Gerenciar um método de autenticação externa no Microsoft Entra ID (Visualização)

Um método de autenticação externa (EAM) permite que os usuários escolham um provedor externo para atender aos requisitos de autenticação multifator (MFA) quando entrarem no Microsoft Entra ID.

Aqui está um diagrama de como o método de autenticação externa funciona:

Metadados necessários para configurar um EAM

Para criar um EAM, você precisa das seguintes informações do seu provedor de autenticação externo:

• Uma ID de aplicação geralmente é uma aplicação multilocatária do seu fornecedor, que é utilizada como parte da integração. Você precisa fornecer consentimento de administrador para este aplicativo em seu locatário.

• Uma ID de Cliente é um identificador do seu fornecedor usado como parte da integração de autenticação para identificar o Microsoft Entra ID solicitando autenticação.

• Um URL de descoberta é o ponto de extremidade de descoberta do OpenID Connect (OIDC) para o provedor de autenticação externo.

  Para obter mais informações sobre como configurar o registro do aplicativo, consulte Configurar um novo provedor de autenticação externo com a ID do Microsoft Entra.

  Importante

  Verifique se a propriedade kid (ID da chave) está codificada em base64 no cabeçalho JSON Web Token (JWT) do id_token e no JSON Web Key set (JWKS) recuperado do jwks_uri do provedor. Esse alinhamento de codificação é essencial para a validação perfeita de assinaturas de token durante os processos de autenticação. O desalinhamento pode resultar em problemas com a correspondência de chaves ou a validação de assinaturas.

Gerenciar um EAM no centro de administração do Microsoft Entra

Os EAMs são geridos pela política de Métodos de Autenticação do Microsoft Entra ID, tal como os métodos incorporados.

Criar um EAM no centro de administração

Antes de criar um EAM no centro de administração, verifique se você tem os metadados para configurar um EAM.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.

2. Navegue para Entra ID>Métodos de autenticação>Adicionar método externo (Pré-visualização).

   

   Adicione propriedades de método com base nas informações de configuração do seu provedor. Por exemplo:

   • Nome: Adatum
   • ID do cliente: 00001111-aaaa-2222-bbbb-3333cccc4444
   • Ponto de extremidade de descoberta: https://adatum.com/.well-known/openid-configuration
   • ID do aplicativo: 11112222-bbbb-3333-cccc-4444dddd5555

   Importante

   O usuário vê o nome para exibição no seletor de métodos. Não é possível alterar o nome depois de criar o método. O nome para exibição deve ser exclusivo.

   

   Você precisa de pelo menos a função de Administrador de Função Privilegiada para conceder consentimento de administrador para o aplicativo do provedor. Se você não tiver a função necessária para conceder consentimento, ainda poderá salvar seu método de autenticação, mas não poderá habilitá-lo até que o consentimento seja concedido.

   Depois de inserir os valores do seu provedor, pressione o botão para solicitar que o consentimento do administrador seja concedido ao aplicativo para que ele possa ler as informações necessárias do usuário para autenticar corretamente. Você será solicitado a entrar com uma conta com permissões de administrador e conceder ao aplicativo do provedor as permissões necessárias.

   Depois de entrar, selecione Aceitar para conceder consentimento de administrador:

   

   Você pode ver as permissões que o aplicativo do provedor solicita antes de conceder consentimento. Depois que você concede o consentimento de administrador e a alteração é replicada, a página é atualizada para mostrar que o consentimento de administrador foi concedido.

   

Se o aplicativo tiver permissões, você também pode habilitar o método antes de salvar. Caso contrário, você precisará salvar o método em um estado desabilitado e habilitar após o consentimento do aplicativo.

Assim que o método estiver habilitado, todos os usuários dentro do âmbito poderão escolher o método para qualquer solicitação de MFA. Se o aplicativo do provedor não tiver o consentimento aprovado, qualquer entrada com o método falhará.

Se o aplicativo for excluído ou não tiver mais permissão, os usuários verão um erro e o login falhará. O método não pode ser usado.

Configurar um EAM no centro de administração

Para gerenciar seus EAMs no centro de administração do Microsoft Entra, abra a política de métodos de autenticação. Selecione o nome do método para abrir as opções de configuração. Você pode escolher quais usuários são incluídos e excluídos do uso desse método.

Eliminar um EAM do centro de administração

Se você não quiser mais que seus usuários possam usar o EAM, você pode:

• Defina Enable como Off para salvar a configuração do método
• Selecione Excluir para remover o método

Gerenciar um EAM usando o Microsoft Graph

Para gerenciar a política de métodos de autenticação usando o Microsoft Graph, você precisa da Policy.ReadWrite.AuthenticationMethod permissão. Para obter mais informações, consulte Update authenticationMethodsPolicy.

Experiência de utilizador

Os utilizadores habilitados para o EAM podem usá-lo quando iniciarem sessão e a autenticação multifatorial for necessária.

Se o usuário tiver outras maneiras de entrar e a MFA preferida do sistema estiver habilitada, esses outros métodos aparecerão por ordem padrão. O usuário pode optar por usar um método diferente e, em seguida, selecionar o EAM. Por exemplo, se o usuário tiver o Authenticator habilitado como outro método, ele será solicitado a fazer a correspondência de números.

Se o usuário não tiver outros métodos habilitados, basta escolher o EAM. Eles são redirecionados para o provedor de autenticação externo para concluir a autenticação.

Registro de método de autenticação para EAMs

Na Visualização do EAM, os usuários que são membros de grupos habilitados para EAM podem usar um EAM para satisfazer a MFA. Esses usuários não são incluídos em relatórios sobre o registro do método de autenticação.

A implementação do registro EAM no Microsoft Entra ID está em andamento. Após a conclusão da implementação, os usuários precisam registrar seu EAM com o Microsoft Entra ID antes de poder usá-lo para satisfazer o MFA. Como parte desta implementação, o Microsoft Entra ID registrará automaticamente os usuários recentes do EAM que entraram com um EAM nos últimos 28 dias.

Os usuários que não entraram com seu EAM dentro de 28 dias após a implantação do recurso de registro devem registrar o EAM antes de poder usá-lo novamente. Esses usuários podem ver uma alteração na próxima vez que entrarem, dependendo da configuração de autenticação atual:

• Se eles estiverem habilitados apenas para EAM, eles deverão concluir um registro just-in-time do EAM antes de prosseguir.
• Se eles estiverem habilitados para EAM e outros métodos de autenticação, eles poderão perder o acesso ao EAM para autenticação. Há duas maneiras de recuperar o acesso:
  • Eles podem registrar seu EAM em Informações de segurança.
  • Um administrador pode usar o centro de administração do Microsoft Entra ou o Microsoft Graph para registrar o EAM em seu nome.

As próximas seções abrangem as etapas para cada opção.

Como os usuários registram seu EAM nas informações de segurança

Os usuários podem seguir estas etapas para registrar um EAM em Informações de segurança:

1. Inicie sessão nas Informações de segurança.
2. Selecione + Adicionar método de entrada.
3. Quando solicitado a selecionar um método de entrada em uma lista de opções disponíveis, selecione Métodos de autenticação externa.
4. Selecione Avançar na tela de confirmação.
5. Complete o desafio do segundo fator com o provedor externo. Se for bem-sucedido, os usuários poderão ver o EAM listado em seus métodos de entrada.

Como os usuários registram seu EAM usando o assistente de registro

Quando um utilizador inicia sessão, um assistente de registo ajuda-o a registar os EAMs que está ativado para utilizar. Se eles estiverem habilitados para outros métodos de autenticação, talvez seja necessário selecionar Quero configurar um método> diferenteMétodos de autenticação externa para continuar. Eles precisam se autenticar com seu provedor de EAM para registrar o EAM no Microsoft Entra ID.

Se a autenticação for bem-sucedida, uma mensagem confirmará o registro concluído e o EAM será registrado. O usuário é redirecionado para o recurso que deseja acessar. 

Se a autenticação falhar, o usuário será redirecionado de volta para o assistente de registro e a página de registro mostrará uma mensagem de erro. O usuário pode tentar novamente ou escolher outra maneira de entrar se estiver habilitado para outros métodos. 

Como os administradores registram um EAM para um usuário

Os administradores podem registrar um usuário para um EAM. Se registrar um usuário para um EAM, o usuário não precisará registrar seu EAM em Informações de segurança ou usando o assistente de registro.

Os administradores também podem excluir o registro em nome de um usuário. Eles podem excluir um registro para ajudar os usuários em cenários de recuperação porque seu próximo sinal aciona um novo registro. Eles podem excluir o registro EAM no centro de administração do Microsoft Entra ou com o Microsoft Graph. Os administradores podem criar um script do PowerShell para atualizar o estado de registro de vários usuários de uma só vez.

No centro de administração do Microsoft Entra:

1. Selecione Usuários>Todos os usuários.
2. Selecione o usuário que precisa ser registrado para EAM.
3. No menu Usuário, selecione Métodos de Autenticação e selecione + Adicionar Método de Autenticação.
4. Selecione Método de autenticação externo.
5. Selecione um ou mais EAMs e selecione Salvar.
6. Uma mensagem de êxito é exibida e os métodos que você selecionou anteriormente estão listados em Métodos de autenticação utilizáveis.

Usando EAM e controles personalizados de Acesso Condicional em paralelo

EAMs e controles personalizados podem operar em paralelo. A Microsoft recomenda que os administradores configurem duas políticas de Acesso Condicional:

• Uma política para impor o controle personalizado
• Outra política exigida com a subvenção do Ministério dos Negócios Estrangeiros

Inclua um grupo de teste de usuários para cada política, mas não ambas. Se um utilizador estiver incluído em ambas as políticas, ou em qualquer política com ambas as condições, o utilizador tem de satisfazer a MFA durante o início de sessão. Eles também têm que satisfazer o controle personalizado, o que os torna redirecionados para o provedor externo uma segunda vez.

FAQ

1. Por que os Métodos de Autenticação Externa (EAM) não funcionam no Windows 10 durante a configuração do dispositivo?

Resposta:
Se estiver a configurar um dispositivo com o Windows 10 utilizando uma identidade apenas EAM, poderá encontrar um problema em que a experiência de configuração do Out-of-Box (OOB) falha e impede que prossiga com a sessão.

Este comportamento ocorre porque o Windows 10 não suporta nativamente EAM durante OOBE (Out-of-Box Experience).
A Microsoft não suporta mais o Windows 10 (https://www.microsoft.com/en-us/windows/end-of-support?msockid=26a3312b6b246f501ec624846a4f6e11), e não há planos para estender o suporte EAM a ele.

Para utilizar Métodos de Autenticação Externa para iniciar sessão, atualize para o Windows 11

Próximos passos

Para obter mais informações sobre como gerenciar métodos de autenticação, consulte Gerenciar métodos de autenticação para o Microsoft Entra ID.

Para referência do provedor EAM, consulte Referência do provedor de método externo de autenticação multifator da Microsoft Entra (Pré-visualização).