Compartilhar via

Planejamento para a autenticação multifator obrigatória para o Azure e outros portais de administração

  • Artigo

Na Microsoft, estamos comprometidos em fornecer aos nossos clientes o mais alto nível de segurança. Uma das medidas de segurança mais eficazes disponíveis para eles é a autenticação multifator (MFA). Uma pesquisa da Microsoft mostra que a MFA pode bloquear mais de 99,2% dos ataques de comprometimento de contas.

É por isso que, a partir de 2024, aplicaremos a MFA (autenticação multifator) obrigatória para todas as tentativas de entrada do Azure. Para obter mais informações sobre esse requisito, confira nossa postagem no blog. Este tópico aborda quais aplicativos e contas são afetados, como a imposição é distribuída aos locatários e outras perguntas e respostas comuns.

Não haverá nenhuma alteração para os usuários se sua organização já impor a MFA para eles ou se eles entrarem com métodos mais fortes, como FIDO2 (sem senha ou chave de senha). Para verificar se a MFA está habilitada, consulte Como verificar se os usuários estão configurados para a MFA obrigatória.

Escopo da imposição

O escopo da imposição inclui quais aplicativos planejam impor a MFA, quando a imposição está planejada para ocorrer e quais contas têm um requisito obrigatório de MFA.

Aplicativos

Nome do Aplicativo ID do Aplicativo Fase de imposição
Portal do Azure c44b4083-3bb0-49c1-b47d-974e53cbdf3c Segundo semestre de 2024
Centro de administração do Microsoft Entra c44b4083-3bb0-49c1-b47d-974e53cbdf3c Segundo semestre de 2024
Centro de administração do Microsoft Intune c44b4083-3bb0-49c1-b47d-974e53cbdf3c Segundo semestre de 2024
Centro de administração Microsoft 365 00000006-0000-0ff1-ce00-000000000000 Início de 2025
Interface de linha de comando do Azure (CLI do Azure) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 Início de 2025
Azure PowerShell 1950a258-227b-4e31-a9cf-717495945fc2 Início de 2025
Aplicativo móvel do Azure 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa Início de 2025
Ferramentas de IaC (Infraestrutura como Código) Usar as IDs da CLI do Azure ou do Azure PowerShell: Início de 2025

Contas

Todos os usuários que entrarem nos aplicativos listados anteriormente para executar qualquer operação CRUD (Criar, Ler, Atualizar ou Excluir) devem concluir a MFA quando a imposição começar. Os usuários não precisarão usar a MFA se acessarem outros aplicativos, sites ou serviços hospedados no Azure. Cada aplicativo, site ou proprietário de serviço listado anteriormente controla os requisitos de autenticação para os usuários.

Contas de acesso de emergência também são necessárias para entrar com a MFA assim que a imposição começar. É recomendado atualizar essas contas para usar a chave de acesso (FIDO2) ou configure a autenticação baseada em certificado para MFA. Ambos os métodos atendem ao requisito de MFA.

Identidades de carga de trabalho, como identidades gerenciadas e entidades de serviço, não são afetadas por nenhuma das fases dessa imposição de MFA. Se as identidades de usuário entrarem como uma conta de serviço para executar a automação (incluindo scripts ou outras tarefas automatizadas), essas identidades de usuário precisarão entrar com a MFA assim que a imposição começar. As identidades de usuário não são recomendadas para automação. Você deve migrar essas identidades de usuário para identidades de carga de trabalho.

Migrar contas de serviço baseadas no usuário para identidades de carga de trabalho

É recomendado que os clientes descubram contas de usuário que são usadas à medida que as contas de serviço começam a migrá-las para identidades de carga de trabalho. A migração geralmente requer a atualização de scripts e processos de automação para usar identidades de carga de trabalho.

Examine Como verificar se os usuários estão configurados para MFA obrigatória para identificar todas as contas de usuário, incluindo contas de usuário sendo usadas como contas de serviço, que fazem logon nos aplicativos.

Para obter mais informações sobre como migrar de contas de serviço baseadas no usuário para identidades de carga de trabalho para autenticação com esses aplicativos, consulte:

Alguns clientes aplicam políticas de Acesso condicional a contas de serviço baseadas no usuário. É possível recuperar a licença baseada no usuário e adicionar uma licença de identidades de carga de trabalho para aplicar o Acesso condicional para identidades de carga de trabalho.

Implementação

Esse requisito para MFA na entrada é implementado para portais de administração. Os log de entrada do Microsoft Entra ID o mostram como a origem do requisito de MFA.

A MFA obrigatória para portais de administração não é configurável. Ela é implementada separadamente de todas as políticas de acesso configuradas em seu locatário.

Por exemplo, se sua organização optou por manter os padrões de segurança da Microsoft e os padrões de segurança estão habilitados atualmente, os usuários não verão nenhuma alteração, pois a MFA já é necessária para o gerenciamento do Azure. Se o locatário estiver usando as políticas de Acesso Condicional no Microsoft Entra e você já tiver uma política de Acesso Condicional por meio da qual os usuários entram no Azure com MFA, os usuários não verão uma alteração. Da mesma forma, todas as políticas restritivas de Acesso Condicional direcionadas ao Azure que exigem autenticação mais forte, como MFA resistente a phishing, continuam a ser impostas. Os usuários não observam nenhuma alteração.

Fases da imposição

A imposição da MFA será implementada em duas fases:

  • Fase 1: a partir do segundo semestre de 2024, a MFA será necessária para iniciar a sessão no portal do Azure, no centro de administração do Microsoft Entra e no centro de administração do Microsoft Intune. A imposição será gradualmente implementada para todos os locatários em todo o mundo. Essa fase não afetará outros clientes do Azure, como a CLI do Azure, o Azure PowerShell, o aplicativo móvel do Azure ou as ferramentas de IaC. 

  • Fase 2: a partir do início de 2025, a imposição da MFA começará gradualmente para entradas na CLI do Azure, no Azure PowerShell, no aplicativo móvel do Azure e nas ferramentas de IaC. Alguns clientes podem usar uma conta de usuário no Microsoft Entra ID como uma conta de serviço. É recomendável migrar essas contas de serviço baseadas em usuário para proteger contas de serviço baseadas em nuvem com identidades de carga de trabalho.

Canais de notificação

A Microsoft notificará todos os Administradores globais do Microsoft Entra por meio dos seguintes canais:

  • Email: os administradores globais que configuraram um endereço de email serão informados por email da próxima imposição da MFA e as ações necessárias para serem preparadas.

  • Notificação de integridade do serviço: os administradores globais recebem uma notificação de integridade do serviço por meio do portal do Azure, com a ID de acompanhamento de 4V20-VX0. Esta notificação conterá as mesmas informações do email. Os Administradores globais também podem se inscrever para receber notificações de integridade do serviço por email.

  • Notificação do portal: uma notificação é exibida no portal do Azure, no centro de administração do Microsoft Entra e no centro de administração do Microsoft Intune quando eles entram. A notificação do portal é vinculada a este tópico para obter mais informações sobre a imposição da MFA obrigatória.

  • Centro de mensagens do Microsoft 365: uma mensagem aparece no centro de mensagens do Microsoft 365 com a ID da mensagem: MC862873. Essa mensagem tem as mesmas informações que a notificação de integridade do email e do serviço.

Após a imposição, uma faixa será exibida na autenticação multifator do Microsoft Entra:

Captura de tela de uma faixa na autenticação multifator do Microsoft Entra que mostra que a MFA obrigatória é imposta.

Métodos de autenticação e provedores de identidade externos

Suporte para soluções de MFA externas está em preview com métodos de autenticação externos e podem ser usadas para atender ao requisito de MFA. A versão prévia de controles personalizados de Acesso condicional herdado não atende ao requisito de MFA. Você deve migrar para a preview dos métodos de autenticação externa para usar uma solução externa com o Microsoft Entra ID. 

Se você estiver usando um IdP (provedor de identidade) federado, como os Serviços de Federação do Active Directory, e seu provedor de MFA estiver integrado diretamente a esse IdP federado, o IdP federado deverá ser configurado para enviar uma declaração de MFA. Para obter mais informações, confira Declarações de entrada esperadas para MFA do Microsoft Entra.

Solicite mais tempo para se preparar para a imposição

Entendemos que alguns clientes podem precisar de mais tempo para se preparar para esse requisito da MFA. A Microsoft está permitindo que clientes com ambientes complexos ou barreiras técnicas adiem a imposição para seus locatários até 15 de março de 2025.

Entre 15 de agosto e 15 de outubro de 2024, os Administradores Globais poderão acessar o portal do Azure para adiar a data de início da imposição no seu locatário para 15 de março de 2025. Os Administradores Globais devem ter acesso elevado antes de adiarem a data de início da imposição da MFA nesta página.

Os administradores globais devem executar essa ação para cada locatário em que desejam adiar a data de início da imposição.

Ao adiar a data de início da imposição, você assume um risco extra porque as contas que acessam os serviços da Microsoft, como o portal do Azure, são alvos altamente valiosos dos atores de ameaças. Recomendamos que todos os locatários configurem a MFA agora para proteger os recursos da nuvem. 

Perguntas Frequentes

Pergunta: se o locatário for usado apenas para teste, a MFA será necessária?

Resposta: sim, todos os locatários do Azure exigirão MFA, sem exceções.

Pergunta: como esse requisito afeta o Centro de administração do Microsoft 365?

Resposta: a MFA obrigatória será distribuída para o Centro de administração do Microsoft 365 a partir do início de 2025. Saiba mais sobre o requisito de MFA obrigatório para o Centro de administração do Microsoft 365 na postagem no blog Anunciar a autenticação multifator obrigatória para o Centro de administração do Microsoft 365.

Pergunta: a MFA é obrigatória para todos os usuários ou apenas administradores?

Resposta: todos os usuários que entrarem em qualquer um dos aplicativos listados anteriormente são obrigados a concluir a MFA, independentemente de quaisquer funções de administrador ativadas ou qualificadas para eles ou quaisquer exclusões de usuário habilitadas para eles.

Pergunta: será necessário concluir a MFA se escolher a opção de permanecer conectado?

Resposta: sim, mesmo se você escolher Permanecer conectado, será necessário concluir a MFA antes de entrar nesses aplicativos.

Pergunta: a imposição se aplicará a contas de convidado B2B?

Resposta: Sim, a MFA deve ser aderida do locatário de recurso do parceiro ou do locatário inicial do usuário se estiver configurada corretamente para enviar declarações de MFA ao locatário do recurso usando o acesso entre locatários.

Pergunta: Como podemos estar em conformidade se impomos a MFA usando outro provedor de identidade ou solução de MFA e não impomos usando a MFA do Microsoft Entra?

Resposta: a solução do provedor de identidade precisa ser configurada corretamente para enviar a declaração multipleauthn ao Microsoft Entra ID. Para saber mais, confira Referência do provedor de método externo de autenticação multifator do Microsoft Entra.

Pergunta: A fase 1 ou a fase 2 da MFA obrigatória afetará minha capacidade de sincronizar com o Microsoft Entra Connect ou o Microsoft Entra Cloud Sync?

Resposta: Não. A conta de serviço de sincronização não é afetada pelo requisito de MFA obrigatório. Somente os aplicativos listados anteriormente exigem a MFA para entrar.

Pergunta: poderei optar por não participar?

Não há como optar por não participar. Esse movimento de segurança é fundamental para toda a segurança da plataforma Azure e está sendo repetido entre os fornecedores de nuvem. Por exemplo, consulte Secure by Design: AWS para aprimorar os requisitos de MFA em 2024.

Uma opção para adiar a data de início da imposição está disponível para os clientes. Entre 15 de agosto e 15 de outubro de 2024, os Administradores Globais poderão acessar o portal do Azure para adiar a data de início da imposição no seu locatário para 15 de março de 2025. Os administradores globais devem ter acesso elevado antes de adiarem a data de início da imposição da MFA nesta página. Eles devem executar essa ação para cada locatário que precisa de adiamento.

Pergunta: posso testar a MFA antes que o Azure imponha a política para garantir que nada tenha problemas?

Resposta: Sim, você pode testar sua MFA por meio do processo de configuração manual da MFA. Nós encorajamos você a configurar e testar. Se você usar o Acesso Condicional para impor a MFA, poderá usar modelos de Acesso Condicional para testar sua política. Para obter mais informações, confira Exigir autenticação multifator para administradores que acessam portais de administração da Microsoft. Se você executar uma edição gratuita do Microsoft Entra ID, poderá habilitar os padrões de segurança.

Pergunta: e se eu já tiver a MFA habilitada, o que acontece a seguir?

Resposta: os clientes que já precisam de MFA para seus usuários que acessam os aplicativos listados anteriormente não visualizam nenhuma alteração. Se você exigir apenas a MFA para um subconjunto de usuários, todos os usuários que ainda não estiverem usando a MFA precisarão usar a MFA quando iniciarem a sessão nos aplicativos.

Pergunta: Como posso revisar a atividade de MFA no Microsoft Entra ID?

Resposta: para examinar os detalhes sobre quando um usuário é solicitado a entrar com a MFA, use o relatório de entradas do Microsoft Entra. Para obter mais informações, confira Detalhes de eventos de entrada para autenticação multifator do Microsoft Entra.

Pergunta: e se eu tiver um cenário de "quebra de vidro"?

Resposta: recomendamos atualizar essas contas para usar a chave de acesso (FIDO2) ou configurar a autenticação baseada em certificado para MFA. Ambos os métodos atendem ao requisito de MFA.

Pergunta: e se eu não receber um e-mail sobre como habilitar a MFA antes de ser imposta e, em seguida, sofrer um bloqueio. Como devo resolver isso? 

Resposta: os usuários não devem ser bloqueados, mas podem receber uma mensagem que solicita que eles habilitem a MFA assim que a imposição do locatário for iniciada. Se o usuário estiver bloqueado, poderão haver outros problemas. Para obter mais informações, consulte A conta foi bloqueada. 

Conteúdo relacionado

Revise os tópicos a seguir para saber mais sobre como configurar e implantar a MFA: