Configurar o Servidor de Autenticação Multifator do Azure para trabalhar com o AD FS 2.0

Este artigo é para organizações que estão federadas com o Microsoft Entra ID e desejam proteger recursos locais ou na nuvem. Proteja seus recursos usando o Servidor de Autenticação Multifator do Azure e configure-o para trabalhar com o AD FS para que a verificação em duas etapas seja disparada para pontos de extremidade de alto valor.

Esta documentação aborda como usar o Servidor de Autenticação Multifator do Azure com o AD FS 2.0. Para saber mais sobre o AD FS, veja Proteger recursos de nuvem e locais usando o Servidor de Autenticação Multifator do Azure com o Windows Server.

Importante

Em setembro de 2022, a Microsoft anunciou a reprovação do Servidor de Autenticação Multifator do Azure AD. A partir de 30 de setembro de 2024, as implantações do Servidor de Autenticação Multifator do Microsoft Azure não atenderão mais às solicitações de autenticação multifator, o que poderá causar falhas de autenticação na sua organização. Para garantir serviços de autenticação ininterruptos e que eles permaneçam em um estado com suporte, as organizações devem migrar os dados de autenticação dos usuários para o serviço de autenticação multifator do Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização do Servidor de Autenticação Multifator do Microsoft Azure mais recente. Para mais informações, confira Migração do Servidor de Autenticação Multifator do Azure.

Para começar a usar a MFA baseada em nuvem, confira o Tutorial: proteger acessos do usuário com a autenticação multifator do Azure.

Se você usar a MFA baseada em nuvem, confira Proteger recursos de nuvem com a autenticação multifator do Azure e o AD FS.

Os clientes existentes que ativaram o Servidor de MFA antes de 1º de julho de 2019 podem baixar a versão mais recente, atualizações futuras e gerar credenciais de ativação como de costume.

Proteger o AD FS 2.0 com um proxy

Para proteger o AD FS 2.0 com um proxy, instale o Servidor de Autenticação Multifator do Azure no servidor proxy do AD FS.

Configurar a autenticação IIS

1. No Servidor de Autenticação Multifator do Azure, clique no ícone de Autenticação do IIS no menu esquerdo.

2. Clique na guia Baseado em Formulário.

3. Clique em Adicionar.

   

4. Para detectar o nome do usuário, a senha e as variáveis de domínio automaticamente, insira a URL de logon (como https://sso.contoso.com/adfs/ls) na caixa de diálogo Configurar Automaticamente Site Baseado em Formulário e clique em OK.

5. Marque a caixa correspondente a Exigir correspondência de usuário de autenticação multifator do Microsoft Azure se todos os usuários tiverem sido ou forem importados para o servidor e estiverem sujeitos à verificação em duas etapas. Se um número significativo de usuários ainda não tiver sido importado no Servidor e/ou for isentado da verificação em duas etapas, deixe a caixa desmarcada.

6. Se as variáveis da página não puderem ser detectadas automaticamente, clique no botão Especificar Manualmente... na caixa de diálogo Configurar Automaticamente Site Baseado em Formulário.

7. Na caixa de diálogo Adicionar Site Baseado em Formulário, digite a URL para a página de logon AD FS no campo URL de envio (como https://sso.contoso.com/adfs/ls) e digite um nome de aplicativo (opcional). O nome do aplicativo aparece nos relatórios da autenticação multifator do Azure e pode ser exibido nas mensagens de autenticação por SMS ou Aplicativo Móvel.

8. Defina o formato da solicitação como POST ou GET.

9. Insira a variável do Nome do usuário (ctl00$ContentPlaceHolder1$UsernameTextBox) e a variável da Senha (ctl00$ContentPlaceHolder1$PasswordTextBox). Se a página de logon baseada em formulário exibir uma caixa de texto de domínio, insira a variável do domínio também. Para localizar os nomes das caixas de entrada na página de logon, vá até a página de logon em um navegador da Web, clique com o botão direito do mouse na página e selecione Exibir Fonte.

10. Marque a caixa correspondente a Exigir correspondência de usuário de autenticação multifator do Microsoft Azure se todos os usuários tiverem sido ou forem importados para o servidor e estiverem sujeitos à verificação em duas etapas. Se um número significativo de usuários ainda não tiver sido importado no Servidor e/ou for isentado da verificação em duas etapas, deixe a caixa desmarcada.

    

11. Clique em Avançado… para examinar as configurações avançadas, incluindo: As configurações que você pode definir incluem:

    • Selecionar um arquivo de página de negação personalizado
    • Armazenar em cache as autenticações bem-sucedidas no site usando cookies
    • Selecionar como deseja autenticar as credenciais principais

12. Como não há probabilidade de o servidor proxy do AD FS se unir ao domínio, você pode usar LDAP para se conectar ao seu controlador de domínio para importação de usuário e pré-autenticação. Na caixa de diálogo Site Avançado Baseado em Formulário, clique na guia Autenticação Primária e selecione Associação LDAP para o tipo de autenticação Pré-autenticação.

13. Ao concluir, clique em OK para retornar à caixa de diálogo Adicionar Site Baseado em Formulário.

14. Clique em OK para fechar a caixa de diálogo.

15. Depois que as variáveis de URL e página forem detectadas ou inseridas, os dados do site serão exibidos no painel Baseado em Formulário.

16. Clique na guia Módulo Nativo e selecione o servidor, o site em que proxy do AD FS está em execução (como "Site Padrão") ou o aplicativo de proxy do AD FS (como "ls" em "adfs") para habilitar o plug-in do IIS no nível desejado.

17. Clique na caixa Habilitar autenticação do IIS na parte superior da tela.

Agora, a autenticação do IIS está habilitada.

Configurar a integração de diretório

Você habilitou a autenticação do IIS, mas para executar a pré-autenticação no AD (Active Directory) via LDAP, você deve configurar a conexão LDAP com o controlador de domínio.

1. Clique no ícone de Integração de Diretório.

2. Na guia Configurações, selecione o botão de opção Usar configuração de LDAP específica.

   

3. Clique em Editar.

4. Na caixa de diálogo Editar Configuração de LDAP, popule os campos com as informações exigidas para se conectar ao controlador de domínio do AD.

5. Teste a conexão LDAP clicando no botão Testar.

   

6. Se o teste de conexão LDAP tiver sido bem-sucedido, clique no botão OK.

Definir configurações da empresa

1. Em seguida, clique no ícone de Configurações da Empresa e selecione a guia Resolução de Nome de Usuário.
2. Selecione o botão de opção Usar atributo de identificador exclusivo LDAP para correspondência de nomes de usuário.
3. Se os usuários inserirem seu nome de usuário no formato "domínio\nomedeusuário", o servidor precisará ser capaz de retirar o domínio de nome de usuário quando criar a consulta LDAP, o que pode ser feito por meio de uma configuração de registro.
4. Abra o editor de registro e vá para HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Positive Networks/PhoneFactor em um servidor de 64 bits. Se você usar um servidor de 32 bits, remova /Wow6432Node do caminho. Crie uma chave de registro DWORD chamada "UsernameCxz_stripPrefixDomain" e defina o valor para 1. Agora a autenticação multifator do Azure está protegendo o proxy do AD FS.

Verifique se os usuários foram importados do Active Directory para o Servidor. Para permitir que os usuários ignorem a verificação em duas etapas de endereços IP internos, consulte os IPs confiáveis.

AD FS 2.0 Direct sem um proxy

Você pode proteger o AD FS quando o proxy do AD FS não é usado. Instale o Servidor de Autenticação Multifator do Azure no servidor do AD FS e configure o servidor de acordo com as etapas a seguir:

1. No Servidor de Autenticação Multifator do Microsoft Azure, clique no ícone de Autenticação IIS no menu esquerdo.

2. Clique na guia HTTP.

3. Clique em Adicionar.

4. Na caixa de diálogo Adicionar URL Base, insira a URL do site do AD FS onde a autenticação HTTP é executada (como https://sso.domain.com/adfs/ls/auth/integrated) no campo URL Base. Em seguida, insira um nome de aplicativo (opcional). O nome do aplicativo aparece nos relatórios da autenticação multifator do Azure e pode ser exibido nas mensagens de autenticação por SMS ou Aplicativo Móvel.

5. Se desejar, ajuste o Tempo limite de ociosidade e o Tempo máximo da sessão.

6. Marque a caixa correspondente a Exigir correspondência de usuário de autenticação multifator do Microsoft Azure se todos os usuários tiverem sido ou forem importados para o servidor e estiverem sujeitos à verificação em duas etapas. Se um número significativo de usuários ainda não tiver sido importado no Servidor e/ou for isentado da verificação em duas etapas, deixe a caixa desmarcada.

7. Marque a caixa de cache de cookie se desejado.

   

8. Clique em OK.

9. Clique na guia Módulo Nativo e selecione o servidor, o site (como "Site Padrão") ou o aplicativo do AD FS (como "ls" em "adfs") para habilitar o plug-in do IIS no nível desejado.

10. Clique na caixa Habilitar autenticação do IIS na parte superior da tela.

Agora a autenticação multifator do Azure está protegendo o AD FS.

Verifique se os usuários foram importados do Active Directory no Servidor. Consulte a próxima seção se você deseja permitir endereços IP internos para que a verificação em duas etapas não seja necessária ao entrar no site a partir dessas localizações.

IPs confiáveis

Os IPs Confiáveis permitem que os usuários ignorem a autenticação multifator do Azure para solicitações de site que se originam de sub-redes ou endereços IP específicos. Por exemplo, convém isentar os usuários da verificação em duas etapas quando eles entrarem por meio do Office. Para isso, você especifica a sub-rede do escritório como uma entrada de IPs Confiáveis.

Para configurar IPs confiáveis

1. Na seção Autenticação IIS, clique na guia IPs Confiáveis.
2. Clique no botão Adicionar...
3. Quando a caixa de diálogo Adicionar IPs Confiáveis aparecer, selecione o botão de opção IP Único, Intervalo de IP ou Sub-rede.
4. Insira o endereço IP, o intervalo dos endereços IP ou a sub-rede que devem ser permitidos. Ao inserir uma sub-rede, selecione a Máscara de rede apropriada e clique no botão OK.