Migrar para a autenticação multifator e a autenticação de usuário do Microsoft Entra
A autenticação multifator ajuda a proteger sua infraestrutura e seus ativos contra agentes má-intencionados. O Servidor de Autenticação Multifator da Microsoft (Servidor MFA) não é mais oferecido para novas implantações. Os clientes que estão usando o servidor de MFA devem migrar para a autenticação multifator do Microsoft Entra.
Há várias opções de migração do servidor de MFA para o Microsoft Entra ID:
- Bom: mover apenas o serviço de MFA para o Microsoft Entra ID.
- Melhor: migrar o serviço de MFA e a autenticação de usuário para o Microsoft Entra ID, assunto que é abordado neste artigo.
- Ideal: migrar todos os aplicativos, o serviço de MFA e a autenticação de usuário para o Microsoft Entra ID. Confira a seção deste artigo sobre a migração de aplicativos para o Microsoft Entra ID se você planeja migrar aplicativos.
Para selecionar a opção de migração de MFA apropriada para sua organização, confira as considerações em Migrar do servidor de MFA para a autenticação multifator do Microsoft Entra.
O diagrama a seguir mostra o processo de migração para a autenticação multifator e a autenticação em nuvem do Microsoft Entra, mantendo alguns de seus aplicativos no AD FS. Esse processo permite a migração iterativa de usuários do servidor de MFA para a autenticação multifator do Microsoft Entra com base em associações de grupo.
Cada etapa é explicada nas seções seguintes deste artigo.
Observação
Se você planeja mover qualquer aplicativo para o Microsoft Entra ID como parte dessa migração, faça isso antes da migração da MFA. Se mover todos os seus aplicativos, poderá ignorar seções do processo de migração de MFA. Confira a seção sobre mover aplicativos no final deste artigo.
Processo de migração para o Microsoft Entra ID e a autenticação de usuário
Preparar grupos e o acesso condicional
Os grupos são usados em três capacidades para a migração de MFA.
Migrar iterativamente os usuários para a autenticação multifator do Microsoft Entra com a distribuição em etapas.
Use um grupo criado no Microsoft Entra ID, também conhecido como grupo somente na nuvem. É possível usar os grupos de segurança do Microsoft Entra ou os grupos do Microsoft 365 para migrar usuários para a MFA e para políticas de acesso condicional.
Importante
Não há suporte para grupos aninhados e de associação dinâmica na distribuição em etapas. Não use esses tipos de grupos.
Políticas de acesso condicional. É possível usar o Microsoft Entra ID ou os grupos locais para o acesso condicional.
Invocar a autenticação multifator do Microsoft Entra para aplicativos do AD FS com regras de declarações. Essa etapa se aplica somente se você usa aplicativos com o AD FS.
Você precisa usar um grupo de segurança do Active Directory local. Como a autenticação multifator do Microsoft Entra é um método de autenticação adicional, é possível designar grupos de usuários para usar esse método em cada parte confiável. Por exemplo, é possível chamar a autenticação multifator do Microsoft Entra para os usuários que você já migrou e o servidor de MFA para aqueles que ainda não foram migrados. Essa estratégia é útil nos testes e durante a migração.
Observação
Não recomendamos reutilizar grupos que foram usados para segurança. Use o grupo de segurança apenas para proteger um grupo de aplicativos de alto valor com uma política de acesso condicional.
Configurar as políticas de acesso condicional
Se você já estiver usando o acesso condicional para determinar quando os usuários receberão uma solicitação de MFA, não será necessário mudar as políticas. À medida que os usuários são migrados para a autenticação na nuvem, eles começam a utilizar a autenticação multifator do Microsoft Entra, conforme definido pelas políticas de acesso condicional. Eles não serão mais redirecionados para o AD FS e o servidor de MFA.
Se os domínios federados tiverem o federatedIdpMfaBehavior definido como enforceMfaByFederatedIdp
ou o sinalizador SupportsMfa definido como $True
(o federatedIdpMfaBehavior substituirá SupportsMfa quando ambos forem definidos), você estará impondo a MFA no AD FS usando regras de declarações.
Neste caso, será necessário analisar as regras de declarações na confiança de terceira parte confiável do Microsoft Entra ID e criar políticas de acesso condicional que sejam compatíveis com os mesmos objetivos de segurança.
Se necessário, configure as políticas de acesso condicional antes de habilitar a distribuição em etapas. Para saber mais, consulte os recursos a seguir:
Preparar o AD FS
Se você não tiver nenhum aplicativo no AD FS que exija a MFA, ignore esta seção e acesse a seção Preparar a distribuição em etapas.
Atualizar o farm de servidores do AD FS para 2019, FBL 4
No AD FS 2019, a Microsoft lançou uma nova funcionalidade que permite especificar métodos de autenticação adicionais para uma terceira parte confiável, como um aplicativo. Você pode especificar um método de autenticação adicional usando a associação a um grupo para determinar o provedor de autenticação. Ao especificar um método de autenticação adicional, você pode fazer a transição para a autenticação multifator do Microsoft Entra enquanto mantém outras autenticações intactas durante a transição.
Para obter mais informações, confira Atualizar para o AD FS no Windows Server 2016 com um banco de dados WID. O artigo aborda a atualização de seu farm para o AD FS 2019 e a atualização do FBL para 4.
Configurar regras de declarações para invocar a autenticação multifator do Microsoft Entra
Agora que a autenticação multifator do Microsoft Entra é um método de autenticação adicional, é possível atribuir grupos de usuários para usá-la configurando regras de declarações, também conhecidas como confianças de terceira parte confiável. Usando grupos, você pode controlar qual provedor de autenticação é chamado globalmente ou por aplicativo. Por exemplo, é possível chamar a autenticação multifator do Microsoft Entra para os usuários que se registraram para obter informações de segurança combinadas ou que tiveram seus números de telefone migrados e chamar o servidor de MFA para aqueles com números de telefone que ainda não foram migrados.
Observação
As regras de declarações exigem grupo de segurança local.
Regras de backup
Antes de configurar novas regras de declarações, faça backup das regras. Você precisará restaurar as regras de declaração durante as etapas de limpeza.
Dependendo da configuração, talvez você também precise copiar a regra existente e acrescentar as novas regras criadas para a migração.
Para exibir as regras globais, execute:
Get-AdfsAdditionalAuthenticationRule
Para exibir as relações de confiança de terceira parte confiável, execute o seguinte comando e substitua RPTrustName pelo nome da regra de declarações de confiança de terceira parte confiável:
(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules
Políticas de controle de acesso
Observação
As políticas de controle de acesso não podem ser configuradas para que um provedor de autenticação específico seja invocado com base em uma associação de grupo.
Para fazer a transição das suas políticas de controle de acesso para regras de autenticação adicionais, execute este comando para cada uma das relações de confiança de terceira parte confiável usando o provedor de autenticação do servidor MFA:
Set-AdfsRelyingPartyTrust -**TargetName AppA -AccessControlPolicyName $Null**
Esse comando moverá a lógica da política de controle de acesso atual para as regras de autenticação adicionais.
Configurar o grupo e localizar o SID
Você precisará ter um grupo específico para colocar os usuários para os quais desejar invocar a autenticação multifator Microsoft Entra. Você precisará encontrar o SID (identificador de segurança) desse grupo.
Para encontrar o SID do grupo, execute o seguinte comando e substitua GroupName
pelo nome do grupo:
Get-ADGroup GroupName
Configurar as regras de declarações para chamar a autenticação multifator do Microsoft Entra
Os cmdlets a seguir do Microsoft Graph PowerShell invocam a autenticação multifator do Microsoft Entra para os usuários do grupo quando eles não estão na rede corporativa.
Substitua "YourGroupSid"
pelo SID encontrado com a execução do cmdlet anterior.
Examine o artigo Como escolher provedores de autorização adicionais no 2019.
Importante
Faça backup de suas regras de declarações antes de continuar.
Definir regra de declarações globais
Execute o seguinte comando e substitua RPTrustName pelo nome da regra de declarações de relação de confiança de terceira parte confiável:
(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules
O comando retorna as regras de autenticação adicionais atuais para a relação de confiança de terceira parte confiável.
Você precisa acrescentar as seguintes regras às regras de declaração atuais:
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
O exemplo a seguir pressupõe que as regras de declaração atuais estão configuradas para solicitar MFA quando os usuários se conectam de fora da rede. Este exemplo inclui regras adicionais que você precisa acrescentar.
Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type ==
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type =
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value =
"https://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Definir regra de declarações por aplicativo
Este exemplo modifica as regras de declaração em uma relação de confiança de terceira parte confiável (aplicativo) específica. Isso inclui regras adicionais que você precisa acrescentar.
Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type ==
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type =
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value =
"https://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Configurar a autenticação multifator do Microsoft Entra como um provedor de autenticação no AD FS
Para configurar a autenticação multifator do Microsoft Entra para AD FS, é necessário configurar cada servidor AD FS. Se houver vários servidores do AD FS no farm, você poderá configurá-los remotamente usando o PowerShell do Microsoft Graph.
Para obter instruções passo a passo para o processo, veja Configurar os servidores AD FS.
Depois de configurar os servidores, será possível adicionar a autenticação multifator do Microsoft Entra como um método de autenticação adicional.
Preparar a distribuição em etapas
Agora você está pronto para habilitar a distribuição em etapas. A distribuição em etapas ajuda você a mover iterativamente os usuários para PHS ou PTA e ainda migrar as configurações de MFA locais.
- Não se esqueça de ler os cenários permitidos.
- Primeiro, você precisará fazer a preparação para PHS ou a preparação para PTA. Recomendamos o PHS.
- Depois, você fará a preparação para o SSO contínuo.
- Habilite a distribuição em etapas da autenticação de nuvem para o método de autenticação selecionado.
- Adicione os grupos criados para distribuição em etapas. Lembre-se de que você adicionará usuários a grupos de forma iterativa e que eles não podem ser grupos de associação dinâmica nem aninhados.
Registrar usuários para autenticação multifator do Microsoft Entra
Esta seção aborda como os usuários podem se registrar para segurança combinada (MFA e redefinição de senha de autoatendimento) e como migrar as configurações de MFA. O Microsoft Authenticator pode ser usado no modo sem senha. Ele também pode ser usado como um segundo fator para MFA com algum método de registro.
Registrar para o registro de segurança combinado (recomendado)
Recomendamos que os usuários se registrem para informações de segurança combinadas, que é um único local para registrar seus métodos de autenticação e dispositivos para MFA e SSPR.
A Microsoft oferece modelos de comunicação que você pode fornecer aos usuários para orientá-los pelo processo de registro combinado.
Isso inclui modelos para email, cartazes, prismas de mesa e outros recursos. Os usuários registram suas informações em https://aka.ms/mysecurityinfo
, o que os leva para a tela de registro de segurança combinada.
Recomendamos proteger o processo de registro de segurança com acesso condicional que exige que o registro seja feito com um dispositivo confiável ou de um local confiável. Para saber como acompanhar os status de registro, confira Atividade do método de autenticação do Microsoft Entra ID.
Observação
Os usuários que PRECISAM registrar as informações de segurança combinadas de um local ou dispositivo não confiável podem receber uma Senha de Acesso Temporária ou serem excluídos temporariamente da política.
Migrar as configurações de MFA do Servidor de MFA
É possível usar o Utilitário de Migração do Servidor da MFA para sincronizar as configurações de MFA registradas para os usuários do Servidor de MFA com o Microsoft Entra ID. Você pode sincronizar números de telefone, tokens de hardware e registros de dispositivo como configurações do aplicativo Microsoft Authenticator.
Adicionar os usuários aos grupos adequados
- Se você criou novas políticas de Acesso Condicional, adicione os usuários apropriados a esses grupos.
- Se você criou grupos de segurança locais para regras de declarações, adicione os usuários apropriados a esses grupos.
- Adicione usuários ao grupo que você criou para a Distribuição em Etapas somente depois de adicionar usuários às regras de Acesso Condicional adequadas. Depois disso, eles começarão a usar o método de autenticação do Azure selecionado (PHS ou PTA) e a autenticação multifator do Microsoft Entra quando precisarem realizar a MFA.
Importante
Não há suporte para grupos aninhados e de associação dinâmica na distribuição em etapas. Não use esses tipos de grupos.
Não recomendamos reutilizar grupos que foram usados para segurança. Se você estiver usando o grupo de segurança para proteger um grupo de aplicativos de alto valor com uma política de acesso condicional, use o grupo somente para essa finalidade.
Monitoramento
Uma série de workbooks do Azure Monitor e relatórios de Uso e insights estão disponíveis para monitorar a implantação. Esses relatórios podem ser encontrados no painel de navegação do Microsoft Entra ID em Monitoramento.
Monitorar a distribuição em etapas
Na seção workbooks, escolha Modelos públicos. Na seção Autenticação híbrida, seelcione o workbook Grupos, Usuários e Credenciais na distribuição em etapas.
Este workbook pode ser usado para monitorar as seguintes atividades:
- Usuários e grupos adicionados à distribuição em etapas.
- Usuários e grupos removidos da distribuição em etapas.
- Falhas de credenciais para usuários em distribuição em etapas e os motivos da falha.
Como monitorar o registro de autenticação multifator do Microsoft Entra
O registro de autenticação multifator do Microsoft Entra pode ser monitorado usando o relatório de insights e uso de métodos de autenticação. Este relatório pode ser encontrado no Microsoft Entra ID. Selecione Monitoramento e, em seguida, selecione Uso e insights.
Em Uso e insights, selecione Métodos de autenticação.
Informações detalhadas sobre o registro de autenticação multifator do Microsoft Entra podem ser encontradas na guia “Registro”. É possível fazer uma busca detalhada para exibir uma lista de usuários registrados selecionando o hiperlink Usuários registrados para a autenticação multifator do Azure.
Monitorar o estado de credenciais do aplicativo
Monitore os aplicativos migrados para o Microsoft Entra ID com a pasta de trabalho de integridade de logon ou o relatório de uso de atividades deles.
- Workbook de estado das credenciais do aplicativo. Confira Monitorar estado de credenciais de aplicativo para resiliência para obter orientações detalhadas sobre o uso desse workbook.
- Relatório de uso de atividades do aplicativo Microsoft Entra. Esse relatório pode ser usado para ver as credenciais bem-sucedidas e com falhas para aplicativos individuais, além da capacidade de analisar detalhadamente e ver atividades de credenciais de um aplicativo específico.
Tarefas de limpeza
Depois de migrar todos os usuários para a autenticação de nuvem e a autenticação multifator do Microsoft Entra, você estará pronto para encerrar o servidor de MFA. Recomendamos revisar os logs do Servidor MFA para garantir que ele não seja usado por usuários ou aplicativos antes da remoção do servidor.
Converter seus domínios para autenticação gerenciada
Agora, converta seus domínios federados no Microsoft Entra ID para serem gerenciados e remova a configuração de distribuição em etapas. Essa conversão garante que novos usuários usem a autenticação em nuvem sem serem adicionados aos grupos de migração.
Reverter regras de declarações no AD FS e remover o provedor de autenticação do servidor MFA
Siga as etapas em Configurar regras de declarações para invocar a autenticação multifator do Microsoft Entra a fim de reverter essas regras e remover quaisquer regras de declarações AzureMFAServerAuthentication.
Por exemplo, remova a seguinte seção das regras:
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"**YourGroupSID**"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Desabilitar o servidor MFA como um provedor de autenticação do AD FS
Essa alteração garante que apenas a autenticação multifator do Microsoft Entra seja usada como provedor de autenticação.
- Abra o console de gerenciamento do AD FS.
- Em Serviços, clique com o botão direito do mouse em Métodos de autenticação e escolha Editar métodos de autenticação multifator.
- Desmarque a caixa de marcação Servidor de Autenticação Multifator do Microsoft Azure.
Desativar o Servidor MFA
Siga o processo de desativação do servidor empresarial para remover os Servidores MFA do seu ambiente.
Algumas considerações possíveis ao desativar o servidor MFA:
- Recomendamos revisar os logs do Servidor MFA para garantir que ele não seja usado por usuários ou aplicativos antes da remoção do servidor.
- Desinstale o Servidor de Autenticação Multifator do painel de controle no servidor.
- Você pode limpar os logs e os diretórios de dados deixados para trás depois de fazer o back-up.
- Desinstale o SDK do servidor Web de autenticação multifator, se aplicável, incluindo quaisquer arquivos restantes nos diretórios inetpub\wwwroot\MultiFactorAuthWebServiceSdk e/ou MultiFactorAuth.
- Para as versões do servidor de MFA anteriores à 8.0.x, também pode ser necessário remover o serviço Web do aplicativo de telefone de autenticação multifator.
Migrar a autenticação do aplicativo para o Microsoft Entra ID
Se você migrar toda a autenticação de aplicativo com a MFA e a autenticação de usuário, poderá remover partes significativas da infraestrutura local, o que reduz custos e riscos. Se você mover toda a autenticação de aplicativo, poderá ignorar o estágio Preparar AD FS e simplificar sua migração de MFA.
O processo para mover toda a autenticação de aplicativo é representado no diagrama a seguir.
Se você não puder mover todos os aplicativos antes da migração, mova o máximo possível antes de começar. Para saber mais sobre a migração de aplicativos para o Azure, confira Recursos de migração de aplicativos para o Microsoft Entra ID.