Partilhar via


Planejando a autenticação multifator obrigatória para o Azure e outros portais de administração

Na Microsoft, estamos comprometidos em fornecer aos nossos clientes o mais alto nível de segurança. Uma das medidas de segurança mais eficazes disponíveis para eles é a autenticação multifator (MFA). Uma pesquisa da Microsoft mostra que o MFA pode bloquear mais de 99,2% dos ataques de comprometimento de contas.

É por isso que, a partir de 2024, aplicaremos a autenticação multifator (MFA) obrigatória para todas as tentativas de entrada do Azure. Para obter mais informações sobre esse requisito, confira nossa postagem no blog. Este tópico aborda quais aplicativos e contas são afetados, como a aplicação é implementada para locatários e outras perguntas e respostas comuns.

Não haverá nenhuma alteração para os usuários se sua organização já aplicar MFA para eles, ou se eles entrarem com métodos mais fortes, como sem senha ou chave de acesso (FIDO2). Para verificar se a MFA está habilitada, consulte Como verificar se os usuários estão configurados para MFA obrigatória.

Âmbito da execução

O âmbito da execução inclui as aplicações que planeiam aplicar a AMF, quando está prevista a execução e as contas que têm um requisito obrigatório de AMF.

Aplicações

Nome da Aplicação ID da Aplicação Fase de imposição
Portal do Azure C44B4083-3BB0-49C1-B47D-974E53CBDF3C Segundo semestre de 2024
Centro de administração do Microsoft Entra C44B4083-3BB0-49C1-B47D-974E53CBDF3C Segundo semestre de 2024
Centro de administração do Microsoft Intune C44B4083-3BB0-49C1-B47D-974E53CBDF3C Segundo semestre de 2024
Centro de administração do Microsoft 365 00000006-0000-0ff1-ce00-000000000000 Início de 2025
Interface de linha de comando do Azure (CLI do Azure) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 Início de 2025
Azure PowerShell 1950A258-227B-4E31-A9CF-717495945FC2 Início de 2025
Aplicativo móvel do Azure 0C1307D4-29D6-4389-A11C-5CBE7F65D7FA Início de 2025
Ferramentas de infraestrutura como código (IaC) Usar a CLI do Azure ou IDs do Azure PowerShell Início de 2025

Contas

Todos os usuários que entrarem nos aplicativos listados anteriormente para executar qualquer operação Criar, Ler, Atualizar ou Excluir (CRUD) devem concluir o MFA quando a imposição começar. Os usuários não precisam usar MFA se acessarem outros aplicativos, sites ou serviços hospedados no Azure. Cada proprietário de aplicativo, site ou serviço listado anteriormente controla os requisitos de autenticação para os usuários.

Contas de quebra de vidro ou de acesso de emergência também são obrigadas a entrar com o MFA assim que a aplicação começar. Recomendamos que você atualize essas contas para usar a chave de acesso (FIDO2) ou configurar a autenticação baseada em certificado para MFA. Ambos os métodos satisfazem o requisito da AMF.

As identidades de carga de trabalho, como identidades gerenciadas e entidades de serviço, não são afetadas por nenhuma das fases desta imposição de MFA. Se as identidades de usuário forem usadas para entrar como uma conta de serviço para executar automação (incluindo scripts ou outras tarefas automatizadas), essas identidades de usuário precisarão entrar com MFA assim que a imposição começar. As identidades de usuário não são recomendadas para automação. Você deve migrar essas identidades de usuário para identidades de carga de trabalho.

Migrar contas de serviço baseadas no usuário para identidades de carga de trabalho

Recomendamos que os clientes descubram contas de usuário que são usadas como contas de serviço e comecem a migrá-las para identidades de carga de trabalho. A migração geralmente requer a atualização de scripts e processos de automação para usar identidades de carga de trabalho.

Consulte Como verificar se os usuários estão configurados para MFA obrigatória para identificar todas as contas de usuário, incluindo contas de usuário que estão sendo usadas como contas de serviço, que entram nos aplicativos.

Para obter mais informações sobre como migrar de contas de serviço baseadas no usuário para identidades de carga de trabalho para autenticação com esses aplicativos, consulte:

Alguns clientes aplicam políticas de Acesso Condicional a contas de serviço baseadas no utilizador. Você pode recuperar a licença baseada no usuário e adicionar uma licença de identidades de carga de trabalho para aplicar o Acesso Condicional para identidades de carga de trabalho.

Implementação

Este requisito de MFA no início de sessão é implementado para portais de administração. Os logs de entrada do Microsoft Entra ID mostram-no como a origem do requisito de MFA.

O MFA obrigatório para portais de administração não é configurável. Ele é implementado separadamente de quaisquer políticas de acesso que você configurou em seu locatário.

Por exemplo, se sua organização optou por manter os padrões de segurança da Microsoft e você atualmente tem os padrões de segurança habilitados, seus usuários não verão nenhuma alteração, pois o MFA já é necessário para o gerenciamento do Azure. Se o seu locatário estiver usando políticas de Acesso Condicional no Microsoft Entra e você já tiver uma política de Acesso Condicional por meio da qual os usuários entrarem no Azure com MFA, seus usuários não verão uma alteração. Da mesma forma, todas as políticas restritivas de Acesso Condicional direcionadas ao Azure e que exigem autenticação mais forte, como MFA resistente a phishing, continuam a ser aplicadas. Os usuários não veem alterações.

Fases de aplicação

A aplicação da AMF desenrola-se em duas fases:

  • Fase 1: A partir do segundo semestre de 2024, o MFA terá de iniciar sessão no portal do Azure, no centro de administração do Microsoft Entra e no centro de administração do Microsoft Intune. A imposição será implementada gradualmente em todos os inquilinos a nível mundial. Esta fase não afetará outros clientes do Azure, como a CLI do Azure, o Azure PowerShell, o aplicativo móvel do Azure ou as ferramentas Iac. 

  • Fase 2: A partir do início de 2025, a imposição de MFA começa gradualmente para entrar na CLI do Azure, Azure PowerShell, aplicativo móvel do Azure e ferramentas Iac. Alguns clientes podem usar uma conta de usuário no Microsoft Entra ID como uma conta de serviço. É recomendável migrar essas contas de serviço baseadas no usuário para proteger contas de serviço baseadas em nuvem com identidades de carga de trabalho.

Canais de notificação

A Microsoft notificará todos os Administradores Globais do Microsoft Entra através dos seguintes canais:

  • E-mail: Os administradores globais que configuraram um endereço de e-mail serão informados por e-mail sobre a próxima aplicação do MFA e as ações necessárias para serem preparadas.

  • Notificação de integridade do serviço: os administradores globais recebem uma notificação de integridade do serviço por meio do portal do Azure, com a ID de rastreamento 4V20-VX0. Esta notificação contém as mesmas informações que o e-mail. Os Administradores Globais também podem se inscrever para receber notificações de integridade do serviço por e-mail.

  • Notificação do portal: uma notificação aparece no portal do Azure, no centro de administração do Microsoft Entra e no centro de administração do Microsoft Intune quando eles entram. A notificação do portal contém links para este tópico para obter mais informações sobre a aplicação obrigatória da AMF.

  • Centro de mensagens do Microsoft 365: Uma mensagem aparece no centro de mensagens do Microsoft 365 com a ID da mensagem: MC862873. Esta mensagem tem as mesmas informações que o e-mail e a notificação de integridade do serviço.

Após a aplicação, um banner aparece na autenticação multifator do Microsoft Entra:

Captura de tela de um banner na autenticação multifator do Microsoft Entra que mostra que a MFA obrigatória é imposta.

Métodos de autenticação externos e provedores de identidade

O suporte para soluções de MFA externas está em pré-visualização com métodos de autenticação externos e pode ser usado para atender ao requisito de MFA. A visualização de controles personalizados de Acesso Condicional herdado não satisfaz o requisito de MFA. Você deve migrar para a visualização de métodos de autenticação externa para usar uma solução externa com o Microsoft Entra ID. 

Se você estiver usando um Provedor de Identidade federado (IdP), como os Serviços de Federação do Ative Directory, e seu provedor de MFA estiver integrado diretamente a esse IdP federado, o IdP federado deverá ser configurado para enviar uma declaração de MFA. Para obter mais informações, consulte asserções de entrada esperadas para o Microsoft Entra MFA.

Solicite mais tempo para se preparar para a execução

Entendemos que alguns clientes podem precisar de mais tempo para se preparar para este requisito de MFA. A Microsoft está permitindo que clientes com ambientes complexos ou barreiras técnicas adiem a aplicação para seus locatários até 15 de março de 2025.

Entre 15 de agosto de 2024 e 15 de outubro de 2024, os Administradores Globais podem aceder ao portal do Azure para adiar a data de início da aplicação para o seu inquilino para 15 de março de 2025. Os Administradores Globais devem ter acesso elevado antes de adiarem a data de início da imposição da MFA nesta página.

Os Administradores Globais devem executar essa ação para cada locatário em que desejam adiar a data de início da aplicação.

Ao adiar a data de início da aplicação, você corre um risco extra porque as contas que acessam serviços da Microsoft, como o portal do Azure, são alvos altamente valiosos para agentes de ameaça. Recomendamos que todos os locatários configurem o MFA agora para proteger os recursos da nuvem. 

FAQs

Pergunta: Se o locatário for usado apenas para testes, o MFA é necessário?

Resposta: Sim, cada locatário do Azure exigirá MFA, não há exceções.

Pergunta: Como esse requisito afeta o centro de administração do Microsoft 365?

Resposta: O MFA obrigatório será lançado no centro de administração do Microsoft 365 a partir do início de 2025. Saiba mais sobre o requisito obrigatório de MFA para o centro de administração do Microsoft 365 na postagem do blog Anunciando a autenticação multifator obrigatória para o centro de administração do Microsoft 365.

Pergunta: O MFA é obrigatório para todos os usuários ou apenas para administradores?

Resposta: Todos os usuários que entrarem em qualquer um dos aplicativos listados anteriormente precisam concluir a MFA, independentemente de quaisquer funções de administrador ativadas ou qualificadas para eles, ou de quaisquer exclusões de usuários habilitadas para eles.

Pergunta: Terei de concluir a MFA se escolher a opção de Permanecer com sessão iniciada?

Resposta: Sim, mesmo que escolha Permanecer conectado, é necessário concluir o MFA antes de poder entrar nesses aplicativos.

Pergunta: A aplicação aplica-se a contas de hóspedes B2B?

Resposta: Sim, a MFA deve ser aderida do locatário de recurso parceiro ou do locatário doméstico do usuário se estiver configurado corretamente para enviar declarações de MFA para o locatário de recurso usando acesso entre locatários.

Pergunta: Como podemos cumprir se aplicamos MFA usando outro provedor de identidade ou solução de MFA, e não aplicamos usando o Microsoft Entra MFA?

Resposta: A solução do provedor de identidade precisa ser configurada corretamente para enviar a declaração multipleauthn para o Microsoft Entra ID. Para obter mais informações, consulte Referência do provedor de método externo de autenticação multifator do Microsoft Entra.

Pergunta: A fase 1 ou a fase 2 do MFA obrigatório afetará minha capacidade de sincronizar com o Microsoft Entra Connect ou o Microsoft Entra Cloud Sync?

Resposta: Não. A conta de serviço de sincronização não é afetada pelo requisito obrigatório de MFA. Apenas os aplicativos listados anteriormente exigem MFA para entrar.

Pergunta: Poderei optar por não participar?

Não há como optar por não participar. Esse movimento de segurança é fundamental para toda a segurança da plataforma Azure e está sendo repetido entre os fornecedores de nuvem. Por exemplo, consulte Secure by Design: AWS para aprimorar os requisitos de MFA em 2024.

Uma opção para adiar a data de início da aplicação está disponível para os clientes. Entre 15 de agosto de 2024 e 15 de outubro de 2024, os Administradores Globais podem aceder ao portal do Azure para adiar a data de início da aplicação para o seu inquilino para 15 de março de 2025. Os Administradores Globais devem ter acesso elevado antes de adiarem a data de início da aplicação da MFA nesta página. Eles devem realizar essa ação para cada inquilino que precisa de adiamento.

Pergunta: Posso testar o MFA antes de o Azure aplicar a política para garantir que nada seja quebrado?

Resposta: Sim, você pode testar sua MFA através do processo de configuração manual para MFA. Nós encorajamos você a configurar isso e testar. Se você usar o Acesso Condicional para impor a MFA, poderá usar modelos de Acesso Condicional para testar sua política. Para obter mais informações, consulte Exigir autenticação multifator para administradores que acessam portais de administração da Microsoft. Se você executar uma edição gratuita do Microsoft Entra ID, poderá habilitar os padrões de segurança.

Pergunta: E se eu já tiver o MFA habilitado, o que acontece a seguir?

Resposta: Os clientes que já exigem MFA para seus usuários que acessam os aplicativos listados anteriormente não veem nenhuma alteração. Se você precisar apenas de MFA para um subconjunto de usuários, todos os usuários que ainda não estiverem usando MFA precisarão usar MFA quando entrarem nos aplicativos.

Pergunta: Como posso rever a atividade de MFA no Microsoft Entra ID?

Resposta: Para revisar os detalhes sobre quando um usuário é solicitado a entrar com MFA, use o relatório de entradas do Microsoft Entra. Para obter mais informações, consulte Detalhes do evento de entrada para autenticação multifator do Microsoft Entra.

Pergunta: E se eu tiver um cenário de "quebrar vidros"?

Resposta: Recomendamos atualizar essas contas para usar a chave de acesso (FIDO2) ou configurar a autenticação baseada em certificado para MFA. Ambos os métodos satisfazem o requisito da AMF.

Pergunta: E se eu não receber um e-mail sobre como ativar o MFA antes de ele ser imposto, e então eu for bloqueado. Como devo resolvê-lo? 

Resposta: Os usuários não devem ser bloqueados, mas podem receber uma mensagem solicitando que habilitem a MFA assim que a imposição para seu locatário for iniciada. Se o usuário estiver bloqueado, pode haver outros problemas. Para obter mais informações, consulte A conta foi bloqueada. 

Analise os tópicos a seguir para saber mais sobre como configurar e implantar o MFA: