Migração do servidor MFA
Este tópico aborda como migrar as configurações de MFA para usuários do Microsoft Entra do Servidor de autenticação multifator do Microsoft Entra local para a autenticação multifator do Microsoft Entra.
Visão geral da solução
O Utilitário de Migração do Servidor MFA ajuda a sincronizar dados de autenticação multifator armazenados no Servidor de Autenticação Multifator do Microsoft Entra local diretamente para a autenticação multifator do Microsoft Entra. Depois que os dados de autenticação são migrados para a ID do Microsoft Entra, os usuários podem executar a MFA baseada em nuvem perfeitamente sem precisar se registrar novamente ou confirmar os métodos de autenticação. Os administradores podem usar o Utilitário de Migração de Servidor MFA para direcionar usuários individuais ou grupos de usuários para teste e distribuição controlada sem precisar fazer alterações em todo o locatário.
Vídeo: Como usar o Utilitário de Migração de Servidor MFA
Dê uma olhada em nosso vídeo para obter uma visão geral do Utilitário de Migração de Servidor MFA e como ele funciona.
Limitações e requisitos
O Utilitário de Migração do Servidor MFA requer que uma nova compilação da solução do servidor MFA seja instalada no servidor MFA primário. O build faz atualizações para o arquivo de dados do servidor MFA e inclui o novo Utilitário de Migração de Servidor MFA. Você não precisa atualizar o WebSDK ou o portal do usuário. A instalação da atualização não inicia a migração automaticamente.
Nota
O Utilitário de Migração de Servidor MFA pode ser executado em um servidor MFA secundário. Para obter mais informações, confira Executar um servidor de MFA secundário (opcional).
O Utilitário de Migração do Servidor MFA copia os dados do arquivo de banco de dados para os objetos de usuário no Microsoft Entra ID. Durante a migração, os usuários podem ser direcionados à autenticação multifator do Microsoft Entra para fins de teste por meio da Distribuição em etapas. A migração em etapas permite que você teste sem fazer nenhuma alteração nas configurações de federação de domínio. Depois que as migrações forem concluídas, você deverá finalizar sua migração fazendo alterações nas configurações de federação de domínio.
O AD FS em execução no Windows Server 2016 ou superior é necessário para fornecer autenticação por MFA em partes confiáveis do AD FS, não incluindo o Microsoft Entra ID e o Office 365.
Examine suas políticas de controle de acesso do AD FS e verifique se nenhuma requer que a MFA seja executada localmente como parte do processo de autenticação.
A distribuição em etapas pode atingir um máximo de 500.000 usuários (10 grupos contendo um máximo de 50.000 usuários cada).
Guia de migração
Uma migração do servidor MFA geralmente inclui as etapas no seguinte processo:
Alguns pontos importantes:
A Fase 1 deve ser repetida à medida que você adiciona usuários de teste.
- A ferramenta de migração usa grupos do Microsoft Entra para determinar os usuários para os quais os dados de autenticação devem ser sincronizados entre o Servidor MFA e a autenticação multifator do Microsoft Entra. Depois que os dados do usuário forem sincronizados, esse usuário estará pronto para usar a autenticação multifator do Microsoft Entra.
- A distribuição em etapas permite redirecionar os usuários para a autenticação multifator do Microsoft Entra, também usando grupos do Microsoft Entra. Embora você certamente possa usar os mesmos grupos para ambas as ferramentas, não recomendamos isso, pois os usuários poderiam ser potencialmente redirecionados para a autenticação multifator do Microsoft Entra antes que a ferramenta sincronize seus dados. Recomendamos configurar grupos do Microsoft Entra para sincronizar dados de autenticação pelo Utilitário de Migração do Servidor MFA e outro conjunto de grupos para Implantação em Estágios, a fim de direcionar usuários específicos à autenticação multifator do Microsoft Entra, em vez de ao sistema local.
A Fase 2 deve ser repetida à medida que você migra a base de usuários. Ao final da Fase 2, toda a sua base de usuários deve estar usando a autenticação multifator do Microsoft Entra para todas as cargas de trabalho federadas na ID do Microsoft Entra.
Nas fases anteriores, você pode remover os usuários das pastas de distribuição em etapas para tirá-los do escopo da autenticação multifator do Microsoft Entra e roteá-los de volta ao servidor de autenticação multifator do Microsoft Entra local para todas as solicitações de MFA originadas do Microsoft Entra ID.
A Fase 3 requer a movimentação de todos os clientes que se autenticam no Servidor de MFA local (VPNs, gerenciadores de senhas e assim por diante) para federação ao Microsoft Entra por SAML/OAUTH. Se não houver suporte para padrões de autenticação modernos, você precisará implantar servidores NPS com a extensão de autenticação multifator do Microsoft Entra instalada. Depois que as dependências são migradas, os usuários não devem mais usar o portal do usuário no Servidor MFA, mas devem gerenciar seus métodos de autenticação na ID do Microsoft Entra (aka.ms/mfasetup). Depois que os usuários começam a gerenciar seus dados de autenticação na ID do Microsoft Entra, esses métodos não são sincronizados novamente com o Servidor MFA. Se você reverter para o servidor MFA local depois que os usuários fizerem alterações em seus métodos de autenticação na ID do Microsoft Entra, essas alterações serão perdidas. Depois que as migrações de usuário forem concluídas, altere a configuração de federação de domínio federatedIdpMfaBehavior. A alteração informa ao Microsoft Entra ID que ele não executa mais a MFA local e executa todas as solicitações de MFA com a autenticação multifator do Microsoft Entra, independentemente da associação a um grupo.
As seções a seguir explicam as etapas de migração com mais detalhes.
Identificar dependências do Servidor de Autenticação Multifator do Microsoft Entra
Trabalhamos duro para garantir que a mudança para nossa solução de autenticação multifator do Microsoft Entra baseada em nuvem mantenha e melhore sua postura de segurança. Há três categorias amplas que devem ser usadas para agrupar dependências:
- Métodos de MFA
- portal do usuário
- serviços de Autenticação
Para ajudar na migração, combinamos recursos amplamente usados do Servidor MFA com o equivalente funcional na autenticação multifator do Microsoft Entra para cada categoria.
Métodos MFA
Abra o Servidor de MFA e selecione Configurações da Empresa:
| Servidor MFA | Autenticação multifator do Microsoft Entra |
|---|---|
| Aba Geral | |
| Seção Padrões do Usuário | |
| Chamada telefônica (Standard) | Nenhuma ação necessária |
| Mensagem de texto (OTP)* | Nenhuma ação necessária |
| Aplicativo móvel (Standard) | Nenhuma ação necessária |
| Chamada Telefônica (PIN)* | Habilitar Voz OTP |
| Mensagem de texto (OTP + PIN)** | Nenhuma ação necessária |
| Aplicativo móvel (PIN)* | Habilitar correspondência numérica |
| Chamada telefônica/mensagem de texto/aplicativo móvel/linguagem de token OATH | As configurações de idioma são aplicadas automaticamente a um usuário com base nas configurações de localidade em seu navegador |
| Seção Regras de PIN padrão | Não aplicável; confira os métodos atualizados na captura de tela anterior |
| Guia Resolução de Nome de Usuário | Não aplicável; A resolução de nome de usuário não é necessária para a autenticação multifator do Microsoft Entra |
| Guia Mensagem SMS | Não aplicável; A autenticação multifator do Microsoft Entra usa uma mensagem padrão para mensagens de texto |
| Guia Token OATH | Não aplicável; A autenticação multifator do Microsoft Entra usa uma mensagem padrão para tokens OATH |
| Relatórios | Relatórios de atividade dos métodos de autenticação do Microsoft Entra |
*Quando um PIN é usado para fornecer funcionalidade de prova de presença, o equivalente funcional é fornecido acima. PiNs que não estão vinculados criptograficamente a um dispositivo não protegem suficientemente contra cenários em que um dispositivo foi comprometido. Para proteger contra esses cenários, incluindo ataques de troca de SIM , mova os usuários para métodos mais seguros de acordo com as melhores práticas recomendadas de métodos de autenticação da Microsoft .
**A experiência padrão de MFA de texto na autenticação multifator do Microsoft Entra envia aos usuários um código, que eles precisam inserir na janela de login como parte da autenticação. O requisito de efetuar a viagem de ida e volta do código fornece a funcionalidade de prova de presença.
Portal do usuário
Abra o Servidor MFA, selecione Portal do Usuário:
| Servidor MFA | Autenticação multifator do Microsoft Entra |
|---|---|
| Guia Configurações | |
| URL do portal do usuário | aka.ms/mfasetup |
| Permitir o registro do usuário | Consulte o registro combinado de informações de segurança |
| – Prompt por telefone de backup | Confira Configurações do serviço MFA |
| – Solicitar token OATH de terceiros | Confira Configurações do serviço MFA |
| Permitir que os usuários iniciem um Bypass Único | Confira Funcionalidade TAP do Microsoft Entra ID |
| Permitir que os usuários selecionem o método | Confira Configurações do Serviço de MFA |
| – Chamada telefônica | Confira a Documentação de chamada telefônica |
| -SMS | Confira Configurações do Serviço de MFA |
| – Aplicativo móvel | Confira Configurações do Serviço de MFA |
| – Token OATH | Confira a Documentação do token OATH |
| Permitir que os usuários selecionem o idioma | As configurações de idioma são aplicadas automaticamente a um usuário com base nas configurações de localidade em seu navegador |
| Permitir que os usuários ativem o aplicativo móvel | Confira Configurações do Serviço de MFA |
| - Limite do dispositivo | A ID do Microsoft Entra limita os usuários a cinco dispositivos cumulativos (instâncias de aplicativo móvel + token OATH de hardware + token OATH de software) por usuário |
| Usar perguntas de segurança como alternativa | A ID do Microsoft Entra permite que os usuários escolham um método de fallback no momento da autenticação caso o método de autenticação escolhido falhe |
| - Perguntas a serem respondidas | Perguntas de segurança na ID do Microsoft Entra só podem ser usadas para SSPR. Veja mais detalhes sobre Perguntas de Segurança Personalizadas do Microsoft Entra |
| Permitir que os usuários associem token OATH de terceiros | Confira a Documentação do token OATH |
| Utilizar o token OATH como recurso de contingência | Confira a Documentação do token OATH |
| Limite de tempo de sessão | |
| aba Perguntas de Segurança | Perguntas de segurança no servidor MFA foram usadas para obter acesso ao portal do usuário. A autenticação multifator do Microsoft Entra dá suporte apenas a perguntas de segurança para redefinição de senha de autoatendimento. Confira a documentação das perguntas de segurança. |
| Guia Sessões Aprovadas | Todos os fluxos de registro do método de autenticação são gerenciados pela ID do Microsoft Entra e não exigem configuração |
| IPs Confiáveis | IPs confiáveis do Microsoft Entra ID |
Todos os métodos de MFA disponíveis no Servidor de MFA precisam ser habilitados na autenticação multifator do Microsoft Entra usando as Configurações do serviço MFA. Os usuários não podem experimentar seus métodos MFA recém-migrados, a menos que estejam habilitados.
Serviços de autenticação
O Servidor de autenticação multifator do Microsoft Entra pode fornecer funcionalidade de MFA para soluções de terceiros que usam RADIUS ou LDAP atuando como um proxy de autenticação. Para descobrir dependências de RADIUS ou LDAP, selecione as opções Autenticação RADIUS e Autenticação LDAP no Servidor de MFA. Para cada uma dessas dependências, determine se esses terceiros dão suporte à autenticação moderna. Nesse caso, considere a federação diretamente com o Microsoft Entra ID.
Para implantações RADIUS que não podem ser atualizadas, você precisará implantar um servidor NPS e instalar a extensão NPS da autenticação multifator do Microsoft Entra.
Para implantações LDAP que não podem ser atualizadas nem movidas para RADIUS, determine se o Serviço de Domínio do Microsoft Entra pode ser usado. Na maioria dos casos, o LDAP foi implantado para dar suporte a alterações de senha em linha para usuários finais. Depois de migrados, os usuários finais podem gerenciar as senhas usando a redefinição de senha por autoatendimento no Microsoft Entra ID.
Se você habilitou o provedor de Autenticação do Servidor de MFA no AD FS 2.0 em uma terceira parte confiável, exceto pelo objeto de confiança de terceira parte confiável do Office 365, será necessário atualizar para o AD FS 3.0 ou federar essas partes confiáveis diretamente ao Microsoft Entra ID se elas derem suporte a métodos de autenticação modernos. Determine o melhor plano de ação para cada uma das dependências.
Backup do arquivo de dados do Servidor de Autenticação Multifator do Microsoft Entra
Faça um backup do arquivo de dados do servidor MFA localizado em %programfiles%\Servidor de Autenticação Multifator\Data\PhoneFactor.pfdata (local padrão) no servidor MFA primário. Verifique se você tem uma cópia do instalador para sua versão instalada no momento, caso precise reverter. Se você não tiver mais uma cópia, entre em contato com os Serviços de Atendimento ao Cliente.
Dependendo da atividade do usuário, o arquivo de dados pode ficar desatualizado rapidamente. Quaisquer alterações feitas no Servidor MFA ou quaisquer alterações feitas pelo usuário final por meio do portal após o backup não serão capturadas. Se você reverter, as alterações feitas após este ponto não serão restauradas.
