Planejando uma implantação da autenticação multifator do Azure baseada em nuvemPlanning a cloud-based Azure Multi-Factor Authentication deployment

As pessoas estão se conectando a recursos organizacionais em cenários cada vez mais complicados.People are connecting to organizational resources in increasingly complicated scenarios. As pessoas se conectam de dispositivos corporativos, pessoais e públicos na rede corporativa usando Smart Phones, tablets, PCs e laptops, geralmente em várias plataformas.People connect from organization-owned, personal, and public devices on and off the corporate network using smart phones, tablets, PCs, and laptops, often on multiple platforms. Nesse mundo sempre conectado, de vários dispositivos e de várias plataformas, a segurança das contas de usuário é mais importante do que nunca.In this always-connected, multi-device and multi-platform world, the security of user accounts is more important than ever. As senhas, não importa sua complexidade, usadas em dispositivos, redes e plataformas não são mais suficientes para garantir a segurança da conta de usuário, especialmente quando os usuários tendem a reutilizar senhas em contas.Passwords, no matter their complexity, used across devices, networks, and platforms are no longer sufficient to ensure the security of the user account, especially when users tend to reuse passwords across accounts. Um phishing sofisticado e outros ataques de engenharia social podem resultar na postagem e venda de nomes de acessados e de senhas na Web escura.Sophisticated phishing and other social engineering attacks can result in usernames and passwords being posted and sold across the dark web.

A autenticação multifator do Azure (MFA) ajuda a proteger o acesso a dados e aplicativos.Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications. Ele fornece uma camada adicional de segurança usando uma segunda forma de autenticação.It provides an additional layer of security using a second form of authentication. As organizações podem usar o acesso condicional para fazer com que a solução atenda às suas necessidades específicas.Organizations can use Conditional Access to make the solution fit their specific needs.

Pré-requisitosPrerequisites

Antes de iniciar uma implantação da autenticação multifator do Azure, há itens de pré-requisito que devem ser considerados.Before starting a deployment of Azure Multi-Factor Authentication, there are prerequisite items that should be considered.

CenárioScenario Pré-requisitoPrerequisite
Ambiente de identidade somente em nuvem com autenticação modernaCloud-only identity environment with modern authentication Nenhuma tarefa de pré-requisito adicionalNo additional prerequisite tasks
Cenários de identidade híbridaHybrid identity scenarios Azure ad Connect é implantado e as identidades de usuário são sincronizadas ou federadas com o Active Directory Domain Services local com Azure Active Directory.Azure AD Connect is deployed and user identities are synchronized or federated with the on-premises Active Directory Domain Services with Azure Active Directory.
Aplicativos herdados locais publicados para acesso à nuvemOn-premises legacy applications published for cloud access O proxy de aplicativo do Azure AD é implantado.Azure AD Application Proxy is deployed.
Usando o Azure MFA com autenticação RADIUSUsing Azure MFA with RADIUS Authentication Um servidor de diretivas de rede (NPS) é implantado.A Network Policy Server (NPS) is deployed.
Os usuários têm Microsoft Office 2010 ou anterior ou o Apple mail para iOS 11 ou anteriorUsers have Microsoft Office 2010 or earlier, or Apple Mail for iOS 11 or earlier Atualize para o Microsoft Office 2013 ou posterior e o Apple mail para IOS 12 ou posterior.Upgrade to Microsoft Office 2013 or later and Apple mail for iOS 12 or later. Não há suporte para o acesso condicional por protocolos de autenticação herdados.Conditional Access is not supported by legacy authentication protocols.

Planejar a distribuição do usuárioPlan user rollout

Seu plano de distribuição do MFA deve incluir uma implantação piloto seguida de ondas de implantação que estão dentro de sua capacidade de suporte.Your MFA rollout plan should include a pilot deployment followed by deployment waves that are within your support capacity. Comece sua distribuição aplicando suas políticas de acesso condicional a um pequeno grupo de usuários piloto.Begin your rollout by applying your Conditional Access policies to a small group of pilot users. Depois de avaliar o efeito sobre os usuários piloto, os processos usados e os comportamentos de registro, você pode adicionar mais grupos à política ou adicionar mais usuários aos grupos existentes.After evaluating the effect on the pilot users, process used, and registration behaviors, you can either add more groups to the policy or add more users to the existing groups.

