Introdução ao Servidor de Autenticação Multifator do Azure
Esta página aborda uma nova instalação do servidor e sua configuração com o Active Directory local. Se você já tiver o servidor MFA instalado e quiser atualizar, consulte Atualizar para o Servidor de Autenticação Multifator do Azure mais recente. Se você estiver procurando informações sobre como instalar apenas o serviço Web, confira Implantar o serviço Web de aplicativo móvel do Servidor de Autenticação Multifator.
Importante
Em setembro de 2022, a Microsoft anunciou a reprovação do Servidor de Autenticação Multifator do Azure AD. A partir de 30 de setembro de 2024, as implantações do Servidor de Autenticação Multifator do Microsoft Azure não atenderão mais às solicitações de autenticação multifator, o que poderá causar falhas de autenticação na sua organização. Para garantir serviços de autenticação ininterruptos e que eles permaneçam em um estado com suporte, as organizações devem migrar os dados de autenticação dos usuários para o serviço de autenticação multifator do Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização do Servidor de Autenticação Multifator do Microsoft Azure mais recente. Para mais informações, confira Migração do Servidor de Autenticação Multifator do Azure.
Para começar a usar a MFA baseada em nuvem, consulte o Tutorial: Proteja os eventos de logon do usuário com a autenticação multifator do Azure.
Planejar sua implantação
Antes de baixar o Servidor de Autenticação Multifator do Azure, pense em quais são seus requisitos de alta disponibilidade e carga. Use essas informações para decidir como e onde implantar.
Uma boa diretriz para a quantidade de memória necessária é o número de usuários que devem se autenticar regularmente.
Usuários | RAM |
---|---|
1-10,000 | 4 GB |
10,001-50,000 | 8 GB |
50,001-100,000 | 12 GB |
100,000-200,001 | 16 GB |
200,001+ | 32 GB |
Você precisa configurar vários servidores para alta disponibilidade ou balanceamento de carga? Há várias maneiras de definir essa configuração com o Servidor de Autenticação Multifator do Microsoft Azure. Quando você instala o seu primeiro Servidor de Autenticação Multifator do Microsoft Azure, ele se torna o servidor mestre. Os outros servidores se tornam subordinados e sincronizam automaticamente os usuários e a configuração com o mestre. Em seguida, você pode configurar um servidor primário e ter o resto atuando como backup, ou pode configurar o balanceamento de carga entre todos os servidores.
Quando um Servidor de Autenticação Multifator do Microsoft Azure mestre fica offline, os servidores subordinados ainda podem processar solicitações de verificação em duas etapas. No entanto, você não pode adicionar novos usuários e os usuários existentes não podem atualizar suas configurações até que o mestre fique novamente online ou um subordinado seja promovido.
Prepare o seu ambiente
Verifique se o servidor que você está usando para a autenticação multifator do Azure atende aos seguintes requisitos.
Requisitos do Servidor de Autenticação Multifator do Azure | Descrição |
---|---|
Hardware | |
Software | |
Permissões | Conta de Administrador Corporativo ou de Administrador de Domínio para registrar-se no Active Directory |
1Se o Servidor de Autenticação Multifator do Azure não for ativado em uma VM (máquina virtual) do Azure que executa o Windows Server 2019 ou posterior, tente usar uma versão anterior do Windows Server.
Componentes do Servidor de Autenticação Multifator do Azure
Há três componentes da Web que compõem o Servidor de Autenticação Multifator do Azure:
- SDK do serviço Web: permite a comunicação com outros componentes e é instalado no servidor de aplicativos do Servidor de Autenticação Multifator do Azure
- Portal do usuário - Um site de IIS (Serviços de Informações da Internet) que permite que os usuários se registrem na autenticação multifator do Microsoft Entra e mantenham suas contas.
- Serviço Web de aplicativo móvel: permite usar um aplicativo móvel como o aplicativo Microsoft Authenticator para verificação em duas etapas.
