Planeie uma implantação de autenticação multi-factor do Diretório Ativo Azure

A Azure Ative Directory (Azure AD) A Autenticação Multi-Factor ajuda a salvaguardar o acesso a dados e aplicações, fornecendo outra camada de segurança utilizando uma segunda forma de autenticação. As organizações podem permitir a autenticação multifactor (MFA) com Acesso Condicional para que a solução se adapte às suas necessidades específicas.

Este guia de implementação mostra-lhe como planear e implementar um Azure AD lançamento de autenticação multi-factor.

Pré-requisitos para a implementação de Azure AD autenticação multi-factor

Antes de iniciar a sua implantação, certifique-se de que cumpre os seguintes pré-requisitos para os seus cenários relevantes.

Scenario Pré-requisito
Ambiente de identidade apenas em nuvem com autenticação moderna Sem tarefas pré-requisitos
Cenários de identidade híbrida Implementar Azure AD Ligar e sincronizar as identidades dos utilizadores entre os Serviços de Domínio Ative Directory no local (DS AD) e Azure AD.
Aplicações antigas no local publicadas para acesso à nuvem Implementar Azure AD Proxy de Aplicações

Escolha métodos de autenticação para MFA

Existem muitos métodos que podem ser usados para uma autenticação de segundo fator. Pode escolher entre a lista de métodos de autenticação disponíveis, avaliando cada um em termos de segurança, usabilidade e disponibilidade.

Importante

Ativar mais de um método MFA para que os utilizadores tenham um método de backup disponível no caso do seu método primário estar indisponível. Os métodos incluem:

Ao escolher métodos de autenticação que serão utilizados no seu inquilino considere a segurança e a usabilidade destes métodos:

Escolher o método de autenticação certo

Para saber mais sobre a força e segurança destes métodos e como funcionam, consulte os seguintes recursos:

Pode utilizar este script PowerShell para analisar as configurações de MFA dos utilizadores e sugerir o método de autenticação MFA apropriado.

Para obter a melhor flexibilidade e usabilidade, utilize a aplicação Microsoft Authenticator. Este método de autenticação proporciona a melhor experiência do utilizador e vários modos, tais como notificações push sem palavras-passe, notificações push MFA e códigos OATH. A aplicação Microsoft Authenticator também cumpre os requisitos do National Institute of Standards and Technology (NIST) Authenticator Assurance Level 2.

Pode controlar os métodos de autenticação disponíveis no seu inquilino. Por exemplo, pode querer bloquear alguns dos métodos menos seguros, como SMS.

Método de autenticação Gerir a partir de Âmbito
Microsoft Authenticator (Notificação push e acesso telefónico sem palavras-passe) Definições de MFA ou política de métodos de autenticação O registo de telefone sem palavras-passe do autenticador pode ser alojado para utilizadores e grupos
Chave de segurança FIDO2 Política de métodos de autenticação Pode ser adido aos utilizadores e grupos
Fichas de OATH de software ou hardware Definições de MFA
Verificação SMS Definições de MFA
Gerir o sent-in por SMS para a autenticação primária na política de autenticação
O s indicador por SMS pode ser examinado para utilizadores e grupos.
Chamadas de voz Política de métodos de autenticação

Políticas de acesso condicional do plano

Azure AD a autenticação multi-factor é aplicada com políticas de Acesso Condicional. Estas políticas permitem-lhe solicitar aos utilizadores mFA quando necessário para a segurança e ficar fora do caminho dos utilizadores quando não for necessário.

Fluxo de processo de Acesso Condicional conceptual

No portal do Azure, configura políticas de acesso condicional ao abrigo doAcesso Condicional deSegurança> do Diretório> Ativo Azure.

Para saber mais sobre a criação de políticas de Acesso Condicional, consulte a política de Acesso Condicional para solicitar Azure AD autenticação multi-factor quando um utilizador se inscreve no portal do Azure. Isto ajuda-o a:

  • Familiarize-se com a interface do utilizador
  • Obtenha uma primeira impressão de como funciona o Acesso Condicional

Para obter orientações de ponta a ponta sobre Azure AD implementação de acesso condicional, consulte o plano de implementação do Acesso Condicional.

Políticas comuns para Azure AD autenticação multi-factor

Os casos de utilização comum para exigir Azure AD autenticação multi-factor incluem:

Localizações com nome

Para gerir as suas políticas de Acesso Condicional, a condição de localização de uma política de Acesso Condicional permite-lhe ligar as definições dos controlos de acesso às localizações da rede dos seus utilizadores. Recomendamos a utilização de Localizações Nomeadas para que possa criar agrupamentos lógicos de intervalos de endereços IP ou países e regiões. Isto cria uma política para todas as aplicações que bloqueiam a inscrição a partir desse local nomeado. Certifique-se de isentar os seus administradores desta apólice.

Políticas baseadas no risco

Se a sua organização utilizar Azure AD Proteção de Identidade para detetar sinais de risco, considere usar políticas baseadas no risco em vez de localizações nomeadas. As políticas podem ser criadas para forçar alterações de palavras-passe quando há uma ameaça de identidade comprometida ou requerem MFA quando uma sindes de saúde é considerada em risco , tais como credenciais vazadas, inscrições de endereços IP anónimos, e muito mais.

As políticas de risco incluem:

Converter utilizadores de MFA por utilizador para MFA baseado em acesso condicional

Se os seus utilizadores foram ativados utilizando mFA ativado e forçado por utilizador, o seguinte PowerShell pode ajudá-lo a fazer a conversão para MFA baseado em Acesso Condicional.

Executar este PowerShell numa janela ISE ou guarde como um .PS1 ficheiro para ser executado localmente. A operação só pode ser feita utilizando o módulo MSOnline.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Planeie a vida útil da sessão do utilizador

Ao planear a sua implementação de autenticação multifactor, é importante pensar na frequência com que gostaria de solicitar aos seus utilizadores. Pedir credenciais aos utilizadores muitas vezes parece uma coisa sensata a fazer, mas pode dar errado. Se os utilizadores forem treinados para introduzir as suas credenciais sem pensar, podem fornecer-lhes involuntariamente uma solicitação de credencial maliciosa. Azure AD tem várias configurações que determinam a frequência com que precisa de reautenenciar. Compreenda as necessidades do seu negócio e utilizadores e configurar configurações que proporcionam o melhor equilíbrio para o seu ambiente.

Recomendamos a utilização de dispositivos com Tokens de Atualização Primária (PRT) para melhorar a experiência do utilizador final e reduzir o tempo de vida útil da sessão com a política de frequência de entrada apenas em casos específicos de utilização do negócio.

Para obter mais informações, consulte otimizar as solicitações de reauthentication e compreender a vida útil da sessão para Azure AD Autenticação Multi-Factor.

Planeie o registo do utilizador

Um passo importante em cada implementação de autenticação multifactor é fazer com que os utilizadores se registei para utilizar Azure AD autenticação multi-factor. Métodos de autenticação como Voz e SMS permitem o pré-registo, enquanto outros como a App Autenticador requerem interação do utilizador. Os administradores devem determinar como os utilizadores irão registar os seus métodos.

Registo combinado para SSPR e Azure AD MFA

Nota

A partir de 15 de agosto de 2020, todos os novos inquilinos Azure AD serão automaticamente habilitados para o registo combinado. Os inquilinos criados após esta data não poderão utilizar os fluxos de trabalho de registo de legado. Depois de 30 de setembro de 2022, todos os inquilinos existentes Azure AD serão automaticamente habilitados para registo combinado.

Recomendamos que as organizações utilizem a experiência de registo combinado para Azure AD a autenticação multi-factor e a redefinição da palavra-passe de autosserviço (SSPR). A SSPR permite que os utilizadores repuvam a sua palavra-passe de forma segura utilizando os mesmos métodos que utilizam para Azure AD Autenticação Multi-Factor. O registo combinado é um único passo para os utilizadores finais. Para se certificar de que compreende a funcionalidade e a experiência do utilizador final, consulte os conceitos de registo de informações de segurança combinadas.

É fundamental informar os utilizadores sobre as próximas alterações, requisitos de registo e quaisquer ações necessárias do utilizador. Fornecemos modelos de comunicação e documentação do utilizador para preparar os seus utilizadores para a nova experiência e ajudar a garantir um lançamento bem-sucedido. Enviar os utilizadores para https://myprofile.microsoft.com se registarem selecionando o link Informação de Segurança nessa página.

Registo com Proteção de Identidade

Azure AD Proteção de Identidade contribui tanto com uma política de registo para políticas automatizadas de deteção e reparação de riscos para a história de autenticação multi-factor Azure AD. As políticas podem ser criadas para forçar alterações de palavras-passe quando há uma ameaça de identidade comprometida ou exigir MFA quando uma sindes de sposição é considerada arriscada. Se utilizar Azure AD Proteção de Identidade, configuure a Azure AD política de registo de MFA para solicitar aos seus utilizadores que se registem na próxima vez que assinarem interativamente.

Registo sem Proteção de Identidade

Se não tiver licenças que permitam Azure AD Proteção de Identidade, os utilizadores são solicitados a registar-se da próxima vez que o MFA for necessário no início de sedita. Para exigir que os utilizadores utilizem MFA, pode utilizar políticas de Acesso Condicional e aplicações de destino frequentemente utilizadas, como sistemas de RH. Se a palavra-passe de um utilizador estiver comprometida, pode ser usada para se registar para MFA, assumindo o controlo da sua conta. Por isso, recomendamos a segurança do processo de registo de segurança com políticas de acesso condicional que exijam dispositivos e localizações fidedignos. Pode ainda proteger o processo, requerendo também um Passe de Acesso Temporário. Uma senha limitada em tempo emitido por um administrador que satisfaz os requisitos de autenticação forte e pode ser usada para embarcar em outros métodos de autenticação, incluindo os sem palavras-passe.

Aumentar a segurança dos utilizadores registados

Se tiver utilizadores registados para MFA usando SMS ou chamadas de voz, é possível movê-los para métodos mais seguros, como a aplicação Microsoft Authenticator. A Microsoft oferece agora uma pré-visualização pública da funcionalidade que permite aos utilizadores solicitarem aos utilizadores a configuração da aplicação Microsoft Authenticator durante a sinserção. Pode definir estas solicitações por grupo, controlando quem é solicitado, permitindo que campanhas direcionadas movimentem os utilizadores para o método mais seguro.

Cenários de recuperação do plano

Como mencionado anteriormente, certifique-se de que os utilizadores estão registados para mais de um método de MFA, de modo que, se um estiver indisponível, eles têm uma cópia de segurança. Se o utilizador não tiver um método de backup disponível, pode:

  • Forneça-lhes um Passe de Acesso Temporário para que possam gerir os seus próprios métodos de autenticação. Também pode fornecer um Passe de Acesso Temporário para permitir o acesso temporário aos recursos.
  • Atualize os seus métodos como administrador. Para tal, selecione o utilizador no portal do Azure e, em seguida, selecione métodos de autenticação e atualize os seus métodos. Comunicações de utilizadores

A integração do plano com os sistemas no local

As aplicações que autenticam diretamente com Azure AD e possuem autenticação moderna (WS-Fed, SAML, OAuth, OpenID Connect) podem utilizar as políticas de Acesso Condicional. Algumas aplicações antigas e no local não autenticam diretamente contra Azure AD e exigem medidas adicionais para utilizar Azure AD Autenticação Multi-Factor. Pode integrá-los utilizando Azure AD serviços de procuração de aplicação ou de política de rede.

Integrar-se com recursos AD FS

Recomendamos aplicações migratórias seguras com Serviços de Federação do Ative Directory (AD FS) (AD FS) para Azure AD. No entanto, se não estiver pronto para os migrar para Azure AD, pode utilizar o adaptador de autenticação multi-factor Azure com AD FS 2016 ou mais recente.

Se a sua organização estiver federada com Azure AD, pode configurar Azure AD Autenticação Multi-Factor como fornecedor de autenticação com recursos AD FS tanto no local como na nuvem.

CLIENTES RADIUS e Azure AD Autenticação Multi-Factor

Para aplicações que estejam a utilizar a autenticação RADIUS, recomendamos que as aplicações do cliente sejam móveis para protocolos modernos como SAML, Open ID Connect ou OAuth em Azure AD. Se a aplicação não puder ser atualizada, poderá implementar o Network Policy Server (NPS) com a extensão Azure MFA. A extensão do servidor de política de rede (NPS) funciona como um adaptador entre aplicações baseadas em RADIUS e Azure AD MFA para fornecer um segundo fator de autenticação.

Integrações comuns

Muitos fornecedores agora suportam a autenticação SAML para as suas aplicações. Quando possível, recomendamos a criação destas aplicações com Azure AD e a aplicação do MFA através do Acesso Condicional. Se o seu fornecedor não suportar a autenticação moderna – pode utilizar a extensão NPS. As integrações comuns do cliente RADIUS incluem aplicações como Gateways de Desktop Remoto e servidores VPN.

Outros podem incluir:

  • Citrix Gateway

    Citrix Gateway suporta a integração de extensões RADIUS e NPS, e uma integração SAML.

  • Cisco VPN

    • A Cisco VPN suporta a autenticação RADIUS e SAML para SSO.
    • Ao passar da autenticação RADIUS para a SAML, pode integrar a Cisco VPN sem implantar a extensão NPS.
  • Todas as VPNs

Implementar Azure AD autenticação multi-factor

O seu plano de implementação de autenticação multi-factor Azure AD deve incluir uma implementação piloto seguida de ondas de implantação que estão dentro da sua capacidade de suporte. Inicie o seu lançamento aplicando as suas políticas de Acesso Condicional a um pequeno grupo de utilizadores piloto. Depois de avaliar o efeito nos utilizadores-piloto, processo utilizado e comportamentos de registo, pode adicionar mais grupos à política ou adicionar mais utilizadores aos grupos existentes.

Siga os passos abaixo:

  1. Conheça os pré-requisitos necessários
  2. Configurar métodos de autenticação escolhidos
  3. Configure as suas políticas de acesso condicional
  4. Configurar definições de vida útil da sessão
  5. Configurar Azure AD políticas de registo de MFA

Gerir Azure AD autenticação multi-factor

Esta secção fornece informações de reporte e resolução de problemas para Azure AD Autenticação Multi-Factor.

Reportagem e Monitorização

Azure AD tem relatórios que fornecem informações técnicas e empresariais, acompanha o progresso da sua implementação e verifica se os seus utilizadores são bem sucedidos em iniciar sação com o MFA. Os proprietários de aplicações empresariais e técnicas assumam a propriedade e consumam estes relatórios com base nos requisitos da sua organização.

Pode monitorizar o registo e utilização do método de autenticação em toda a sua organização utilizando o painel de atividades de métodos de autenticação. Isto ajuda-o a perceber que métodos estão a ser registados e como estão a ser usados.

Inscreva-se no relatório para rever eventos de MFA

Os relatórios de inscrição Azure AD incluem detalhes de autenticação para eventos quando um utilizador é solicitado para MFA, e se alguma política de Acesso Condicional estava em uso. Também pode utilizar o PowerShell para reportar os utilizadores registados para Azure AD Autenticação Multi-Factor.

A extensão de NPS e os registos AD FS podem ser vistos a partir dorelatório de atividade doMFA> de segurança>. A inclusão desta atividade nos registos de inscrição está atualmente em Pré-visualização.

Para obter mais informações e relatórios adicionais de autenticação multi-factor Azure AD, consulte Azure AD eventos de autenticação multi-factor.

Resolução de problemas Azure AD autenticação multi-factor

Consulte a resolução de problemas Azure AD autenticação multi-factor para questões comuns.

Passos seguintes

Implementar outras funcionalidades de identidade