Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Uma força de autenticação é um controle de Acesso Condicional do Microsoft Entra que especifica quais combinações de métodos de autenticação os usuários podem usar para acessar um recurso. Os usuários podem satisfazer os requisitos de resistência autenticando-se com qualquer uma das combinações permitidas.
Por exemplo, uma força de autenticação pode exigir que os usuários usem apenas métodos de autenticação resistentes a phishing para acessar um recurso confidencial. Para acessar um recurso não confidencial, os administradores podem criar outra força de autenticação que permita combinações menos seguras de autenticação multifator (MFA), como uma senha e uma mensagem de texto.
Uma força de autenticação é baseada na política para métodos de autenticação. Ou seja, os administradores podem definir o escopo de métodos de autenticação para usuários e grupos específicos a serem usados em aplicativos federados do Microsoft Entra ID. Uma força de autenticação permite um controle adicional sobre o uso desses métodos, com base em cenários específicos, como acesso a recursos confidenciais, risco do usuário e localização.
Pré-requisitos
- Para usar o Acesso Condicional, seu locatário precisa ter a licença do Microsoft Entra ID P1. Se não tiver esta licença, pode iniciar uma avaliação gratuita.
Cenários para pontos fortes de autenticação
Os pontos fortes da autenticação podem ajudar os clientes a lidar com estes cenários:
- Exigir métodos de autenticação específicos para acessar um recurso confidencial.
- Exigir um método de autenticação específico quando um usuário executa uma ação confidencial dentro de um aplicativo (em combinação com o contexto de autenticação de Acesso Condicional).
- Exija que os usuários usem um método de autenticação específico quando acessarem aplicativos confidenciais fora da rede corporativa.
- Exija métodos de autenticação mais seguros para usuários de alto risco.
- Exigir métodos de autenticação específicos de usuários convidados que acessam um locatário de recurso (em combinação com configurações entre locatários).
Pontos fortes de autenticação incorporados e personalizados
Os administradores podem especificar uma força de autenticação para aceder a um recurso ao criar uma política de acesso condicional com o controlo Exigir força de autenticação. Eles podem escolher entre três pontos fortes de autenticação integrados: força de autenticação multifator, força de MFA sem senha e força de MFA resistente a phishing. Eles também podem criar uma força de autenticação personalizada com base nas combinações de métodos de autenticação que desejam permitir.
Pontos fortes de autenticação incorporados
Os pontos fortes de autenticação internos são combinações de métodos de autenticação que a Microsoft predefine. Os pontos fortes de autenticação incorporados estão sempre disponíveis e não podem ser modificados. A Microsoft atualiza os pontos fortes da autenticação interna quando novos métodos ficam disponíveis.
Por exemplo, a força de autenticação MFA resistente a phishing integrada permite combinações de:
- Credencial do Windows Hello for Business ou credencial de plataforma
- Chave de segurança FIDO2
- Autenticação baseada em certificado Microsoft Entra (multifator)
A tabela a seguir lista combinações de métodos de autenticação para cada força de autenticação interna. Essas combinações incluem métodos que os usuários precisam registrar e que os administradores precisam habilitar na política para métodos de autenticação ou na política para configurações de MFA herdadas:
- Força MFA: O mesmo conjunto de combinações que pode ser usado para satisfazer a configuração Exigir autenticação multifator .
- Força de MFA sem senha: Inclui métodos de autenticação que satisfazem a MFA, mas não exigem uma senha.
- Força MFA resistente a phishing: inclui métodos que exigem uma interação entre o método de autenticação e a superfície de entrada.
| Combinação de métodos de autenticação | Força do MFA | Força do MFA sem palavra-passe | Força do MFA resistente ao phishing |
|---|---|---|---|
| Chave de segurança FIDO2 | ✅ | ✅ | ✅ |
| Credencial do Windows Hello for Business ou credencial da plataforma | ✅ | ✅ | ✅ |
| Autenticação baseada em certificado (multifator) | ✅ | ✅ | ✅ |
| Microsoft Authenticator (início de sessão por telefone) | ✅ | ✅ | |
| Passe de acesso temporário (uso único e uso múltiplo) | ✅ | ||
| Palavra-passe mais algo que o usuário tem1 | ✅ | ||
| Fator único federado mais algo que o utilizador tem1 | ✅ | ||
| Multifator federado | ✅ | ||
| Autenticação baseada em certificado (fator único) | |||
| Login por SMS | |||
| Palavra-passe | |||
| Fator único federado |
1Algo que o usuário tem refere-se a um dos seguintes métodos: mensagem de texto, voz, notificação push, token OATH de software ou token OATH de hardware.
Você pode usar a seguinte chamada de API para listar definições de todos os pontos fortes de autenticação internos:
GET https://graph.microsoft.com/beta/identity/conditionalAccess/authenticationStrength/policies?$filter=policyType eq 'builtIn'
Pontos fortes de autenticação personalizados
Os administradores de acesso condicional também podem criar pontos fortes de autenticação personalizados para atender exatamente aos seus requisitos de acesso. Para obter mais informações, consulte Criar e gerenciar pontos fortes de autenticação de Acesso Condicional personalizados.
Limitações
Efeito de uma força de autenticação na autenticação: as políticas de Acesso Condicional são avaliadas somente após a autenticação inicial. Como resultado, uma força de autenticação não restringe a autenticação inicial de um usuário.
Suponha que esteja a usar a força de autenticação integrada MFA resistente a phishing. Um usuário ainda pode inserir uma senha, mas deve entrar usando um método resistente a phishing, como uma chave de segurança FIDO2, antes de poder continuar.
Combinação sem suporte de controles de concessão: não é possível usar os controles de concessão Exigir autenticação multifator e Exigir força de autenticação juntos na mesma política de Acesso Condicional. O motivo é que o nível de autenticação multifator embutido é equivalente ao controle de permissão Exigir autenticação multifator.
Método de autenticação não suportado: O método de autenticação de passagem única (Convidado) de Email não é suportado atualmente nas combinações disponíveis.
Windows Hello for Business: se o usuário entrar com o Windows Hello for Business como método de autenticação principal, ele poderá ser usado para satisfazer um requisito de força de autenticação que inclui o Windows Hello for Business. Mas se o usuário entrar com outro método (como uma senha) como método de autenticação principal e a força da autenticação exigir o Windows Hello for Business, o usuário não será solicitado a entrar com o Windows Hello for Business. O usuário precisa reiniciar a sessão, selecionar Opções de entrada e selecionar um método que a força de autenticação exige.
Problemas conhecidos
Força de autenticação e frequência de entrada: quando um recurso requer uma força de autenticação e uma frequência de entrada, os usuários podem satisfazer ambos os requisitos em dois momentos diferentes.
Por exemplo, digamos que um recurso exija uma chave de acesso (FIDO2) para a força da autenticação, juntamente com uma frequência de entrada de 1 hora. Um usuário entrou com uma chave de acesso (FIDO2) para acessar o recurso há 24 horas.
Quando o usuário desbloqueia seu dispositivo Windows usando o Windows Hello for Business, ele pode acessar o recurso novamente. O início de sessão de ontem satisfaz o requisito de força de autenticação, e o desbloqueio do dispositivo de hoje satisfaz o requisito de frequência de início de sessão.
FAQ
Devo usar um nível de força de autenticação ou devo optar pela política para métodos de autenticação?
Uma força de autenticação é baseada na política de métodos de autenticação . A política de métodos de autenticação ajuda a definir o escopo e configurar métodos de autenticação que os usuários e grupos podem usar no ID do Microsoft Entra. Uma força de autenticação permite outra restrição de métodos para cenários específicos, como acesso a recursos confidenciais, risco do usuário e localização.
Por exemplo, suponha que o administrador de uma organização chamada Contoso queira permitir que os usuários usem o Microsoft Authenticator com notificações por push ou modo de autenticação sem senha. O administrador vai para as configurações do Autenticador na política de Métodos de autenticação , define o escopo da política para os usuários relevantes e define o modo de autenticação como Qualquer.
Para o recurso mais confidencial da Contoso, o administrador deseja restringir o acesso apenas a métodos de autenticação sem senha. O administrador cria uma nova política de Acesso Condicional usando a força de autenticação de força MFA sem senha interna.
Como resultado, os usuários na Contoso podem acessar a maioria dos recursos no locatário usando uma senha e uma notificação por push do Autenticador ou usando apenas o Autenticador (entrada por telefone). No entanto, quando os usuários no locatário acessam o aplicativo confidencial, eles devem usar o Autenticador (entrada por telefone).