Análise detalhada da autenticação de passagem do Microsoft Entra

Este artigo fornece uma descrição mais detalhada da forma como a autenticação de passagem funciona. O foco está nos aspectos de segurança do recurso. Este artigo é destinado a administradores de segurança e de TI, diretores de conformidade e segurança e outros profissionais de TI responsáveis pela segurança e conformidade de TI em organizações ou empresas de qualquer tamanho.

Os tópicos abordados incluem:

• Informações técnicas detalhadas sobre como instalar e registrar os agentes de autenticação.
• Informações técnicas detalhadas sobre criptografia de senha durante a entrada do usuário.
• A segurança dos canais entre os agentes de autenticação locais e o Microsoft Entra ID.
• Informações técnicas detalhadas sobre como manter os agentes de autenticação operacionalmente seguros.

Recursos de segurança de chave de autenticação de passagem

A autenticação de passagem tem esses recursos de segurança principais:

• Ele foi criado em uma arquitetura multilocatária segura que fornece isolamento de solicitações de entrada entre locatários.
• Senhas locais nunca são armazenadas na nuvem, em formato nenhum.
• Os agentes de autenticação locais que escutam e respondem a solicitações de validação de senha fazem apenas conexões de saída de dentro da sua rede. Não há necessidade de instalar esses agentes de autenticação em uma rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada). Como melhor prática, trate todos os servidores que executam agentes de autenticação como sistemas de Camada 0 (confira a referência).
• Somente portas padrão (porta 80 e porta 443) são usadas para a comunicação de saída dos agentes de autenticação para o Microsoft Entra ID. Você não precisa abrir portas de entrada no firewall.
  • A porta 443 é usada para todas as comunicações de saída autenticadas.
  • A porta 80 é usada apenas para baixar listas de certificados revogados (CRLs) para garantir que nenhum dos certificados usados por esse recurso tenha sido revogado.
  • Para obter a lista completa dos requisitos de rede, confira Início rápido da autenticação de passagem do Microsoft Entra.
• As senhas que os usuários fornecem durante a entrada são criptografadas na nuvem antes que os agentes de autenticação locais as aceitem para validação no Windows Server Active Directory (Windows Server AD).
• O canal HTTPS entre o Microsoft Entra ID e o agente de autenticação local é protegido usando uma autenticação mútua.
• A autenticação de passagem protege suas contas de usuário trabalhando de forma integrada com as políticas de Acesso Condicional do Microsoft Entra, incluindo a autenticação multifator (MFA), bloqueando a autenticação herdada e filtrando ataques de força bruta às senhas.

Componentes envolvidos na autenticação de passagem

Para obter detalhes de caráter geral sobre segurança operacional, de serviços e de dados do Microsoft Entra ID, confira a Central de Confiabilidade. Os seguintes componentes são envolvidos quando você usa a autenticação de passagem para entrada do usuário:

• Serviço de Token de Segurança do Microsoft Entra (Microsoft Entra STS): um STS sem estado que processa solicitações de login e emite tokens de segurança para os navegadores de usuários, clientes ou serviços, conforme necessário.
• Barramento de Serviço do Microsoft Azure: Fornece comunicação habilitada para nuvem com sistema de mensagens empresarial e comunicação de retransmissões que ajudam a conectar soluções locais com a nuvem.
• Agente de Autenticação do Microsoft Entra Connect: um componente local que escuta e responde às solicitações de validação de senha.
• Banco de Dados SQL do Azure: contém informações sobre os agentes de autenticação do seu locatário, incluindo seus metadados e chaves de criptografia.
• Windows Server AD: Active Directory local, onde as contas de usuário e suas senhas são armazenadas.

Instalação e registro dos agentes de autenticação

Os agentes de autenticação são instalados e registrados no Microsoft Entra ID quando você executa uma das seguintes ações:

• Habilitar a autenticação de passagem por meio do Microsoft Entra Connect
• Adicione mais agentes de autenticação para garantir a alta disponibilidade das solicitações de entrada

Tornar um agente de autenticação operacional envolve três fases principais:

• Instalação
• Registro
• Inicialização

As seções a seguir abordam essas fases detalhadamente.

Instalação do agente de autenticação

Somente uma conta de administrador de identidade híbrida pode instalar um agente de autenticação (usando o Microsoft Entra Connect ou uma instância autônoma) em um servidor local.

A instalação adiciona duas novas entradas à lista no Painel de Controle>Programas>Programas e Recursos:

• O próprio aplicativo do agente de autenticação. Esse aplicativo é executado com privilégios NetworkService.
• O aplicativo Atualizador é usado para atualizar automaticamente o agente de autenticação. Esse aplicativo é executado com os privilégios LocalSystem.

