Você compartilhou um arquivo ou pasta no OneDrive com convidados externos, mas alguns deles veem um erro informando que a autenticação multifator é necessária. Outros convidados com o mesmo link conseguem acessar o conteúdo sem problemas. Essa inconsistência ocorre porque o Microsoft 365 aplica políticas de acesso condicional que afetam contas de convidados específicas, não o link em si. Este artigo explica por que a MFA é acionada para certos convidados e como ajustar suas configurações de compartilhamento e contas de convidados para evitar esse problema.
Principais Conclusões: Gerenciando Requisitos de MFA para Links Compartilhados do OneDrive
- Microsoft Entra ID > Identidades Externas > Configurações de acesso entre locatários: Controla quais usuários convidados de outros locatários devem cumprir suas políticas de MFA antes de acessar o conteúdo compartilhado.
- Azure AD > Acesso Condicional > Locais nomeados: As solicitações de MFA podem ser ignoradas para convidados que se conectam de intervalos de IP confiáveis ou regiões geográficas específicas.
- Central de administração do OneDrive > Compartilhamento > Compartilhamento externo: A configuração “Permitir apenas usuários em grupos de segurança específicos” impede que convidados de fora dos grupos aprovados recebam links.
Por que a MFA é Exigida para Alguns Usuários Convidados
Quando você compartilha um arquivo ou pasta do OneDrive por meio de um link, o destinatário que não faz parte da sua organização precisa se autenticar através do Microsoft Entra ID. A exigência de MFA não vem do link em si, mas das políticas de acesso condicional que o administrador do seu locatário configurou no Microsoft Entra ID.
Existem três causas comuns para esse comportamento:
Configurações de acesso entre locatários
Sua organização pode ter configurado configurações de confiança de entrada que exigem MFA de usuários convidados provenientes de locatários específicos do Microsoft 365. Se o convidado pertence a um locatário que não está incluído em uma política de confiança, a MFA será aplicada.
Políticas de acesso condicional direcionadas a usuários externos
Seu administrador pode ter criado uma política que se aplica a todos os usuários externos ou a um grupo específico de contas de convidados. Essa política pode exigir MFA para qualquer acesso ao SharePoint Online ou OneDrive, independentemente do tipo de link.
Estado da conta de usuário convidado
Cada convidado externo que aceita um convite no seu locatário recebe um objeto de usuário convidado no Microsoft Entra ID. Se esse objeto de convidado foi atribuído diretamente a uma política de acesso condicional, ou se o convidado pertence a um grupo afetado, a MFA será acionada.
Passos para Identificar e Corrigir Exigências de MFA para Links Compartilhados
- Verifique o objeto de usuário convidado no Microsoft Entra ID
Vá para o Centro de administração do Microsoft Entra > Identidade > Usuários > Todos os usuários. Localize o usuário convidado que está recebendo a solicitação de MFA. Abra o perfil e observe o campo Tipo de usuário. Deve estar como Convidado. Se o usuário foi convertido acidentalmente para o tipo membro, as políticas de acesso condicional destinadas a convidados podem não se aplicar corretamente. - Revise as configurações de acesso entre locatários
No centro de administração do Microsoft Entra, vá para Identidades Externas > Configurações de acesso entre locatários. Selecione a guia Acesso de entrada. Verifique se o locatário de origem do convidado está listado. Se não estiver, as políticas de MFA do seu locatário serão aplicadas por padrão. Adicione o locatário e configure as configurações de confiança, ou ajuste sua política de entrada padrão para ignorar MFA para usuários convidados. - Localize a política de acesso condicional que afeta os convidados
No centro de administração do Microsoft Entra, vá para Proteção > Acesso Condicional > Políticas. Procure por qualquer política onde Atribuições > Usuários e grupos inclua Todos os convidados e usuários externos ou um grupo específico de convidados. Se a política exigir MFA e tiver como alvo Todos os aplicativos na nuvem ou especificamente Office 365 SharePoint Online, ela afetará o acesso ao link compartilhado. - Modifique a política de acesso condicional para excluir usuários convidados específicos
Abra a política que está aplicando MFA. Em Atribuições > Usuários e grupos, altere a configuração de inclusão para Selecionar usuários e grupos e remova Todos os convidados e usuários externos. Em seguida, adicione apenas os usuários ou grupos convidados que devem cumprir a política. Como alternativa, adicione uma exclusão para usuários convidados que devem ignorar a MFA, como usuários de locatários parceiros confiáveis. - Configure locais nomeados para ignorar MFA
Se os convidados se conectam de uma rede de escritório conhecida ou de uma faixa de VPN confiável, você pode adicionar esses intervalos de IP como um local nomeado no Acesso Condicional. Em Acesso Condicional > Locais nomeados, crie um novo local com os intervalos de IP confiáveis do convidado. Em seguida, na política, adicione uma condição para Locais > Incluir qualquer local ou Excluir o local confiável. Isso permite que convidados desses IPs acessem o link sem MFA. - Verifique o tipo de link e as configurações de compartilhamento
Vá para Central de administração do OneDrive > Compartilhamento > Compartilhamento externo. Certifique-se de que a configuração Permitir compartilhamento com todos os usuários externos esteja selecionada se você quiser permitir convidados de qualquer locatário. Se você restringiu o compartilhamento para Permitir apenas usuários em grupos de segurança específicos, verifique se o convidado é membro de um grupo aprovado. Confirme também se o tipo de link está definido como Pessoas que você escolher ou Pessoas específicas em vez de Qualquer pessoa, porque links “Qualquer pessoa” não exigem autenticação e as políticas de MFA não se aplicam.
Se os Convidados Ainda Virem Solicitações de MFA Após as Alterações
O convidado não aceitou o convite
Se um convidado abrir um link compartilhado sem antes aceitar o convite do locatário, ele pode ser tratado como um usuário não autenticado. Usuários não autenticados não estão sujeitos a políticas de acesso condicional, mas também não podem acessar o conteúdo se o link exigir login. Instrua o convidado a clicar em Aceitar convite no e-mail que recebeu, ou reenvie o convite pela caixa de diálogo de compartilhamento do OneDrive.
A MFA é exigida pelo próprio locatário do convidado
A solicitação de MFA pode ser originada do locatário de origem do convidado, não do seu. Por exemplo, se a organização do convidado exige MFA para todo acesso externo, ele verá uma solicitação mesmo que seu locatário permita acesso de convidados sem MFA. O convidado deve entrar em contato com o próprio administrador de TI para verificar as políticas de acesso condicional para identidades externas.
Sessão do navegador ou dispositivo expirou
Se o convidado já se autenticou, mas o token de sessão expirou, ele será solicitado a fazer login novamente. Isso é comportamento normal. A solicitação de MFA aparecerá apenas se a política de acesso condicional exigir uma autenticação recente. Limpar os cookies do navegador e fazer login novamente pode resolver isso.
Tipos de Link do OneDrive e Comportamento da MFA: Comparação
| Item | Link “Qualquer pessoa” | Link “Pessoas específicas” (convidados) |
|---|---|---|
| Autenticação necessária | Não | Sim — o convidado deve fazer login com uma conta Microsoft ou conta corporativa/de estudante |
| Política de MFA se aplica | Não — nenhuma identidade de usuário é verificada | Sim — as políticas de acesso condicional para usuários externos são aplicadas |
| Objeto de usuário convidado criado | Não | Sim — um objeto de usuário convidado é criado no Microsoft Entra ID após o primeiro login |
| Configurações de confiança entre locatários afetam | Não | Sim — as configurações de confiança de entrada determinam se a MFA é exigida |
| Melhor para | Compartilhamento anônimo de arquivos, documentos públicos | Colaboração controlada com parceiros externos conhecidos |
Agora você pode identificar por que a MFA é exigida para alguns convidados e ajustar as configurações do seu locatário para permitir o acesso sem autenticação desnecessária. Comece revisando as configurações de acesso entre locatários e as políticas de acesso condicional direcionadas a usuários externos. Para colaboração frequente com parceiros, configure configurações de confiança de entrada no Microsoft Entra ID para ignorar MFA para todo o locatário deles. Como etapa avançada, use o recurso Contexto de autenticação no Acesso Condicional para exigir MFA apenas para arquivos confidenciais, não para todos os links compartilhados.