Migrar do Servidor MFA para a autenticação multifator do Microsoft Entra
A autenticação multifator é importante para proteger sua infraestrutura e seus ativos contra agentes mal-intencionados. O Servidor de Autenticação Multifator do Azure (Servidor MFA) não está disponível para novas implantações e será preterido. Os clientes que estão usando o Servidor de MFA devem migrar para o uso da autenticação multifator Microsoft Entra baseada em nuvem.
Neste artigo, pressupõe-se que você tenha um ambiente híbrido em que:
- Você está usando o Servidor de MFA para a autenticação multifator.
- Você está usando a federação na ID do Microsoft Entra com AD FS (Serviços de Federação do Active Directory) ou outro produto de federação de provedor de identidade.
- Embora este artigo tenha como escopo o AD FS, etapas semelhantes se aplicam aos outros provedores de identidade.
- O servidor MFA está integrado com o AD FS.
- Você pode ter aplicativos usando o AD FS para autenticação.
Há vários estados finais possíveis para sua migração, dependendo de sua meta.
| Meta: desativar SOMENTE o servidor MFA | Meta: desativar o Servidor MFA e mover para a autenticação do Microsoft Entra | Meta: desativar os servidores MFA e AD FS | |
|---|---|---|---|
| Provedor de MFA | Alterar o provedor de MFA do Servidor MFA para a autenticação multifator do Microsoft Entra. | Alterar o provedor de MFA do Servidor MFA para a autenticação multifator do Microsoft Entra. | Alterar o provedor de MFA do Servidor MFA para a autenticação multifator do Microsoft Entra. |
| Autenticação de usuário | Continue a usar a federação para autenticação do Microsoft Entra. | Migre para a ID do Microsoft Entra com a sincronização de hash de senha (preferencial) ou a Autenticação de Passagem e o SSO (logon único) contínuo. | Migre para a ID do Microsoft Entra com a Sincronização de Hash de Senha (preferencial) ou a Autenticação de Passagem e o SSO. |
| Autenticação do aplicativo | Continue a usar a autenticação AD FS para seus aplicativos. | Continue a usar a autenticação AD FS para seus aplicativos. | Migre aplicativos para a ID do Microsoft Entra antes de migrar para autenticação multifator do Microsoft Entra. |
Se for possível, migre tanto a autenticação multifator quanto a autenticação de usuário para o Azure. Para obter diretrizes passo a passo, consulte Migrar para a autenticação multifator do Microsoft Entra e autenticação de usuário do Microsoft Entra.
Se não for possível migrar a autenticação de usuário, confira as diretrizes passo a passo para Migrar para a autenticação multifator do Microsoft Entra com federação.
Pré-requisitos
- Ambiente do AD FS (necessário se você não estiver migrando todos os seus aplicativos para o Microsoft Entra antes de migrar o Servidor MFA)
- Atualize para AD FS para Windows Server 2019, FBL (nível de comportamento de farm) 4. Com isso, é possível selecionar o provedor de autenticação com base na associação de grupo, o que torna a transição do usuário mais direta. Embora seja possível migrar para o Windows Server 2016 FBL 3 por meio do AD FS, isso não oferece uma transição tão direta para os usuários. Durante a migração, é solicitado que os usuários selecionem um provedor de autenticação (Servidor de MFA ou autenticação multifator do Microsoft Entra).
- Permissões
- Função de administrador Enterprise no Active Directory para configurar o farm do AD FS na autenticação multifator do Microsoft Entra
- Função Administrador global na ID do Microsoft Entra para configurar a ID do Microsoft Entra usando o PowerShell
Considerações sobre todos os caminhos de migração
Migrar do Servidor de MFA para a autenticação multifator do Microsoft Entra envolve mais do que apenas mover os números de telefone registrados com MFA. O Servidor de MFA da Microsoft pode ser integrado a vários sistemas, portanto, avalie como eles o usam a fim de entender as melhores maneiras de realizar a integração com a autenticação multifator do Microsoft Entra.
Migrar informações de usuário da MFA
As maneiras comuns de pensar em mover usuários em lotes incluem movê-los por regiões, departamentos ou funções, como administradores. Você deve mover as contas de usuário iterativamente, começando com grupos de teste e piloto, e verificar se ter um plano de reversão em vigor.
Você pode usar o Utilitário de Migração do Servidor de MFA para sincronizar os dados de MFA armazenados no Servidor do Azure MFA local para a autenticação multifator do Microsoft Entra e usar a Distribuição em etapas para redirecionar os usuários à Azure AD MFA. A distribuição em etapas permite que você faça testes sem fazer nenhuma alteração nas configurações de federação de domínio.
Para ajudar os usuários a diferenciarem a conta recém-adicionada da conta antiga vinculada ao Servidor MFA, verifique se o Nome da conta do Aplicativo Móvel no Servidor MFA é nomeado de forma a distinguir as duas contas. Por exemplo, o Nome da conta que aparece em Aplicativo Móvel no Servidor de MFA foi renomeado para Servidor de MFA Local. O nome da conta no Microsoft Authenticator será alterado com a próxima notificação por push ao usuário.
A migração de números de telefone também pode levar à migração de números obsoletos e aumentar a probabilidade de os usuários permanecerem na MFA baseada em telefone, em vez de configurar métodos mais seguros como Microsoft Authenticator no modo sem senha. Portanto, recomendamos que, independentemente do caminho de migração escolhido, que todos os usuários se registrem para obter informações de segurança combinadas.
Migrar chaves de segurança de hardware
A ID do Microsoft Entra dá suporte a tokens de hardware OATH. Você pode usar o Utilitário de Migração do Servidor de MFA para sincronizar as configurações de MFA entre o Servidor de MFA e a autenticação multifator do Microsoft Entra e usar a Distribuição em etapas para testar migrações de usuário sem alterar as configurações de federação de domínio.
Se você quiser apenas migrar tokens de hardware OATH, precisará carregar tokens na ID do Microsoft Entra usando um arquivo CSV, geralmente chamado de "arquivo de semeadura". Esse arquivo contém as chaves secretas e os números de série do token, além de outras informações necessárias para carregar os tokens na ID do Microsoft Entra.
Se você não tiver mais o arquivo de semeadura com as chaves secretas, não será possível exportar as chaves secretas do Servidor de MFA. Se você não tiver mais acesso às chaves secretas, entre em contato com seu fornecedor de hardware para obter suporte.
O SDK de Serviço Web do Servidor MFA pode ser usado para exportar o número de série de qualquer token OATH atribuído a um determinado usuário. Você pode usar essas informações junto com o arquivo de semeadura para importar os tokens na ID do Microsoft Entra e atribuir o token OATH ao usuário especificado com base no número de série. O usuário também precisará ser contatado no momento da importação para fornecer informações de OTP do dispositivo para concluir o registro. Confira o tópico GetUserInfo>userSettings>OathTokenSerialNumber em Servidor de Autenticação Multifator no Servidor de MFA.
Mais migrações
Ao migrar do Servidor de MFA para a autenticação multifator do Microsoft Entra, é possível realizar outras migrações. A realização de migrações adicionais depende de vários fatores, incluindo especificamente os seguintes:
- Sua disposição para usar a autenticação do Microsoft Entra para usuários
- Sua disposição para migrar seus aplicativos para a ID do Microsoft Entra
Como o Servidor MFA está profundamente integrado aos aplicativos e à autenticação do usuário, convém considerar a mudança dessas duas funções para o Azure como parte de sua migração de MFA e, eventualmente, desativar o AD FS.
Nossas recomendações:
- Usar a ID do Microsoft Entra para autenticação, pois permite uma segurança e governança mais robustas
- Migrar aplicativos para a ID do Microsoft Entra, se possível
Para selecionar o método de autenticação de usuário melhor para sua organização, confira Escolher o método de autenticação certo para sua solução de identidade híbrida do Microsoft Entra. Recomendamos que você use a PHS (sincronização de hash de senha).
Autenticação sem senha
Como parte do registro de usuários para usar o Microsoft Authenticator como um segundo fator, recomendamos que você habilite a entrada por telefone sem senha como parte de seus registros. Para saber mais, incluindo outros métodos sem senha, como FIDO2 e Windows Hello para Empresas, visite Planejar uma implantação de autenticação sem senha com a ID do Microsoft Entra.
Redefinição de senha self-service do Microsoft Identity Manager
A SSPR do MIM (Microsoft Identity Manager) pode usar o Servidor MFA para invocar senhas de uso único do SMS como parte do fluxo de redefinição de senha. O MIM não pode ser configurado para usar a autenticação multifator do Microsoft Entra. Recomendamos que você avalie a movimentação do serviço SSPR para o SSPR do Microsoft Entra. É possível aproveitar a realização do registro dos usuários na autenticação multifator do Microsoft Entra com a experiência de registro combinada para também realizar o registro no SSPR do Microsoft Entra.