Importante

Do ponto de vista da segurança, os administradores devem tratar o servidor que executa o agente de autenticação de passagem como se fosse um controlador de domínio. Os servidores do agente de autenticação de passagem devem ser protegidos conforme descrito em Proteger controladores de domínio contra ataques.

Registro do agente de autenticação

Após ser instalado, o agente de autenticação se registra a si próprio no Microsoft Entra ID. O Microsoft Entra ID atribui a cada agente de autenticação um certificado de identidade digital exclusivo que possa ser usado para uma comunicação segura com o Microsoft Entra ID.

O procedimento de registro também vincula o agente de autenticação ao seu locatário. Em seguida, o Microsoft Entra ID sabe que esse agente de autenticação específico é o único autorizado a lidar com solicitações de validação de senha para o seu locatário. Esse procedimento é repetido para cada novo agente de autenticação que você registrar.

Os agentes de autenticação usam as seguintes etapas para se registrar no Microsoft Entra ID:

1. Primeiro, o Microsoft Entra solicita que um administrador de identidade híbrida entre no Microsoft Entra ID com as respectivas credenciais. Durante a entrada, o agente de autenticação adquire um token de acesso que pode ser usado em nome do usuário.
2. O agente de autenticação então gera um par de chaves: uma chave pública e uma chave privada.
   • O par de chaves é gerado por meio da criptografia padrão RSA de 2,048 bits.
   • A chave privada permanece no servidor local onde reside o agente de autenticação.
3. O agente de autenticação faz uma solicitação de registro ao Microsoft Entra ID por HTTPS com os seguintes componentes incluídos na solicitação:
   • O token de acesso adquirido pelo agente.
   • A chave pública que foi gerada.
   • Uma Solicitação de Assinatura de Certificado (CSR ou Solicitação de Certificado). Essa solicitação se candidata a um certificado de identidade digital, tendo o Microsoft Entra ID como sua autoridade de certificação (AC).
4. O Microsoft Entra ID valida o token de acesso na solicitação de registro e verifica se a solicitação veio de um administrador de identidade híbrida.
5. Em seguida, o Microsoft Entra ID assina um certificado de identidade digital e o envia de volta ao agente de autenticação.

   • A AC raiz do Microsoft Entra ID é usada para assinar o certificado.

     Observação

     Essa autoridade de certificação não está no repositório Autoridades de Certificado Raiz Confiável do Windows.

   • A CA é usada apenas pelo recurso de autenticação de passagem. A CA é usada apenas para assinar CSRs durante o registro do agente de autenticação.

   • Nenhum outro serviço do Microsoft Entra usa essa AC.

   • O assunto do certificado (também chamado de Nome Diferenciado ou DN) é definido como sua ID de locatário. Esse DN é um GUID que identifica exclusivamente o locatário. O escopo desse DN é o certificado para uso apenas com seu locatário.

6. O Microsoft Entra ID armazena a chave pública do agente de autenticação em um banco de dados no Banco de Dados SQL do Azure. Somente o Microsoft Entra ID pode acessar o banco de dados.
7. O certificado emitido é armazenado no servidor local no armazenamento de certificados do Windows (especificamente, em CERT_SYSTEM_STORE_LOCAL_MACHINE). O certificado é usado pelo agente de autenticação e pelo aplicativo Atualizador.

Inicialização do agente de autenticação

Quando é iniciado, seja pela primeira vez após o registro, seja após a reinicialização do servidor, o agente de autenticação precisa de uma forma segura de se comunicar com o serviço do Microsoft Entra para que possa começar a aceitar solicitações de validação de senha.

Veja como os agentes de autenticação são inicializados:

1. O agente de autenticação faz uma solicitação de inicialização dirigida ao Microsoft Entra ID.

   Essa solicitação é feita pela porta 443 e por um canal HTTPS mutuamente autenticado. A solicitação usa o mesmo certificado que foi emitido durante o registro do agente de autenticação.

2. O Microsoft Entra ID responde à solicitação fornecendo uma chave de acesso a uma fila de espera do Barramento de Serviço que é exclusiva para seu locatário e identificada por sua ID de locatário.

3. O agente de autenticação faz uma conexão HTTPS de saída persistente (pela porta 443) para a fila.

O agente de autenticação agora está pronto para recuperar e manipular solicitações de validação de senha.

Se você tiver vários agentes de autenticação registrados em seu locatário, o procedimento de inicialização garantirá que cada agente se conecte à mesma fila do Barramento de Serviço.

Como a autenticação de passagem processa as solicitações de entrada

O diagrama a seguir mostra como a autenticação de passagem processa as solicitações de entrada do usuário:

Como a autenticação de passagem lida com uma solicitação de entrada do usuário:

1. Um usuário tenta acessar um aplicativo, por exemplo, Outlook Web App.

2. Se o usuário ainda não estiver logado, o aplicativo redirecionará o navegador para a página de login do Microsoft Entra.

3. O serviço do Microsoft Entra STS responde de volta com a página login do usuário.

4. O usuário insere seu nome de usuário na página de Entrada do usuário e, em seguida, seleciona o botão Avançar.

5. O usuário insere sua senha na página de Entrada do usuário e, em seguida, seleciona o botão Entrar.

6. O nome de usuário e a senha são enviados ao Microsoft Entra STS em uma solicitação HTTPS POST.

7. O Microsoft Entra STS recupera as chaves públicas de todos os agentes de autenticação que estão registrados no seu locatário do Banco de Dados SQL do Azure e criptografa a senha usando as chaves.

   Ele produz um valor de senha criptografada para cada agente de autenticação registrado em seu locatário.

8. O Microsoft Entra STS coloca a solicitação de validação de senha — que consiste no nome de usuário e nos valores de senha criptografados — na fila de espera do Barramento de Serviço específica para o seu locatário.

9. Como os agentes de autenticação inicializados estão persistentemente conectados à fila do Barramento de Serviço, um dos agentes de autenticação disponíveis recupera a solicitação de validação de senha.

10. O agente de autenticação usa um identificador para localizar o valor da senha criptografada que é específico para sua chave pública. Ele descriptografa a chave pública usando sua chave privada.

11. O agente de autenticação tenta validar o nome de usuário e a senha no Windows Server AD usando a API LogonUser Win32 com o parâmetro dwLogonType definido como LOGON32_LOGON_NETWORK.

    • Essa API é a mesma usada pelos Serviços de Federação do Active Directory (AD FS) para conectar usuários em um cenário de entrada federada.
    • Essa API depende do processo de resolução padrão no Windows Server para localizar o controlador de domínio.

12. O agente de autenticação recebe o resultado do Windows Server AD, como êxito, nome de usuário ou senha incorretos ou senha expirada.

    Observação

    Se o agente de autenticação falhar durante o processo de entrada, toda a solicitação de entrada será descartada. As solicitações de entrada não são transferidas de um agente de autenticação local para outro agente de autenticação local. Esses agentes se comunicam apenas com a nuvem e não entre si.

13. O agente de autenticação encaminha o resultado de volta ao Microsoft Entra STS por um canal HTTPS de saída mutuamente autenticado, por meio da porta 443. A autenticação mútua usa o certificado que foi emitido para o agente de autenticação durante o registro.

14. O Microsoft Entra STS verifica se esse resultado corresponde à solicitação de login específica no seu locatário.

15. O Microsoft Entra STS continua com o procedimento de login, conforme configurado. Por exemplo, se a validação da senha for bem-sucedida, o usuário poderá ser desafiado para MFA ou redirecionado de volta ao aplicativo.

Segurança operacional do agente de autenticação

Para garantir que a autenticação de passagem permaneça operacionalmente segura, o Microsoft Entra ID renova os certificados do agente de autenticação periodicamente. O Microsoft Entra ID dispara as renovações. As renovações não são regidas pelos próprios agentes de autenticação.

Para renovar a confiança de um agente de autenticação com Microsoft Entra ID:

1. O agente de autenticação faz ping no Microsoft Entra a cada intervalo de algumas horas para verificar se chegou a hora de renovar seu certificado. O certificado é renovado 30 dias antes de expirar.

   Essa verificação é realizada por um canal HTTPS mutuamente autenticado e usa o mesmo certificado que foi emitido durante o registro.

2. Se o serviço indicar que é hora de renovar, o agente de autenticação gera um novo par de chaves: uma chave pública e uma chave privada.

   • Essas chaves são geradas por meio da criptografia padrão RSA de 2,048 bits.
   • A chave privada jamais sairá do servidor local.

3. A seguir, o agente de autenticação faz uma solicitação de renovação do certificado ao Microsoft Entra ID por HTTPS. Os seguintes componentes estão incluídos na solicitação:

   • O certificado existente recuperado do local CERT_SYSTEM_STORE_LOCAL_MACHINE no repositório de certificados do Windows. Nenhum administrador global está envolvido nesse procedimento, portanto, nenhum token de acesso é necessário para um administrador global.
   • A chave pública gerada na etapa 2.
   • UMA CSR. Essa solicitação se candidata a um novo certificado de identidade digital, tendo o Microsoft Entra ID como sua AC.

4. O Microsoft Entra ID valida o certificado existente na solicitação de renovação do certificado. Em seguida, ele verifica se a solicitação veio de um agente de autenticação registrado em seu locatário.

5. Se o certificado existente ainda for válido, o Microsoft Entra ID assina um novo certificado de identidade digital, emite o novo certificado e o devolve ao agente de autenticação.

6. Se o certificado existente estiver expirado, o Microsoft Entra ID exclui o agente de autenticação da lista de agentes de autenticação registrados do locatário. Em seguida, um administrador global ou um administrador de identidade híbrida deve instalar e registrar manualmente um novo agente de autenticação.

   • Use a autoridade de certificação raiz do Microsoft Entra para assinar o certificado.
   • Defina o DN do certificado para sua ID de locatário, um GUID que identifica exclusivamente seu locatário. O escopo do DN é o certificado apenas para seu locatário.

7. O Microsoft Entra ID armazena a nova chave pública do agente de autenticação em um banco de dados do Banco de Dados SQL do Azure, ao qual somente o Microsoft Entra ID tem acesso. Também invalida a antiga chave pública associada ao agente de autenticação.

8. O novo certificado (emitido na etapa 5) é armazenado no servidor de repositório de certificados do Windows (especificamente, no local CERT_SYSTEM_STORE_CURRENT_USER).

   Como o procedimento de renovação de confiança ocorre de forma não interativa (sem a presença do administrador global ou do administrador de identidade híbrida), o agente de autenticação não tem mais acesso para atualizar o certificado existente no local CERT_SYSTEM_STORE_LOCAL_MACHINE.

   Observação

   Esse procedimento não remove o certificado em si do local CERT_SYSTEM_STORE_LOCAL_MACHINE.

9. A partir desse ponto, o novo certificado é usado para autenticação. Toda renovação subsequente do certificado substituirá o certificado no local CERT_SYSTEM_STORE_LOCAL_MACHINE.

Atualização automática do agente de autenticação

O aplicativo Atualizador atualiza automaticamente o agente de autenticação quando uma nova versão (com correções de bugs ou melhorias de desempenho) é lançada. O aplicativo Atualizador não lida com nenhuma solicitação de validação de senha para seu locatário.

O Microsoft Entra ID hospeda a nova versão do software como um pacote assinado do Windows Installer (MSI). O MSI é assinado usando o Microsoft Authenticode com SHA-256 como o algoritmo de resumo.

Para atualizar automaticamente um agente de autenticação:

1. O aplicativo Atualizador faz ping no Microsoft Entra a cada hora para verificar se uma nova versão do agente de autenticação está disponível.

   Essa verificação é realizada por um canal HTTPS mutuamente autenticado usando o mesmo certificado que foi emitido durante o registro. O agente de autenticação e o Atualizador compartilham o certificado armazenado no servidor.

2. Se uma nova versão estiver disponível, o Microsoft Entra ID retornará o MSI assinado de volta para o Atualizador.

3. O Atualizador verifica se o MSI foi assinado pela Microsoft.

4. O Atualizador executa o MSI. Nesse processo, o aplicativo Atualizador:

   Observação

   O Atualizador é executado com privilégios de Sistema Local.

   1. Interrompe o serviço do agente de autenticação.
   2. Instala a nova versão do agente de autenticação no servidor.
   3. Reinicia o serviço do agente de autenticação.

Observação

Se você tiver vários agentes de autenticação registrados no seu locatário, o Microsoft Entra ID não renovará nem atualizará os respectivos certificados ao mesmo tempo. Em vez disso, o Microsoft Entra ID renovará os certificados um de cada vez para garantir uma alta disponibilidade para as solicitações de login.

Próximas etapas

• Limitações atuais: saiba quais cenários têm suporte.
• Início rápido: configure-se para usar a autenticação de passagem do Microsoft Entra.
• Migrar do AD FS para a autenticação de passagem: revise esse guia detalhado que ajuda você a migrar do AD FS ou de outras tecnologias de federação para a autenticação de passagem.
• Bloqueio Inteligente: configure a capacidade de Bloqueio Inteligente no seu locatário para proteger as contas de usuário.
• Como funciona: aprenda o básico sobre como funciona a autenticação de passagem do Microsoft Entra.
• Perguntas frequentes: encontre respostas para perguntas comuns.
• Solução de problemas: saiba como resolver problemas comuns com a autenticação de passagem.
• SSO integrado do Microsoft Entra: saiba mais sobre o recurso complementar SSO integrado do Microsoft Entra.