Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma força de autenticação é um controle de Acesso Condicional do Microsoft Entra que especifica quais combinações de métodos de autenticação os usuários podem usar para acessar um recurso. Os usuários podem satisfazer os requisitos de força autenticando com qualquer uma das combinações permitidas.
Por exemplo, uma força de autenticação pode exigir que os usuários usem apenas métodos de autenticação resistentes a phishing para acessar um recurso confidencial. Para acessar um recurso sem sentido, os administradores podem criar outra força de autenticação que permite combinações de MFA (autenticação multifator) menos seguras, como uma senha e uma mensagem de texto.
Uma força de autenticação baseia-se na política para métodos de autenticação. Ou seja, os administradores podem definir o escopo dos métodos de autenticação para usuários e grupos específicos a serem usados em aplicativos federados da ID do Microsoft Entra. Uma força de autenticação permite um controle adicional sobre o uso desses métodos, com base em cenários específicos, como acesso a recursos confidenciais, risco do usuário e localização.
Pré-requisitos
- Para usar o Acesso Condicional, seu locatário precisa ter a licença do Microsoft Entra ID P1. Se você não tiver essa licença, poderá iniciar uma avaliação gratuita.
Cenários para pontos fortes de autenticação
Os níveis de autenticação podem ajudar os clientes a lidar com estes cenários:
- Exigir métodos de autenticação específicos para acessar um recurso confidencial.
- Exigir um método de autenticação específico quando um usuário executa uma ação confidencial em um aplicativo (em combinação com o contexto de autenticação de acesso condicional).
- Exigir que os usuários usem um método de autenticação específico quando acessarem aplicativos confidenciais fora da rede corporativa.
- Exigir métodos de autenticação mais seguros para usuários de alto risco.
- Exigir métodos de autenticação específicos de usuários convidados que acessam um locatário de recurso (em combinação com configurações entre locatários).
Forças de autenticação integradas e personalizadas
Os administradores podem especificar um nível de autenticação para acessar um recurso criando uma política de acesso condicional com o controle Exigir nível de autenticação. Eles podem escolher entre três níveis de autenticação integrados: Força de autenticação multifator, Força de MFA sem senha e Força de MFA resistente a phishing. Eles também podem criar uma força de autenticação personalizada com base nas combinações de método de autenticação que eles desejam permitir.
Forças de autenticação interna
Os pontos fortes de autenticação internos são combinações de métodos de autenticação predefinidos pela Microsoft. As forças de autenticação interna estão sempre disponíveis e não podem ser modificados. A Microsoft atualiza os pontos fortes de autenticação internos quando novos métodos ficam disponíveis.
Por exemplo, a força de autenticação MFA resistente a phishing integrada permite combinações de:
- Credencial do Windows Hello para Empresas ou da plataforma
- Chave de segurança FIDO2
- Autenticação baseada em certificado do Microsoft Entra (multifator)
A tabela a seguir lista combinações de métodos de autenticação para cada força de autenticação interna. Essas combinações incluem métodos que os usuários precisam registrar e que os administradores precisam habilitar na política para métodos de autenticação ou a política para configurações de MFA herdadas:
- Força de MFA: as mesmas combinações que podem ser usadas para satisfazer a configuração Exigir autenticação multifator.
- Força de MFA sem senha: inclui métodos de autenticação que atendem à MFA, mas não exigem uma senha.
- Força MFA resistente a phishing: inclui métodos que exigem uma interação entre o método de autenticação e a interface de entrada.
| Combinação de método de autenticação | Força da MFA | Força da MFA sem senha | Força da MFA resistente a phishing |
|---|---|---|---|
| Chave de segurança FIDO2 | ✅ | ✅ | ✅ |
| Credencial do Windows Hello para Empresas ou plataforma | ✅ | ✅ | ✅ |
| Autenticação baseada em certificado (multifator) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (entrada por telefone) | ✅ | ✅ | |
| Passagem de acesso temporário (uso único e uso múltiplo) | ✅ | ||
| Senha mais algo que pertence ao usuário1 | ✅ | ||
| Fator único federado mais algo que o usuário tem1 | ✅ | ||
| Multifator federado | ✅ | ||
| Autenticação baseada em certificado (fator único) | |||
| Credenciais de SMS | |||
| Senha | |||
| Fator único federado |
1Algo que o usuário tem refere-se a um dos seguintes métodos: mensagem de texto, voz, notificação por push, token OATH de software ou token OATH de hardware.
Você pode usar a chamada à API a seguir para listar definições de todos os pontos fortes de autenticação internos:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Níveis de autenticação com personalização
Os administradores de Acesso Condicional também podem criar pontos fortes de autenticação personalizados para atender exatamente aos requisitos de acesso. Para obter mais informações, consulte Criar e gerenciar pontos fortes de autenticação de acesso condicional personalizados.
Limitações
Efeito de uma força de autenticação na autenticação: as políticas de Acesso Condicional são avaliadas somente após a autenticação inicial. Como resultado, uma força de autenticação não restringe a autenticação inicial de um usuário.
Suponha que você esteja usando a força de autenticação MFA resistente a phishing integrada. Um usuário ainda pode inserir uma senha, mas deve entrar usando um método resistente a phishing, como uma chave de segurança FIDO2, antes de continuar.
Combinação sem suporte de controles de concessão: você não pode usar os controles de concessão Require multifactor authentication e Require authentication strength juntos na mesma política de Acesso Condicional. O motivo é que a força de autenticação multifator interna é equivalente ao controle de concessão Exigir autenticação multifator.
Método de autenticação não suportado: O método de autenticação por email com código único (Convidado) não é atualmente suportado nas combinações disponíveis.
Windows Hello para Empresas: se o usuário entrar com o Windows Hello para Empresas como o método de autenticação principal, ele poderá ser usado para atender a um requisito de força de autenticação que inclui o Windows Hello para Empresas. Mas se o usuário entrar com outro método (como uma senha) como o método de autenticação primária e a força de autenticação exigir o Windows Hello para Empresas, o usuário não será solicitado a entrar com o Windows Hello para Empresas. O usuário precisa reiniciar a sessão, selecionar opções de entrada e selecionar um método necessário para a força de autenticação.
Problemas conhecidos
Força de autenticação e frequência de entrada: quando um recurso requer uma força de autenticação e uma frequência de entrada, os usuários podem atender aos dois requisitos em dois momentos diferentes.
Por exemplo, suponha que um recurso exija uma chave de acesso (FIDO2) para a força de autenticação, juntamente com uma frequência de login de 1 hora. Um usuário entrou com uma chave de acesso (FIDO2) para acessar o recurso há 24 horas.
Quando o usuário desbloqueia seu dispositivo Windows usando o Windows Hello para Empresas, ele pode acessar o recurso novamente. A entrada de ontem atende ao requisito de força de autenticação e o desbloqueio de dispositivo de hoje atende ao requisito de frequência de entrada.
perguntas frequentes
Devo usar uma força de autenticação ou a política para métodos de autenticação?
Uma força de autenticação baseia-se na política de métodos de autenticação . A política de métodos de autenticação ajuda a definir o escopo e configurar métodos de autenticação que usuários e grupos podem usar na ID do Microsoft Entra. Uma força de autenticação permite outra restrição de métodos para cenários específicos, como acesso a recursos confidenciais, risco do usuário e localização.
Por exemplo, suponha que o administrador de uma organização chamada Contoso queira permitir que os usuários usem o Microsoft Authenticator com notificações por push ou modo de autenticação sem senha. O administrador vai para as configurações do Authenticator na política de métodos de autenticação , define o escopo da política para os usuários relevantes e define o modo de Autenticação como Qualquer.
Para o recurso mais sensível da Contoso, o administrador deseja restringir o acesso a apenas métodos de autenticação sem senha. O administrador cria uma nova política de Acesso Condicional usando a força de autenticação de força MFA sem senha interna.
Como resultado, os usuários na Contoso podem acessar a maioria dos recursos no locatário usando uma senha e uma notificação por push do Authenticator ou usando apenas o Authenticator (entrada por telefone). No entanto, quando os usuários no locatário acessam o aplicativo confidencial, eles devem usar o Authenticator (entrada por telefone).