Planejar uma implantação da autenticação multifator do Microsoft Entra
A autenticação multifator do Microsoft Entra ajuda a proteger o acesso a dados e aplicativos, fornecendo mais uma camada de segurança ao usar uma segunda forma de autenticação. As organizações podem habilitar a autenticação multifator com o Acesso condicional para fazer a solução atender às suas necessidades específicas.
Este guia de implantação mostra como planejar e implementar uma distribuição da autenticação multifator do Microsoft Entra.
Pré-requisitos para implantar a autenticação multifator do Microsoft Entra
Antes de começar a implantação, verifique se você atende aos seguintes pré-requisitos em seus cenários relevantes.
Cenário | Pré-requisito |
---|---|
Ambiente de identidade somente em nuvem com autenticação moderna | Tarefas sem pré-requisito |
Cenários de identidade híbrida | Implante o Microsoft Entra Connect e sincronize as identidades de usuário entre o AD DS (Active Directory Domain Services local) e o Microsoft Entra ID. |
Aplicativos herdados locais publicados para acesso à nuvem | Implantar Proxy de aplicativo do Microsoft Entra |
Escolher métodos de autenticação para a MFA
Há muitos métodos que podem ser usados em uma autenticação de dois fatores. Você pode escolher na lista de métodos de autenticação disponíveis, avaliando cada um em termos de segurança, usabilidade e disponibilidade.
Importante
É importante permitir mais de um método de autenticação para que os usuários tenham um backup caso o método principal não esteja disponível. Os métodos incluem:
- Windows Hello for Business
- Aplicativo Microsoft Authenticator
- Chave de segurança FIDO2
- Tokens de hardware OATH (versão prévia)
- Tokens de software OATH
- Verificação por SMS
- Verificação por chamada de voz
Ao escolher métodos de autenticação que serão usados em seu locatário, considere a segurança e a usabilidade desses métodos:
Para saber mais sobre a força e a segurança desses métodos e sobre como eles funcionam, consulte os seguintes recursos:
- Quais métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?
- Vídeo: escolha os métodos de autenticação corretos para manter a sua organização em segurança
Você pode usar este script do PowerShell para analisar as configurações de MFA dos usuários e sugerir o método de autenticação MFA apropriado.
Para obter flexibilidade e usabilidade, recomenda-se o uso do aplicativo Microsoft Authenticator. Esse método de autenticação fornece a melhor experiência ao usuário, além de vários modos, como o logon sem senha, as notificações por push de MFA e os códigos OATH. O aplicativo Microsoft Authenticator também atende aos requisitos de Nível 2 de Garantia de Autenticador do National Institute of Standards and Technology (NIST).
Você pode controlar os métodos de autenticação disponíveis em seu locatário. Por exemplo, você pode querer bloquear alguns dos métodos menos seguros, como o SMS.
Método de autenticação | Gerenciar a partir de | Scoping |
---|---|---|
Microsoft Authenticator (notificação por push e entrada por telefone sem senha) | Configurações de MFA ou política de métodos de autenticação | A entrada por telefone sem senha no Authenticator pode ter como escopo usuários e grupos |
Chave de segurança FIDO2 | política de métodos de autenticação | Pode ter como escopo usuários e grupos |
Tokens OATH de software ou hardware | Configurações de MFA | |
Verificação por SMS | Configurações de MFA Gerencie a entrada por SMS como autenticação primária na política de autenticação |
A entrada por SMS pode ter como escopo usuários e grupos. |
Chamada de voz | política de métodos de autenticação |
Planejar as políticas de Acesso Condicional
A Autenticação Multifator do Microsoft Entra é imposta com políticas de Acesso Condicional. Essas políticas permitem solicitar a MFA aos usuários quando necessário para segurança e não solicitar nada não for necessário.
No Centro de administração do Microsoft Entra, você configura as políticas de Acesso Condicional em Proteção>Acesso Condicional.
Para saber mais sobre como criar políticas de acesso condicional, confira Política de acesso condicional para solicitar a autenticação multifator do Microsoft Entra quando um usuário se conecta. Isso ajuda você a:
- Familiarizar-se com a interface do usuário
- Obter uma primeira impressão de como funciona o acesso condicional
Para obter diretrizes completas sobre a implantação do acesso condicional do Microsoft Entra, confira o Plano de implantação do acesso condicional.
Políticas comuns para a autenticação multifator do Microsoft Entra
Entre os casos de uso comuns para exigência da autenticação multifator do Microsoft Entra estão:
- Para administradores
- Acesso a aplicativos específicos
- Para todos os usuários
- Para o Gerenciamento do Azure
- De locais de rede em que você não confia
Localizações nomeadas
Para gerenciar as suas políticas de acesso condicional, a condição de localização de uma política de acesso condicional permite que você vincule as configurações de controle de acesso aos locais de rede dos usuários. Recomendamos o uso das Localizações nomeadas para que você possa criar agrupamentos lógicos de intervalos de endereço IP ou países e regiões. Com isso, é criada uma política para todos os aplicativos que bloqueia a entrada dessa localização nomeada. Lembre-se de isentar seus administradores dessa política.
Políticas baseadas em risco
Caso a organização use a Microsoft Entra ID Protection para detectar sinais de risco, considere o uso de políticas baseadas em risco em vez das localizações nomeadas. As políticas podem ser criadas para forçar alterações de senha quando houver uma ameaça de identidade comprometida, ou para exigir a MFA quando um login for considerado arriscado, como no caso de credenciais vazadas e logins provenientes de endereços IP anônimos, entre outros.
As políticas de risco incluem:
- Exigir que todos os usuários se registrem na autenticação multifator do Microsoft Entra
- Exigir uma alteração de senha para usuários que são de alto risco
- Exigir a MFA para usuários com risco de entrada médio ou alto
Converter usuários da MFA individual para a MFA baseada em Acesso Condicional
Se os usuários foram habilitados usando a MFA habilitada e a autenticação multifator do Microsoft Entra imposta por usuário, recomendamos habilitar o Acesso Condicional para todos os usuários e, em seguida, desabilite manualmente a autenticação multifator por usuário. Para obter mais informações, consulte: Criar uma política de Acesso Condicional.
Planejar tempo de vida de sessão de usuário
Ao planejar a implantação da autenticação multifator, é importante pensar na frequência com que você solicitar informações aos usuários. Pedir credenciais aos usuários muitas vezes parece uma coisa sensata a se fazer, mas pode ser um tiro que sai pela culatra. Se os usuários são treinados para inserir suas credenciais sem pensar, eles podem inadvertidamente fornecê-las a um prompt de credenciais mal-intencionado. O Microsoft Entra ID traz várias configurações que determinam a frequência com a qual você precisa se autenticar novamente. Entenda as necessidades de seus negócios e usuários e defina as configurações que fornecem o melhor equilíbrio para o seu ambiente.
É recomendável usar dispositivos com tokens de atualização primária (PRT) para melhorar a experiência do usuário final. Reduza o tempo de vida da sessão com a política de frequência de entrada somente em casos de uso de negócios específicos.
Para obter mais informações, confira Otimizar as solicitações de nova autenticação e entender o tempo de vida da sessão da autenticação multifator do Microsoft Entra.
Planejar o registro de usuário
Uma etapa importante em cada implantação da autenticação multifator é registrar os usuários para usar a autenticação multifator do Microsoft Entra. Métodos de autenticação como Serviço de Voz e SMS permitem o registro prévio, enquanto outros, como o Aplicativo Authenticator, requerem interação do usuário. Os administradores devem determinar como os usuários registrarão seus métodos.
Registro combinado da SSPR e da autenticação multifator do Microsoft Entra
A experiência de registro combinado da SSPR (redefinição de senha self-service) e da autenticação multifator do Microsoft Entra permite que os usuários se registrem na MFA e na SSPR em uma experiência unificada. A SSPR permite que os usuários redefinam a senha de maneira segura usando os mesmos métodos da autenticação multifator do Microsoft Entra. Para que você realmente entenda a funcionalidade e a experiência do usuário final, confira os Conceitos de registro combinado de informações de segurança.
É essencial informar os usuários sobre alterações futuras, requisitos de registro e ações de usuário necessárias. Oferecemos modelos de comunicação e documentação do usuário para preparar os usuários para a nova experiência e garantir o sucesso da distribuição. Envie os usuários para https://myprofile.microsoft.com para registrar ao selecionar o link Informações de segurança nessa página.
Registro com a Microsoft Entra ID Protection
A Microsoft Entra ID Protection contribui com uma política de registro e com políticas automatizadas de detecção de risco e correção para a história de autenticação multifator do Microsoft Entra. As políticas podem ser criadas para forçar alterações de senha quando houver uma ameaça de identidade comprometida ou exigir a MFA quando um login for considerado arriscado. Se você usa a Microsoft Entra ID Protection, configure a política de registro com autenticação multifator do Microsoft Entra para solicitar que os usuários se registrem na próxima vez que iniciarem a sessão de maneira interativa.
Registro sem a Microsoft Entra ID Protection
Se você não tiver licenças que habilitem a Microsoft Entra ID Protection, os usuários deverão se registrar na próxima vez que a MFA for solicitada no início de sessão. Para exigir que os usuários usem a MFA, você pode usar políticas de acesso condicional e direcioná-las para aplicativos usados com frequência, como sistemas de recursos humanos. Se a senha de um usuário for comprometida, ela poderá ser usada para se registrar na MFA e assumir o controle dessa conta. Portanto, recomendamos proteger o processo de registro de segurança com Políticas de Acesso Condicional que exigem dispositivos e locais confiáveis. Você pode proteger ainda mais o processo exigindo também uma senha de acesso temporária. Trata-se de uma senha de tempo limitado emitida por um administrador que atende aos requisitos de autenticação forte e que pode ser usada para integrar outros métodos de autenticação, incluindo aqueles sem senha.
Aumentar a segurança de usuários registrados
Se você tiver usuários registrados para MFA usando SMS ou chamadas de voz, talvez você queira transferi-los para métodos mais seguros, como o aplicativo Microsoft Authenticator. A Microsoft agora oferece uma versão prévia pública da funcionalidade que permite solicitar que os usuários configurem o aplicativo Microsoft Authenticator durante a entrada. Você pode definir esses prompts por grupo, controlando quem é solicitado e permitindo que campanhas direcionadas movam os usuários para o método mais seguro.
Planejar cenários de recuperação
Conforme mencionado, verifique se os usuários estão registrados em mais de um método MFA para que tenham um backup caso um desses métodos não esteja disponível. Se o usuário não tiver um método de backup disponível, você pode fazer o seguinte:
- Fornecer um Senha de Acesso Temporária para que eles possam gerenciar os próprios métodos de autenticação. Você também poderá fornecer um Senha de Acesso Temporária para habilitar o acesso temporário aos recursos.
- Atualizar os métodos desses usuários como administrador. Para fazer isso, selecione o usuário no Centro de administração do Microsoft Entra e selecione os métodos de Proteção>Autenticação e atualize seus métodos.
Planejar a integração com sistemas locais
Os aplicativos que se autenticam diretamente no Microsoft Entra ID e têm a autenticação moderna (Web Services Federation, SAML, OAuth e OpenID Connect) podem usar as políticas de Acesso condicional. Alguns aplicativos herdados e locais não se autenticam diretamente no Microsoft Entra ID e requerem etapas adicionais para usar a autenticação multifator do Microsoft Entra. É possível integrá-los usando o proxy de aplicativo do Microsoft Entra ou os Serviços de política de rede.
Integrar com recursos do AD FS
Recomendamos migrar os aplicativos protegidos com os Serviços de Federação do Active Directory (AD FS) para o Microsoft Entra ID. No entanto, se você ainda não puder migrá-los para o Microsoft Entra ID, use o adaptador da autenticação multifator do Azure com o AD FS 2016 ou mais recente.
Se a organização for federada com o Microsoft Entra ID, você poderá configurar a autenticação multifator do Microsoft Entra como um provedor de autenticação com recursos do AD FS no local e na nuvem.
Clientes RADIUS e autenticação multifator do Microsoft Entra
No caso de aplicativos que estejam usando a autenticação RADIUS, recomendamos mover os aplicativos cliente para protocolos modernos, como o SAML, o OpenID Connect ou o OAuth no Microsoft Entra ID. Se o aplicativo não puder ser atualizado, você poderá implantar a extensão de Servidor de Políticas de Rede (NPS). A extensão do NPS (Servidor de Políticas de Rede) funciona como um adaptador entre os aplicativos baseados no RADIUS e a autenticação multifator do Microsoft Entra para fornecer um segundo fator de autenticação.
Integrações comuns
Muitos fornecedores agora oferecem suporte à autenticação SAML para seus aplicativos. Sempre que possível, recomendamos federar esses aplicativos com o Microsoft Entra ID e impor a MFA por meio do acesso condicional. Se o fornecedor não oferecer suporte à autenticação moderna, você pode usar a extensão NPS. As integrações de clientes RADIUS mais comuns incluem aplicativos como Gateways da Área de Trabalho Remota e Servidores VPN.
Outras integrações podem incluir:
Gateway Citrix
O Gateway Citrix dá suporte à integração de extensão RADIUS e NPS e a uma integração SAML.
Cisco VPN
- O Cisco VPN dá suporte à autenticação RADIUS e SAML para SSO.
- Ao migrar da autenticação RADIUS para o SAML, você pode integrar o Cisco VPN sem implantar a extensão NPS.
Todas as VPNs
Implantar a autenticação multifator do Microsoft Entra
Seu plano de distribuição da autenticação multifator do Microsoft Entra deve incluir uma implantação-piloto seguida por fases de implantação que estejam dentro da sua capacidade de suporte. Comece a distribuição aplicando suas políticas de Acesso Condicional a um pequeno grupo de usuários piloto. Depois de avaliar o efeito nos usuários piloto, os processos usados e os comportamentos de registro, você pode adicionar mais grupos à política ou adicionar mais usuários aos grupos existentes.
Siga estas etapas:
- Atender a todos os pré-requisitos necessários
- Configurar os métodos de autenticação escolhidos
- Configurar política de Acesso Condicional
- Definir as configurações de tempo de vida das sessões
- Configurar políticas de registro da autenticação multifator do Microsoft Entra
Gerenciar a autenticação multifator do Microsoft Entra
Esta seção fornece informações de relatório e solução de problemas para a autenticação multifator do Microsoft Entra.
Relatórios e monitoramento
O Microsoft Entra ID traz relatórios que fornecem insights técnicos e de negócios, acompanham o progresso da implantação e verificam se os usuários estão conseguindo se conectar com a MFA. Seus proprietários de aplicativos técnicos e de negócios assumem a propriedade e consomem esses relatórios com base nos requisitos da sua organização.
O painel de atividade dos métodos de autenticação permite o monitoramento do registro e uso dos métodos de autenticação ao longo da sua organização. Isso ajuda a entender os métodos que estão sendo registrados e como eles vêm sendo usados.
Relatório de entrada para revisar eventos de MFA
Os relatórios de entrada do Microsoft Entra incluem detalhes de autenticação para eventos em que um usuário é solicitado a usar a MFA e indicam se alguma política de acesso condicional estava em uso. Use também o PowerShell para gerar relatórios sobre os usuários registrados na autenticação multifator do Microsoft Entra.
A extensão do NPS e os logs do AD FS para a atividade de MFA na nuvem agora estão incluídos nos Logs de entrada e não são mais publicados no Relatório de atividades.
Para obter mais informações e relatórios adicionais da autenticação multifator do Microsoft Entra, confira Analisar os eventos da autenticação multifator do Microsoft Entra.
Solução de problemas da autenticação multifator do Microsoft Entra
Confira Solução de problemas da autenticação multifator do Microsoft Entra para ver problemas comuns.
Passo a passo guiado
Para obter um passo a passo guiado de muitas das recomendações neste artigo, confira o passo a passo guiado Configurar autenticação multifator do Microsoft 365.