Todos os três componentes podem ser instalados no mesmo servidor se ele estiver voltado para a Internet. Se os componentes forem divididos, o SDK do serviço Web é instalado no servidor de aplicativos de autenticação multifator do Microsoft Entra e o portal do usuário e o Serviço Web de Aplicativo Móvel são instalados em um servidor voltado para a Internet.
Requisitos de firewall do Servidor de Autenticação Multifator do Azure
Cada servidor MFA deve ser capaz de se comunicar na porta 443 de saída para os seguintes endereços:
Se os firewalls de saída forem restritos na porta 443, abra os seguintes intervalos de endereços IP:
Subrede de IP | Máscara de rede | Intervalo IP |
---|---|---|
134.170.116.0/25 | 255.255.255.128 | 134.170.116.1 – 134.170.116.126 |
134.170.165.0/25 | 255.255.255.128 | 134.170.165.1 – 134.170.165.126 |
70.37.154.128/25 | 255.255.255.128 | 70.37.154.129 – 70.37.154.254 |
52.251.8.48/28 | 255.255.255.240 | 52.251.8.48 - 52.251.8.63 |
52.247.73.160/28 | 255.255.255.240 | 52.247.73.160 - 52.247.73.175 |
52.159.5.240/28 | 255.255.255.240 | 52.159.5.240 - 52.159.5.255 |
52.159.7.16/28 | 255.255.255.240 | 52.159.7.16 - 52.159.7.31 |
52.250.84.176/28 | 255.255.255.240 | 52.250.84.176 - 52.250.84.191 |
52.250.85.96/28 | 255.255.255.240 | 52.250.85.96 - 52.250.85.111 |
Se você não estiver usando o recurso de Confirmação de Eventos e os usuários não estiverem usando aplicativos móveis para verificar com dispositivos na rede corporativa, só precisará dos seguintes intervalos:
Subrede de IP | Máscara de rede | Intervalo IP |
---|---|---|
134.170.116.72/29 | 255.255.255.248 | 134.170.116.72 – 134.170.116.79 |
134.170.165.72/29 | 255.255.255.248 | 134.170.165.72 – 134.170.165.79 |
70.37.154.200/29 | 255.255.255.248 | 70.37.154.201 – 70.37.154.206 |
52.251.8.48/28 | 255.255.255.240 | 52.251.8.48 - 52.251.8.63 |
52.247.73.160/28 | 255.255.255.240 | 52.247.73.160 - 52.247.73.175 |
52.159.5.240/28 | 255.255.255.240 | 52.159.5.240 - 52.159.5.255 |
52.159.7.16/28 | 255.255.255.240 | 52.159.7.16 - 52.159.7.31 |
52.250.84.176/28 | 255.255.255.240 | 52.250.84.176 - 52.250.84.191 |
52.250.85.96/28 | 255.255.255.240 | 52.250.85.96 - 52.250.85.111 |
Baixar o Servidor MFA
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Siga estas etapas para baixar o Servidor de Autenticação Multifator do Microsoft Azure:
Importante
Em setembro de 2022, a Microsoft anunciou a reprovação do Servidor de Autenticação Multifator do Azure AD. A partir de 30 de setembro de 2024, as implantações do Servidor de Autenticação Multifator do Microsoft Azure não atenderão mais às solicitações de autenticação multifator, o que poderá causar falhas de autenticação na sua organização. Para garantir serviços de autenticação ininterruptos e que eles permaneçam em um estado com suporte, as organizações devem migrar os dados de autenticação dos usuários para o serviço de autenticação multifator do Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização do Servidor de Autenticação Multifator do Microsoft Azure mais recente. Para mais informações, confira Migração do Servidor de Autenticação Multifator do Azure.
Para começar a usar a MFA baseada em nuvem, consulte o Tutorial: Proteja os eventos de logon do usuário com a autenticação multifator do Azure.
Os clientes existentes que ativaram o servidor da MFA antes de 1º de julho de 2019 podem baixar a versão mais recente, atualizações futuras e gerar credenciais de ativação como de costume. As etapas a seguir funcionarão apenas se você for um cliente do servidor MFA existente.
-
Entre no centro de administração do Microsoft Entra como Administrador global.
Navegue até Proteção>Autenticação multifator>Configurações de servidor.
Selecione Baixar e siga as instruções na página de downloads para salvar o instalador.
Mantenha essa página aberta, pois vamos referenciá-la depois de executar o instalador.
Instalar e configurar o Servidor MFA
Agora que já baixou o servidor, você pode instalá-lo e configurá-lo. Verifique se o servidor em que você está instalando atende aos requisitos listados na seção de planejamento.
- Clique duas vezes no arquivo executável.
- Na tela Selecionar Pasta de Instalação, certifique-se de que a pasta esteja correta e clique em Avançar. As seguintes bibliotecas são instaladas:
- Quando a instalação for concluída, selecione Concluir. O assistente de configuração é iniciado.
- De volta à página de onde você baixou o servidor, clique no botão Gerar Credenciais de Ativação . Copie essas informações para o Servidor de Autenticação Multifator do Microsoft Azure nas caixas fornecidas e clique em Ativar.
Observação
Um Administrador Global é necessário para gerenciar esse recurso.
Enviar um email aos usuários
Para facilitar a distribuição, permita que o Servidor MFA se comunique com seus usuários. O Servidor MFA poderá enviar um email para informá-los se eles forem registrados para verificação em duas etapas.
O email a ser enviado deve ser determinado pelo modo como você configura seus usuários para a verificação em duas etapas. Por exemplo, se você puder importar os números de telefone do diretório da empresa, o email deverá incluir os números de telefone padrão para que os usuários saibam o que esperar. Se você não importar os números de telefone, ou seus usuários forem usar o aplicativo móvel, envie um email que os direciona à conclusão do registro da conta. Inclua um hiperlink para o portal do usuário da autenticação multifator do Azure no email.
O conteúdo do email vai variar de acordo com o método de autenticação que foi definido para o usuário (ligação telefônica, SMS ou aplicativo móvel). Por exemplo, se o usuário tiver que usar um PIN quando for se autenticar, o email informará qual PIN inicial foi definido para ele. Os usuários são solicitados a mudar o PIN na primeira autenticação.
Configurar o email e os modelos de email
Clique no ícone de email à esquerda para definir as configurações para enviar esses emails. Nesta página você pode inserir as informações de protocolo SMTP do seu servidor de email e enviar um email marcando a caixa de seleção Enviar emails aos usuários.
Na guia Conteúdo do Email, você verá os diversos modelos de email disponíveis para sua escolha. Dependendo de como você configurou os usuários para usar a autenticação de dois fatores, é possível escolher o modelo mais adequado para as suas necessidades.
Importar usuários do Active Directory
Agora que o servidor está instalado, você deve adicionar usuários. Você pode escolher criá-los manualmente, importar usuários do Active Directory ou configurar a sincronização automática com o Active Directory.
Importar do Active Directory manualmente
No Servidor de Autenticação Multifator do Microsoft Azure, à esquerda, selecione Usuários.
Na parte inferior, selecione Importar do Active Directory.
Agora você pode pesquisar usuários individuais ou pesquisar no Windows Server Active Directory as unidades organizacionais (OUs) com usuários nelas. Nesse caso, nós especificaremos a UO de usuários.
Realce todos os usuários à direita e clique em Importar. Você deve receber uma mensagem informando que obteve êxito. Feche a janela de importação.
Sincronização automática com o Active Directory
- No Servidor de Autenticação Multifator do Microsoft Azure, à esquerda, selecione Integração de diretórios.
- Navegue até a guia Sincronização.
- Na parte inferior, escolha Adicionar
- Na caixa Adicionar Item de sincronização que aparece, escolha o domínio, OU ou grupo de segurança, configurações, padrões de método e idioma padrão para essa tarefa de sincronização e clique em Adicionar .
- Marque a caixa denominada Habilitar a sincronização com o Active Directory e escolha um intervalo de sincronização entre um minuto e 24 horas.
Como o Servidor de Autenticação Multifator do Azure lida com os dados do usuário
Quando você usa o Servidor de Autenticação Multifator local, os dados do usuário são armazenados em servidores locais. Nenhum dado de usuário persistente é armazenado na nuvem. Quando o usuário realiza uma verificação em duas etapas, o Servidor MFA envia dados para o serviço de nuvem de autenticação multifator do Microsoft Entra para realizar a verificação. Quando essas solicitações de autenticação são enviadas ao serviço de nuvem, os campos a seguir são enviados na solicitação e nos logs para que eles fiquem disponíveis em relatórios de uso/autenticação do cliente. Alguns dos campos são opcionais; portanto, podem ser habilitados ou desabilitados no Servidor de Autenticação Multifator. A comunicação do servidor MFA para o serviço de nuvem MFA usa saída SSL/TLS pela porta 443. Esses campos são:
- ID exclusiva: nome de usuário ou ID interna do servidor MFA
- Nome e sobrenome (opcional)
- Endereço de email (opcional)
- Número de telefone - ao fazer uma chamada de voz ou SMS de autenticação
- Token de dispositivo: ao fazer autenticação de aplicativos móveis
- Modo de autenticação
- Resultado da autenticação
- Nome do servidor MFA
- Servidor IP MFA
- Cliente IP: se disponível
Além dos campos acima, o resultado da autenticação (êxito/negação) e o motivo de uma possível recusa também são armazenados com os dados de autenticação e ficam disponíveis por meio de relatórios de autenticação/uso.
Importante
Desde março de 2019, as opções de chamadas telefônicas não estarão disponíveis para os usuários do Servidor MFA em locatários de avaliação/gratuita do Microsoft Entra. As mensagens SMS não são afetadas por essa alteração. A chamada telefônica continuará disponível para os usuários de locatários pagos da Microsoft Entra. Essa alteração afeta apenas os locatários de avaliação/gratuita do Microsoft Entra.
Fazer backup e restaurar o Servidor de Autenticação Multifator do Microsoft Azure
Ter certeza de que você tem um bom backup é uma etapa importante em qualquer sistema.
Para fazer backup do Servidor de Autenticação Multifator do Microsoft Azure, verifique se você tem uma cópia da pasta C:\Program Files\Multi-Factor Authentication Server\Data incluindo o arquivo PhoneFactor.pfdata.
Caso seja necessário fazer uma restauração, conclua as seguintes etapas:
- Reinstale o Servidor de Autenticação Multifator do Microsoft Azure em um novo servidor.
- Ative o novo Servidor de Autenticação Multifator do Microsoft Azure.
- Pare o serviço MultiFactorAuth.
- Substitua o PhoneFactor.pfdata pela cópia de backup.
- Inicie o serviço MultiFactorAuth.
O novo servidor está agora configurado e em execução com a configuração e os usuário de backup originais.
Como gerenciar protocolos TLS/SSL e conjuntos de criptografia
Depois que você tiver feito upgrade ou instalado o Servidor MFA versão 8.x ou superior, é recomendável que os conjuntos de criptografia mais antigos ou mais fracos sejam desabilitados ou removidos, a menos que eles sejam exigidos por sua organização. Você pode obter informações sobre como concluir esta tarefa no artigo Gerenciar protocolos SSL/TLS e conjuntos de criptografia para os Serviços de Federação do Active Directory (AD FS).
Próximas etapas
- Instale e configure o Portal do usuário para o autoatendimento de usuário.
- Instale e configure o Servidor de Autenticação Multifator do Azure com o Serviço de Federação do Active Directory, a Autenticação RADIUS ou a Autenticação de Protocolo LDAP.
- Instale e configure o Gateway de Área de Trabalho Remota e o Servidor de Autenticação Multifator do Azure usando RADIUS.
- Implante o serviço Web do aplicativo móvel do Servidor de Autenticação Multifator do Azure.
- Cenários avançados com a autenticação multifator do Azure e VPNs de terceiros.