Construa resiliência com o gerenciamento de credenciais
Quando uma credencial é apresentada ao ID do Microsoft Entra em uma solicitação de token, há várias dependências que devem estar disponíveis para validação. O primeiro fator de autenticação depende da autenticação do Microsoft Entra e, em alguns casos, da infraestrutura local. Para obter mais informações sobre arquiteturas de autenticação híbrida, consulte Criar resiliência em sua infraestrutura híbrida.
Se você implementar um segundo fator, as dependências para o segundo fator serão adicionadas às dependências para o primeiro. Por exemplo, se o seu primeiro fator é via PTA e o segundo fator é SMS, suas dependências são as seguintes.
- Serviços de autenticação do Microsoft Entra
- Serviço de autenticação multifator Microsoft Entra
- Infraestrutura local
- Operadora de telefonia
- O dispositivo do usuário (não na imagem)
Sua estratégia de credenciais deve considerar as dependências de cada tipo de autenticação e os métodos de provisionamento que evitam um único ponto de falha.
Como os métodos de autenticação têm dependências diferentes, é uma boa ideia permitir que os usuários se registrem para o maior número possível de opções de segundo fator. Certifique-se de incluir segundos fatores com diferentes dependências, se possível. Por exemplo, chamadas de voz e SMS como segundos fatores compartilham as mesmas dependências, portanto, tê-los como as únicas opções não reduz o risco.
A estratégia de credenciais mais resiliente é usar a autenticação sem senha. As chaves de segurança do Windows Hello for Business e FIDO 2.0 têm menos dependências do que a autenticação forte com dois fatores separados. O aplicativo Microsoft Authenticator, o Windows Hello for Business e as chaves de segurança FIDO 2.0 são as mais seguras.
Para segundos fatores, o aplicativo Microsoft Authenticator ou outros aplicativos autenticadores que usam código de acesso único baseado no tempo (TOTP) ou tokens de hardware OAuth têm o menor número de dependências e, portanto, são mais resilientes.
Como várias credenciais ajudam na resiliência?
O provisionamento de vários tipos de credenciais oferece aos usuários opções que acomodam suas preferências e restrições ambientais. Como resultado, a autenticação interativa em que os usuários são solicitados para autenticação multifator será mais resiliente a dependências específicas que não estão disponíveis no momento da solicitação. Você pode otimizar os prompts de reautenticação para autenticação multifator.
Além da resiliência do usuário individual descrita acima, as empresas devem planejar contingências para interrupções em grande escala, como erros operacionais que introduzam uma configuração incorreta, um desastre natural ou uma interrupção de recursos em toda a empresa para um serviço de federação local (especialmente quando usado para autenticação multifator).
Como implementar credenciais resilientes?
- Implante credenciais sem senha, como Windows Hello for Business, autenticação por telefone e chaves de segurança FIDO2 para reduzir dependências.
- Implante o aplicativo Microsoft Authenticator como um segundo fator.
- Ative a sincronização de hash de senha para contas híbridas sincronizadas a partir do Ative Directory do Windows Server. Essa opção pode ser habilitada junto com serviços de federação, como os Serviços de Federação do Ative Directory (AD FS), e fornece um fallback caso o serviço de federação falhe.
- Analise o uso de métodos de autenticação multifator para melhorar a experiência do usuário.
- Implementar uma estratégia resiliente de controle de acesso
Próximos passos
Recursos de resiliência para administradores e arquitetos
- Crie resiliência com estados de dispositivo
- Construa resiliência usando a Avaliação de Acesso Contínuo (CAE)
- Crie resiliência na autenticação de usuários externos
- Crie resiliência em sua autenticação híbrida
- Crie resiliência no acesso ao aplicativo com o Proxy de Aplicativo