Partilhar via

Protegendo recursos de nuvem com autenticação multifator do Microsoft Entra e AD FS

  • Artigo

Se a sua organização estiver federada com o Microsoft Entra ID, use a autenticação multifator do Microsoft Entra ou os Serviços de Federação do Ative Directory (AD FS) para proteger os recursos acessados pelo Microsoft Entra ID. Utilize os seguintes procedimentos para proteger os recursos do Microsoft Entra com autenticação multifator do Microsoft Entra ou Active Directory Federation Services.

Observação

Defina a configuração de domínio federatedIdpMfaBehavior como enforceMfaByFederatedIdp (recomendado) ou SupportsMFA como $True. A configuração federatedIdpMfaBehavior substitui SupportsMFA quando ambos estão definidos.

Proteja os recursos do Microsoft Entra usando o AD FS

Para proteger seu recurso de nuvem, configure uma regra de declarações para que os Serviços de Federação do Ative Directory emitam a declaração multipleauthn quando um usuário executar a verificação em duas etapas com êxito. Esta declaração é passada para o Microsoft Entra ID. Siga este procedimento para percorrer as etapas:

  1. Abra o Gerenciamento do AD FS.

  2. À esquerda, selecione Relações de Confiança de Terceiros.

  3. Selecione com o botão direito do rato em Plataforma de Identidade do Microsoft Office 365 e selecione Editar regras de reivindicação.

    Console do ADFS - Confiâncias de Terceira Parte

  4. Em Regras de Transformação de Emissão, selecione Adicionar Regra.

    Editando regras de transformação de emissão

  5. No Assistente para Adicionar Regra de Declaração de Transformação, selecione Passar ou Filtrar uma Declaração de Entrada na lista suspensa e selecione Seguinte.

    O assistente para adicionar regra de declaração de transformação é mostrado na captura de tela, onde é possível selecionar um modelo de regra de declaração.

  6. Dê um nome à sua regra.

  7. Selecione Referências de Métodos de Autenticação como o Tipo de alegação de entrada.

  8. Selecione Passar por todos os valores da reivindicação.

    Captura de ecrã mostra o Assistente para Adicionar Regra de Declaração de Transformação, onde o utilizador seleciona Passar por todos os valores de declaração.

  9. Selecione Concluir. Feche a consola de Gestão do AD FS.

IPs confiáveis para usuários federados

Os IPs confiáveis permitem que os administradores ignorem a verificação em duas etapas para endereços IP específicos ou para usuários federados que têm solicitações originadas de sua própria intranet. As seções a seguir descrevem como configurar o bypass usando IPs confiáveis. Isso é conseguido configurando o AD FS para usar uma passagem direta ou filtrar um modelo de declaração de entrada com o tipo de declaração Dentro da Rede Corporativa.

Este exemplo usa o Microsoft 365 para nossas Relações de Confiança de Terceira Parte Confiável.

Configurar as regras de declarações do AD FS

A primeira coisa que precisamos fazer é configurar as declarações do AD FS. Crie duas regras de declarações, uma para o tipo de declaração 'Rede Corporativa Interna' e outra para manter os nossos utilizadores ligados.

  1. Abra o Gerenciamento do AD FS.

  2. À esquerda, selecione Confiança da Terceira Parte Confiável.

  3. Selecione com o botão direito do rato em Plataforma de Identidade do Office 365 da Microsoft e selecione Editar Regras de Declaração...

    Console do ADFS - Editar regras de declaração

  4. Em Regras de Transformação de Emissão, selecione Adicionar Regra.

    Adicionando uma regra de reivindicação

  5. No Assistente para Adicionar Regra de Declaração de Transformação, selecione Passar ou Filtrar uma Declaração de Entrada na lista suspensa e selecione Avançar.

    captura de tela mostra o Assistente para Adicionar Regra de Declaração de Transformação, onde você seleciona Passar ou Filtrar uma Declaração de Entrada.

  6. Na caixa ao lado de Nome da regra de reivindicação, dê um nome à regra. Por exemplo: InsideCorpNet.

  7. No menu pendente, ao lado de Tipo de declaração de entrada, selecione Dentro da Rede Corporativa.

    Adicionando a reivindicação Inside Corporate Network

  8. Selecione Concluir.

  9. Em Regras de Transformação de Emissão, selecione Adicionar Regra.

  10. No Assistente para Adicionar Regra de Declaração de Transformação, selecione Enviar Declarações Usando uma Regra Personalizada no menu pendente e selecione Avançar.

  11. Na caixa em Nome da regra de declaração: digite Manter usuários conectados.

  12. Na caixa de regra personalizada, introduza:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Crie uma declaração personalizada para manter os usuários conectados

  13. Selecione Concluir.

  14. Selecione Aplicar.

  15. Selecione Ok.

  16. Feche a Gestão do AD FS.

Configurar IPs confiáveis de autenticação multifator do Microsoft Entra com usuários federados

Agora que as declarações estão em vigor, podemos configurar IPs confiáveis.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação .

  2. Navegue até Acesso Condicional>Locais nomeados.

  3. Na folha Acesso condicional - Locais nomeados, selecione Configurar IPs confiáveis de MFA

    Locais nomeados no Microsoft Entra Acesso Condicional Configuração de IPs de confiança MFA

  4. Na página Configurações do Serviço, em IPs confiáveis, selecione Ignorar autenticação multifator para solicitações de usuários federados na minha intranet.

  5. Selecione salvar.

É isso! Neste ponto, os usuários federados do Microsoft 365 só devem ter que usar MFA quando uma declaração se origina de fora da intranet corporativa.