Partilhar via


Migrar para a autenticação multifator do Microsoft Entra com federação

Mover sua solução de autenticação multifator (MFA) para o Microsoft Entra ID é um ótimo primeiro passo em sua jornada para a nuvem. Considere também mudar para o Microsoft Entra ID para autenticação de usuário no futuro. Para obter mais informações, consulte o processo de migração para a autenticação multifator do Microsoft Entra com autenticação em nuvem.

Para migrar para a autenticação multifator do Microsoft Entra com federação, o provedor de autenticação multifator do Microsoft Entra é instalado no AD FS. A confiança de terceira parte confiável do Microsoft Entra ID e outras relações de confiança de terceira parte confiável são configuradas para usar a autenticação multifator do Microsoft Entra para usuários migrados.

O diagrama a seguir mostra o processo de migração.

Fluxograma do processo de migração. As áreas de processo e os títulos deste documento estão na mesma ordem

Criar grupos de migração

Para criar novas políticas de Acesso Condicional, terá de atribuir essas políticas a grupos. Você pode usar grupos de segurança do Microsoft Entra ou Grupos do Microsoft 365 para essa finalidade. Você também pode criar ou sincronizar novos.

Você também precisará de um grupo de segurança do Microsoft Entra para migrar iterativamente os usuários para a autenticação multifator do Microsoft Entra. Esses grupos são usados em suas regras de reivindicações.

Não reutilize grupos que são usados para segurança. Se estiver a utilizar um grupo de segurança para proteger um grupo de aplicações de elevado valor com uma política de Acesso Condicional, utilize apenas o grupo para esse fim.

Preparar o AD FS

Atualizar farm de servidores do AD FS para 2019, FBL 4

No AD FS 2019, você pode especificar métodos de autenticação adicionais para uma terceira parte confiável, como um aplicativo. Você usa a associação de grupo para determinar o provedor de autenticação. Ao especificar um método de autenticação adicional, você pode fazer a transição para a autenticação multifator do Microsoft Entra enquanto mantém outra autenticação intacta durante a transição. Para obter mais informações, consulte Atualizando para o AD FS no Windows Server 2016 usando um banco de dados WID. O artigo aborda a atualização do farm para o AD FS 2019 e a atualização do FBL para 4.

Configurar regras de declarações para invocar a autenticação multifator do Microsoft Entra

Agora que a autenticação multifator do Microsoft Entra é um método de autenticação adicional, você pode atribuir grupos de usuários para usá-la. Você faz isso configurando regras de declarações, também conhecidas como confianças de terceira parte confiável. Usando grupos, você pode controlar qual provedor de autenticação é chamado globalmente ou por aplicativo. Por exemplo, você pode chamar a autenticação multifator do Microsoft Entra para usuários que se registraram para obter informações de segurança combinadas, enquanto chama o MFA Server para aqueles que não o fizeram.

Nota

As regras de declarações exigem um grupo de segurança local. Antes de fazer alterações nas regras de reivindicações, faça backup delas.

Regras de backup

Antes de configurar novas regras de declarações, faça backup de suas regras. Você precisará restaurar essas regras como parte das etapas de limpeza.

Dependendo da sua configuração, também pode ser necessário copiar a regra e acrescentar as novas regras que estão sendo criadas para a migração.

Para exibir regras globais, execute:

Get-AdfsAdditionalAuthenticationRule

Para exibir relações de confiança de terceira parte confiável, execute o seguinte comando e substitua RPTrustName pelo nome da regra de declarações de confiança da terceira parte confiável:

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules 

Políticas de controle de acesso

Nota

As políticas de controle de acesso não podem ser configuradas para que um provedor de autenticação específico seja invocado com base na associação ao grupo.

Para fazer a transição de políticas de controle de acesso para regras de autenticação adicionais, execute o seguinte comando para cada uma das suas Relações de Confiança de Terceira Parte Confiável usando o provedor de autenticação do MFA Server:

Set-AdfsRelyingPartyTrust -TargetName AppA -AccessControlPolicyName $Null

Este comando moverá a lógica da sua Política de Controle de Acesso atual para Regras de Autenticação Adicionais.

Configure o grupo e localize o SID

Você precisará ter um grupo específico no qual coloque os usuários para os quais deseja invocar a autenticação multifator do Microsoft Entra. Você precisará do identificador de segurança (SID) para esse grupo.

Para localizar o SID do grupo, use o seguinte comando, com o nome do grupo

Get-ADGroup "GroupName"

Imagem da captura de tela mostrando os resultados do script Get-ADGroup.

Definindo as regras de declarações para chamar a autenticação multifator do Microsoft Entra

Os cmdlets do PowerShell a seguir invocam a autenticação multifator do Microsoft Entra para usuários no grupo quando não estão na rede corporativa. Substitua "YourGroupSid" pelo SID encontrado executando o cmdlet acima.

Certifique-se de revisar o Como escolher provedores de autenticação adicionais em 2019.

Importante

Faça backup de suas regras de reclamações

Definir regra de declarações globais

Execute o seguinte cmdlet no PowerShell:

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules

O comando retorna suas regras de autenticação adicionais atuais para sua confiança de terceira parte confiável. Anexe as seguintes regras às suas regras de reivindicação atuais:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

O exemplo a seguir pressupõe que suas regras de declaração atuais estejam configuradas para solicitar MFA quando os usuários se conectarem de fora da rede. Este exemplo inclui as regras adicionais que você precisa acrescentar.

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type == 
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"http://schemas.microsoft.com/claims/multipleauthn" );
 c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

Definir regra de declarações por aplicativo

Este exemplo modifica as regras de declaração em uma relação de confiança (aplicativo) de terceira parte confiável específica e inclui as informações que você deve acrescentar.

Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type == 
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"http://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

Configurar a autenticação multifator do Microsoft Entra como um provedor de autenticação no AD FS

Para configurar a autenticação multifator do Microsoft Entra para AD FS, você deve configurar cada servidor AD FS. Se você tiver vários servidores AD FS em seu farm, poderá configurá-los remotamente usando o Azure AD PowerShell.

Para obter instruções passo a passo sobre esse processo, consulte Configurar os servidores AD FS no artigo Configurar a autenticação multifator do Microsoft Entra como provedor de autenticação com o AD FS.

Depois de configurar os servidores, você pode adicionar a autenticação multifator do Microsoft Entra como um método de autenticação adicional.

Captura de ecrã a mostrar o ecrã Editar métodos de autenticação com a autenticação multifator Microsoft Entra e o Servidor Azure Multi-Factor Authentication selecionado

Preparar o Microsoft Entra ID e implementar a migração

Esta seção aborda as etapas finais antes de migrar as configurações de MFA do usuário.

Definir federatedIdpMfaBehavior para enforceMfaByFederatedIdp

Para domínios federados, a MFA pode ser imposta pelo Acesso Condicional do Microsoft Entra ou pelo provedor de federação local. Cada domínio federado tem uma configuração de segurança do Microsoft Graph PowerShell chamada federatedIdpMfaBehavior. Você pode definir federatedIdpMfaBehavior para enforceMfaByFederatedIdp que o Microsoft Entra ID aceite MFA executada pelo provedor de identidade federada. Se o provedor de identidade federada não executou MFA, o Microsoft Entra ID redirecionará a solicitação para o provedor de identidade federada para executar MFA. Para obter mais informações, consulte federatedIdpMfaBehavior.

Nota

A configuração federatedIdpMfaBehavior é uma nova versão da propriedade SupportsMfa do cmdlet New-MgDomainFederationConfiguration .

Para domínios que definem a propriedade SupportsMfa , estas regras determinam como federatedIdpMfaBehavior e SupportsMfa trabalham juntos:

  • Não há suporte para alternar entre federatedIdpMfaBehavior e SupportsMfa .
  • Depois que a propriedade federatedIdpMfaBehavior é definida, a ID do Microsoft Entra ignora a configuração SupportsMfa .
  • Se a propriedade federatedIdpMfaBehavior nunca for definida, a ID do Microsoft Entra continuará a honrar a configuração SupportsMfa .
  • Se federatedIdpMfaBehavior ou SupportsMfa não estiver definido, a ID do Microsoft Entra assumirá como padrão o acceptIfMfaDoneByFederatedIdp comportamento.

Você pode verificar o status de federatedIdpMfaBehavior usando Get-MgDomainFederationConfiguration.

Get-MgDomainFederationConfiguration –DomainID yourdomain.com

Você também pode verificar o status do sinalizador SupportsMfa com Get-MgDomainFederationConfiguration:

Get-MgDomainFederationConfiguration –DomainName yourdomain.com

O exemplo a seguir mostra como definir federatedIdpMfaBehavior como enforceMfaByFederatedIdp usando o Graph PowerShell.

Pedir

PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
  "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}

Response

Nota: O objeto de resposta mostrado aqui pode ser encurtado para legibilidade.

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
   "issuerUri": "http://contoso.com/adfs/services/trust",
   "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
   "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
   "preferredAuthenticationProtocol": "wsFed",
   "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
   "signOutUri": "https://sts.contoso.com/adfs/ls",
   "promptLoginBehavior": "nativeSupport",
   "isSignedAuthenticationRequestRequired": true,
   "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "Success",
        "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
    },
   "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}

Configurar políticas de Acesso Condicional, se necessário

Se você usar o Acesso Condicional para determinar quando os usuários serão solicitados a fornecer MFA, não será necessário alterar suas políticas.

Se o(s) seu(s) domínio(s) federado(s) tive(m) SupportsMfa definido como false, analise as suas regras de declarações na confiança da terceira parte confiadora do Microsoft Entra ID e crie políticas de Acesso Condicional que suportem os mesmos objetivos de segurança.

Depois de criar políticas de Acesso Condicional para impor os mesmos controles do AD FS, você pode fazer backup e remover as personalizações das regras de declaração na Parte Confiável do Microsoft Entra ID.

Para obter mais informações, consulte os seguintes recursos:

Registrar usuários para autenticação multifator do Microsoft Entra

Esta seção aborda como os usuários podem se registrar para segurança combinada (MFA e redefinição de senha de autoatendimento) e como migrar suas configurações de MFA. Microsoft Authenticator pode ser usado como no modo sem senha. Ele também pode ser usado como um segundo fator para MFA com qualquer método de registro.

Recomendamos que seus usuários se registrem para obter informações de segurança combinadas, que é um único local para registrar seus métodos e dispositivos de autenticação para MFA e SSPR.

A Microsoft fornece modelos de comunicação que você pode fornecer aos usuários para guiá-los pelo processo de registro combinado. Estes incluem modelos para e-mail, cartazes, tendas de mesa e vários outros ativos. Os usuários registram suas informações no https://aka.ms/mysecurityinfo, que os leva para a tela de registro de segurança combinada.

Recomendamos que você proteja o processo de registro de segurança com Acesso Condicional que exige que o registro ocorra a partir de um dispositivo ou local confiável. Para obter informações sobre como controlar os status do registro, consulte Atividade do método de autenticação para o Microsoft Entra ID.

Nota

Os usuários que precisam registrar suas informações de segurança combinadas de um local ou dispositivo não confiável podem receber um Passe de Acesso Temporário ou, alternativamente, temporariamente excluídos da política.

Migrar configurações de MFA do MFA Server

Você pode usar o utilitário MFA Server Migration para sincronizar as configurações de MFA registradas para usuários do MFA Server para o Microsoft Entra ID. Você pode sincronizar números de telefone, tokens de hardware e registros de dispositivo, como as configurações do Microsoft Authenticator.

Adicionar usuários aos grupos apropriados

  • Se você criou novas políticas de Acesso Condicional, adicione os usuários apropriados a esses grupos.

  • Se você criou grupos de segurança locais para regras de declarações, adicione os usuários apropriados a esses grupos.

Não recomendamos que você reutilize grupos que são usados para segurança. Se estiver a utilizar um grupo de segurança para proteger um grupo de aplicações de elevado valor com uma política de Acesso Condicional, utilize apenas o grupo para esse fim.

Monitorização

O registro de autenticação multifator do Microsoft Entra pode ser monitorado usando o relatório Authentication methods use & insights. Este relatório pode ser encontrado em Microsoft Entra ID. Selecione Monitoramento e, em seguida, selecione Uso & insights.

Em Usage & insights, selecione Métodos de autenticação.

Informações detalhadas de registro de autenticação multifator do Microsoft Entra podem ser encontradas na guia Registro. Você pode fazer uma busca detalhada para exibir uma lista de usuários registrados selecionando o hiperlink Usuários capazes de autenticação multifator do Azure.

Imagem da tela de atividade de métodos de autenticação mostrando registros de usuário para MFA

Etapas de limpeza

Depois de concluir a migração para a autenticação multifator do Microsoft Entra e estiver pronto para encerrar o MFA Server, faça as três coisas a seguir:

  1. Reverta suas regras de declaração no AD FS para sua configuração de pré-migração e remova o provedor de autenticação do MFA Server.

  2. Remova o servidor MFA como um provedor de autenticação no AD FS. Isso garantirá que todos os usuários usem a autenticação multifator do Microsoft Entra, pois será o único método de autenticação adicional habilitado.

  3. Descomissione o servidor MFA.

Reverter regras de declarações no AD FS e remover o provedor de autenticação do MFA Server

Siga as etapas em Configurar regras de declarações para invocar a autenticação multifator do Microsoft Entra para reverter para as regras de declarações de backup e remover quaisquer regras de declarações AzureMFAServerAuthentication.

Por exemplo, remova o seguinte da(s) regra(s):

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"**YourGroupSID**"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'

Desabilitar o Servidor MFA como um provedor de autenticação no AD FS

Essa alteração garante que apenas a autenticação multifator do Microsoft Entra seja usada como um provedor de autenticação.

  1. Abra o console de gerenciamento do AD FS.

  2. Em Serviços, clique com o botão direito do mouse em Métodos de Autenticação e selecione Editar Métodos de Autenticação Multifator.

  3. Desmarque a caixa ao lado de Servidor Azure Multi-Factor Authentication.

Descomissionar o servidor MFA

Siga o processo de descomissionamento do servidor corporativo para remover os servidores MFA em seu ambiente.

Possíveis considerações ao desativar os Servidores MFA incluem:

  • Revise os logs dos Servidores MFA para garantir que nenhum usuário ou aplicativo esteja usando-o antes de remover o servidor.

  • Desinstale o Servidor Multi-Factor Authentication do Painel de Controle no servidor

  • Opcionalmente, limpe os logs e diretórios de dados que são deixados para trás depois de fazer o backup primeiro.

  • Desinstale o SDK do servidor Web de autenticação multifator, se aplicável, incluindo quaisquer arquivos remanescentes nos diretórios etpub\wwwroot\MultiFactorAuthWebServiceSdk e ou MultiFactorAuth

  • Para versões do MFA Server anteriores à 8.0, também pode ser necessário remover o serviço Web de aplicativo de telefone de autenticação multifator

Passos Seguintes