Migração do MFA Server
Este tópico aborda como migrar configurações de MFA para usuários do Microsoft Entra do Servidor de autenticação multifator do Microsoft Entra local para a autenticação multifator do Microsoft Entra.
Visão geral da solução
O MFA Server Migration Utility ajuda a sincronizar os dados de autenticação multifator armazenados no Servidor de autenticação multifator do Microsoft Entra no local diretamente com a autenticação multifator do Microsoft Entra. Depois que os dados de autenticação são migrados para o Microsoft Entra ID, os usuários podem executar MFA baseada em nuvem sem problemas, sem precisar se registrar novamente ou confirmar métodos de autenticação. Os administradores podem usar o MFA Server Migration Utility para direcionar usuários individuais ou grupos de usuários para teste e distribuição controlada sem precisar fazer alterações em todo o locatário.
Vídeo: Como usar o MFA Server Migration Utility
Dê uma olhada em nosso vídeo para obter uma visão geral do MFA Server Migration Utility e como ele funciona.
Limitações e requisitos
O MFA Server Migration Utility requer que uma nova compilação da solução MFA Server seja instalada no seu Servidor MFA Primário. A compilação faz atualizações para o arquivo de dados do MFA Server e inclui o novo MFA Server Migration Utility. Não é necessário atualizar o WebSDK ou o portal do usuário. A instalação do de atualização não iniciar a migração automaticamente.
Observação
O MFA Server Migration Utility pode ser executado em um MFA Server secundário. Para obter mais informações, verifique Executar um servidor MFA secundário (opcional).
O MFA Server Migration Utility copia os dados do arquivo de banco de dados para os objetos de usuário no Microsoft Entra ID. Durante a migração, os utilizadores podem ser direcionados para a autenticação multifator do Microsoft Entra para fins de teste, usando de distribuição em etapas. A migração em etapas permite testar sem fazer alterações nas configurações de federação de domínio. Quando as migrações estiverem concluídas, você deverá finalizar a migração fazendo alterações nas configurações de federação de domínio.
O AD FS a executar no Windows Server 2016 ou superior é necessário para fornecer autenticação MFA a qualquer parte confiante do AD FS, não incluindo a Microsoft Entra ID e o Office 365.
Revise suas políticas de controle de acesso do AD FS e verifique se nenhuma exige que a MFA seja executada no local como parte do processo de autenticação.
A distribuição em etapas pode atingir um máximo de 500.000 usuários (10 grupos contendo um máximo de 50.000 usuários cada).
Guia de migração
Uma migração do MFA Server geralmente inclui as etapas no seguinte processo:
Alguns pontos importantes:
de Fase 1 deve ser repetida à medida que se adicionam utilizadores de teste.
- A ferramenta de migração usa grupos do Microsoft Entra para determinar os usuários para os quais os dados de autenticação devem ser sincronizados entre o MFA Server e a autenticação multifator do Microsoft Entra. Depois que os dados do usuário são sincronizados, esse usuário está pronto para usar a autenticação multifator do Microsoft Entra.
- A distribuição em estágios permite redirecionar os usuários para a autenticação multifator do Microsoft Entra, também usando grupos do Microsoft Entra. Embora certamente possa utilizar os mesmos grupos para ambas as ferramentas, não recomendamos isso, pois os utilizadores poderão ser redirecionados para a autenticação multifator do Microsoft Entra antes que a ferramenta sincronize os seus dados. Recomendamos configurar grupos do Microsoft Entra para sincronizar dados de autenticação através do Utilitário de Migração do Servidor MFA e outro conjunto de grupos para o Staged Rollout para encaminhar utilizadores específicos para a autenticação multifator do Microsoft Entra, em vez dos ambientes locais.
A Fase 2 deve ser repetida à medida que se migra a base de utilizadores. Até o final da Fase 2, toda a sua base de usuários deve estar usando a autenticação multifator do Microsoft Entra para todas as cargas de trabalho federadas com a ID do Microsoft Entra.
Durante as fases anteriores, é possível remover utilizadores das pastas de Implementação em Estágios para retirá-los do âmbito da autenticação multifator do Microsoft Entra e redirecioná-los de volta ao servidor de autenticação multifator do Microsoft Entra local para todas as solicitações de MFA originadas do Microsoft Entra ID.
da Fase 3 requer a transferência de todos os clientes que se autenticam no MFA Server on-premises (VPNs, gestores de senhas e assim por diante) para a Microsoft Entra Federation via SAML/OAUTH. Se os padrões de autenticação modernos não forem suportados, será necessário manter o(s) servidor(es) NPS com a extensão de autenticação multifator Microsoft Entra instalada. Depois que as dependências forem migradas, os usuários não devem mais usar o portal do usuário no MFA Server, mas devem gerenciar seus métodos de autenticação no Microsoft Entra ID (aka.ms/mfasetup). Quando os usuários começam a gerenciar seus dados de autenticação no Microsoft Entra ID, esses métodos não são sincronizados de volta ao MFA Server. Se você reverter para o MFA Server local depois que os usuários tiverem feito alterações em seus métodos de autenticação no Microsoft Entra ID, essas alterações serão perdidas. Após a conclusão das migrações de usuário, altere a configuração de federação de domínio federatedIdpMfaBehavior. A alteração instrui o Microsoft Entra ID a deixar de executar MFA no local e a realizar todas as solicitações de MFA com a autenticação multifator do Microsoft Entra, independentemente da adesão ao grupo.
As seções a seguir explicam as etapas de migração com mais detalhes.
Identificar dependências do servidor de autenticação multifator Microsoft Entra
Trabalhámos arduamente para garantir que a transição para a nossa solução de autenticação multifator Microsoft Entra baseada na nuvem mantém e melhora a sua postura de segurança. Há três grandes categorias que devem ser usadas para agrupar dependências:
Para ajudar na sua migração, combinamos recursos amplamente utilizados do MFA Server com o equivalente funcional na autenticação multifator do Microsoft Entra para cada categoria.
Métodos de MFA
Abra o Servidor MFA, selecione Configurações da Empresa:
| Servidor MFA | Autenticação multifator Microsoft Entra |
|---|---|
| Guia Geral | |
| seção Padrões do usuário | |
| Chamada telefónica (Padrão) | Nenhuma ação necessária |
| Mensagem de texto (OTP)* | Nenhuma ação necessária |
| Aplicação móvel (Padrão) | Nenhuma ação necessária |
| Chamada telefónica (PIN)* | Ativar OTP de voz |
| Mensagem de texto (OTP + PIN)** | Nenhuma ação necessária |
| Aplicação móvel (PIN)* | Habilitar de correspondência numérica |
| Linguagem de chamada telefónica/mensagem de texto/aplicação móvel/token OATH | As configurações de idioma são aplicadas automaticamente a um usuário com base nas configurações de localidade em seu navegador |
| Seção de regras de PIN padrão | Não aplicável; Veja os métodos atualizados na captura de tela anterior |
| Aba Resolução de Nome de Utilizador | Não aplicável; a resolução de nome de usuário não é necessária para a autenticação multifator do Microsoft Entra |
| aba Mensagem de Texto | Não aplicável; A autenticação multifator do Microsoft Entra usa uma mensagem padrão para mensagens de texto |
| Guia Token OATH | Não aplicável; A autenticação multifator do Microsoft Entra usa uma mensagem padrão para tokens OATH |
| Relatórios | Relatórios de atividade dos métodos de autenticação do Microsoft Entra |
*Quando um PIN é usado para fornecer a funcionalidade de prova de presença, o equivalente funcional é fornecido acima. Os PINs que não estão criptograficamente vinculados a um dispositivo não protegem suficientemente contra cenários em que um dispositivo foi comprometido. Para se proteger contra esses cenários, incluindo ataques de troca de SIM, mova os usuários para métodos mais seguros de acordo com os métodos de autenticação da Microsoft as práticas recomendadas.
**A experiência padrão de MFA de texto na autenticação multifator do Microsoft Entra envia aos usuários um código, que eles devem inserir na janela de login como parte da autenticação. O requisito de ida e volta do código fornece a funcionalidade de prova de presença.
Portal do utilizador
Abra o MFA Server, selecione Portal do Usuário:
| Servidor MFA | Autenticação multifator Microsoft Entra |
|---|---|
| Separador de Definições | |
| URL do portal do utilizador | aka.ms/mfasetup |
| Permitir inscrição de usuários | Consulte o registro de informações de segurança combinadas |
| - Prompt para telefone de backup | Consulte configurações do Serviço MFA |
| - Solicitar token OATH de terceiros | Consulte configurações do Serviço MFA |
| Permitir que os usuários iniciem um desvio de One-Time | Consulte funcionalidade TAP do Microsoft Entra ID |
| Permitir que os usuários selecionem o método | Consulte configurações do Serviço MFA |
| - Chamada telefónica | Consulte a documentação de chamada telefónica |
| - Mensagem de texto | Consulte as configurações do Serviço MFA |
| - Aplicação móvel | Consulte configurações do Serviço MFA |
| - OATH Token | Consulte documentação do token OATH |
| Permitir que os usuários selecionem o idioma | As configurações de idioma são aplicadas automaticamente a um usuário com base nas configurações de localidade em seu navegador |
| Permitir que os usuários ativem o aplicativo móvel | Consulte configurações do Serviço MFA |
| - Limite de dispositivos | O Microsoft Entra ID limita os usuários a cinco dispositivos cumulativos (instâncias de aplicativos móveis + token OATH de hardware + token OATH de software) por usuário |
| Usar perguntas de segurança para substituição | O Microsoft Entra ID permite que os usuários escolham um método de fallback no momento da autenticação caso o método de autenticação escolhido falhe |
| - Perguntas a responder | As Perguntas de Segurança no Microsoft Entra ID só podem ser usadas para SSPR. Veja mais detalhes sobre Perguntas de segurança personalizadas do Microsoft Entra |
| Permitir que os usuários associem token OATH de terceiros | Consulte a documentação do token OATH |
| Usar token OATH como alternativa | Consulte documentação do token OATH |
| Tempo limite da sessão | |
| aba Perguntas de Segurança | As perguntas de segurança no MFA Server foram usadas para obter acesso ao portal do usuário. A autenticação multifator do Microsoft Entra suporta apenas perguntas de segurança para redefinição de senha de autoatendimento. Consulte documentação sobre perguntas de segurança. |
| Aba Sessões Passadas | Todos os fluxos de registro do método de autenticação são gerenciados pelo Microsoft Entra ID e não exigem configuração |
| IPs confiáveis | IPs confiáveis do Microsoft Entra ID |
Todos os métodos de MFA disponíveis no MFA Server devem ser habilitados na autenticação multifator do Microsoft Entra usando configurações do Serviço MFA. Os usuários não podem tentar seus métodos de MFA recém-migrados a menos que estejam habilitados.
Serviços de autenticação
O Microsoft Entra multifactor authentication Server pode fornecer funcionalidade MFA para soluções de terceiros que usam RADIUS ou LDAP agindo como um proxy de autenticação. Para descobrir dependências RADIUS ou LDAP, selecione as opções Autenticação RADIUS e Autenticação LDAP no Servidor MFA. Para cada uma dessas dependências, determine se esses terceiros oferecem suporte à autenticação moderna. Em caso afirmativo, considere a federação diretamente com o Microsoft Entra ID.
Para implantações RADIUS que não podem ser atualizadas, você precisará implantar um servidor NPS e instalar a extensão NPS de autenticação multifator Microsoft Entra.
Para implantações LDAP que não podem ser atualizadas ou movidas para RADIUS, determinar se os Serviços de Domínio Microsoft Entra podem ser usados. Na maioria dos casos, o LDAP foi implantado para suportar alterações de senha em linha para usuários finais. Depois de migrados, os usuários finais podem gerenciar suas senhas usando redefinição de senha de autoatendimento no Microsoft Entra ID.
Se tiver ativado o provedor de autenticação do Servidor MFA no AD FS 2.0 em quaisquer relações de confiança de terceiros, exceto na confiança de terceiro do Office 365, precisará atualizar para o AD FS 3.0 ou federar esses terceiros diretamente com a ID do Microsoft Entra, se oferecerem suporte a métodos modernos de autenticação. Determine o melhor plano de ação para cada uma das dependências.
Backup do arquivo de dados do servidor de autenticação multifator Microsoft Entra
Faça um backup do arquivo de dados do MFA Server localizado em %programfiles%\Multi-Factor Authentication Server\Data\PhoneFactor.pfdata (local padrão) em seu servidor MFA primário. Certifique-se de ter uma cópia do instalador para sua versão atualmente instalada, caso precise reverter. Se já não tiver uma cópia, contacte o Serviço de Apoio ao Cliente.
Dependendo da atividade do usuário, o arquivo de dados pode se tornar desatualizado rapidamente. Quaisquer alterações feitas no MFA Server ou quaisquer alterações de usuário final feitas através do portal após o backup não serão capturadas. Se reverteres, quaisquer alterações feitas a partir deste ponto não serão restauradas.