Instalar a atualização do servidor MFA
Execute o novo instalador no Servidor MFA Primário. Antes de atualizar um servidor, remova-o do balanceamento de carga ou do compartilhamento de tráfego com outros servidores MFA. Você não precisa desinstalar o servidor MFA atual antes de executar o instalador. O instalador executa uma atualização no local usando o caminho de instalação atual (por exemplo, C:\Arquivos de Programas\Servidor de Autenticação Multifator). Se for solicitado que você instale um pacote de atualização redistribuível do Microsoft Visual C++ 2015, aceite o prompt. As versões x86 e x64 do pacote estão instaladas. Não é necessário instalar atualizações para o portal do usuário, o SDK da Web ou o Adaptador do AD FS.
Nota
Depois que você executar o instalador no servidor primário, os servidores secundários poderão começar a registrar entradas de SB sem tratamento. Isso ocorre devido a alterações de esquema feitas no servidor primário que não são reconhecidas por servidores secundários. Esses erros são esperados. Em ambientes com 10.000 usuários ou mais, a quantidade de entradas de log pode aumentar significativamente. Para atenuar esse problema, você pode aumentar o tamanho do arquivo dos logs do servidor MFA ou atualizar seus servidores secundários.
Configurar o Utilitário de Migração do Servidor MFA
Depois de instalar a atualização do Servidor de MFA, abra um prompt de comando do PowerShell com privilégios elevados: focalize o ícone do PowerShell, clique com o botão direito do mouse e selecione Executar como Administrador. Execute o .\Configure-MultiFactorAuthMigrationUtility.ps1 script encontrado no diretório de instalação do servidor MFA (C:\Arquivos de Programas\Servidor de Autenticação Multifator por padrão).
Esse script exige que você forneça credenciais para um Administrador de Aplicativos em seu locatário do Microsoft Entra. Ele cria um novo aplicativo chamado MFA Server Migration Utility dentro do Microsoft Entra ID, que é usado para gravar os métodos de autenticação de usuário em cada objeto de usuário do Microsoft Entra.
Para clientes de nuvem do governo que desejam realizar migrações, substitua as entradas ".com" no script por ".us". Esse script grava as entradas do registro HKLM:\SOFTWARE\WOW6432Node\Positive Networks\PhoneFactor\StsUrl e GraphUrl e instrui o Utilitário de Migração a usar os endpoints do GRAPH apropriados.
Você também precisará de acesso às seguintes URLs:
https://graph.microsoft.com/*(ouhttps://graph.microsoft.us/*para clientes de nuvem do governo)https://login.microsoftonline.com/*(ouhttps://login.microsoftonline.us/*para clientes de nuvem do governo)
O script instrui você a conceder consentimento de administrador ao aplicativo recém-criado. Navegue até a URL fornecida ou, no centro de administração do Microsoft Entra, selecione Registros de Aplicativos, encontre e selecione o aplicativo Utilitário de Migração do Servidor de MFA, selecione Permissões da API e conceda as permissões apropriadas.
Após concluir, navegue até a pasta Servidor de Autenticação Multifator e abra o aplicativo MultiFactorAuthMigrationUtilityUI. Você deverá ver a seguinte tela:
Você instalou com êxito o Utilitário de Migração.
Nota
Para garantir que não ocorra nenhuma alteração no comportamento durante a migração, se o seu servidor MFA estiver associado a um Provedor de MFA sem referência de locatário, você precisará atualizar as configurações padrão de MFA (como saudações personalizadas) para o locatário de destino de modo que correspondam às configurações no seu Provedor de MFA. É recomendável fazer isso antes de migrar os usuários.
Executar um servidor MFA secundário (opcional)
Se a implementação do servidor MFA tiver um grande número de usuários ou um servidor MFA primário ocupado, convém considerar a implantação de um servidor MFA secundário dedicado para executar os serviços MFA Server Migration Utility e Migration Sync. Depois de atualizar o servidor MFA primário, atualize um servidor secundário existente ou implante um novo servidor secundário. O servidor secundário escolhido não deve lidar com outro tráfego de MFA.
O script Configure-MultiFactorAuthMigrationUtility.ps1 deve ser executado no servidor secundário para registrar um certificado com o registro do aplicativo utilitário de migração do servidor MFA. O certificado é usado para autenticar no Microsoft Graph. A execução dos serviços utilitário de migração e sincronização em um servidor MFA secundário deve melhorar o desempenho das migrações manuais e automatizadas do usuário.
Migrar dados do usuário
A migração de dados do usuário não remove nem altera nenhum dado no banco de dados do Servidor de Autenticação Multifator. Da mesma forma, esse processo não mudará onde um usuário executa a MFA. Esse processo é uma cópia unidirecional de dados do servidor local para o objeto de usuário correspondente na ID do Microsoft Entra.
O utilitário de Migração do Servidor MFA tem como destino um único grupo do Microsoft Entra para todas as atividades de migração. Você pode adicionar usuários diretamente a esse grupo ou adicionar outros grupos. Você também pode adicioná-los em fases durante a migração.
Para iniciar o processo de migração, insira o nome ou GUID do grupo Microsoft Entra que você deseja migrar. Depois de concluído, pressione Tab ou selecione fora da janela para começar a pesquisar o grupo apropriado. Todos os usuários no grupo são preenchidos. Se o grupo for grande, o processo poderá levar vários minutos para ser concluído.
Para exibir dados de atributo para um usuário, realce o usuário e selecione Exibir:
Esta janela exibe os atributos do usuário selecionado no Microsoft Entra ID e no servidor MFA local. Você pode usar essa janela para exibir como os dados foram gravados em um usuário após a migração.
A opção Configurações permite alterar as configurações para o processo de migração:
Migrar – há três opções para migrar o método de autenticação padrão do usuário:
- Sempre migrar
- Migrar somente se ainda não estiver definido no Microsoft Entra ID
- Definir como o método mais seguro disponível se ainda não estiver definido na ID do Microsoft Entra
Essas opções fornecem flexibilidade ao migrar o método padrão. Além disso, a política de métodos de autenticação é verificada durante a migração. Se o método padrão que está sendo migrado não for permitido pela política, ele será definido como o método mais seguro disponível.
Correspondência de Usuário – permite que você especifique um atributo do Active Directory local diferente para correspondência do UPN do Microsoft Entra em vez da correspondência padrão com userPrincipalName:
- O utilitário de migração tenta fazer a correspondência direta com o UPN antes de usar o atributo do Active Directory local.
- Se nenhuma correspondência for encontrada, ela chama uma API do Windows para localizar o Microsoft Entra UPN e obter o SID, que usa para pesquisar a lista de usuários do Servidor MFA.
- Se a API do Windows não encontrar o usuário ou o SID não for encontrado no Servidor MFA, ele usará o atributo do Active Directory configurado para localizar o usuário no Active Directory local e, em seguida, usará o SID para pesquisar a lista de usuários do Servidor MFA.
Sincronização automática – inicia um serviço em segundo plano que monitora continuamente as alterações de método de autenticação para os usuários no servidor MFA local e grava-as na ID do Microsoft Entra no intervalo de tempo especificado definido.
Servidor de sincronização – permite que o serviço de Sincronização de Migração do Servidor MFA seja executado em um servidor MFA secundário, em vez de executar apenas no primário. Para configurar o serviço de Sincronização de Migração para ser executado em um servidor secundário, o script
Configure-MultiFactorAuthMigrationUtility.ps1deve ser executado no servidor para registrar um certificado com o registro do aplicativo Utilitário de Migração do Servidor de MFA. O certificado é usado para autenticar no Microsoft Graph.
O processo de migração pode ser automático ou manual.
As etapas manuais do processo são:
Para iniciar o processo de migração para um usuário ou seleção de vários usuários, pressione e segure a tecla Ctrl enquanto seleciona cada um dos usuários que você deseja migrar.
Depois de selecionar os usuários desejados, selecione Migrar Usuários>Usuários Selecionados>OK.
Para migrar todos os usuários do grupo, selecione Migrar Usuários>Todos os usuários no grupo do Microsoft Entra>OK.
Você pode migrar usuários mesmo que eles não estejam alterados. Por padrão, o utilitário é configurado para Migrar somente usuários que foram alterados. Selecione Migrar todos os usuários para migrar novamente usuários migrados anteriormente que não foram alterados. A migração de usuários inalterados pode ser útil durante o teste se um administrador precisar redefinir as configurações de autenticação multifator de um usuário no Microsoft Entra e quiser remigrá-los.
Para o processo automático, selecione Sincronização automática em Configurações, e então escolha se deseja que todos os usuários sejam sincronizados ou apenas membros de um determinado grupo do Microsoft Entra.
A tabela a seguir lista a lógica de sincronização para os vários métodos.
| Método | Lógica |
|---|---|
| Telefone | Se não houver uma extensão, atualize o telefone da MFA. Se houver uma extensão, atualize o telefone Comercial. Exceção: se o método padrão for Mensagem de Texto, remova a extensão e atualize o telefone MFA. |
| Telefone de Backup | Se não houver extensão, atualize o telefone alternativo. Se houver uma extensão, atualize o telefone Comercial. Exceção: se ambos Telefone e Telefone de Backup tiverem uma extensão, ignore o Telefone de Backup. |
| Aplicativo Móvel | No máximo cinco dispositivos serão migrados ou apenas quatro se o usuário também tiver um token OATH de hardware. Se houver vários dispositivos com o mesmo nome, migre apenas o mais recente. Os dispositivos são ordenados do mais novo para o mais antigo. Se os dispositivos já existirem no Microsoft Entra ID, faça a correspondência com a chave secreta do Token OATH e faça a atualização. – Se não houver correspondência de chave secreta do Token OATH, faça a correspondência com o token de dispositivo -- Se encontrado, crie um Token OATH de Software para o dispositivo do servidor MFA para permitir o funcionamento do método OATH Token. As notificações ainda funcionam usando o dispositivo de autenticação multifator do Microsoft Entra existente. -- Se não for encontrado, crie um novo dispositivo. Se a adição de um novo dispositivo exceder o limite de cinco dispositivos, o dispositivo será ignorado. |
| Token OATH | Se os dispositivos já existirem no Microsoft Entra ID, faça a correspondência com a chave secreta do Token OATH e faça a atualização. - Se não for encontrado, adicione um novo dispositivo token OATH de hardware. Se a adição de um novo dispositivo exceder o limite de cinco dispositivos, o token OATH será ignorado. |
Os métodos MFA são atualizados com base no que foi migrado e o método padrão é definido. O Servidor de MFA acompanha o último carimbo de data/hora de migração e migra o usuário novamente se as configurações de MFA do usuário são alteradas ou se um administrador modifica o que será migrado na caixa de diálogo Configurações.
Durante o teste, recomendamos fazer uma migração manual primeiro e testar para garantir que um determinado número de usuários se comporte conforme o esperado. Depois que o teste for bem-sucedido, ative a sincronização automática para o grupo Microsoft Entra que você deseja migrar. À medida que você adiciona usuários a esse grupo, suas informações são sincronizadas automaticamente com a ID do Microsoft Entra. O Utilitário de Migração do Servidor MFA tem como destino um grupo do Microsoft Entra, no entanto, esse grupo pode abranger usuários e grupos aninhados de usuários.
Após a conclusão, uma confirmação informa sobre as tarefas concluídas:
Conforme mencionado na mensagem de confirmação, pode levar vários minutos para que os dados migrados apareçam em objetos de usuário dentro da ID do Microsoft Entra. Os usuários podem ver os métodos migrados acessando aka.ms/mfasetup.
Dica
Você pode reduzir o tempo necessário para exibir grupos se não precisar exibir os métodos do Microsoft Entra MFA. Selecione Exibir>Métodos de MFA do Azure AD para alternar a exibição das colunas para Padrão do AAD, Telefone do AAD, Alternativo do AAD, Comercial do AAD, Dispositivos do AAD e Token OATH do AAD. Quando as colunas estão ocultas, algumas chamadas à API do Microsoft Graph são ignoradas, o que melhora muito o tempo de carregamento do usuário.
Exibir detalhes da migração
Você pode usar logs de auditoria ou o Log Analytics para exibir detalhes das migrações de usuário da autenticação multifator do Servidor MFA para o Microsoft Entra.
Usar logs de auditoria
Para acessar os logs de auditoria no Centro de administração do Microsoft Entra e visualizar detalhes sobre a migração de usuários do servidor MFA para a autenticação multifator do Microsoft Entra, siga estas etapas:
Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Autenticação.
Navegue até Identidade>Monitoramento e integridade>Logs de auditoria. Para filtrar os logs, selecione Adicionar filtros.
Selecione Iniciado por (ator) e selecione Aplicar.
Digite Gerenciamento da autenticação multifator do Microsoft Entra e selecione Aplicar.
Esse filtro exibe apenas logs do Utilitário de Migração de Servidor MFA. Para exibir detalhes de uma migração de usuário, selecione uma linha e escolha a guia Propriedades Modificadas. Esta guia mostra alterações nos métodos MFA registrados e números de telefone.
A tabela a seguir lista o método de autenticação para cada código.
Código Método 0 Serviço de Voz móvel 2 Escritório de voz 3 Serviço de Voz móvel alternativo 5 SMS 6 Notificação por push do Microsoft Authenticator 7 Hardware ou token de software OTP Se algum dispositivo de usuário tiver sido migrado, haverá uma entrada de log separada.
Usar o Log Analytics
Os detalhes das migrações de usuário da autenticação multifator do Servidor MFA para o Microsoft Entra também podem ser consultados usando o Log Analytics.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| extend Upn = tostring(TargetResources[0]["userPrincipalName"])
| extend ModifiedProperties = TargetResources[0]["modifiedProperties"]
| project ActivityDateTime, InitiatedBy, UserObjectId, Upn, ModifiedProperties
| order by ActivityDateTime asc
Esta captura de tela mostra as alterações para a migração do usuário:
Esta captura de tela mostra as alterações para a migração do dispositivo:
O Log Analytics também pode ser usado para resumir a atividade de migração do usuário.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| summarize UsersMigrated = dcount(UserObjectId) by InitiatedBy, bin(ActivityDateTime, 1d)
Validar e testar
Depois de migrar os dados do usuário com êxito, você pode validar a experiência do usuário final usando a Distribuição em etapas antes de fazer a alteração do locatário global. O processo a seguir permite que você use como destino grupos específicos do Microsoft Entra para a distribuição em etapas da MFA. A distribuição em etapas informa o Microsoft Entra ID que ele deve executar a MFA usando a autenticação multifator do Microsoft Entra para usuários nos grupos de destino, em vez de enviá-los localmente para executar a MFA. Você pode validar e testar – é recomendável usar o Centro de administração do Microsoft Entra, mas se preferir, você também pode usar o Microsoft Graph.
Habilitar a distribuição em etapas
Navegue até a seguinte URL: Habilitar recursos de distribuição em etapas – Microsoft Azure.
Altere Autenticação multifator do Azure para Ativado e selecione Gerenciar grupos.
Selecione Adicionar grupos e adicione os grupos que contêm usuários que você deseja habilitar para a autenticação multifator do Microsoft Entra. Os grupos selecionados aparecem na lista exibida.
Nota
Todos os grupos direcionados usando o método do Microsoft Graph a seguir também aparecem nesta lista.
Habilitar a distribuição em etapas usando o Microsoft Graph
Criar o featureRolloutPolicy
Acesse aka.ms/ge e faça logon no Explorador do Graph usando uma conta de Administrador de Identidade Híbrida no locatário que você deseja configurar para a Distribuição em etapas.
Certifique-se de que POST está selecionado para o seguinte endpoint:
https://graph.microsoft.com/v1.0/policies/featureRolloutPoliciesO corpo da solicitação deve conter o seguinte (altere a Política de distribuição de MFA para um nome e uma descrição de sua organização):
{ "displayName": "MFA rollout policy", "description": "MFA rollout policy", "feature": "multiFactorAuthentication", "isEnabled": true, "isAppliedToOrganization": false }
Execute um GET com o mesmo ponto de extremidade e anote o valor da ID (riscado na imagem a seguir):
Direcionar os grupos do Microsoft Entra que contêm os usuários que você deseja testar
Crie uma solicitação POST com o seguinte ponto de extremidade (substitua {ID da política} pelo valor da ID copiado da etapa 1d):
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{ID of policy}/appliesTo/$refO corpo da solicitação deve conter o seguinte (substitua {ID do grupo} pela ID do objeto do grupo que você deseja direcionar para a distribuição em etapas):
{ "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{ID of group}" }Repita as etapas a e b para qualquer outro grupo que você deseja direcionar com a distribuição em etapas.
Você pode exibir a política atual em vigor fazendo um GET na seguinte URL:
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{policyID}?$expand=appliesToO processo anterior usa o recurso featureRolloutPolicy. A documentação pública ainda não foi atualizada com o novo recurso multifactorAuthentication, mas tem informações detalhadas sobre como interagir com a API.
Confirme a experiência de MFA do usuário final. Aqui estão algumas coisas para verificar:
- Os usuários veem seus métodos em aka.ms/mfasetup?
- Os usuários recebem chamadas telefônicas/mensagens de texto?
- Eles são capazes de autenticar com êxito usando os métodos acima?
- Os usuários recebem notificações do Authenticator com êxito? Eles são capazes de aprovar essas notificações? A autenticação foi bem-sucedida?
- Os usuários podem se autenticar com sucesso usando tokens de hardware OATH?
Educar usuários
Verifique se os usuários sabem o que esperar quando forem movidos para a autenticação multifator do Microsoft Entra, incluindo novos fluxos de autenticação. Você também pode querer instruir os usuários a usar o portal de Registro Combinado da ID do Microsoft Entra (aka.ms/mfasetup) para gerenciar seus métodos de autenticação em vez do portal do usuário depois que as migrações forem concluídas. As alterações feitas nos métodos de autenticação na ID do Microsoft Entra não serão propagadas de volta para seu ambiente local. Em uma situação em que você teve que reverter para o Servidor MFA, todas as alterações feitas pelos usuários na ID do Microsoft Entra não estarão disponíveis no portal do Usuário do Servidor MFA.
Se você usar soluções de terceiros que dependem do Servidor de Autenticação Multifator do Microsoft Entra para autenticação (consulte Serviços de Autenticação), você desejará que os usuários continuem a fazer alterações em seus métodos de MFA no portal do Usuário. Essas alterações são sincronizadas com a ID do Microsoft Entra automaticamente. Depois de migrar essas soluções de terceiros, você pode mover os usuários para a página de registro combinado da Microsoft Entra ID.
Concluir a migração do usuário
Repita as etapas de migração encontradas nas seções Migrar dados do usuário e Validar e testar até que todos os dados dos usuários sejam migrados.
Migrar dependências do servidor MFA
Usando os pontos de dados que você coletou nos serviços de autenticação , comece a realizar as várias migrações necessárias. Depois que isso for concluído, considere fazer com que os usuários gerenciem seus métodos de autenticação no portal de registro combinado, em vez de no portal do usuário no servidor MFA.
Atualizar configurações de federação de domínio
Depois de concluir as migrações de usuário e mover todos os serviços de Autenticação do Servidor MFA, é hora de atualizar as configurações de federação de domínio. Após a atualização, o Microsoft Entra não envia mais a solicitação de MFA para o servidor de federação local.
A fim de configurar o Microsoft Entra ID para ignorar solicitações de MFA ao servidor de federação local, instale o SDK do PowerShell do Microsoft Graph e defina federatedIdpMfaBehavior como rejectMfaByFederatedIdp, como é mostrado no exemplo a seguir.
Solicitação
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Resposta
Nota
O objeto de resposta mostrado aqui pode ser reduzido para legibilidade.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "Success",
"lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
},
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Os usuários não são mais redirecionados ao servidor de federação local de MFA, sejam eles destinos da ferramenta de distribuição em etapas ou não. Observe que isso pode levar até 24 horas para entrar em vigor.
Nota
A atualização da configuração de federação de domínio pode levar até 24 horas para entrar em vigor.
Opcional: desabilitar o portal do usuário do servidor MFA
Depois de concluir a migração de todos os dados do usuário, os usuários finais poderão começar a usar as páginas de registro combinadas da ID do Microsoft Entra para gerenciar métodos de MFA. Há algumas maneiras de impedir que os usuários usem o portal do usuário no Servidor MFA:
- Redirecionar a URL do portal do usuário do servidor MFA para aka.ms/mfasetup
- Desmarque a caixa de seleção Permitir que os usuários façam logon na guia Configurações da seção Portal do usuário do Servidor de MFA para impedir que os usuários façam logon no portal.
Desativar servidor MFA
Quando você não precisar mais do servidor de autenticação multifator do Microsoft Entra, siga as práticas normais de substituição do servidor. Nenhuma ação especial é necessária na ID do Microsoft Entra para indicar a desativação do Servidor MFA.
Plano de reversão
Se a atualização tiver problemas, siga estas etapas para reverter:
Desinstale o MFA Server 8.1.
Substitua PhoneFactor.pfdata pelo backup feito antes da atualização.
Nota
Todas as alterações desde que o backup foi feito são perdidas, mas devem ser mínimas se o backup foi feito antes da atualização e a atualização não foi bem-sucedida.
Execute o instalador para sua versão anterior (por exemplo, 8.0.x.x).
Configure a ID do Microsoft Entra para aceitar solicitações de MFA para o servidor de federação local. Use o PowerShell do Graph para definir federatedIdpMfaBehavior como
enforceMfaByFederatedIdp, conforme mostrado no exemplo a seguir.Solicitação
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc Content-Type: application/json { "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }O objeto de resposta a seguir é reduzido para legibilidade.
Resposta
HTTP/1.1 200 OK Content-Type: application/json { "@odata.type": "#microsoft.graph.internalDomainFederation", "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc", "issuerUri": "http://contoso.com/adfs/services/trust", "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex", "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "passiveSignInUri": "https://sts.contoso.com/adfs/ls", "preferredAuthenticationProtocol": "wsFed", "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed", "signOutUri": "https://sts.contoso.com/adfs/ls", "promptLoginBehavior": "nativeSupport", "isSignedAuthenticationRequestRequired": true, "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "signingCertificateUpdateStatus": { "certificateUpdateResult": "Success", "lastRunDateTime": "2021-08-25T07:44:46.2616778Z" }, "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }
Defina a Distribuição em etapas da autenticação multifator do Microsoft Entra como Desativado. Os usuários são redirecionados novamente para o servidor de federação local para MFA.