Tutorial: Proteger eventos de entrada do usuário com a Autenticação Multifator do Azure AD

A MFA (autenticação multifator) é um processo no qual um usuário é solicitado para formas adicionais de identificação durante um evento de entrada. Por exemplo, o prompt pode ser o de inserir um código no celular ou fornecer uma digitalização de impressão digital. Quando você exige uma segunda forma de identificação, a segurança é aprimorada porque esse fator adicional não é fácil de ser obtido ou duplicado por um invasor.

As políticas de Acesso Condicional e Autenticação Multifator do Azure AD oferecem a flexibilidade de exigir a MFA dos usuários para eventos de entrada específicos. Para obter uma visão geral da MFA, recomendamos assistir a este vídeo: Como configurar e impor a autenticação multifator em seu locatário.

Importante

Este tutorial mostra a um administrador como habilitar a Autenticação Multifator do Azure AD.

Se a sua equipe de TI não tiver habilitado a capacidade de usar a Autenticação Multifator do Azure AD ou se você tiver problemas durante a entrada, entre em contato com o Suporte técnico para obter assistência adicional.

Neste tutorial, você aprenderá a:

  • Criar uma política de Acesso Condicional para habilitar a Autenticação Multifator do Azure AD para um grupo de usuários.
  • Configurar as condições de política que solicitam MFA.
  • Testar a configuração e o uso da autenticação multifator como um usuário.

Pré-requisitos

Para concluir este tutorial, você precisará dos seguintes recursos e privilégios:

  • Um locatário de trabalho do Azure AD com licenças Azure AD Premium P1 ou de avaliação habilitadas.

  • Uma conta com privilégios de Acesso condicional de administrador, Administrador de segurança ou Administrador global. Algumas configurações de MFA também podem ser gerenciadas por um Administrador de Política de Autenticação. Para saber mais, confira Autenticação de Política de Autenticação.

  • Uma conta que não seja de administrador com uma senha que você sabe. Para este tutorial, criamos essa conta, chamada testuser. Neste tutorial, você testará a experiência do usuário final de configurar e usar a autenticação multifator do Azure AD.

  • Um grupo do qual o usuário não administrador seja membro. Para este tutorial, criamos um grupo desse tipo chamado MFA-Test-Group. Neste tutorial, você habilita a Autenticação Multifator do Azure AD para este grupo.

Criar uma política de Acesso Condicional

A maneira recomendada de habilitar e usar a Autenticação Multifator do Azure AD é com políticas de Acesso Condicional. O Acesso Condicional permite criar e definir políticas que reagem à entrada de eventos e que solicitam ações adicionais antes que um usuário tenha acesso a um aplicativo ou serviço.

Diagrama de visão geral de como o Acesso Condicional funciona para proteger o processo de entrada

As políticas de acesso condicional podem ser aplicadas a usuários, grupos e aplicativos específicos. O objetivo é proteger sua organização, fornecendo também os níveis certos de acesso aos usuários que precisam dela.

Neste tutorial, criamos uma política básica de Acesso Condicional para solicitar a MFA quando um usuário entrar no portal do Azure. Em um tutorial posterior desta série, configuramos a Autenticação Multifator do Azure AD usando uma política de Acesso Condicional com base em risco.

Primeiro, crie uma política de Acesso Condicional e atribua seu grupo de usuários de teste da seguinte maneira:

  1. Entre no portal do Azure usando uma conta com permissões de administrador global.

  2. Pesquise Azure Active Directory e selecione-o. Em seguida, selecione segurança no menu do lado esquerdo.

  3. Selecione Acesso Condicional, selecione + nova políticae, em seguida, selecione Criar nova política.

    Captura de tela da página Acesso Condicional, em que você seleciona

  4. Insira um nome para a política, como Piloto de MFA .

  5. Em Atribuições, selecione o valor atual em Usuários ou identidades de carga de trabalho.

    Captura de tela da página Acesso Condicional, em que você seleciona o valor atual em

  6. Em O que essa política se aplica?, verifique se Usuários e grupos estão selecionados.

  7. Em Incluir, escolha Selecionar usuários e grupos e selecione Usuários e grupos.

    Captura de tela da página de criação de política, na qual você seleciona opções para especificar usuários e grupos.

    Como nenhum foi atribuído ainda, a lista de usuários e grupos (mostrada na próxima etapa) é aberta automaticamente.

  8. Procure e selecione um grupo do Azure AD, como MFA-Test-Group, e escolha Selecionar.

    Captura de tela da lista de usuários e grupos, com os resultados filtrados pelas letras M F A e

Selecionamos o grupo ao qual aplicar a política. Na próxima seção, configuramos as condições sob as quais aplicar a política.

Configurar as condições para a autenticação multifator

Agora que a política de Acesso Condicional foi criada e um grupo de teste de usuários foi atribuído, defina os aplicativos ou ações na nuvem que acionam a política. Esses aplicativos ou ações de nuvem são os cenários que você decide exigir processamento adicional, como solicitar a autenticação multifator. Por exemplo, você pode decidir que o acesso a um aplicativo financeiro ou o uso de ferramentas de gerenciamento requer um adicional para autenticação.

Configurar os aplicativos que necessitam de autenticação multifator

Neste tutorial, configure a política de Acesso Condicional para exigir a autenticação multifator quando um usuário entrar no portal do Azure.

  1. Selecione o valor atual em aplicativos de nuvem ou ações e, em Selecione o que essa política se aplica, verifique se a seleção de aplicativos de nuvem está selecionada.

  2. Em Incluir, clique em Selecionar aplicativos.

    Como nenhum aplicativo ainda está selecionado, a lista de aplicativos (mostrada na próxima etapa) é aberta automaticamente.

    Dica

    Você pode optar por aplicar a política de acesso condicional a Todos os aplicativos em nuvem ou Selecionar aplicativos. Para fornecer flexibilidade, você também pode excluir certos aplicativos da política.

  3. Procure a lista de eventos de entrada disponíveis que podem ser usados. Neste tutorial, selecione Gerenciamento do Microsoft Azure para que a política se aplique aos eventos de entrada no portal do Azure. Em seguida, escolha Selecionar.

    Captura de tela da página Acesso Condicional, na qual você seleciona o aplicativo, Gerenciamento do Microsoft Azure, ao qual a nova política será aplicada.

Configurar autenticação multifator para acesso

Em seguida, configuramos os controles de acesso. Os controles de acesso permitem que você defina os requisitos para um usuário receber acesso. Eles podem ser solicitados a usar um aplicativo cliente aprovado ou um dispositivo que é ingressado híbrido no Azure AD.

Neste tutorial, configure os controles de acesso para exigir a autenticação multifator durante um evento de entrada para o portal do Azure.

  1. Em controles de acesso, selecione o valor atual em Concedere, em seguida, selecione Conceder acesso.

    Captura de tela da página Acesso Condicional, em que você seleciona

  2. Selecione Exigir autenticação multifator e em seguida, escolha Selecionar.

    Captura de tela das opções para conceder acesso, em que você seleciona

Ativar a política

As políticas de acesso condicional poderão ser definidas como Somente relatório se você quiser ver como a configuração afetaria os usuários ou Desativada se não desejar a política de uso no momento. Como um grupo de usuários de teste é direcionado para este tutorial, vamos habilitar a política e testar a Autenticação Multifator do Azure AD.

  1. Em Habilitar política, selecione Ativar.

    Captura de tela do controle que fica perto da parte inferior da página da Web em que você especifica se a política está habilitada.

  2. Para aplicar a política de Acesso Condicional selecione Criar.

Testar a Autenticação Multifator do Azure AD

Vamos ver sua política de Acesso Condicional e a Autenticação Multifator do Azure AD em ação.

Primeiro, entre com um recurso que não requer MFA:

  1. Abra uma nova janela do navegador no modo InPrivate ou incógnito e navegue até https://account.activedirectory.windowsazure.com.

    Usar um modo particular para seu navegador impede que qualquer credencial existente afete esse evento de entrada.

  2. Entre com seu usuário de teste não administrador, como testuser. Certifique-se de incluir @ e o nome de domínio para a conta de usuário.

    Se esta for a primeira instância de login com esta conta, você será solicitado a alterar a senha. No entanto, não há nenhum prompt para configurar ou usar a autenticação multifator.

  3. Feche a janela do navegador.

Você configurou a política de acesso condicional para exigir autenticação adicional para o portal do Azure. Por causa dessa configuração, você será solicitado a usar a autenticação multifator do Azure AD ou a configurar um método se ainda não tiver feito isso. Teste esse novo requisito entrando no portal do Azure:

  1. Abra uma nova janela do navegador no modo InPrivate ou incógnito e navegue até https://portal.azure.com.

  2. Entre com seu usuário de teste não administrador, como testuser. Certifique-se de incluir @ e o nome de domínio para a conta de usuário.

    Você deve se registrar e usar a Autenticação Multifator do Azure AD.

    Prompt que diz

  3. Escolha Avançar para iniciar o processo.

    É possível optar por configurar um telefone de autenticação, um telefone comercial ou um aplicativo móvel para autenticação. O telefone de autenticação dá suporte a mensagens de texto e chamadas telefônicas, o telefone comercial dá suporte a chamadas para números que têm uma extensão, e o aplicativo móvel dá suporte ao uso de um aplicativo móvel para receber notificações para autenticação ou para gerar códigos de autenticação.

    Prompt que diz:

  4. Conclua as instruções na tela para configurar o método de autenticação multifator que você selecionou.

  5. Feche a janela do navegador e faça logon novamente em https://portal.azure.com para testar o método de autenticação que você configurou. Por exemplo, se você configurou um aplicativo móvel para autenticação, deverá ver um prompt semelhante ao seguinte.

    Para entrar, siga os prompts no navegador e, em seguida, o prompt no dispositivo que você registrou para autenticação multifator.

  6. Feche a janela do navegador.

Limpar os recursos

Se você não quiser mais usar a política de Acesso Condicional que você configurou como parte deste tutorial, exclua a política usando as seguintes etapas:

  1. Entre no portal do Azure.

  2. Procure e selecione Azure Active Directory, e em seguida, selecione Segurança no menu no lado esquerdo.

  3. Selecione Acesso condicionale, em seguida, selecione a política que você criou, como o piloto do MFA.

  4. Selecione Excluir e confirme que você deseja excluir a política.

    Para excluir a política de Acesso Condicional que você abriu, selecione Excluir, localizado sob o nome da política.

Próximas etapas

Neste tutorial, você habilitou a Autenticação Multifator do Azure AD usando políticas de Acesso Condicional para um grupo selecionado de usuários. Você aprendeu a:

  • Criar uma política de Acesso Condicional para habilitar a Autenticação Multifator do Azure AD para um grupo de usuários do Azure AD.
  • Configure as condições de política que solicitam a autenticação multifator.
  • Testar a configuração e o uso da autenticação multifator como um usuário.