Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Se sua organização for federada com o Microsoft Entra ID, use a autenticação multifator do Microsoft Entra ou Serviços de Federação do Active Directory (AD FS) para proteger os recursos acessados pelo Microsoft Entra ID. Use os procedimentos a seguir para proteger os recursos do Microsoft Entra com a autenticação multifator do Microsoft Entra ou os Serviços de Federação do Active Directory (AD FS).
Observação
Defina a configuração de domínio federatedIdpMfaBehavior como enforceMfaByFederatedIdp (recomendado) ou SupportsMFA como $True. A configuração federatedIdpMfaBehavior substitui SupportsMFA quando ambos estão definidos.
Proteger os recursos do Microsoft Entra usando o AD FS
Para proteger seus recursos de nuvem, configure uma regra de declaração para que os Serviços de Federação do Active Directory emitem a declaração multipleauthn quando um usuário executa a verificação em duas etapas com êxito. Essa declaração é passada para o Microsoft Entra ID. Siga este procedimento para percorrer as etapas:
Abra o gerenciamento do AD FS.
À esquerda, selecione Relações de Confiança com Terceira Parte Confiável.
Selecione com o botão direito do mouse na Plataforma de Identidade do Microsoft Office 365 e selecione Editar Regras de Declaração.
Em Regras de Transformação de Emissão, selecione Adicionar Regra.
No Assistente para Adicionar Regra de Declaração de Transformação, selecione Passar ou Filtrar uma Declaração de Entrada na lista suspensa e selecione Avançar.
Dê um nome para a regra.
Selecione Referências de Métodos de Autenticação como o tipo de declaração Entrada.
Selecione Passar por todos os valores de reivindicação.
Selecione Concluir. Feche o Console de gerenciamento do AD FS.
IPs confiáveis para usuários federados
Os IPs confiáveis permitem aos administradores ignorar a verificação em duas etapas para endereços IP específicos ou para usuários federados que têm as solicitações originadas em sua própria intranet. As seções a seguir descrevem como configurar o bypass usando IPs confiáveis. Isso é conseguido por meio da configuração do AD FS para usar uma passagem ou filtrar um modelo de declaração de entrada com o tipo de declaração Dentro da rede corporativa.
Este exemplo usa o Microsoft 365 para a relação de confiança com terceira parte confiável.
Configurar as regras de declarações do AD FS
A primeira coisa que precisamos fazer é configurar as declarações do AD FS. Criamos duas regras declarações: uma para o tipo de declaração Dentro da rede corporativa e um adicional para manter nossos usuários conectados.
Abra o gerenciamento do AD FS.
À esquerda, selecione Relações de Confiança com Terceira Parte Confiável.
Selecione com o botão direito do mouse na Plataforma de Identidade do Microsoft Office 365 e selecione Editar Regras de Declaração...
Em Regras de Transformação de Emissão, selecione Adicionar Regra.
No Assistente para Adicionar Regra de Declaração de Transformação, selecione Passar ou Filtrar uma Declaração de Entrada na lista suspensa e selecione Avançar.
Na caixa ao lado do nome da regra de declaração, nomeie a regra. Por exemplo: InsideCorpNet.
Na lista suspensa, ao lado do tipo de declaração de entrada, selecione Dentro da rede corporativa.
Selecione Concluir.
Em Regras de Transformação de Emissão, selecione Adicionar Regra.
No Assistente para Adicionar Regra de Declaração de Transformação, selecione Enviar Declarações usando uma Regra Personalizada na lista suspensa e selecione Avançar.
Na caixa abaixo do nome da regra de declaração: insira Manter Usuários Conectados.
Na caixa de regra Personalizada, digite:
c:[Type == "https://schemas.microsoft.com/2014/03/psso"] => issue(claim = c);
Selecione Concluir.
Selecione Aplicar.
Selecione OK.
Feche o gerenciamento do AD FS.
Configurar IPs confiáveis de autenticação multifator do Microsoft Entra com usuários federados
Agora que as declarações estão prontas, podemos configurar IPs confiáveis.
Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Acesse Acesso condicional>Localizações nomeadas.
Na folha Acesso condicional - Localização nomeada, selecione Configurar IPs confiáveis da MFA
Na página Configurações de Serviço, em IPs confiáveis, selecione Ignorar autenticação multifator para solicitações de usuários federados na minha intranet.
Selecione salvar.
É isso! Neste ponto, os usuários federados do Microsoft 365 devem somente ter que usar a MFA quando uma declaração for originada fora da intranet corporativa.