Introdução ao Servidor Multi-Factor Authentication do Azure

Esta página abrange uma nova instalação do servidor e a configuração da mesma com o Active Directory no local. Se já tiver o servidor MFA instalado e se pretender atualizar, veja Atualizar para o servidor Multi-Factor Authentication mais recente do Azure. Se quiser informações sobre como instalar apenas o serviço Web, veja Implementar o Serviço Web de Aplicações Móveis do Servidor Multi-Factor Authentication do Azure.

Importante

Em setembro de 2022, a Microsoft anunciou a descontinuação do Azure Multi-Factor Authentication Server. A partir de 30 de setembro de 2024, as implantações do Servidor Azure Multi-Factor Authentication não atenderão mais às solicitações de autenticação multifator, o que pode fazer com que as autenticações falhem para sua organização. Para garantir serviços de autenticação ininterruptos e permanecer em um estado com suporte, as organizações devem migrar os dados de autenticação de seus usuários para o serviço de autenticação multifator Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização mais recente do Servidor de Autenticação Multifator do Azure. Para obter mais informações, consulte Migração do servidor Azure Multi-Factor Authentication.

Para começar a usar a MFA baseada em nuvem, consulte Tutorial: Eventos de entrada de usuário seguro com a autenticação multifator do Azure.

Planear a sua implementação

Antes de transferir o Servidor Multi-Factor Authentication do Azure, considere quais são os seus requisitos de elevada disponibilidade e carga. Utilize estas informações para decidir como e onde implementar.

Uma boa diretriz para a quantidade de memória que você precisa é o número de usuários que você espera autenticar regularmente.

Utilizadores	RAM
1-10,000	4 GB
10,001-50,000	8 GB
50,001-100,000	12 GB
100,000-200,001	16 GB
200,001+	32 GB

Precisa de configurar múltiplos servidores para elevada disponibilidade ou balanceamento de carga? Há muitas maneiras de configurar essa configuração com o Servidor Azure Multi-Factor Authentication. Quando você instala seu primeiro Servidor Azure Multi-Factor Authentication, ele se torna o mestre. Quaisquer outros servidores tornam-se subordinados e sincronizam automaticamente os usuários e a configuração com o mestre. Em seguida, pode configurar um servidor primário e os restantes agem como reserva ou pode configurar o balanceamento de carga entre todos os servidores.

Quando um Servidor Multi-Factor Authentication mestre do Azure fica offline, os servidores subordinados ainda podem processar solicitações de verificação em duas etapas. No entanto, não pode adicionar novos utilizadores e os já existentes não podem atualizar as respetivas definições até que o principal esteja novamente online ou seja promovido um subordinado.

Preparar o ambiente

Verifique se o servidor que você está usando para a autenticação multifator do Azure atende aos seguintes requisitos.

Requisitos do Servidor Multi-Factor Authentication do Azure	Description
Hardware	200 MB de espaço no disco rígido processador com capacidade de 32 ou 64 bits 1 GB de RAM ou superior
Software	Windows Server 20221 Windows Server 20191 Windows Server 2016 Windows Server 2012 R2 2012 Windows Server Windows Server 2008/R2 (apenas com ESU ) Windows 10 Windows 8.1, todas as edições Windows 8, todas as edições Windows 7, todas as edições (apenas com ESU ) Microsoft .NET 4.0 Framework O IIS 7.0 ou superior, se estiver a instalar o portal de utilizador ou o SDK do serviço Web
Permissões	Conta de Administrador de Domínio ou Administrador Empresarial para se registar no Ative Directory

1 Se o Servidor Azure Multi-Factor Authentication não conseguir ativar em uma VM do Azure que execute o Windows Server 2019 ou posterior, tente usar uma versão anterior do Windows Server.

Componentes do Servidor Azure Multi-Factor Authentication

Há três componentes Web que compõem o Servidor Azure Multi-Factor Authentication:

• SDK do serviço Web - Permite a comunicação com os outros componentes e é instalado no servidor de aplicativos de autenticação multifator Microsoft Entra
• Portal do usuário - Um site do IIS que permite que os usuários se inscrevam na autenticação multifator do Azure e mantenham suas contas.
• Serviço Web da Aplicação Móvel - permite utilizar uma aplicação móvel, como a aplicação Microsoft Authenticator para verificação de dois passos.

Os três componentes podem ser instalados no mesmo servidor, se o servidor tiver acesso à Internet. Se dividir os componentes, o SDK do Serviço Web será instalado no servidor de aplicativos de autenticação multifator do Microsoft Entra e o Portal do Usuário e o Serviço Web do Aplicativo Móvel serão instalados em um servidor voltado para a Internet.

Requisitos da firewall do Servidor Multi-Factor Authentication do Azure

Cada servidor MFA tem de conseguir comunicar na porta 443 de saída com os seguintes endereços:

• https://pfd.phonefactor.net
• https://pfd2.phonefactor.net
• https://css.phonefactor.net

Se as firewalls de saída estiverem restritas na porta 443, abra os seguintes intervalos de endereços IP:

Subrede IP	Máscara de rede	Intervalo de IP
134.170.116.0/25	255.255.255.128	134.170.116.1 – 134.170.116.126
134.170.165.0/25	255.255.255.128	134.170.165.1 – 134.170.165.126
70.37.154.128/25	255.255.255.128	70.37.154.129 – 70.37.154.254
52.251.8.48/28	255.255.255.240	52.251.8.48 - 52.251.8.63
52.247.73.160/28	255.255.255.240	52.247.73.160 - 52.247.73.175
52.159.5.240/28	255.255.255.240	52.159.5.240 - 52.159.5.255
52.159.7.16/28	255.255.255.240	52.159.7.16 - 52.159.7.31
52.250.84.176/28	255.255.255.240	52.250.84.176 - 52.250.84.191
52.250.85.96/28	255.255.255.240	52.250.85.96 - 52.250.85.111

Se não estiver a utilizar a funcionalidade Confirmação de Eventos e os seus utilizadores não estiverem a utilizar aplicações móveis para verificar a partir de dispositivos na rede empresarial, só precisa dos seguintes intervalos:

Subrede IP	Máscara de rede	Intervalo de IP
134.170.116.72/29	255.255.255.248	134.170.116.72 – 134.170.116.79
134.170.165.72/29	255.255.255.248	134.170.165.72 – 134.170.165.79
70.37.154.200/29	255.255.255.248	70.37.154.201 – 70.37.154.206
52.251.8.48/28	255.255.255.240	52.251.8.48 - 52.251.8.63
52.247.73.160/28	255.255.255.240	52.247.73.160 - 52.247.73.175
52.159.5.240/28	255.255.255.240	52.159.5.240 - 52.159.5.255
52.159.7.16/28	255.255.255.240	52.159.7.16 - 52.159.7.31
52.250.84.176/28	255.255.255.240	52.250.84.176 - 52.250.84.191
52.250.85.96/28	255.255.255.240	52.250.85.96 - 52.250.85.111

Transferir o Servidor MFA

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Siga estas etapas para baixar o Servidor Azure Multi-Factor Authentication:

Importante

Em setembro de 2022, a Microsoft anunciou a descontinuação do Azure Multi-Factor Authentication Server. A partir de 30 de setembro de 2024, as implantações do Servidor Azure Multi-Factor Authentication não atenderão mais às solicitações de autenticação multifator, o que pode fazer com que as autenticações falhem para sua organização. Para garantir serviços de autenticação ininterruptos e permanecer em um estado com suporte, as organizações devem migrar os dados de autenticação de seus usuários para o serviço de autenticação multifator Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização mais recente do Servidor de Autenticação Multifator do Azure. Para obter mais informações, consulte Migração do servidor Azure Multi-Factor Authentication.

Para começar a usar a MFA baseada em nuvem, consulte Tutorial: Eventos de entrada de usuário seguro com a autenticação multifator do Azure.

Os clientes existentes que ativaram o MFA Server antes de 1º de julho de 2019 podem baixar a versão mais recente, atualizações futuras e gerar credenciais de ativação como de costume. As etapas a seguir só funcionam se você for um cliente existente do MFA Server.

1. Entre no centro de administração do Microsoft Entra como Administrador Global.

2. Navegue até Configurações do servidor de autenticação>multifator de proteção.>

3. Selecione Transferir e siga as instruções na página de transferência para guardar o instalador.

   

4. Mantenha esta página aberta, uma vez que iremos referi-la depois de executar o instalador.

Instalar e configurar o Servidor MFA

Agora que transferiu o servidor, pode instalá-lo e configurá-lo. Certifique-se de que o servidor no qual o está a instalar cumpre os requisitos listados na secção de planeamento.

1. Faça duplo clique no executável.
2. No ecrã Selecionar Pasta de Instalação, certifique-se de que a pasta está correta e clique em Seguinte. As seguintes bibliotecas estão instaladas:
   • Visual C++ Redistribuível para Visual Studio 2017 (x64)
   • Visual C++ Redistribuível para Visual Studio 2017 (x86)
3. Quando a instalação terminar, selecione Concluir. O assistente de configuração é iniciado.
4. Na página a partir da qual transferiu o servidor, clique no botão Gerar Credenciais de Ativação. Copie essas informações para o Servidor Azure Multi-Factor Authentication nas caixas fornecidas e clique em Ativar.

Nota

Somente administradores globais podem gerar credenciais de ativação no centro de administração do Microsoft Entra.

Enviar uma mensagem de e-mail aos utilizadores

Para facilitar a implementação, permita que o Servidor MFA comunique com os seus utilizadores. O Servidor MFA pode enviar um e-mail a informá-los que foram inscritos na verificação de dois passos.

A mensagem de e-mail que envia deve ser determinada através de como configurou os seus utilizadores para a verificação de dois passos. Por exemplo, se consegue importar números de telefone do diretório da empresa, o e-mail deve incluir os números de telefone predefinidos, de modo a que os utilizadores saibam o que esperar. Se não importar os números de telefone ou se os utilizadores estiverem configurados para utilizar a aplicação móvel, envie-lhes um e-mail que os direcione para concluírem a inscrição da respetiva conta. Inclua um hiperlink para o portal do usuário de autenticação multifator do Azure no email.

O conteúdo da mensagem de e-mail também varia consoante o método de verificação definido para o utilizador (chamada telefónica, SMS ou aplicação móvel). Por exemplo, se for exigido ao utilizador que utilize um PIN quando fizer a autenticação, a mensagem de e-mail irá informá-lo de que o PIN inicial foi definido. É pedido as utilizadores que alterem o PIN durante a primeira verificação.

Configurar o e-mail e modelos de e-mail

Clique no ícone de e-mail à esquerda para configurar as definições de envio destas mensagens de e-mail. É nesta página que pode introduzir as informações de SMTP do seu servidor de correio e enviar mensagens de e-mail, assinalando a caixa de verificação Enviar e-mails aos utilizadores.

No separador Conteúdo do E-mail, poderá ver os modelos de e-mail que estão disponíveis para escolha. Dependendo de como configurou os seus utilizadores para realizarem a verificação de dois passos, escolha o modelo mais adequado.

Importar utilizadores do Active Directory

Agora que o servidor está instalado, pode adicionar utilizadores. Pode optar por criá-los manualmente, importar utilizadores do Active Directory ou configurar a sincronização automática com o Active Directory.

Importar manualmente do Active Directory

1. No Servidor Azure Multi-Factor Authentication, à esquerda, selecione Usuários.

2. Na parte inferior, selecione Importar do Active Directory.

3. Agora pode pesquisar utilizadores individuais ou pesquisar UOs no diretório do AD com utilizadores nas mesmas. Neste caso, especificamos a UO dos utilizadores.

4. Realce todos os utilizadores à direita e clique em Importar. Deverá receber um pop-up a indicar que a importação foi bem-sucedida. Feche a janela de importação.

   

Sincronização automatizada com o Active Directory

1. No Servidor Azure Multi-Factor Authentication, à esquerda, selecione Integração de Diretórios.
2. Navegue para o separador Sincronização.
3. Na parte inferior, escolha Adicionar
4. Na caixa Adicionar Item de Sincronização apresentada, escolha o domínio, o UO ou grupo de segurança, Definições, Predefinições de Método e Predefinições de Idioma para esta tarefa de sincronização e clique em Adicionar.
5. Assinale a caixa com a etiqueta Ativar sincronização com o Active Directory e escolha um Intervalo de sincronização entre um minuto e 24 horas.

Como o Servidor Multi-Factor Authentication do Azure gere dados de utilização

Quando você usa o Servidor de Autenticação Multifator local, os dados de um usuário são armazenados nos servidores locais. Nenhuns dados de utilizador persistentes são armazenados na nuvem. Quando o usuário executa uma verificação em duas etapas, o MFA Server envia dados para o serviço de nuvem de autenticação multifator Microsoft Entra para executar a verificação. Quando estes pedidos de autenticação são enviados para o serviço em nuvem, os campos seguintes são enviados no pedido e nos registos para que estejam disponíveis nos relatórios de autenticação/utilização do cliente. Alguns dos campos são opcionais, pelo que podem ser ativados ou desativados no Servidor Multi-Factor Authentication. A comunicação entre o Servidor MFA e o serviço de nuvem MFA utiliza SSL/TLS através da porta 443 de saída. Estes campos são:

• ID exclusivo - nome de utilizador ou ID interno do servidor MFA
• Nome próprio e apelido (opcional)
• Endereço de e-mail (opcional)
• Número de telefone - ao realizar uma chamada de voz ou autenticação por SMS
• Token do dispositivo - ao efetuar a autenticação da aplicação móvel
• Modo de autenticação
• Resultado da autenticação
• Nome do Servidor MFA
• IP do Servidor MFA
• Cliente IP - se disponível

Além dos campos anteriores, o resultado da verificação (êxito/rejeição) e o motivo para quaisquer rejeições também são armazenados com os dados da autenticação e estão disponíveis através de relatórios de autenticação/utilização.

Importante

A partir de março de 2019, as opções de chamada telefônica não estarão disponíveis para usuários do MFA Server em locatários do Microsoft Entra gratuitos/de avaliação. As mensagens SMS não são afetadas por esta alteração. A chamada telefónica continuará disponível para utilizadores em inquilinos pagos do Microsoft Entra. Essa alteração afeta apenas os locatários do Microsoft Entra de avaliação gratuita.

Fazer backup e restaurar o Servidor Azure Multi-Factor Authentication

Certificar-se de que tem uma boa cópia de segurança é um passo importante a tomar em qualquer sistema.

Para fazer backup do Servidor Azure Multi-Factor Authentication, verifique se você tem uma cópia da pasta C:\Program Files\Multi-Factor Authentication Server\Data , incluindo o arquivo PhoneFactor.pfdata .

Caso seja preciso um restauro, conclua os seguintes passos:

1. Reinstale o Servidor Azure Multi-Factor Authentication em um novo servidor.
2. Ative o novo Servidor Azure Multi-Factor Authentication.
3. Pare o serviço MultiFactorAuth.
4. Substitua o PhoneFactor.pfdata pela cópia de segurança.
5. Inicie o serviço MultiFactorAuth.

O novo servidor está agora a funcionar com os dados de utilizador e a configuração de cópia de segurança originais.

Gerir os Protocolos TLS/SSL e Conjuntos de Cifras

Depois de ter atualizado ou instalado a versão do Servidor MFA 8.x ou superior, é recomendado desativar ou remover os conjuntos de cifras mais antigos e mais fracos, se for exigido pela sua organização. Pode encontrar informações sobre como concluir esta tarefa no artigo Gerir Protocolos SSL/TLS e Conjuntos de Cifras para o AD FS

Próximos passos

• Instale e configure o Portal do usuário para autoatendimento do usuário.
• Configure o Servidor Azure Multi-Factor Authentication com o Serviço de Federação do Ative Directory, Autenticação RADIUS ou Autenticação LDAP.
• Defina e configure o Gateway de Ambiente de Trabalho Remoto e o Servidor Multi-Factor Authentication do Azure com o RADIUS.
• Implemente o Serviço Web de Aplicações Móveis do Servidor Multi-Factor Authentication do Azure.
• Cenários avançados com autenticação multifator do Azure e VPNs de terceiros.