Comunicações do usuárioUser communications

É essencial informar os usuários, em comunicações planejadas, sobre alterações futuras, requisitos de registro do Azure MFA e quaisquer ações de usuário necessárias.It is critical to inform users, in planned communications, about upcoming changes, Azure MFA registration requirements, and any necessary user actions. Recomendamos que as comunicações sejam desenvolvidas em conjunto com os representantes de dentro de sua organização, como um departamento de comunicações, gerenciamento de alterações ou recursos humanos.We recommend communications are developed in concert with representatives from within your organization, such as a Communications, Change Management, or Human Resources departments.

A Microsoft fornece modelos de comunicação e documentação do usuário final para ajudar a rascunhar suas comunicações.Microsoft provides communication templates and end-user documentation to help draft your communications. Você pode enviar usuários para https://myprofile.microsoft.com registrar-se diretamente, selecionando os links de informações de segurança nessa página.You can send users to https://myprofile.microsoft.com to register directly by selecting the Security Info links on that page.

Considerações de implantaçãoDeployment considerations

A autenticação multifator do Azure é implantada pela imposição de políticas com acesso condicional.Azure Multi-factor Authentication is deployed by enforcing policies with Conditional Access. Uma política de acesso condicional pode exigir que os usuários executem a autenticação multifator quando determinados critérios forem atendidos, como:A Conditional Access policy can require users to perform multi-factor authentication when certain criteria are met such as:

  • Todos os usuários, um usuário específico, um membro de um grupo ou uma função atribuídaAll users, a specific user, member of a group, or assigned role
  • Aplicativo de nuvem específico que está sendo acessadoSpecific cloud application being accessed
  • Plataforma de dispositivosDevice platform
  • Estado do dispositivoState of device
  • Local de rede ou endereço IP localizado geograficamenteNetwork location or geo-located IP address
  • Aplicativos clienteClient applications
  • Risco de entrada (requer a proteção de identidade)Sign-in risk (Requires Identity Protection)
  • Dispositivo em conformidadeCompliant device
  • Dispositivo adicionado ao Azure AD híbridoHybrid Azure AD joined device
  • Aplicativo cliente aprovadoApproved client application

Use os cartazes personalizáveis e modelos de email em materiais de distribuição da autenticação multifator para distribuir a autenticação multifator para sua organização.Use the customizable posters and email templates in multi-factor authentication rollout materials to roll out multi-factor authentication to your organization.

Habilitar Autenticação Multifator com acesso condicionalEnable Multi-Factor Authentication with Conditional Access

As políticas de acesso condicional impõem o registro, exigindo que usuários não registrados concluam o registro na primeira entrada, uma consideração de segurança importante.Conditional Access policies enforce registration, requiring unregistered users to complete registration at first sign-in, an important security consideration.

Azure ad Identity Protection contribui para uma política de registro e para detecção automatizada de riscos e políticas de correção para a história da autenticação multifator do Azure.Azure AD Identity Protection contributes both a registration policy for and automated risk detection and remediation policies to the Azure Multi-Factor Authentication story. As políticas podem ser criadas para forçar alterações de senha quando há uma ameaça de identidade comprometida ou exigir MFA quando uma entrada é considerada arriscada pelos seguintes eventos:Policies can be created to force password changes when there is a threat of compromised identity or require MFA when a sign-in is deemed risky by the following events:

  • Credenciais vazadasLeaked credentials
  • Entradas de endereços IP anônimosSign-ins from anonymous IP addresses
  • Viagem impossível a locais atípicosImpossible travel to atypical locations
  • Entradas de locais desconhecidosSign-ins from unfamiliar locations
  • Entradas de dispositivos infectadosSign-ins from infected devices
  • Entradas de endereços IP com atividades suspeitasSign-ins from IP addresses with suspicious activities

Algumas das detecções de risco detectadas pelo Azure Active Directory Identity Protection ocorrem em tempo real e algumas exigem processamento offline.Some of the risk detections detected by Azure Active Directory Identity Protection occur in real time and some require offline processing. Os administradores podem optar por bloquear os usuários que apresentam comportamentos arriscados e corrigir manualmente, exigir uma alteração de senha ou exigir uma autenticação multifator como parte de suas políticas de acesso condicional.Administrators can choose to block users who exhibit risky behaviors and remediate manually, require a password change, or require a multi-factor authentication as part of their Conditional Access policies.

Definir locais de redeDefine network locations

Recomendamos que as organizações usem o acesso condicional para definir sua rede usando locais nomeados.We recommend that organizations use Conditional Access to define their network using named locations. Se sua organização estiver usando a proteção de identidade, considere o uso de políticas baseadas em risco em vez de locais nomeados.If your organization is using Identity Protection, consider using risk-based policies instead of named locations.

Configurando um local nomeadoConfiguring a named location

  1. Abrir Azure Active Directory no portal do AzureOpen Azure Active Directory in the Azure portal
  2. Selecionar segurançaSelect Security
  3. Em gerenciar, escolha locais nomeadosUnder Manage, choose Named Locations
  4. Selecionar novo localSelect New Location
  5. No campo nome , forneça um nome significativoIn the Name field, provide a meaningful name
  6. Selecione se você está definindo o local usando intervalos de IP ou países/regiõesSelect whether you are defining the location using IP ranges or Countries/Regions
    1. Se estiver usando intervalos de IPIf using IP Ranges
      1. Decida se deseja Marcar como local confiável.Decide whether to Mark as trusted location. Conectar de um local confiável diminui o risco de entrada do usuário.Signing in from a trusted location lowers a user's sign-in risk. Marque esta localização como confiável se você souber que os intervalos de IP inseridos são estabelecidos e confiáveis em sua organização.Only mark this location as trusted if you know the IP ranges entered are established and credible in your organization.
      2. Especificar os intervalos de IPSpecify the IP Ranges
    2. Se estiver usando países/regiõesIf using Countries/Regions
      1. Expanda o menu suspenso e selecione os países ou regiões que você deseja definir para esse local nomeado.Expand the drop-down menu and select the countries or regions you wish to define for this named location.
      2. Decida se as áreas desconhecidasdevem ser incluídas.Decide whether to Include unknown areas. Áreas desconhecidas são endereços IP que não podem ser mapeados para um país/região.Unknown areas are IP addresses that can't be mapped to a country/region.
  7. Escolha CriarSelect Create

Planejar métodos de autenticaçãoPlan authentication methods

Os administradores podem escolher os métodos de autenticação que desejam disponibilizar para os usuários.Administrators can choose the authentication methods that they want to make available for users. É importante permitir mais do que um único método de autenticação para que os usuários tenham um método de backup disponível caso o método principal não esteja disponível.It is important to allow more than a single authentication method so that users have a backup method available in case their primary method is unavailable. Os seguintes métodos estão disponíveis para que os administradores habilitem:The following methods are available for administrators to enable:

Notificação pelo aplicativo móvelNotification through mobile app

Uma notificação por push é enviada para o aplicativo Microsoft Authenticator em seu dispositivo móvel.A push notification is sent to the Microsoft Authenticator app on your mobile device. O usuário exibe a notificação e seleciona aprovar para concluir a verificação.The user views the notification and selects Approve to complete verification. As notificações por Push por meio de um aplicativo móvel fornecem a opção menos invasiva para os usuários.Push notifications through a mobile app provide the least intrusive option for users. Eles também são a opção mais confiável e segura porque usam uma conexão de dados em vez de telefonia.They are also the most reliable and secure option because they use a data connection rather than telephony.

Observação

Se sua organização tiver funcionários trabalhando ou viajando para a China, a notificação por meio do método de aplicativo móvel em dispositivos Android não funcionará nesse país.If your organization has staff working in or traveling to China, the Notification through mobile app method on Android devices does not work in that country. Os métodos alternativos devem ser disponibilizados para esses usuários.Alternate methods should be made available for those users.

Código de verificação de aplicativo móvelVerification code from mobile app

Um aplicativo móvel como o Microsoft Authenticator aplicativo gera um novo código de verificação OATH a cada 30 segundos.A mobile app like the Microsoft Authenticator app generates a new OATH verification code every 30 seconds. O usuário digita o código de verificação na interface de entrada.The user enters the verification code into the sign-in interface. A opção aplicativo móvel pode ser usada independentemente de o telefone ter ou não um sinal de celular ou de dados.The mobile app option can be used whether or not the phone has a data or cellular signal.

Ligue para o telefoneCall to phone

Uma chamada de voz automática é colocada para o usuário.An automated voice call is placed to the user. O usuário responde à chamada e pressiona # no teclado do telefone para aprovar sua autenticação.The user answers the call and presses # on the phone keypad to approve their authentication. A chamada para Phone é um excelente método de backup para notificação ou código de verificação de um aplicativo móvel.Call to phone is a great backup method for notification or verification code from a mobile app.

Mensagem de texto para telefoneText message to phone

Uma mensagem de texto que contém um código de verificação é enviada ao usuário, o usuário é solicitado a inserir o código de verificação na interface de entrada.A text message that contains a verification code is sent to the user, the user is prompted to enter the verification code into the sign-in interface.

Escolher opções de verificaçãoChoose verification options

  1. Navegue até do Azure Active Directory, Usuários, Autenticação Multifator.Browse to Azure Active Directory, Users, Multi-Factor Authentication.

    Acessando o portal de Autenticação Multifator na folha de usuários do Azure Active Directory no portal do Azure

  2. Na nova guia que é aberta, navegue até configurações do serviço.In the new tab that opens browse to service settings.

  3. Em opções de verificação, verifique todas as caixas para os métodos disponíveis aos usuários.Under verification options, check all of the boxes for methods available to users.

    Configurar métodos de verificação na guia configurações do serviço de Autenticação Multifator

  4. Clique em Save.Click on Save.

  5. Feche a guia configurações de serviço.Close the service settings tab.

Política de registro de planoPlan registration policy

Os administradores devem determinar como os usuários registrarão seus métodos.Administrators must determine how users will register their methods. As organizações devem habilitar a nova experiência de registro combinada para MFA do Azure e redefinição de senha de autoatendimento (SSPR).Organizations should enable the new combined registration experience for Azure MFA and self-service password reset (SSPR). O SSPR permite que os usuários redefinam sua senha de maneira segura usando os mesmos métodos que usam para autenticação multifator.SSPR allows users to reset their password in a secure way using the same methods they use for multi-factor authentication. Recomendamos esse registro combinado, atualmente em visualização pública, porque é uma ótima experiência para os usuários, com a capacidade de registrar uma vez para ambos os serviços.We recommend this combined registration, currently in public preview, because it’s a great experience for users, with the ability to register once for both services. Habilitar os mesmos métodos para SSPR e Azure MFA permitirá que os usuários sejam registrados para usar os dois recursos.Enabling the same methods for SSPR and Azure MFA will allow your users to be registered to use both features.

Registro com proteção de identidadeRegistration with Identity Protection

Se sua organização estiver usando Azure Active Directory Identity Protection, Configure a política de registro de MFA para solicitar que os usuários se registrem na próxima vez que entrarem de forma interativa.If your organization is using Azure Active Directory Identity Protection, configure the MFA registration policy to prompt your users to register the next time they sign in interactively.

Registro sem proteção de identidadeRegistration without Identity Protection

Se sua organização não tiver licenças que habilitam a proteção de identidade, os usuários serão solicitados a se registrar na próxima vez que a MFA for necessária na entrada.If your organization does not have licenses that enable Identity Protection, users are prompted to register the next time that MFA is required at sign-in. Os usuários não poderão ser registrados para MFA se não usarem aplicativos protegidos com MFA.Users may not be registered for MFA if they don't use applications protected with MFA. É importante obter todos os usuários registrados para que atores ruins não possam adivinhar a senha de um usuário e se registrar para MFA em seu nome, efetivamente assumindo o controle da conta.It's important to get all users registered so that bad actors cannot guess the password of a user and register for MFA on their behalf, effectively taking control of the account.

Impondo registroEnforcing registration

Usando as etapas a seguir, uma política de acesso condicional pode forçar os usuários a se registrarem para a autenticação multifatorUsing the following steps a Conditional Access policy can force users to register for Multi-Factor Authentication

  1. Crie um grupo, adicione todos os usuários que não estão registrados no momento.Create a group, add all users not currently registered.
  2. Usando o acesso condicional, imponha a autenticação multifator para esse grupo para acesso a todos os recursos.Using Conditional Access, enforce multi-factor authentication for this group for access to all resources.
  3. Periodicamente, reavalie a associação de grupo e remova os usuários que se registraram do grupo.Periodically, reevaluate the group membership, and remove users who have registered from the group.

Você pode identificar usuários do Azure MFA registrados e não registrados com comandos do PowerShell que dependem do módulo do PowerShell do MSOnline.You may identify registered and non-registered Azure MFA users with PowerShell commands that rely on the MSOnline PowerShell module.

Identificar usuários registradosIdentify registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods -ne $null} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

Identificar usuários não registradosIdentify non-registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods.Count -eq 0} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

Converter usuários de MFA por usuário para MFA baseada em acesso condicionalConvert users from per-user MFA to Conditional Access based MFA

Se os usuários tiverem sido habilitados usando a autenticação multifator habilitada por usuário e impostas, o PowerShell a seguir poderá ajudá-lo a fazer a conversão para o acesso condicional com base na autenticação multifator do Azure.If your users were enabled using per-user enabled and enforced Azure Multi-Factor Authentication the following PowerShell can assist you in making the conversion to Conditional Access based Azure Multi-Factor Authentication.

Execute este PowerShell em uma janela do ISE ou salve como um. Arquivo PS1 a ser executado localmente.Run this PowerShell in an ISE window or save as a .PS1 file to run locally.