Se não estiver conseguindo transferir seu serviço de SSPR, ou se aproveitar o Servidor de MFA para invocar solicitações de MFA para cenários de PAM (Privileged Access Management), recomendamos que você atualize para uma opção alternativa de MFA de terceiros.
Clientes RADIUS e autenticação multifator do Microsoft Entra
O Servidor de MFA permite que o RADIUS invoque a autenticação multifator para os aplicativos e dispositivos de rede que dão suporte ao protocolo. Ao usar o RADIUS com o Servidor de MFA, recomenda-se mover os aplicativos cliente para protocolos modernos, como SAML, OpenID Connect ou OAuth, na ID do Microsoft Entra. Se não for possível atualizar o aplicativo, implante o NPS (Servidor de Política de Rede) com a extensão da autenticação multifator do Microsoft Entra. A extensão do NPS (Servidor de Políticas de Rede) funciona como um adaptador entre os aplicativos baseados no RADIUS e a autenticação multifator do Microsoft Entra para fornecer um segundo fator de autenticação. Isso permite que você mova seus clientes do RADIUS para a autenticação multifator do Microsoft Entra e desative o Servidor de MFA.
Considerações importantes
Há limitações ao usar o NPS para clientes RADIUS e é recomendável avaliar todos os clientes RADIUS para determinar se você pode atualizá-los para protocolos de autenticação modernos. Verifique com o provedor de serviços as versões de produto com suporte e seus recursos.
- A extensão do NPS não usa políticas de Acesso Condicional do Microsoft Entra. Se você permanecer com o RADIUS e usar a extensão NPS, todas as solicitações de autenticação que vão para o NPS exigirão que o usuário execute a MFA.
- Os usuários devem se registrar na autenticação multifator do Microsoft Entra antes de usar a extensão do NPS. Caso contrário, a extensão não autentica o usuário, o que pode gerar chamadas ao suporte técnico.
- Quando a extensão do NPS invoca a MFA, a solicitação de MFA é enviada ao método de MFA padrão do usuário.
- Como a entrada ocorre em aplicativos de terceiros, é improvável que o usuário veja a notificação visual de que a autenticação multifator é necessária e que uma solicitação seja enviada ao dispositivo dele.
- Para atender ao requisito da autenticação multifator, o usuário deve ter acesso ao método de autenticação padrão. Não é possível escolher um método alternativo. O método de autenticação padrão será usado mesmo se ele foi desabilitado nos métodos de autenticação de locatário e nas políticas de autenticação multifator.
- Os usuários podem alterar o método de MFA padrão na página de Informações de Segurança (aka.ms/mysecurityinfo).
- Os métodos de MFA disponíveis para clientes RADIUS são controlados pelos sistemas cliente que enviam as solicitações de acesso RADIUS.
- Os métodos de MFA que exigem entrada do usuário depois de inserir uma senha só podem ser usados com sistemas que dão suporte a respostas de desafio de acesso com RADIUS. Os métodos de entrada podem incluir OTP, tokens OATH de hardware ou o Microsoft Authenticator.
- Alguns sistemas podem limitar os métodos de MFA disponíveis para notificações por push e chamadas telefônicas do Microsoft Authenticator.
Observação
O algoritmo de criptografia de senha usado entre o cliente RADIUS e o sistema NPS, e os métodos de entrada que o cliente pode usar afetam quais métodos de autenticação estão disponíveis. Para mais informações, veja Determinar quais métodos de autenticação os usuários podem usar.
As integrações de clientes RADIUS comuns incluem aplicativos, como Gateways de Área de Trabalho Remota e Servidores VPN. Outras integrações podem incluir:
- Gateway Citrix
- O Gateway Citrix dá suporte à integração de extensão RADIUS e NPS e a uma integração SAML.
- Cisco VPN
- O Cisco VPN dá suporte à autenticação RADIUS e SAML para SSO.
- Ao migrar da autenticação RADIUS para o SAML, você pode integrar o Cisco VPN sem implantar a extensão NPS.
- Todas as VPNs
- É recomendável federar sua VPN como um aplicativo SAML, se possível. Com isso, será possível usar o Acesso Condicional. Para saber mais, confira uma lista de fornecedores de VPN integrados à Galeria de Aplicativos da ID do Microsoft Entra.
Recursos para implementar NPS
- Adicionar nova infraestrutura do NPS
- Melhores práticas de implantação NPS
- Script de verificação de integridade da extensão do NPS da autenticação multifator do Microsoft Entra
- Integrando a infraestrutura NPS existente com a autenticação multifator do Microsoft Entra