Proteger os recursos de nuvem usando a autenticação multifator do Azure AD e o AD FS

Se a sua organização for federada com o Azure Active Directory, use a autenticação multifator do Azure AD ou os Serviços de Federação do Active Directory (AD FS) para proteger os recursos que são acessados pelo Azure AD. Use os procedimentos a seguir para proteger os recursos do Azure Active Directory com autenticação multifator do Azure AD ou os Serviços de Federação do Active Directory.

Observação

Para proteger o recurso do Azure AD, é recomendável exigir MFA por meio de uma política de Acesso Condicional, definir a configuração de domínio SupportsMfa como $True e emitir a declaração multipleauthn quando um usuário executar a verificação em duas etapas com êxito.

Proteger recursos do Azure AD usando o AD FS

Para proteger seus recursos de nuvem, configure uma regra de declaração para que os Serviços de Federação do Active Directory emitem a declaração multipleauthn quando um usuário executa a verificação em duas etapas com êxito. Essa declaração é passada para o Azure AD. Siga este procedimento para percorrer as etapas:

  1. Abra o gerenciamento do AD FS.

  2. À esquerda, selecione Relações de Confiança com Terceira Parte Confiável.

  3. Clique com o botão direito do mouse na Plataforma de Identidade do Microsoft Office 365 e selecione Editar Regras de Declaração.

    Console do ADFS - Confianças de terceira parte confiável

  4. Em Regras de Transformação de Emissão, clique em Adicionar Regra.

    Editar regras de transformação de emissão

  5. No Assistente Adicionar Regra de Declaração de Transformação, selecione Passar ou filtrar uma Declaração de Entrada na lista e clique em Avançar.

    A captura de tela mostra o assistente Adicionar regra de declaração de transformação, onde você seleciona um modelo de regra de declaração.

  6. Dê um nome para a regra.

  7. Selecione Referências de Métodos de Autenticação como o tipo de declaração Entrada.

  8. Selecione Passar todos os valores de declaração. A captura de tela mostra o assistente Adicionar regra de declaração de transformação, onde você seleciona passar por todos os valores de declaração.

  9. Clique em Concluir. Feche o Console de gerenciamento do AD FS.

IPs confiáveis para usuários federados

IPs confiáveis permitem aos administradores ignorar a verificação em duas etapas para endereços IP específicos ou para usuários federados que têm as solicitações originadas em seu próprios intranet. As seções a seguir descrevem como configurar IPs confiáveis da autenticação multifator do Azure AD com usuários federados e desviar a verificação em duas etapas quando uma solicitação se originar de dentro de uma intranet de usuários federados. Isso é conseguido por meio da configuração do AD FS para usar uma passagem ou filtrar um modelo de declaração de entrada com o tipo de declaração Dentro da rede corporativa.

Este exemplo usa o Microsoft 365 para a relação de confiança com terceira parte confiável.

Configurar as regras de declarações do AD FS

A primeira coisa que precisamos fazer é configurar as declarações do AD FS. Criamos duas regras declarações: uma para o tipo de declaração Dentro da rede corporativa e um adicional para manter nossos usuários conectados.

  1. Abra o gerenciamento do AD FS.
  2. À esquerda, selecione Relações de Confiança com Terceira Parte Confiável.
  3. Clique com o botão direito do mouse na Plataforma de Identidade Microsoft Office 365 e selecione Editar Regras de Declaração... Console do ADFS - Editar regras de declaração
  4. Em Regras de transformação de emissão, clique em Adicionar regra.  Adicionar uma regra de declaração
  5. No Assistente Adicionar Regra de Declaração de Transformação, selecione Passar ou filtrar uma Declaração de Entrada na lista e clique em Avançar. A captura de tela mostra o assistente Adicionar regra de declaração de transformação, onde você seleciona passar Filtrar ou Passar por uma declaração de entrada.
  6. Na caixa ao lado do nome da regra de declaração, nomeie a regra. Por exemplo: InsideCorpNet.
  7. Na lista suspensa, ao lado do tipo de declaração de entrada, selecione Dentro da rede corporativa. Adicionar declaração Dentro da rede corporativa
  8. Clique em Concluir.
  9. Em Regras de Transformação de Emissão, clique em Adicionar Regra.
  10. No Assistente Adicionar Regra de Declaração de Transformação, selecione Enviar Declarações Usando uma Regra Personalizada da lista suspensa e clique em Avançar.
  11. Na caixa abaixo do nome da regra de declaração: insira Manter Usuários Conectados.
  12. Na caixa de regra Personalizada, digite:
        c:[Type == "http://schemas.microsoft.com/2014/03/psso"]
            => issue(claim = c);
    ![Create custom claim to keep users signed in](./media/howto-mfa-adfs/trustedip5.png)
  1. Clique em Concluir.
  2. Clique em Aplicar.
  3. Clique em OK.
  4. Feche o gerenciamento do AD FS.

Configurar IPs confiáveis da autenticação multifator do Azure AD com usuários federados

Agora que as declarações estão prontas, podemos configurar IPs confiáveis.

  1. Entre no portal do Azure.

  2. Selecione Azure Active Directory > Segurança > Acesso condicional > Locais nomeados.

  3. Na folha Acesso condicional - Locais nomeados, selecione Configurar IPs confiáveis da MFA

    Configurar IPs confiáveis da MFA de locais nomeados de acesso condicional do Azure AD

  4. Na página Configurações de Serviço, em IPs confiáveis, selecione Ignorar autenticação multifator para solicitações de usuários federados na minha intranet.

  5. Clique em Salvar.

É isso! Neste ponto, os usuários federados do Microsoft 365 devem somente ter que usar a MFA quando uma declaração for originada fora da intranet corporativa.