Tutorial: Garantir eventos de entrada de utilizadores com Azure AD autenticação multi-factor

A autenticação multi-factor (MFA) é um processo em que um utilizador é solicitado para formas adicionais de identificação durante um evento de inscrição. Por exemplo, a solicitação pode ser introduzir um código no seu telemóvel ou fornecer uma digitalização de impressões digitais. Quando se precisa de uma segunda forma de identificação, a segurança é aumentada porque este fator adicional não é fácil para um intruso obter ou duplicar.

Azure AD políticas de autenticação multi-factor e acesso condicional conferem-lhe a flexibilidade para exigir MFA dos utilizadores para eventos específicos de entrada. Para uma visão geral do MFA, recomendamos ver este vídeo: Como configurar e impor a autenticação de vários fatores no seu inquilino.

Importante

Este tutorial mostra a um administrador como ativar Azure AD autenticação multi-factor.

Se a sua equipa de TI não tiver ativado a capacidade de utilização Azure AD Autenticação Multi-Factor, ou se tiver problemas durante a sação, contacte o seu balcão de ajuda para obter assistência adicional.

Neste tutorial, ficará a saber como:

  • Crie uma política de acesso condicional para permitir Azure AD autenticação multi-factor para um grupo de utilizadores.
  • Configure as condições de política que solicitam para a MFA.
  • Testar a configuração e utilizar a autenticação de vários fatores como utilizador.

Pré-requisitos

Para completar este tutorial, precisa dos seguintes recursos e privilégios:

  • Um inquilino Azure AD de trabalho com licenças de Azure AD Premium P1 ou de julgamento habilitados.

  • Uma conta com privilégios de Administrador de Acesso Condicional, Administrador de Segurança ou Administrador Global . Algumas definições de MFA também podem ser geridas por um Administrador de Política de Autenticação. Para mais informações, consulte o Administrador de Política de Autenticação.

  • Uma conta não administradora com uma senha que conhece. Para este tutorial, criámos uma conta deste tipo, chamada testuser. Neste tutorial, você testa a experiência do utilizador final de configurar e usar Azure AD Autenticação Multi-Factor.

  • Um grupo do qual o utilizador não administrador é membro. Para este tutorial, criámos um grupo deste tipo, chamado MFA-Test-Group. Neste tutorial, você ativa Azure AD autenticação multi-factor para este grupo.

Criar uma política de acesso condicional

A forma recomendada de ativar e utilizar Azure AD Autenticação Multi-Factor é com políticas de Acesso Condicional. O Acesso Condicional permite criar e definir políticas que reagem a eventos de inscrição e que solicitam ações adicionais antes de um utilizador ter acesso a uma aplicação ou serviço.

Resumo do diagrama de como o Acesso Condicional funciona para garantir o processo de inscrição

As políticas de acesso condicional podem ser aplicadas a utilizadores, grupos e aplicações específicos. O objetivo é proteger a sua organização, ao mesmo tempo que fornece os níveis de acesso certos aos utilizadores que dela necessitam.

Neste tutorial, criamos uma política básica de Acesso Condicional para solicitar o MFA quando um utilizador assina no portal do Azure. Num tutorial posterior nesta série, configuramos Azure AD autenticação multi-factor utilizando uma política de acesso condicional baseada no risco.

Em primeiro lugar, crie uma política de acesso condicional e atribua o seu grupo de teste de utilizadores da seguinte forma:

  1. Inscreva-se no portal do Azure utilizando uma conta com permissões de administrador global.

  2. Procure e selecione Azure Active Directory. Em seguida , selecione Segurança do menu do lado esquerdo.

  3. Selecione Acesso Condicional, selecione + Nova política e, em seguida, selecione Criar nova política.

    Uma imagem da página de Acesso Condicional, onde seleciona 'Nova política' e, em seguida, selecione 'Criar nova política'.

  4. Insira um nome para a apólice, como MFA Pilot.

  5. Em Atribuições, selecione o valor atual sob Utilizadores ou identidades de carga de trabalho.

    Uma imagem da página De Acesso Condicional, onde seleciona o valor atual em 'Utilizadores ou identidades de carga de trabalho'.

  6. Em Que se aplica esta política?, verifique se Utilizadores e grupos estão selecionados .

  7. Em Incluir, escolha selecionar utilizadores e grupos e, em seguida, selecione Utilizadores e grupos.

    Uma imagem da página para criar uma nova política, onde seleciona opções para especificar utilizadores e grupos.

    Uma vez que ainda ninguém está atribuído, a lista de utilizadores e grupos (mostrados no passo seguinte) abre automaticamente.

  8. Navegue e selecione o seu grupo de Azure AD, como o Grupo MFA-Test, e, em seguida, escolha Selecione.

    Uma imagem da lista de utilizadores e grupos, com resultados filtrados pelas letras M F A e 'MFA-Test-Group' selecionadas.

Selecionamos o grupo para aplicar a apólice. Na secção seguinte, configuramos as condições para aplicar a política.

Configure as condições para a autenticação de vários fatores

Agora que a política de Acesso Condicional é criada e um grupo de teste de utilizadores é atribuído, definir as aplicações na nuvem ou ações que desencadeiam a política. Estas aplicações ou ações em nuvem são os cenários que você decide requerem processamento adicional, como solicitar a autenticação de vários fatores. Por exemplo, pode decidir que o acesso a uma aplicação financeira ou a utilização de ferramentas de gestão requerem um pedido adicional de autenticação.

Configure quais as aplicações que requerem autenticação multi-factor

Para este tutorial, configurar a política de Acesso Condicional para exigir a autenticação de vários fatores quando um utilizador se inscreve no portal do Azure.

  1. Selecione o valor atual em aplicações ou ações cloud e, em seguida, em Select what this policy applies to, check that Cloud apps is selected.

  2. Em Incluir, escolha selecione aplicações.

    Uma vez que ainda não estão selecionadas aplicações, a lista de aplicações (mostradas no passo seguinte) abre automaticamente.

    Dica

    Pode optar por aplicar a política de acesso condicional a todas as aplicações na nuvem ou a escolher aplicações. Para proporcionar flexibilidade, também pode excluir certas aplicações da política.

  3. Consulte a lista de eventos de inscrição disponíveis que podem ser utilizados. Para este tutorial, selecione Microsoft Azure Management para que a política se aplique a eventos de entrada no portal do Azure. Em seguida, escolha Selecionar.

    Uma imagem da página de Acesso Condicional, onde seleciona a aplicação, Microsoft Azure Management, à qual a nova política se aplicará.

Configure a autenticação de vários fatores para acesso

Em seguida, configuramos controlos de acesso. Os controlos de acesso permitem definir os requisitos para que um utilizador tenha acesso. Podem ser obrigados a usar uma aplicação de cliente aprovada ou um dispositivo que seja híbrido a Azure AD.

Neste tutorial, configuure os controlos de acesso para exigir a autenticação de vários fatores durante um evento de entrada no portal do Azure.

  1. Nos controlos de Acesso, selecione o valor atual sob o Grant e, em seguida, selecione o acesso grant.

    Uma imagem da página de Acesso Condicional, onde seleciona 'Grant' e, em seguida, seleciona 'Grant access'.

  2. Selecione Requera a autenticação de vários fatores e, em seguida, escolha Selecione.

    Uma imagem das opções de acesso, onde seleciona 'Requer autenticação multi-factor'.

Ativar a política

As políticas de Acesso Condicional só podem ser definidas para Reportar se quiser ver como a configuração afetará os utilizadores, ou Off se não quiser a política de utilização neste momento. Como um grupo de teste de utilizadores é direcionado para este tutorial, vamos ativar a política e, em seguida, testar Azure AD Autenticação Multi-Factor.

  1. Em Ativar política, selecione Ativado.

    Uma imagem do controlo que está perto da parte inferior da página web onde especifica se a política está ativada.

  2. Para aplicar a política de Acesso Condicional, selecione Criar.

Teste Azure AD autenticação multi-factor

Vejamos a sua política de Acesso Condicional e Azure AD autenticação multi-factor em ação.

Primeiro, inscreva-se num recurso que não requer MFA:

  1. Abra uma nova janela de navegador no modo InPrivate ou incógnito e navegue até https://account.activedirectory.windowsazure.com.

    A utilização de um modo privado para o seu navegador impede que quaisquer credenciais existentes afetem este evento de início de sing.

  2. Inscreva-se com o utilizador de teste não administrador, como testuser. Certifique-se de incluir @ e o nome de domínio para a conta de utilizador.

    Se esta for a primeira instância de iniciar sessão com esta conta, é solicitado que altere a palavra-passe. No entanto, não há nenhuma solicitação para configurar ou usar a autenticação de vários fatores.

  3. Feche a janela do browser.

Configuraste a política de Acesso Condicional para exigir autenticação adicional para o portal do Azure. Por causa dessa configuração, é solicitado que utilize Azure AD Autenticação Multi-Factor ou para configurar um método se ainda não o fez. Teste este novo requisito ao iniciar a sua assinatura no portal do Azure:

  1. Abra uma nova janela de navegador no modo InPrivate ou incógnito e navegue até https://portal.azure.com.

  2. Inscreva-se com o utilizador de teste não administrador, como testuser. Certifique-se de incluir @ e o nome de domínio para a conta de utilizador.

    É-lhe exigido que se registe e utilize Azure AD Autenticação Multi-Factor.

    Um pedido que diz

  3. Selecione Seguinte para iniciar o processo.

    Pode optar por configurar um telefone de autenticação, um telefone de escritório ou uma aplicação móvel para autenticação. O telefone de autenticação suporta mensagens de texto e chamadas telefónicas, suporte a chamadas de telefone para números que tenham uma extensão, e suporte a aplicações móveis utilizando uma aplicação móvel para receber notificações de autenticação ou para gerar códigos de autenticação.

    Uma solicitação que diz:

  4. Preencha as instruções no ecrã para configurar o método de autenticação de vários fatores que selecionou.

  5. Feche a janela do navegador e faça login novamente https://portal.azure.com para testar o método de autenticação que configura. Por exemplo, se configurar uma aplicação móvel para autenticação, deve ver uma solicitação como a seguinte.

    Para iniciar sação, siga as indicações no seu navegador e, em seguida, a solicitação no dispositivo que registou para autenticação multi-factor.

  6. Feche a janela do browser.

Limpar os recursos

Se já não pretender utilizar a política de Acesso Condicional que configura como parte deste tutorial, elimine a política utilizando os seguintes passos:

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione O Diretório Ativo Azure e, em seguida, selecione Segurança a partir do menu do lado esquerdo.

  3. Selecione o acesso condicional e, em seguida, selecione a política que criou, como O Piloto MFA.

  4. selecione Eliminar e, em seguida, confirmar que pretende eliminar a política.

    Para eliminar a política de Acesso Condicional que abriu, selecione Eliminar o que está localizado sob o nome da apólice.

Passos seguintes

Neste tutorial, ativou Azure AD autenticação multi-factor utilizando políticas de Acesso Condicional para um grupo selecionado de utilizadores. Aprendeu a:

  • Crie uma política de acesso condicional para permitir Azure AD autenticação multi-factor para um grupo de Azure AD utilizadores.
  • Configure as condições de política que solicitam a autenticação de vários fatores.
  • Testar a configuração e utilizar a autenticação de vários fatores como utilizador.