# Sets the MFA requirement state
function Set-MfaState {

    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )

    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }

        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}

# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Observação

Alteramos recentemente o comportamento e o script do PowerShell acima de acordo.We recently changed the behavior and PowerShell script above accordingly. Anteriormente, o script economizou os métodos de MFA, desabilitou a MFA e restaurei os métodos.Previously, the script saved off the MFA methods, disabled MFA, and restored the methods. Isso não é mais necessário agora que o comportamento padrão para desabilitar não limpa os métodos.This is no longer necessary now that the default behavior for disable doesn't clear the methods.

Planejar políticas de acesso condicionalPlan Conditional Access policies

Para planejar sua estratégia de política de acesso condicional, que determinará quando a MFA e outros controles são necessários, consulte o que é o acesso condicional no Azure Active Directory?.To plan your Conditional Access policy strategy, which will determine when MFA and other controls are required, refer to What is Conditional Access in Azure Active Directory?.

É importante que você impeça o bloqueio inadvertidamente do seu locatário do Azure AD.It is important that you prevent being inadvertently locked out of your Azure AD tenant. Você pode mitigar o impacto dessa falta inadvertida de acesso administrativo criando duas ou mais contas de acesso de emergência em seu locatário e excluindo-as da sua política de acesso condicional.You can mitigate the impact of this inadvertent lack of administrative access by creating two or more emergency access accounts in your tenant and excluding them from your Conditional Access policy.

Criar política de Acesso CondicionalCreate Conditional Access policy

  1. Entre no portal do Azure usando uma conta de administrador global.Sign in to the Azure portal using a global administrator account.
  2. Navegue até Azure Active Directory > segurança > acesso condicional.Browse to Azure Active Directory > Security > Conditional Access.
  3. Selecione Nova política.Select New policy. criar uma política de acesso condicional para habilitar a MFA para portal do Azure usuários no grupo pilotoCreate a Conditional Access policy to enable MFA for Azure portal users in pilot group
  4. .Forneça um nome significativo para a política.Provide a meaningful name for your policy.
  5. Em usuários e grupos:Under users and groups:
    • Na guia Incluir, selecione o botão de opção Todos os usuáriosOn the Include tab, select the All users radio button
    • Na guia excluir , marque a caixa de usuários e grupos e escolha suas contas de acesso de emergência.On the Exclude tab, check the box for Users and groups and choose your emergency access accounts.
    • Clique em Concluído.Click Done.
  6. Em Aplicativos na nuvem, selecione o botão de opção Todos os aplicativos na nuvem.Under Cloud apps, select the All cloud apps radio button.
    • OPCIONALMENTE: Na guia Excluir, escolha os aplicativos de nuvem que sua organização não exige o MFA.OPTIONALLY: On the Exclude tab, choose cloud apps that your organization does not require MFA for.
    • Clique em Concluído.Click Done.
  7. Na seção Condições:Under Conditions section:
    • OPCIONALMENTE: Se você tiver habilitado o Azure Identity Protection, será possível optar por avaliar o risco de entrada como parte da política.OPTIONALLY: If you have enabled Azure Identity Protection, you can choose to evaluate sign-in risk as part of the policy.
    • OPCIONALMENTE: Se você tiver configurado locais confiáveis ou localizações nomeadas, será possível especificar para incluir ou excluir esses locais da política.OPTIONALLY: If you have configured trusted locations or named locations, you can specify to include or exclude those locations from the policy.
  8. Em Concessão, verifique se o botão de opção Conceder acesso está selecionado.Under Grant, make sure the Grant access radio button is selected.
    • Marque a caixa para Exigir autenticação multifator.Check the box for Require multi-factor authentication.
    • Clique em Selecionar.Click Select.
  9. Ignore a seção Sessão.Skip the Session section.
  10. Defina a alternância Habilitar política para Ativado.Set the Enable policy toggle to On.
  11. Clique em Criar.Click Create.

Planejar a integração com sistemas locaisPlan integration with on-premises systems

Alguns aplicativos herdados e locais que não se autenticam diretamente no Azure AD exigem etapas adicionais para usar a MFA, incluindo:Some legacy and on-premises applications that do not authenticate directly against Azure AD require additional steps to use MFA including:

  • Aplicativos locais herdados, que precisarão usar o proxy de aplicativo.Legacy on-premises applications, which will need to use Application proxy.
  • Aplicativos RADIUS locais, que precisarão usar o adaptador MFA com o servidor NPS.On-premises RADIUS applications, which will need to use MFA adapter with NPS server.
  • Os aplicativos AD FS locais, que precisarão usar o adaptador MFA com AD FS 2016 ou mais recente.On-premises AD FS applications, which will need to use MFA adapter with AD FS 2016 or newer.

Aplicativos que se autenticam diretamente com o Azure AD e têm autenticação moderna (WS-enalimentado, SAML, OAuth, OpenID Connect) podem fazer uso de políticas de acesso condicional diretamente.Applications that authenticate directly with Azure AD and have modern authentication (WS-Fed, SAML, OAuth, OpenID Connect) can make use of Conditional Access policies directly.

Usar o Azure MFA com o Azure Proxy de Aplicativo do ADUse Azure MFA with Azure AD Application Proxy

Os aplicativos que residem localmente podem ser publicados em seu locatário do Azure AD por meio do azure proxy de aplicativo do AD e podem aproveitar a autenticação multifator do Azure se estiverem configurados para usar a pré-autenticação do Azure AD.Applications residing on-premises can be published to your Azure AD tenant via Azure AD Application Proxy and can take advantage of Azure Multi-Factor Authentication if they are configured to use Azure AD pre-authentication.

Esses aplicativos estão sujeitos a políticas de acesso condicional que impõem a autenticação multifator do Azure, assim como qualquer outro aplicativo integrado ao Azure AD.These applications are subject to Conditional Access policies that enforce Azure Multi-Factor Authentication, just like any other Azure AD-integrated application.

Da mesma forma, se a autenticação multifator do Azure for imposta para todas as entradas de usuário, os aplicativos locais publicados com o Azure Proxy de Aplicativo do AD serão protegidos.Likewise, if Azure Multi-Factor Authentication is enforced for all user sign-ins, on-premises applications published with Azure AD Application Proxy will be protected.

Integrando a autenticação multifator do Azure com o servidor de políticas de redeIntegrating Azure Multi-Factor Authentication with Network Policy Server

A extensão do Servidor de Políticas de Rede (NPS) para o Azure MFA adiciona recursos MFA baseados em nuvem à sua infraestrutura de autenticação usando os seus servidores existentes.The Network Policy Server (NPS) extension for Azure MFA adds cloud-based MFA capabilities to your authentication infrastructure using your existing servers. Com a extensão do NPS, você pode adicionar a verificação de chamada telefônica, mensagem de texto ou aplicativo de telefone ao seu fluxo de autenticação existente.With the NPS extension, you can add phone call, text message, or phone app verification to your existing authentication flow. Essa integração tem as seguintes limitações:This integration has the following limitations:

  • Com o protocolo CHAPv2, somente as notificações por push do aplicativo autenticador e a chamada de voz têm suporte.With the CHAPv2 protocol, only authenticator app push notifications and voice call are supported.
  • As políticas de acesso condicional não podem ser aplicadas.Conditional Access policies cannot be applied.

A extensão do NPS atua como um adaptador entre o RADIUS e o Azure MFA baseado em nuvem para fornecer um segundo fator de autenticação para proteger VPN, área de trabalho remota conexões de gatewayou outros aplicativos compatíveis com RADIUS.The NPS extension acts as an adapter between RADIUS and cloud-based Azure MFA to provide a second factor of authentication to protect VPN, Remote Desktop Gateway connections, or other RADIUS capable applications. Os usuários que se registram para o Azure MFA nesse ambiente serão desafiados em todas as tentativas de autenticação, a falta de políticas de acesso condicional significa que a MFA é sempre necessária.Users that register for Azure MFA in this environment will be challenged for all authentication attempts, the lack of Conditional Access policies means MFA is always required.

Implementando seu servidor NPSImplementing your NPS server

Se você já tiver uma instância do NPS implantada e em uso, a referência integrará sua infraestrutura de NPS existente com a autenticação multifator do Azure.If you have an NPS instance deployed and in use already, reference Integrate your existing NPS Infrastructure with Azure Multi-Factor Authentication. Se você estiver configurando o NPS pela primeira vez, consulte servidor de diretivas de rede (NPS) para obter instruções.If you are setting up NPS for the first time, refer to Network Policy Server (NPS) for instructions. As diretrizes de solução de problemas podem ser encontradas no artigo resolver mensagens de erro da extensão do NPS para a autenticação multifator do Azure.Troubleshooting guidance can be found in the article Resolve error messages from the NPS extension for Azure Multi-Factor Authentication.

Preparar o NPS para usuários que não estão registrados para MFAPrepare NPS for users that aren't enrolled for MFA

Escolha o que acontece quando os usuários que não estão registrados com o MFA tentam se autenticar.Choose what happens when users that aren’t enrolled with MFA try to authenticate. Use a configuração do registro REQUIRE_USER_MATCH no caminho do registro HKLM\Software\Microsoft\AzureMFA para controlar o comportamento do recurso.Use the registry setting REQUIRE_USER_MATCH in the registry path HKLM\Software\Microsoft\AzureMFA to control the feature behavior. Essa configuração tem uma única opção de configuração.This setting has a single configuration option.

ChaveKey ValorValue PadrãoDefault
REQUIRE_USER_MATCH TRUE/FALSETRUE / FALSE Não definido (equivalente a TRUE)Not set (equivalent to TRUE)

A finalidade dessa configuração é determinar o que fazer quando um usuário não estiver inscrito na MFA.The purpose of this setting is to determine what to do when a user is not enrolled for MFA. Os efeitos da alteração dessa configuração são listados na tabela a seguir.The effects of changing this setting are listed in the table below.

ConfiguraçõesSettings Status de MFA do usuárioUser MFA Status EfeitosEffects
A chave não existeKey does not exist Não registradoNot enrolled O desafio de MFA não foi bem-sucedidoMFA challenge is unsuccessful
Valor definido como True/not setValue set to True / not set Não registradoNot enrolled O desafio de MFA não foi bem-sucedidoMFA challenge is unsuccessful
Chave definida como FalseKey set to False Não registradoNot enrolled Autenticação sem MFAAuthentication without MFA
Chave definida como Falsa ou TrueKey set to False or True RegistradoEnrolled Deve autenticar com MFAMust authenticate with MFA

Integrar com o Serviços de Federação do Active Directory (AD FS)Integrate with Active Directory Federation Services

Se sua organização for federada com o Azure AD, você poderá usar a autenticação multifator do Azure para proteger AD FS recursos, tanto localmente quanto na nuvem.If your organization is federated with Azure AD, you can use Azure Multi-Factor Authentication to secure AD FS resources, both on-premises and in the cloud. O Azure MFA permite que você reduza as senhas e forneça uma maneira mais segura de autenticar.Azure MFA enables you to reduce passwords and provide a more secure way to authenticate. A partir do Windows Server 2016, agora você pode configurar o Azure MFA para autenticação primária.Starting with Windows Server 2016, you can now configure Azure MFA for primary authentication.

Ao contrário do AD FS no Windows Server 2012 R2, o adaptador do Azure MFA AD FS 2016 é integrado diretamente ao Azure AD e não requer um servidor Azure MFA local.Unlike with AD FS in Windows Server 2012 R2, the AD FS 2016 Azure MFA adapter integrates directly with Azure AD and does not require an on-premises Azure MFA server. O adaptador do Azure MFA é integrado ao Windows Server 2016 e não há necessidade de uma instalação adicional.The Azure MFA adapter is built into Windows Server 2016, and there is no need for an additional installation.

Ao usar o Azure MFA com AD FS 2016 e o aplicativo de destino está sujeito à política de acesso condicional, há considerações adicionais:When using Azure MFA with AD FS 2016 and the target application is subject to Conditional Access policy, there are additional considerations:

  • O acesso condicional está disponível quando o aplicativo é uma terceira parte confiável do Azure AD, federado com AD FS 2016 ou mais recente.Conditional Access is available when the application is a relying party to Azure AD, federated with AD FS 2016 or newer.
  • O acesso condicional não está disponível quando o aplicativo é uma terceira parte confiável para AD FS 2016 ou AD FS 2019 e é gerenciado ou federado com AD FS 2016 ou AD FS 2019.Conditional Access is not available when the application is a relying party to AD FS 2016 or AD FS 2019 and is managed or federated with AD FS 2016 or AD FS 2019.
  • O acesso condicional também não está disponível quando AD FS 2016 ou AD FS 2019 está configurado para usar o Azure MFA como o método de autenticação principal.Conditional Access is also not available when AD FS 2016 or AD FS 2019 is configured to use Azure MFA as the primary authentication method.

Log de AD FSAD FS logging

O log padrão AD FS 2016 e 2019 no log de segurança do Windows e no log de administração do AD FS, contém informações sobre solicitações de autenticação e seu êxito ou falha.Standard AD FS 2016 and 2019 logging in both the Windows Security Log and the AD FS Admin log, contains information about authentication requests and their success or failure. Os dados do log de eventos dentro desses eventos indicarão se o Azure MFA foi usado.Event log data within these events will indicate whether Azure MFA was used. Por exemplo, um AD FS ID de evento 1200 de auditoria pode conter:For example, an AD FS Auditing Event ID 1200 may contain:

<MfaPerformed>true</MfaPerformed>
<MfaMethod>MFA</MfaMethod>

Renovar e gerenciar certificadosRenew and manage certificates

Em cada servidor de AD FS, no computador local meu repositório, haverá um certificado do Azure MFA autoassinado intitulado OU = Microsoft AD FS Azure MFA, que contém a data de expiração do certificado.On each AD FS server, in the local computer My Store, there will be a self-signed Azure MFA certificate titled OU=Microsoft AD FS Azure MFA, which contains the certificate expiration date. Verifique o período de validade deste certificado em cada servidor de AD FS para determinar a data de validade.Check the validity period of this certificate on each AD FS server to determine the expiration date.

Se o período de validade de seus certificados estiver se aproximando da expiração, gere e verifique um novo certificado MFA em cada servidor de AD FS.If the validity period of your certificates is nearing expiration, generate and verify a new MFA certificate on each AD FS server.

As diretrizes a seguir detalham como gerenciar os certificados do Azure MFA em seus servidores de AD FS.The following guidance details how to manage the Azure MFA certificates on your AD FS servers. Quando você configura AD FS com o Azure MFA, os certificados gerados por meio do cmdlet New-AdfsAzureMfaTenantCertificate do PowerShell são válidos por 2 anos.When you configure AD FS with Azure MFA, the certificates generated via the New-AdfsAzureMfaTenantCertificate PowerShell cmdlet are valid for 2 years. Renove e instale os certificados renovados antes da expiração para Ovoid interrupções no serviço MFA.Renew and install the renewed certificates prior to expiration to ovoid disruptions in MFA service.

Implementar seu planoImplement your plan

Agora que você planejou sua solução, poderá implementar o seguindo as etapas abaixo:Now that you have planned your solution, you can implement by following the steps below:

  1. Atender a todos os pré-requisitos necessáriosMeet any necessary prerequisites
    1. Implantar Azure ad Connect para cenários híbridosDeploy Azure AD Connect for any hybrid scenarios
    2. Implantar proxy de aplicativo do AD do Azure para em qualquer aplicativo local publicado para acesso à nuvemDeploy Azure AD Application Proxy for on any on-premises apps published for cloud access
    3. Implantar o NPS para qualquer autenticação RADIUSDeploy NPS for any RADIUS authentication
    4. Verifique se os usuários atualizaram para as versões com suporte do Microsoft Office com a autenticação moderna habilitadaEnsure users have upgraded to supported versions of Microsoft Office with modern authentication enabled
  2. Configurar métodos de autenticação escolhidosConfigure chosen authentication methods
  3. Definir seus locais de rede nomeadosDefine your named network locations
  4. Selecione grupos para começar a distribuir a MFA.Select groups to begin rolling out MFA.
  5. Configurar suas políticas de acesso condicionalConfigure your Conditional Access policies
  6. Configurar sua política de registro de MFAConfigure your MFA registration policy
    1. MFA e SSPR combinadasCombined MFA and SSPR
    2. Com a proteção de identidadeWith Identity Protection
  7. Enviar comunicações do usuário e fazer com que os usuários se registrem em https://aka.ms/mfasetupSend user communications and get users to enroll at https://aka.ms/mfasetup
  8. Controlar quem está registradoKeep track of who’s enrolled

Dica

Os usuários de nuvem governamental podem se registrar em https://aka.ms/GovtMFASetupGovernment cloud users can enroll at https://aka.ms/GovtMFASetup

Gerenciar sua soluçãoManage your solution

Relatórios para o Azure MFAReports for Azure MFA

A autenticação multifator do Azure fornece relatórios por meio do portal do Azure:Azure Multi-Factor Authentication provides reports through the Azure portal:

RelateReport LocalLocation DescriptionDescription
Alertas de fraudes e usoUsage and fraud alerts Microsoft Azure AD > EntradasAzure AD > Sign-ins Fornece informações sobre o uso geral, resumo do usuário e detalhes do usuário, assim como um histórico de alertas de fraude enviados durante o intervalo de datas especificado.Provides information on overall usage, user summary, and user details; as well as a history of fraud alerts submitted during the date range specified.

Solucionar problemas de MFATroubleshoot MFA issues

Encontre soluções para problemas comuns com o Azure MFA no artigo solução de problemas da autenticação multifator do Azure no centro de suporte da Microsoft.Find solutions for common issues with Azure MFA at the Troubleshooting Azure Multi-Factor Authentication article on the Microsoft Support Center.

Próximos passosNext steps