Instalar a atualização do MFA Server
Execute o novo instalador no servidor MFA primário. Antes de atualizar um servidor, remova-o do balanceamento de carga ou do compartilhamento de tráfego com outros servidores MFA. Não é necessário desinstalar o MFA Server atual antes de executar o instalador. O instalador executa uma atualização no local usando o caminho de instalação atual (por exemplo, C:\Program Files\Verificação de Múltiplos Fatores). Se você for solicitado a instalar um pacote de atualização do Microsoft Visual C++ 2015 Redistributable, aceite o prompt. As versões x86 e x64 do pacote estão instaladas. Não é necessário instalar atualizações para o Portal do Utilizador, SDK Web ou Adaptador AD FS.
Observação
Depois de executar o instalador no servidor primário, os servidores secundários podem começar a registar entradas não tratadas de SB
Configurar a Utilidade de Migração do Servidor MFA
Depois de instalar a atualização do MFA Server, abra um prompt de comando do PowerShell com privilégios elevados: passe o mouse sobre o ícone do PowerShell, clique com o botão direito e selecione Executar como Administrador. Execute o arquivo .\Configure-MultiFactorAuthMigrationUtility.ps1 script encontrado no diretório de instalação do MFA Server (C:\Program Files\Multi-Factor Authentication Server por padrão).
Esse script requer que você forneça credenciais para um administrador de aplicativo em seu locatário do Microsoft Entra. Ele cria um novo aplicativo MFA Server Migration Utility dentro do Microsoft Entra ID, que é usado para gravar métodos de autenticação de usuário para cada objeto de usuário do Microsoft Entra.
Para clientes de nuvem governamentais que desejam realizar migrações, substitua as entradas ".com" no script por ".us". Esse script grava as entradas do Registro HKLM:\SOFTWARE\WOW6432Node\Positive Networks\PhoneFactor\ StsUrl e GraphUrl e instrui o Utilitário de Migração a usar os endereços GRAPH apropriados.
Você também precisará acessar os seguintes URLs:
-
https://graph.microsoft.com/*(ouhttps://graph.microsoft.us/*para clientes de nuvem governamentais) -
https://login.microsoftonline.com/*(ouhttps://login.microsoftonline.us/*para clientes de nuvem governamentais)
O script instrui você a conceder consentimento de administrador para o aplicativo recém-criado. Navegue até a URL fornecida ou, dentro do centro de administração do Microsoft Entra, selecione
Depois de concluído, navegue até a pasta Multi-Factor Authentication Server e abra o aplicativo
Você instalou com êxito o Utilitário de Migração.
Observação
Para garantir que não haja alterações no comportamento durante a migração, se o seu Servidor MFA estiver associado a um Provedor de MFA sem referência de locatário, você precisará atualizar as configurações de MFA padrão (como saudações personalizadas) para o locatário que você está migrando para corresponder às configurações em seu Provedor de MFA. Recomendamos fazer isso antes de migrar qualquer usuário.
Executar um servidor MFA secundário (opcional)
Se sua implementação do MFA Server tiver um grande número de usuários ou um Servidor MFA primário ocupado, convém considerar a implantação de um Servidor MFA secundário dedicado para executar o Utilitário de Migração do Servidor MFA e os serviços de Sincronização de Migração. Depois de atualizar seu servidor MFA primário, atualize um servidor secundário existente ou implante um novo servidor secundário. O servidor secundário escolhido não deve lidar com outro tráfego MFA.
O script Configure-MultiFactorAuthMigrationUtility.ps1 deve ser executado no servidor secundário para registrar um certificado com o registro do aplicativo MFA Server Migration Utility. O certificado é usado para autenticar no Microsoft Graph. A execução dos serviços Utilitário de Migração e Sincronização em um Servidor MFA secundário deve melhorar o desempenho de migrações de usuários manuais e automatizadas.
Migrar dados do usuário
A migração de dados do usuário não remove nem altera nenhum dado no banco de dados do Multi-Factor Authentication Server. Da mesma forma, esse processo não será alterado onde um usuário executa MFA. Esse processo é uma cópia unidirecional dos dados do servidor local para o objeto de usuário correspondente no Microsoft Entra ID.
O utilitário de migração do MFA Server tem como alvo um único grupo do Microsoft Entra para todas as atividades de migração. Você pode adicionar usuários diretamente a esse grupo ou adicionar outros grupos. Você também pode adicioná-los em etapas durante a migração.
Para iniciar o processo de migração, insira o nome ou GUID do grupo do Microsoft Entra que você deseja migrar. Uma vez concluído, pressione Tab ou selecione fora da janela para começar a procurar o grupo apropriado. Todos os usuários do grupo são preenchidos. Um grupo grande pode levar vários minutos para terminar.
Para exibir dados de atributos de um usuário, realce o usuário e selecione Exibir:
Esta janela exibe os atributos para o usuário selecionado no ID do Microsoft Entra e no Servidor MFA local. Você pode usar essa janela para exibir como os dados foram gravados em um usuário após a migração.
A opção Configurações permite alterar as configurações do processo de migração:
Migrar – há três opções para migrar o método de autenticação padrão do usuário:
- Migrar sempre
- Apenas migre se ainda não estiver definido no Microsoft Entra ID
- Definido como o método mais seguro disponível se ainda não estiver definido no Microsoft Entra ID
Essas opções fornecem flexibilidade quando você migra o método padrão. Além disso, a política de métodos de autenticação é verificada durante a migração. Se o método padrão que está sendo migrado não for permitido pela política, ele será definido como o método mais seguro disponível.
User Match – Permite especificar um atributo diferente do Ative Directory local para corresponder ao UPN do Microsoft Entra em vez da correspondência padrão para userPrincipalName:
- O utilitário de migração tenta a correspondência direta com o UPN antes de usar o atributo do Ative Directory local.
- Se nenhuma correspondência for encontrada, ele chamará uma API do Windows para localizar o UPN do Microsoft Entra e obter o SID, que ele usa para pesquisar a lista de usuários do MFA Server.
- Se a API do Windows não encontrar o usuário ou o SID não for encontrado no MFA Server, ele usará o atributo Ative Directory configurado para localizar o usuário no Ative Directory local e, em seguida, use o SID para pesquisar a lista de usuários do MFA Server.
Sincronização automática – Inicia um serviço em segundo plano que monitora continuamente quaisquer alterações de método de autenticação para usuários no Servidor MFA local e as grava na ID do Microsoft Entra no intervalo de tempo especificado definido.
Servidor de sincronização – Permite que o serviço MFA Server Migration Sync seja executado em um servidor MFA secundário em vez de ser executado apenas no primário. Para configurar o serviço Migração Sincronizada para ser executado em um servidor secundário, o script
Configure-MultiFactorAuthMigrationUtility.ps1deve ser executado no servidor para registar um certificado com o registo da aplicação Utilitário de Migração do Servidor MFA. O certificado é usado para autenticar no Microsoft Graph.
O processo de migração pode ser automático ou manual.
As etapas manuais do processo são:
Para iniciar o processo de migração de um usuário ou a seleção de vários usuários, pressione e mantenha pressionada a tecla Ctrl enquanto seleciona cada um dos usuários que deseja migrar.
Depois de selecionar os usuários desejados, selecione Migrar usuários>Usuários selecionados>OK.
Para migrar todos os usuários do grupo, selecione Migrar usuários>todos os usuários no grupo Microsoft Entra>OK.
Você pode migrar usuários mesmo que eles estejam inalterados. Por padrão, o utilitário é definido como Migrar somente usuários que mudaram. Selecione Migrar todos os usuários migrar novamente os usuários migrados anteriormente que não foram alterados. A migração de usuários inalterados pode ser útil durante o teste se um administrador precisar redefinir as configurações de autenticação multifator do Microsoft Entra de um usuário e quiser migrá-las novamente.
Para o processo automático, selecione de sincronização automática em Configurações e, em seguida, selecione se deseja que todos os usuários sejam sincronizados ou apenas membros de um determinado grupo do Microsoft Entra.
A tabela a seguir lista a lógica de sincronização para os vários métodos.
| Método | Lógica |
|---|---|
| Telefone | Se não houver extensão, atualize o telefone MFA. Se houver uma extensão, atualize o telefone do Office. Exceção: Se o método padrão for Mensagem de Texto, solte a extensão e atualize o telefone MFA. |
| Telefone de backup | Se não houver nenhuma extensão, atualize o telefone alternativo. Se houver uma extensão, atualize o telefone do escritório. Exceção: Se o telefone e o telefone de backup tiverem uma extensão, ignore o telefone de backup. |
| Aplicativo Móvel | Máximo de cinco dispositivos são migrados ou apenas quatro se o usuário também tiver um token OATH de hardware. Se houver vários dispositivos com o mesmo nome, migre apenas o mais recente. Os dispositivos são encomendados do mais recente para o mais antigo. Se os dispositivos já existirem no Microsoft Entra ID, corresponda à Chave Secreta do Token OATH e atualize. - Se não houver correspondência na Chave Secreta do Token OATH, procure correspondência no Token do Dispositivo -- Se encontrado, crie um token OATH de software para o dispositivo MFA Server para permitir que o método OATH Token funcione. As notificações ainda funcionam usando o dispositivo de autenticação multifator Microsoft Entra existente. -- Se não for encontrado, crie um novo dispositivo. Se a adição de um novo dispositivo exceder o limite de cinco dispositivos, o dispositivo será ignorado. |
| OATH Token | Se os dispositivos já existirem no Microsoft Entra ID, faça corresponder a Chave Secreta do Token OATH e atualize. - Se não for encontrado, adicione um novo dispositivo Hardware OATH Token. Se a adição de um novo dispositivo exceder o limite de cinco dispositivos, o token OATH será ignorado. |
Os métodos MFA são atualizados com base no que foi migrado e o método padrão é definido. O MFA Server acompanha o último carimbo de data/hora de migração e só migra o utilizador novamente se as configurações de MFA do utilizador forem alteradas ou se um administrador mudar o que migrar na janela de Configurações do .
Durante o teste, recomendamos fazer uma migração manual primeiro e testar para garantir que um determinado número de usuários se comporte conforme o esperado. Quando o teste for bem-sucedido, ative a sincronização automática para o grupo do Microsoft Entra que você deseja migrar. À medida que você adiciona usuários a esse grupo, suas informações são sincronizadas automaticamente com o ID do Microsoft Entra. O MFA Server Migration Utility destina-se a um grupo do Microsoft Entra, no entanto, esse grupo pode abranger usuários e grupos aninhados de usuários.
Uma vez concluída, uma confirmação informa sobre as tarefas concluídas:
Como mencionado na mensagem de confirmação, pode levar vários minutos para que os dados migrados apareçam em objetos de usuário dentro do ID do Microsoft Entra. Os usuários podem visualizar seus métodos migrados navegando até aka.ms/mfasetup.
Dica
Você pode reduzir o tempo necessário para exibir grupos se não precisar exibir os métodos do Microsoft Entra MFA. Selecione Exibir>Métodos MFA do Azure AD para alternar a exibição de colunas para Padrão do Azure AD, Telefone do Azure AD, Alternativo do Azure AD, Escritório do Azure AD, Dispositivos do Azure AD, e Token OATH do Azure AD. Quando as colunas estão ocultas, algumas chamadas à API do Microsoft Graph são ignoradas, o que melhora muito o tempo de carregamento do usuário.
Ver detalhes da migração
Você pode usar logs de auditoria ou análise de log para exibir detalhes das migrações de usuários do servidor de autenticação multifator (MFA Server) para a autenticação multifator do Microsoft Entra.
Usar registos de auditoria
Para acessar os logs de auditoria no centro de administração do Microsoft Entra para exibir detalhes das migrações de usuário de autenticação multifator do MFA Server para o Microsoft Entra, siga estas etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Autenticação .
Navegue para Identidade>Monitorização & saúde>registos de auditoria. Para filtrar os logs, selecione Adicionar filtros.
Selecione Iniciado por (ator) e selecione Aplicar.
Digite Microsoft Entra gestão de autenticação multifatorial e seleccione Apply.
Este filtro exibe apenas os logs do Utilitário de Migração do Servidor MFA. Para exibir os detalhes de uma migração de usuário, selecione uma linha e escolha a guia Propriedades Modificadas. Nesta guia, são mostradas as alterações nos métodos de MFA registados e números de telefone.
A tabela a seguir lista o método de autenticação para cada código.
Código Método 0 Voz móvel 2 Escritório de voz 3 Alternativa de voz móvel 5 SMS 6 Notificação por push do Microsoft Authenticator 7 Token de hardware ou software OTP Se algum dispositivo de usuário tiver sido migrado, haverá uma entrada de log separada.
Usar Log Analytics
Os detalhes das migrações de usuário de autenticação multifator do MFA Server para o Microsoft Entra também podem ser consultados usando o Log Analytics.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| extend Upn = tostring(TargetResources[0]["userPrincipalName"])
| extend ModifiedProperties = TargetResources[0]["modifiedProperties"]
| project ActivityDateTime, InitiatedBy, UserObjectId, Upn, ModifiedProperties
| order by ActivityDateTime asc
Esta captura de tela mostra as alterações na migração do usuário:
Esta captura de tela mostra as alterações na migração de dispositivos:
O Log Analytics também pode ser usado para resumir a atividade de migração do usuário.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Microsoft Entra multifactor authentication Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| summarize UsersMigrated = dcount(UserObjectId) by InitiatedBy, bin(ActivityDateTime, 1d)
Validar e testar
Depois de migrar com êxito os dados do usuário, você pode validar a experiência do usuário final usando a Distribuição em Estágios antes de fazer a alteração global do locatário. O processo a seguir permite que você direcione grupos(s) específicos do Microsoft Entra para distribuição em estágios para MFA. A Distribuição em Estágios informa ao Microsoft Entra ID para executar MFA usando a autenticação multifator do Microsoft Entra para usuários nos grupos de destino, em vez de enviá-los no local para executar MFA. Você pode validar e testar — recomendamos usar o centro de administração do Microsoft Entra, mas se preferir, também pode usar o Microsoft Graph.
Habilitar distribuição em etapas
Navegue até a seguinte url: Habilitar recursos de distribuição em estágios - Microsoft Azure.
Altere de autenticação multifator do Azure para One, em seguida, selecione Gerenciar grupos.
Selecione Adicionar grupos e adicione o(s) grupo(s) que contém os usuários que você deseja habilitar para a autenticação multifator do Microsoft Entra. Os grupos selecionados aparecem na lista exibida.
Observação
Todos os grupos segmentados usando o seguinte método do Microsoft Graph também aparecem nesta lista.
Habilitar a distribuição em etapas usando o Microsoft Graph
Criar a política de implementação de funcionalidades
Navegue até aka.ms/ge e faça login no Graph Explorer usando uma conta de Administrador de Identidade Híbrida no locatário que você deseja configurar para a Distribuição em etapas.
Verifique se o POST está selecionado visando o seguinte ponto de extremidade:
https://graph.microsoft.com/v1.0/policies/featureRolloutPoliciesO corpo do seu pedido deve conter o seguinte (alterar política de implementação de MFA para um nome e uma descrição para a sua organização):
{ "displayName": "MFA rollout policy", "description": "MFA rollout policy", "feature": "multiFactorAuthentication", "isEnabled": true, "isAppliedToOrganization": false }
Execute um GET com o mesmo ponto de extremidade e anote o valor do ID (riscado na imagem a seguir):
Direcione o(s) grupo(s) do Microsoft Entra que contêm os usuários que você deseja testar
Crie uma solicitação POST com o seguinte ponto de extremidade (substitua {ID da política} pelo valor ID
copiado da etapa 1d): https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{ID of policy}/appliesTo/$refO corpo da solicitação deve conter o seguinte (substitua {ID do grupo} pelo ID do objeto do grupo que você deseja direcionar para a distribuição em estágios):
{ "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{ID of group}" }Repita as etapas a e b para quaisquer outros grupos que você deseja segmentar com a distribuição em estágios.
Você pode exibir a política atual em vigor fazendo um GET no seguinte URL:
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{policyID}?$expand=appliesToO processo anterior utiliza o recurso featureRolloutPolicy. A documentação pública ainda não foi atualizada com o novo recurso multifactorAuthentication, mas tem informações detalhadas sobre como interagir com a API.
Confirme a experiência de MFA do utilizador final. Aqui estão algumas coisas para verificar:
- Os utilizadores conseguem ver os seus métodos em aka.ms/mfasetup?
- Os utilizadores recebem chamadas telefónicas/mensagens de texto?
- Eles são capazes de autenticar com sucesso usando os métodos acima?
- Os usuários recebem notificações do Autenticador com êxito? Eles são capazes de aprovar essas notificações? A autenticação é bem-sucedida?
- Os usuários são capazes de autenticar com êxito usando tokens OATH de hardware?
Educar os utilizadores
Certifique-se de que os usuários saibam o que esperar quando forem movidos para a autenticação multifator do Microsoft Entra, incluindo novos fluxos de autenticação. Você também pode instruir os usuários a usar o portal de Registro Combinado do Microsoft Entra ID (aka.ms/mfasetup) para gerenciar seus métodos de autenticação em vez do portal do usuário assim que as migrações forem concluídas. Quaisquer alterações feitas nos métodos de autenticação no Microsoft Entra ID não serão propagadas de volta ao seu ambiente local. Em uma situação em que você teve que reverter para o MFA Server, quaisquer alterações feitas pelos usuários no Microsoft Entra ID não estarão disponíveis no portal do usuário do MFA Server.
Se você usar soluções de terceiros que dependem do Servidor de autenticação multifator Microsoft Entra para autenticação (consulte Serviços de autenticação), você desejará que os usuários continuem a fazer alterações em seus métodos de MFA no Portal do usuário. Essas alterações são sincronizadas com o Microsoft Entra ID automaticamente. Depois de migrar essas soluções de terceiros, você pode mover os usuários para a página de registro combinado do Microsoft Entra ID.
Migração de usuário completa
Repita as etapas de migração encontradas em Migrar dados do usuário e seções Validar e testar até que todos os dados do usuário sejam migrados.
Migrar dependências do MFA Server
Usando os pontos de dados coletados no de serviços de autenticação, comece a realizar as várias migrações necessárias. Quando isso for concluído, considere fazer com que os usuários gerenciem seus métodos de autenticação no portal de registro combinado, em vez de no Portal do usuário no servidor MFA.
Atualizar configurações de federação de domínio
Depois de concluir as migrações de usuários e mover todos os seus serviços de Autenticação desativados do MFA Server, é hora de atualizar as configurações de federação de domínio. Após a atualização, o Microsoft Entra não envia mais a solicitação de MFA para o servidor de federação local.
Para configurar o Microsoft Entra ID para ignorar solicitações MFA para seu servidor de federação local, instale o SDK do Microsoft Graph PowerShell e defina federatedIdpMfaBehavior como rejectMfaByFederatedIdp, conforme mostrado no exemplo a seguir.
Solicitar
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Resposta
Observação
O objeto de resposta mostrado aqui pode ser encurtado para legibilidade.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "Success",
"lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
},
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Os usuários não são mais redirecionados para o servidor de federação local para MFA, independentemente de serem direcionados pela ferramenta de distribuição em estágios ou não. Observe que isso pode levar até 24 horas para entrar em vigor.
Observação
A atualização da configuração de federação de domínio pode levar até 24 horas para entrar em vigor.
Opcional: Desativar o portal do usuário do MFA Server
Depois de concluir a migração de todos os dados do usuário, os usuários finais podem começar a usar as páginas de registro combinadas do Microsoft Entra ID para gerenciar os Métodos MFA. Há algumas maneiras de impedir que os usuários usem o Portal do usuário no MFA Server:
- Redirecionar a URL do portal de usuário do MFA Server para aka.ms/mfasetup
- Desmarque a caixa de verificação Permitir que os utilizadores iniciem sessão na aba de Definições na secção Portal do Utilizador do MFA Server para impedir que os utilizadores iniciem sessão no portal por completo.
Descomissionar o MFA Server
Quando você não precisar mais do servidor de autenticação multifator Microsoft Entra, siga suas práticas normais de descontinuação do servidor. Nenhuma ação especial é necessária no Microsoft Entra ID para indicar a desativação do MFA Server.
Plano de reversão
Se a atualização tiver problemas, siga estas etapas para reverter:
Desinstale o MFA Server 8.1.
Substitua PhoneFactor.pfdata pelo backup feito antes da atualização.
Observação
Quaisquer alterações feitas desde que o backup foi realizado são perdidas, mas devem ser mínimas se o backup foi realizado imediatamente antes da tentativa de atualização e a atualização não foi bem-sucedida.
Execute o instalador da versão anterior (por exemplo, 8.0.x.x).
Configure a ID do Microsoft Entra para aceitar solicitações de MFA para seu servidor de federação local. Use o Graph PowerShell para definir federatedIdpMfaBehavior como
enforceMfaByFederatedIdp, conforme mostrado no exemplo a seguir.Pedido
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc Content-Type: application/json { "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }O objeto de resposta a seguir é encurtado para legibilidade.
Resposta
HTTP/1.1 200 OK Content-Type: application/json { "@odata.type": "#microsoft.graph.internalDomainFederation", "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc", "issuerUri": "http://contoso.com/adfs/services/trust", "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex", "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "passiveSignInUri": "https://sts.contoso.com/adfs/ls", "preferredAuthenticationProtocol": "wsFed", "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed", "signOutUri": "https://sts.contoso.com/adfs/ls", "promptLoginBehavior": "nativeSupport", "isSignedAuthenticationRequestRequired": true, "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u", "signingCertificateUpdateStatus": { "certificateUpdateResult": "Success", "lastRunDateTime": "2021-08-25T07:44:46.2616778Z" }, "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }
Defina o Distribuição em etapas para o de autenticação multifator do Microsoft Entra como Desativado. Os usuários são novamente redirecionados para o servidor de federação local para MFA.