Introdução ao Servidor Multi-Factor Authentication do Azure
Esta página abrange uma nova instalação do servidor e a configuração da mesma com o Active Directory no local. Se já tiver o servidor MFA instalado e se pretender atualizar, veja Atualizar para o servidor Multi-Factor Authentication mais recente do Azure. Se quiser informações sobre como instalar apenas o serviço Web, veja Implementar o Serviço Web de Aplicações Móveis do Servidor Multi-Factor Authentication do Azure.
Importante
Em setembro de 2022, a Microsoft anunciou a descontinuação do Azure Multi-Factor Authentication Server. A partir de 30 de setembro de 2024, as implantações do Servidor Azure Multi-Factor Authentication não atenderão mais às solicitações de autenticação multifator, o que pode fazer com que as autenticações falhem para sua organização. Para garantir serviços de autenticação ininterruptos e permanecer em um estado com suporte, as organizações devem migrar os dados de autenticação de seus usuários para o serviço de autenticação multifator Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização mais recente do Servidor de Autenticação Multifator do Azure. Para obter mais informações, consulte Migração do servidor Azure Multi-Factor Authentication.
Para começar a usar a MFA baseada em nuvem, consulte Tutorial: Eventos de entrada de usuário seguro com a autenticação multifator do Azure.
Planear a sua implementação
Antes de transferir o Servidor Multi-Factor Authentication do Azure, considere quais são os seus requisitos de elevada disponibilidade e carga. Utilize estas informações para decidir como e onde implementar.
Uma boa diretriz para a quantidade de memória que você precisa é o número de usuários que você espera autenticar regularmente.
Utilizadores | RAM |
---|---|
1-10,000 | 4 GB |
10,001-50,000 | 8 GB |
50,001-100,000 | 12 GB |
100,000-200,001 | 16 GB |
200,001+ | 32 GB |
Precisa de configurar múltiplos servidores para elevada disponibilidade ou balanceamento de carga? Há muitas maneiras de configurar essa configuração com o Servidor Azure Multi-Factor Authentication. Quando você instala seu primeiro Servidor Azure Multi-Factor Authentication, ele se torna o mestre. Quaisquer outros servidores tornam-se subordinados e sincronizam automaticamente os usuários e a configuração com o mestre. Em seguida, pode configurar um servidor primário e os restantes agem como reserva ou pode configurar o balanceamento de carga entre todos os servidores.
Quando um Servidor Multi-Factor Authentication mestre do Azure fica offline, os servidores subordinados ainda podem processar solicitações de verificação em duas etapas. No entanto, não pode adicionar novos utilizadores e os já existentes não podem atualizar as respetivas definições até que o principal esteja novamente online ou seja promovido um subordinado.
Preparar o ambiente
Verifique se o servidor que você está usando para a autenticação multifator do Azure atende aos seguintes requisitos.
Requisitos do Servidor Multi-Factor Authentication do Azure | Description |
---|---|
Hardware | |
Software | |
Permissões | Conta de Administrador de Domínio ou Administrador Empresarial para se registar no Ative Directory |
1 Se o Servidor Azure Multi-Factor Authentication não conseguir ativar em uma máquina virtual (VM) do Azure que execute o Windows Server 2019 ou posterior, tente usar uma versão anterior do Windows Server.
Componentes do Servidor Azure Multi-Factor Authentication
Há três componentes Web que compõem o Servidor Azure Multi-Factor Authentication:
- SDK do Serviço Web - Permite a comunicação com os outros componentes e é instalado no servidor de aplicativos do Servidor Azure Multi-Factor Authentication
- Portal do usuário - Um site do IIS (Serviços de Informações da Internet) que permite que os usuários se inscrevam na autenticação multifator do Microsoft Entra e mantenham suas contas.
- Serviço Web da Aplicação Móvel - permite utilizar uma aplicação móvel, como a aplicação Microsoft Authenticator para verificação de dois passos.
Os três componentes podem ser instalados no mesmo servidor, se o servidor tiver acesso à Internet. Se dividir os componentes, o SDK do Serviço Web será instalado no servidor de aplicativos de autenticação multifator do Microsoft Entra e o Portal do Usuário e o Serviço Web do Aplicativo Móvel serão instalados em um servidor voltado para a Internet.
Requisitos da firewall do Servidor Multi-Factor Authentication do Azure
Cada servidor MFA tem de conseguir comunicar na porta 443 de saída com os seguintes endereços:
Se as firewalls de saída estiverem restritas na porta 443, abra os seguintes intervalos de endereços IP:
Subrede IP | Máscara de rede | Intervalo de IP |
---|---|---|
134.170.116.0/25 | 255.255.255.128 | 134.170.116.1 – 134.170.116.126 |
134.170.165.0/25 | 255.255.255.128 | 134.170.165.1 – 134.170.165.126 |
70.37.154.128/25 | 255.255.255.128 | 70.37.154.129 – 70.37.154.254 |
52.251.8.48/28 | 255.255.255.240 | 52.251.8.48 - 52.251.8.63 |
52.247.73.160/28 | 255.255.255.240 | 52.247.73.160 - 52.247.73.175 |
52.159.5.240/28 | 255.255.255.240 | 52.159.5.240 - 52.159.5.255 |
52.159.7.16/28 | 255.255.255.240 | 52.159.7.16 - 52.159.7.31 |
52.250.84.176/28 | 255.255.255.240 | 52.250.84.176 - 52.250.84.191 |
52.250.85.96/28 | 255.255.255.240 | 52.250.85.96 - 52.250.85.111 |
Se não estiver a utilizar a funcionalidade Confirmação de Eventos e os seus utilizadores não estiverem a utilizar aplicações móveis para verificar a partir de dispositivos na rede empresarial, só precisa dos seguintes intervalos:
Subrede IP | Máscara de rede | Intervalo de IP |
---|---|---|
134.170.116.72/29 | 255.255.255.248 | 134.170.116.72 – 134.170.116.79 |
134.170.165.72/29 | 255.255.255.248 | 134.170.165.72 – 134.170.165.79 |
70.37.154.200/29 | 255.255.255.248 | 70.37.154.201 – 70.37.154.206 |
52.251.8.48/28 | 255.255.255.240 | 52.251.8.48 - 52.251.8.63 |
52.247.73.160/28 | 255.255.255.240 | 52.247.73.160 - 52.247.73.175 |
52.159.5.240/28 | 255.255.255.240 | 52.159.5.240 - 52.159.5.255 |
52.159.7.16/28 | 255.255.255.240 | 52.159.7.16 - 52.159.7.31 |
52.250.84.176/28 | 255.255.255.240 | 52.250.84.176 - 52.250.84.191 |
52.250.85.96/28 | 255.255.255.240 | 52.250.85.96 - 52.250.85.111 |
Transferir o Servidor MFA
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Siga estas etapas para baixar o Servidor Azure Multi-Factor Authentication:
Importante
Em setembro de 2022, a Microsoft anunciou a descontinuação do Azure Multi-Factor Authentication Server. A partir de 30 de setembro de 2024, as implantações do Servidor Azure Multi-Factor Authentication não atenderão mais às solicitações de autenticação multifator, o que pode fazer com que as autenticações falhem para sua organização. Para garantir serviços de autenticação ininterruptos e permanecer em um estado com suporte, as organizações devem migrar os dados de autenticação de seus usuários para o serviço de autenticação multifator Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização mais recente do Servidor de Autenticação Multifator do Azure. Para obter mais informações, consulte Migração do servidor Azure Multi-Factor Authentication.
Para começar a usar a MFA baseada em nuvem, consulte Tutorial: Eventos de entrada de usuário seguro com a autenticação multifator do Azure.
Os clientes existentes que ativaram o MFA Server antes de 1º de julho de 2019 podem baixar a versão mais recente, atualizações futuras e gerar credenciais de ativação como de costume. As etapas a seguir só funcionam se você for um cliente existente do MFA Server.
-
Entre no centro de administração do Microsoft Entra como Administrador Global.
Navegue até Configurações do servidor de autenticação>multifator de proteção.>
Selecione Transferir e siga as instruções na página de transferência para guardar o instalador.
Mantenha esta página aberta, pois nos referiremos a ela depois de executar o instalador.
Instalar e configurar o Servidor MFA
Agora que transferiu o servidor, pode instalá-lo e configurá-lo. Certifique-se de que o servidor no qual você o instala atenda aos requisitos listados na seção de planejamento.
- Faça duplo clique no executável.
- No ecrã Selecionar Pasta de Instalação, certifique-se de que a pasta está correta e clique em Seguinte. As seguintes bibliotecas estão instaladas:
- Quando a instalação terminar, selecione Concluir. O assistente de configuração é iniciado.
- Na página a partir da qual transferiu o servidor, clique no botão Gerar Credenciais de Ativação. Copie essas informações para o Servidor Azure Multi-Factor Authentication nas caixas fornecidas e clique em Ativar.
Nota
É necessário um Administrador Global para gerir esta funcionalidade.
Enviar uma mensagem de e-mail aos utilizadores
Para facilitar a implementação, permita que o Servidor MFA comunique com os seus utilizadores. O Servidor MFA pode enviar um e-mail a informá-los que foram inscritos na verificação de dois passos.
A mensagem de e-mail que envia deve ser determinada através de como configurou os seus utilizadores para a verificação de dois passos. Por exemplo, se você puder importar números de telefone do diretório da empresa, o e-mail deve incluir os números de telefone padrão para que os usuários saibam o que esperar. Se você não importar números de telefone ou se seus usuários usarem o aplicativo móvel, envie-lhes um e-mail que os direcione a concluir o registro da conta. Inclua um hiperlink para o portal do usuário de autenticação multifator do Azure no email.
O conteúdo da mensagem de e-mail também varia consoante o método de verificação definido para o utilizador (chamada telefónica, SMS ou aplicação móvel). Por exemplo, se for exigido ao utilizador que utilize um PIN quando fizer a autenticação, a mensagem de e-mail irá informá-lo de que o PIN inicial foi definido. É pedido as utilizadores que alterem o PIN durante a primeira verificação.
Configurar o e-mail e modelos de e-mail
Clique no ícone de e-mail à esquerda para configurar as definições de envio destas mensagens de e-mail. Esta página é onde você pode inserir as informações SMTP (Simple Mail Transfer Protocol) do seu servidor de email e enviar e-mails marcando a caixa de seleção Enviar e-mails aos usuários .
No separador Conteúdo do E-mail, poderá ver os modelos de e-mail que estão disponíveis para escolha. Dependendo de como configurou os seus utilizadores para realizarem a verificação de dois passos, escolha o modelo mais adequado.
Importar utilizadores do Active Directory
Agora que o servidor está instalado, pode adicionar utilizadores. Pode optar por criá-los manualmente, importar utilizadores do Active Directory ou configurar a sincronização automática com o Active Directory.
Importar manualmente do Active Directory
No Servidor Azure Multi-Factor Authentication, à esquerda, selecione Usuários.
Na parte inferior, selecione Importar do Active Directory.
Agora você pode pesquisar usuários individuais ou pesquisar unidades organizacionais (OUs) do Ative Directory do Windows Server com usuários neles. Neste caso, especificamos a UO dos utilizadores.
Realce todos os utilizadores à direita e clique em Importar. Deverá receber um pop-up a indicar que a importação foi bem-sucedida. Feche a janela de importação.
Sincronização automatizada com o Active Directory
- No Servidor Azure Multi-Factor Authentication, à esquerda, selecione Integração de Diretórios.
- Navegue para o separador Sincronização.
- Na parte inferior, escolha Adicionar
- Na caixa Adicionar Item de Sincronização apresentada, escolha o domínio, o UO ou grupo de segurança, Definições, Predefinições de Método e Predefinições de Idioma para esta tarefa de sincronização e clique em Adicionar.
- Assinale a caixa com a etiqueta Ativar sincronização com o Active Directory e escolha um Intervalo de sincronização entre um minuto e 24 horas.
Como o Servidor Multi-Factor Authentication do Azure gere dados de utilização
Quando você usa o Servidor de Autenticação Multifator local, os dados de um usuário são armazenados nos servidores locais. Nenhuns dados de utilizador persistentes são armazenados na nuvem. Quando o usuário executa uma verificação em duas etapas, o MFA Server envia dados para o serviço de nuvem de autenticação multifator Microsoft Entra para executar a verificação. Quando essas solicitações de autenticação são enviadas para o serviço de nuvem, os campos a seguir são enviados na solicitação e nos logs para que estejam disponíveis nos relatórios de autenticação/uso do cliente. Alguns dos campos são opcionais, pelo que podem ser ativados ou desativados no Servidor Multi-Factor Authentication. A comunicação entre o Servidor MFA e o serviço de nuvem MFA utiliza SSL/TLS através da porta 443 de saída. Estes campos são:
- ID exclusivo - nome de utilizador ou ID interno do servidor MFA
- Nome próprio e apelido (opcional)
- Endereço de e-mail (opcional)
- Número de telefone - ao realizar uma chamada de voz ou autenticação por SMS
- Token do dispositivo - ao efetuar a autenticação da aplicação móvel
- Modo de autenticação
- Resultado da autenticação
- Nome do Servidor MFA
- IP do Servidor MFA
- Cliente IP - se disponível
Além dos campos anteriores, o resultado da verificação (êxito/rejeição) e o motivo para quaisquer rejeições também são armazenados com os dados da autenticação e estão disponíveis através de relatórios de autenticação/utilização.
Importante
A partir de março de 2019, as opções de chamada telefônica não estarão disponíveis para usuários do MFA Server em locatários do Microsoft Entra gratuitos/de avaliação. As mensagens SMS não são afetadas por esta alteração. A chamada telefónica continuará disponível para utilizadores em inquilinos pagos do Microsoft Entra. Essa alteração afeta apenas os locatários do Microsoft Entra de avaliação gratuita.
Fazer backup e restaurar o Servidor Azure Multi-Factor Authentication
Certificar-se de que tem uma boa cópia de segurança é um passo importante a tomar em qualquer sistema.
Para fazer backup do Servidor Azure Multi-Factor Authentication, verifique se você tem uma cópia da pasta C:\Program Files\Multi-Factor Authentication Server\Data , incluindo o arquivo PhoneFactor.pfdata .
Caso seja preciso um restauro, conclua os seguintes passos:
- Reinstale o Servidor Azure Multi-Factor Authentication em um novo servidor.
- Ative o novo Servidor Azure Multi-Factor Authentication.
- Pare o serviço MultiFactorAuth.
- Substitua o PhoneFactor.pfdata pela cópia de segurança.
- Inicie o serviço MultiFactorAuth.
O novo servidor está agora a funcionar com os dados de utilizador e a configuração de cópia de segurança originais.
Gerir os Protocolos TLS/SSL e Conjuntos de Cifras
Depois de atualizar ou instalar o MFA Server versão 8.x ou superior, é recomendável que os pacotes de codificação mais antigos e mais fracos sejam desabilitados ou removidos, a menos que exigido pela sua organização. Informações sobre como concluir essa tarefa podem ser encontradas no artigo Gerenciando protocolos SSL/TLS e pacotes de codificação para os Serviços de Federação do Ative Directory (AD FS).
Próximos passos
- Instale e configure o Portal do usuário para autoatendimento do usuário.
- Instale e configure o Servidor Azure Multi-Factor Authentication com o Serviço de Federação do Ative Directory, a Autenticação RADIUS ou a Autenticação LDAP (Lightweight Directory Access Protocol).
- Defina e configure o Gateway de Ambiente de Trabalho Remoto e o Servidor Multi-Factor Authentication do Azure com o RADIUS.
- Implemente o Serviço Web de Aplicações Móveis do Servidor Multi-Factor Authentication do Azure.
- Cenários avançados com autenticação multifator do Azure e VPNs de terceiros.