Gerir a autenticação multifator (MFA) nas suas subscrições

  • Artigo

Se você estiver usando senhas apenas para autenticar seus usuários, estará deixando um vetor de ataque aberto. Os usuários geralmente usam senhas fracas ou as reutilizam para vários serviços. Com a MFA habilitada, suas contas ficam mais seguras e os usuários ainda podem se autenticar em praticamente qualquer aplicativo com logon único (SSO).

Há várias maneiras de habilitar o MFA para seus usuários do Microsoft Entra com base nas licenças que sua organização possui. Esta página fornece os detalhes de cada um no contexto do Microsoft Defender for Cloud.

MFA e Microsoft Defender for Cloud

O Defender for Cloud atribui um alto valor ao MFA. O controle de segurança que mais contribui para sua pontuação segura é Ativar MFA.

As recomendações a seguir no controle Habilitar MFA garantem que você esteja atendendo às práticas recomendadas para os usuários de suas assinaturas:

  • Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA
  • Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA
  • Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA

Há três maneiras de habilitar a MFA e estar em conformidade com as duas recomendações do Defender for Cloud: padrões de segurança, atribuição por usuário e política de acesso condicional (CA).

Opção gratuita - padrões de segurança

Se estiver a utilizar a edição gratuita do Microsoft Entra ID, deverá utilizar as predefinições de segurança para ativar a autenticação multifator no seu inquilino.

MFA para clientes Microsoft 365 Business, E3 ou E5

Os clientes com o Microsoft 365 podem usar a atribuição por usuário. Nesse cenário, a autenticação multifator do Microsoft Entra está habilitada ou desabilitada para todos os usuários, para todos os eventos de entrada. Não há capacidade de habilitar a autenticação multifator para um subconjunto de usuários, ou em determinados cenários, e o gerenciamento é feito por meio do portal do Office 365.

MFA para clientes Microsoft Entra ID P1 ou P2

Para uma experiência de usuário aprimorada, atualize para o Microsoft Entra ID P1 ou P2 para opções de política de acesso condicional (CA). Para configurar uma política de autoridade de certificação, você precisa de permissões de locatário do Microsoft Entra.

Sua política de autoridade de certificação deve:

  • fazer cumprir a AMF

  • incluir a ID do aplicativo de Gerenciamento do Microsoft Azure (797f4846-ba00-4fd7-ba43-dac1f8f63013) ou todos os aplicativos

  • não excluir a ID do aplicativo de Gerenciamento do Microsoft Azure

Os clientes do Microsoft Entra ID P1 podem usar a CA do Microsoft Entra para solicitar aos usuários a autenticação multifator durante determinados cenários ou eventos para atender às suas necessidades de negócios. Outras licenças que incluem esta funcionalidade: Enterprise Mobility + Security E3, Microsoft 365 F1 e Microsoft 365 E3.

O Microsoft Entra ID P2 fornece os recursos de segurança mais fortes e uma experiência de usuário aprimorada. Esta licença adiciona acesso condicional baseado em risco aos recursos do Microsoft Entra ID P1. A autoridade de certificação baseada em risco se adapta aos padrões dos usuários e minimiza os prompts de autenticação multifator. Outras licenças que incluem esta funcionalidade: Enterprise Mobility + Security E5 ou Microsoft 365 E5.

Saiba mais na documentação do Acesso Condicional do Azure.

Identificar contas sem autenticação multifator (MFA) habilitada

Você pode exibir a lista de contas de usuário sem MFA habilitado na página de detalhes de recomendações do Defender for Cloud ou usando o Gráfico de Recursos do Azure.

Exibir as contas sem MFA habilitado no portal do Azure

Na página de detalhes da recomendação, selecione uma assinatura na lista Recursos não íntegros ou selecione Executar ação e a lista será exibida.

Exibir as contas sem MFA habilitado usando o Azure Resource Graph

Para ver quais contas não têm MFA habilitada, use a seguinte consulta do Azure Resource Graph. A consulta retorna todos os recursos não íntegros - contas - da recomendação "Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA".

  1. Abra o Azure Resource Graph Explorer.

    Screenshot showing launching the Azure Resource Graph Explorer** recommendation page.

  2. Insira a seguinte consulta e selecione Executar consulta.

    securityresources
| where type =~ "microsoft.security/assessments/subassessments"
| where id has "assessments/dabc9bc4-b8a8-45bd-9a5a-43000df8aa1c" or id has "assessments/c0cb17b2-0607-48a7-b0e0-903ed22de39b" or id has "assessments/6240402e-f77c-46fa-9060-a7ce53997754"
| parse id with start "/assessments/" assessmentId "/subassessments/" userObjectId
| summarize make_list(userObjectId) by strcat(tostring(properties.displayName), " (", assessmentId, ")")
| project ["Recommendation Name"] = Column1 , ["Account ObjectIDs"] = list_userObjectId

  3. A additionalData propriedade revela a lista de IDs de objeto de conta para contas que não têm MFA imposta.

    Nota

    A coluna 'Account ObjectIDs' contém a lista de IDs de objeto de conta para contas que não têm MFA imposta por recomendação.

    Gorjeta

    Como alternativa, você pode usar o método Avaliações da API REST do Defender for Cloud - Get.

Limitações

  • O recurso de Acesso Condicional para impor MFA em usuários/locatários externos ainda não é suportado.
  • A política de Acesso Condicional aplicada às funções do Microsoft Entra (como todos os administradores globais, usuários externos, domínio externo, etc.) ainda não é suportada.
  • Soluções de MFA externas, como Okta, Ping, Duo e outras, não são suportadas nas recomendações de MFA de identidade.

Próximos passos

Para saber mais sobre recomendações que se aplicam a outros tipos de recursos do Azure, consulte os seguintes artigos: