navegador no modo InPrivate ou anônimo e entre no centro de administração do Microsoft Entra.

2. Entre com seu usuário de teste que não é administrador, como testuser. Certifique-se de incluir @ e o nome de domínio para a conta de usuário.

   É necessário registar-se e utilizar a autenticação multifator Microsoft Entra.

   

3. Selecione Avançar para iniciar o processo.

   Você pode optar por configurar um telefone de autenticação, um telefone do escritório ou um aplicativo móvel para autenticação. O telefone de autenticação suporta mensagens de texto e chamadas telefónicas, o telefone do escritório suporta chamadas para números que têm uma extensão e a aplicação móvel suporta a utilização de uma aplicação móvel para receber notificações para autenticação ou para gerar códigos de autenticação.

   

4. Conclua as instruções na tela para configurar o método de autenticação multifator selecionado.

5. Feche a janela do navegador e entre no centro de administração do Microsoft Entra novamente para testar o método de autenticação que você configurou. Por exemplo, se você configurou um aplicativo móvel para autenticação, verá um prompt como o seguinte.

   

6. Feche a janela do browser.

Clean up resources (Limpar recursos)

Se você não quiser mais usar a política de Acesso Condicional que configurou como parte deste tutorial, exclua a política usando as seguintes etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Acesso Condicional.

2. Navegue até Acesso Condicional de Proteção>e selecione a política que você criou, como o MFA Pilot.

3. selecione Eliminar e, em seguida, confirme que pretende eliminar a política.

   

Próximos passos

Neste tutorial, você habilitou a autenticação multifator do Microsoft Entra usando políticas de Acesso Condicional para um grupo selecionado de usuários. Aprendeu a: