Acesso Condicional: exigir MFA para todos os usuários

Como o Alex Weinert, o Diretório de Segurança de identidade na Microsoft, menciona na postagem do blog dele Your Pa$$word doesn't matter (Sua senha não importa):

Sua senha não importa, mas a MFA sim! Com base em nossos estudos, sua conta tem a probabilidade 99,9% menor de ser comprometida se você usar a MFA.

As diretrizes neste artigo ajudarão sua organização a criar uma política de MFA para seu ambiente.

Exclusões de usuário

As políticas de Acesso Condicional são ferramentas avançadas, recomendamos excluir as seguintes contas da sua política:

  • Contas de acesso de emergência ou de interrupção para impedir o bloqueio de conta em todo o locatário. No cenário improvável de todos os administradores serem bloqueados de seu locatário, sua conta administrativa de acesso de emergência poderá ser usada para fazer logon no locatário. Siga as etapas para recuperar o acesso.
  • Contas de serviço e entidades de serviço, como a conta de sincronização do Azure AD Connect. As contas de serviço são contas não interativas que não estão ligadas a nenhum usuário específico. Normalmente, elas são usadas por serviços de back-end que permitem acesso programático a aplicativos, mas também são usadas para entrar em sistemas para fins administrativos. Contas de serviço como essas devem ser excluídas, pois a MFA não pode ser concluída programaticamente. As chamadas feitas por entidades de serviço não são bloqueadas pelo Acesso Condicional.
    • Se a sua organização tiver essas contas em uso em scripts ou código, considere substituí-las por identidades gerenciadas. Como solução temporária, você pode excluir essas contas específicas da política de linha de base.

Exclusões de aplicativo

As organizações podem ter muitos aplicativos de nuvem em uso. Nem todos esses aplicativos podem exigir segurança da mesma forma. Por exemplo, os aplicativos de folha de pagamento e de presença podem exigir MFA, mas a lanchonete provavelmente não exigirá. Os administradores podem optar por excluir aplicativos específicos de sua política.

Ativação de assinatura

As organizações que usam a Ativação de Assinatura para permitir que os usuários façam "step-up" de uma versão do Windows para outra talvez queiram excluir as APIs do Serviço da Loja Universal e o Aplicativo Web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f da política de MFA de todos os usuários e todos os aplicativos de nuvem.

Implantação de modelo

As organizações podem optar por implantar essa política seguindo as etapas abaixo ou usando os modelos de Acesso Condicional (versão prévia).

Criar uma política de Acesso Condicional

As etapas a seguir ajudarão a criar uma política de acesso condicional para exigir que todos os usuários façam autenticação multifator.

  1. Entre no portal do Azure como Administrador global, Administrador de segurança ou Administrador de acesso condicional.
  2. Procure Azure Active DirectorySegurançaAcesso Condicional.
  3. Selecione Nova política.
  4. Dê um nome à sua política. Recomendamos que as organizações criem um padrão significativo para os nomes de suas políticas.
  5. Em Atribuições, selecione Usuários ou identidades de carga de trabalho.
    1. Em Incluir, selecione Todos os usuários
    2. Em Excluir, selecione Usuários e grupos e escolha o acesso de emergência ou as contas de interrupção da sua organização.
  6. Em Aplicativos ou ações de nuvem>Incluir, selecione Todos os aplicativos de nuvem.
    1. Em Excluir, selecione um aplicativo que não exige autenticação multifator.
  7. Em Controles de acesso>Conceder, selecione Conceder acesso, Exigir autenticação multifator e selecione Selecionar.
  8. Confirme suas configurações e defina Habilitar política com Somente relatório.
  9. Selecione Criar para criar e habilitar sua política.

Depois que você confirmar suas configurações com o modo somente relatório, um administrador poderá alternar a opção Habilitar política de Somente relatório para Ativado.

Localizações nomeadas

As organizações podem optar por incorporar locais de rede conhecidos como Locais nomeados à suas políticas de acesso condicional. Esses locais nomeados podem incluir redes IPv4 confiáveis como as de um local de escritório principal. Para saber mais sobre localizações nomeadas, confira o artigo O que é a condição de localização no Acesso Condicional do Azure Active Directory?

Na política de exemplo acima, uma organização pode optar por não exigir a autenticação multifator se estiver acessando um aplicativo de nuvem a partir da sua rede corporativa. Nesse caso, eles podem adicionar a seguinte configuração à política:

  1. Em Atribuições, selecione Condições>Localizações.
    1. Configure Sim.
    2. Inclua Qualquer localização.
    3. Excluir Todos os locais confiáveis.
    4. Selecione Concluído.
  2. Selecione Concluído.
  3. Salve suas alterações de política.

Próximas etapas

Políticas comuns de Acesso Condicional

Simular comportamento de entrada usando a ferramenta What If de Acesso Condicional