Tutorial: Proteger eventos de entrada do usuário com a Autenticação Multifator do AzureTutorial: Secure user sign-in events with Azure Multi-Factor Authentication

A MFA (autenticação multifator) é um processo em que um usuário é solicitado durante um evento de entrada para formas adicionais de identificação.Multi-factor authentication (MFA) is a process where a user is prompted during a sign-in event for additional forms of identification. Esse prompt pode ser o de inserir um código no celular ou fornecer uma digitalização de impressão digital.This prompt could be to enter a code on their cellphone or to provide a fingerprint scan. Quando você precisar de uma segunda forma de autenticação, a segurança será aprimorada, pois esse fator adicional não será algo fácil de ser obtido ou duplicado por um invasor.When you require a second form of authentication, security is increased as this additional factor isn't something that's easy for an attacker to obtain or duplicate.

As políticas de Acesso Condicional e Autenticação Multifator do Azure oferecem a flexibilidade para habilitar a MFA para usuários durante eventos de entrada específicos.Azure Multi-Factor Authentication and Conditional Access policies give the flexibility to enable MFA for users during specific sign-in events.

Importante

Este tutorial mostra a um administrador como habilitar a Autenticação Multifator do Azure.This tutorial shows an administrator how to enable Azure Multi-Factor Authentication.

Se a sua equipe de TI não tiver habilitado a capacidade de usar a Autenticação Multifator do Azure ou se você tiver problemas durante a entrada, entre em contato com o suporte técnico para obter assistência adicional.If your IT team hasn't enabled the ability to use Azure Multi-Factor Authentication or you have problems during sign-in, reach out to your helpdesk for additional assistance.

Neste tutorial, você aprenderá a:In this tutorial you learn how to:

  • Criar uma política de Acesso Condicional para habilitar a Autenticação Multifator do Microsoft Azure para um grupo de usuáriosCreate a Conditional Access policy to enable Azure Multi-Factor Authentication for a group of users
  • Configurar as condições de política que solicitam MFAConfigure the policy conditions that prompt for MFA
  • Testar o processo de MFA como um usuárioTest the MFA process as a user

Pré-requisitosPrerequisites

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:To complete this tutorial, you need the following resources and privileges:

  • Um locatário de trabalho do Azure AD com Azure AD Premium ou uma licença de avaliação habilitada.A working Azure AD tenant with Azure AD Premium or trial license enabled.
  • Uma conta com privilégios de administrador global.An account with global administrator privileges.
  • Um usuário que não seja administrador com uma senha que você conheça, como testuser.A non-administrator user with a password you know, such as testuser. Você testa a experiência de Autenticação Multifator do Microsoft Azure usando essa conta neste tutorial.You test the end-user Azure Multi-Factor Authentication experience using this account in this tutorial.
  • Um grupo do qual o usuário não administrador seja membro, como MFA-Test-Group.A group that the non-administrator user is a member of, such as MFA-Test-Group. Você habilita a Autenticação Multifator do Azure para este grupo neste tutorial.You enable Azure Multi-Factor Authentication for this group in this tutorial.

Criar uma política de Acesso CondicionalCreate a Conditional Access policy

A maneira recomendada de habilitar e usar a Autenticação Multifator do Azure é com políticas de Acesso Condicional.The recommended way to enable and use Azure Multi-Factor Authentication is with Conditional Access policies. O Acesso Condicional permite criar e definir políticas que reagem à entrada de eventos e solicitam ações adicionais antes que um usuário tenha acesso a um aplicativo ou serviço.Conditional Access lets you create and define policies that react to sign in events and request additional actions before a user is granted access to an application or service.

Diagrama de visão geral de como o Acesso Condicional funciona para proteger o processo de entrada

As políticas de Acesso Condicional podem ser granulares e específicas, com o objetivo de capacitar os usuários a serem produtivos onde e quando quer que seja, mas também proteger sua organização.Conditional Access policies can be granular and specific, with the goal to empower users to be productive wherever and whenever, but also protect your organization. Neste tutorial, vamos criar uma política básica de Acesso Condicional para solicitar a MFA quando um usuário entrar no portal do Azure.In this tutorial, let's create a basic Conditional Access policy to prompt for MFA when a user signs in to the Azure portal. Em um tutorial posterior desta série, você configura a Autenticação Multifator do Azure usando uma política de Acesso Condicional com base em risco.In a later tutorial in this series, you configure Azure Multi-Factor Authentication using a risk-based Conditional Access policy.

Primeiro, crie uma política de Acesso Condicional e atribua seu grupo de usuários de teste da seguinte maneira:First, create a Conditional Access policy and assign your test group of users as follows:

  1. Entre no portal do Azure usando uma conta com permissões de administrador global.Sign in to the Azure portal using an account with global administrator permissions.

  2. Procure e selecione Azure Active Directory. Em seguida, escolha Segurança no menu no lado esquerdo.Search for and select Azure Active Directory, then choose Security from the menu on the left-hand side.

  3. Selecione Acesso Condicional e, em seguida, escolha + Nova política.Select Conditional Access, then choose + New policy.

  4. Insira um nome para a política, como Piloto de MFA .Enter a name for the policy, such as MFA Pilot.

  5. Em Atribuições, escolha Usuários e grupos e, em seguida, o botão de opção Selecionar usuários e grupos.Under Assignments, choose Users and groups, then the Select users and groups radio button.

  6. Marque a caixa Usuários e grupos e Selecionar para procurar os usuários e grupos disponíveis do Azure AD.Check the box for Users and groups, then Select to browse the available Azure AD users and groups.

  7. Procure e selecione um grupo do Azure AD, como MFA-Test-Group, e escolha Selecionar.Browse for and select your Azure AD group, such as MFA-Test-Group, then choose Select.

  8. Para aplicar a política de Acesso Condicional ao grupo, selecione Concluído.To apply the Conditional Access policy for the group, select Done.

Configurar as condições para a autenticação multifatorConfigure the conditions for multi-factor authentication

Com a política de Acesso Condicional criada e um grupo de teste de usuários atribuído, agora defina os aplicativos ou ações na nuvem que acionam a política.With the Conditional Access policy created and a test group of users assigned, now define the cloud apps or actions that trigger the policy. Esses aplicativos ou ações na nuvem são os cenários que você decide que requerem processamento adicional, como solicitar MFA.These cloud apps or actions are the scenarios you decide require additional processing, such as to prompt for MFA. Por exemplo, você pode decidir que o acesso a um aplicativo financeiro ou o uso de ferramentas de gerenciamento requer um prompt de verificação adicional.For example, you could decide that access to a financial application or use of management tools requires as an additional verification prompt.

Neste tutorial, configure a política de Acesso Condicional para exigir MFA quando um usuário entrar no portal do Azure.For this tutorial, configure the Conditional Access policy to require MFA when a user signs in to the Azure portal.

  1. Selecione Aplicativos na nuvem ou ações.Select Cloud apps or actions. Você pode optar por aplicar a política de acesso condicional a Todos os aplicativos em nuvem ou Selecionar aplicativos.You can choose to apply the Conditional Access policy to All cloud apps or Select apps. Para fornecer flexibilidade, você também pode excluir certos aplicativos da política.To provide flexibility, you can also exclude certain apps from the policy.

    Neste tutorial, na página Incluir, escolha o botão de opção Selecionar aplicativos.For this tutorial, on the Include page, choose the Select apps radio button.

  2. Escolha Selecionar e procure a lista de eventos de entrada disponíveis que podem ser usados.Choose Select, then browse the list of available sign-in events that can be used.

    Neste tutorial, escolha Gerenciamento do Microsoft Azure para que a política se aplique aos eventos de entrada no portal do Azure.For this tutorial, choose Microsoft Azure Management so the policy applies to sign-in events to the Azure portal.

  3. Para aplicar os aplicativos selecionados, escolha Selecionar e Concluído.To apply the select apps, choose Select, then Done.

    Selecione o aplicativo Gerenciamento do Microsoft Azure para incluir na política de Acesso Condicional

Os controles de acesso permitem definir os requisitos para a concessão de acesso ao usuário, como a necessidade de um aplicativo cliente aprovado ou o uso de um dispositivo em que o Azure AD Híbrido ingressou.Access controls let you define the requirements for a user to be granted access, such as needing an approved client app or using a device that's Hybrid Azure AD joined. Neste tutorial, configure os controles de acesso para exigir MFA durante um evento de entrada para o portal do Azure.In this tutorial, configure the access controls to require MFA during a sign-in event to the Azure portal.

  1. Em Controles de acesso, escolha Conceder e, em seguida, verifique se o botão de opção Conceder acesso está selecionado.Under Access controls, choose Grant, then make sure the Grant access radio button is selected.
  2. Marque a caixa de seleção Exigir autenticação multifator e escolha Selecionar.Check the box for Require multi-factor authentication, then choose Select.

As políticas de acesso condicional poderão ser definidas como Somente relatório se você quiser ver como a configuração afetaria os usuários ou Desativada se não desejar a política de uso no momento.Conditional Access policies can be set to Report-only if you want to see how the configuration would impact users, or Off if you don't want to the use policy right now. Como um grupo de usuários de teste foi direcionado para este tutorial, vamos habilitar a política e testar a Autenticação Multifator do Azure.As a test group of users was targeted for this tutorial, lets enable the policy and then test Azure Multi-Factor Authentication.

  1. Defina a alternância Habilitar política para Ativado.Set the Enable policy toggle to On.
  2. Para aplicar a política de Acesso Condicional selecione Criar.To apply the Conditional Access policy, select Create.

Testar a Autenticação Multifator do Microsoft AzureTest Azure Multi-Factor Authentication

Vamos ver sua política de Acesso Condicional e a Autenticação Multifator do Azure em ação.Let's see your Conditional Access policy and Azure Multi-Factor Authentication in action. Primeiro, entre em um recurso que não requer MFA, da seguinte maneira:First, sign in to a resource that doesn't require MFA as follows:

  1. Abra uma nova janela do navegador no modo InPrivate ou incógnito e navegue até https://account.activedirectory.windowsazure.comOpen a new browser window in InPrivate or incognito mode and browse to https://account.activedirectory.windowsazure.com
  2. Entre com seu usuário de teste não administrador, como testuser.Sign in with your non-administrator test user, such as testuser. Não há nenhum prompt para você concluir a MFA.There's no prompt for you to complete MFA.
  3. Feche a janela do navegador.Close the browser window.

Agora, entre no portal do Azure.Now sign in to the Azure portal. Como o portal do Azure foi configurado na política de Acesso Condicional para exigir verificação adicional, você recebe um prompt de Autenticação Multifator do Azure.As the Azure portal was configured in the Conditional Access policy to require additional verification, you get an Azure Multi-Factor Authentication prompt.

  1. Abra uma nova janela do navegador no modo InPrivate ou incógnito e navegue até https://portal.azure.com.Open a new browser window in InPrivate or incognito mode and browse to https://portal.azure.com.

  2. Entre com seu usuário de teste não administrador, como testuser.Sign in with your non-administrator test user, such as testuser. Você é solicitado a se registrar e usar a Autenticação Multifator do Microsoft Azure.You're required to register for and use Azure Multi-Factor Authentication. Siga os prompts para concluir o processo e verifique se você se inscreveu com êxito no portal do Azure.Follow the prompts to complete the process and verify you successfully sign in to the Azure portal.

    Siga os prompts do navegador e, em seguida, no prompt de autenticação multifator registrado, faça login

  3. Feche a janela do navegador.Close the browser window.

Limpar os recursosClean up resources

Se você não quiser mais usar a política de Acesso Condicional para habilitar a Autenticação Multifator do Azure configurada como parte deste tutorial, exclua a política seguindo as etapas:If you no longer want to use the Conditional Access policy to enable Azure Multi-Factor Authentication configured as part of this tutorial, delete the policy using the following steps:

  1. Entre no portal do Azure.Sign in to the Azure portal.
  2. Procure e selecione Azure Active Directory. Em seguida, escolha Segurança no menu no lado esquerdo.Search for and select Azure Active Directory, then choose Security from the menu on the left-hand side.
  3. Selecione Acesso condicional e escolha a política que você criou, como Pilot de MFASelect Conditional access, then choose the policy you created, such as MFA Pilot
  4. Escolha Excluir, em seguida, confirme que deseja excluir a política.Choose Delete, then confirm you wish to delete the policy.

Próximas etapasNext steps

Neste tutorial, você habilitou a Autenticação Multifator do Azure usando políticas de Acesso Condicional para um grupo selecionado de usuários.In this tutorial, you enabled Azure Multi-Factor Authentication using Conditional Access policies for a selected group of users. Você aprendeu a:You learned how to:

  • Criar uma política de Acesso Condicional para habilitar a Autenticação Multifator do Microsoft Azure para um grupo de usuários do Azure ADCreate a Conditional Access policy to enable Azure Multi-Factor Authentication for a group of Azure AD users
  • Configurar as condições de política que solicitam MFAConfigure the policy conditions that prompt for MFA
  • Testar o processo de MFA como um usuárioTest the MFA process as a user