Escolha o método de autenticação certo para a solução de identidade híbrida do Azure Active Directory

Escolher o método de autenticação correto é a primeira preocupação para as organizações que pretendem mover as respetivas aplicações para a cloud. Não tome esta decisão de ânimo leve, pelos seguintes motivos:

  1. É a primeira decisão de uma organização que quer mudar para a cloud.

  2. O método de autenticação é um componente crítico da presença de uma organização na cloud. Controla o acesso a todos os dados e recursos da cloud.

  3. É a base de todas as outras funcionalidades avançadas de segurança e experiência de utilizador no Azure AD.

A identidade é o novo plano de controlo da segurança de TI, pelo que a autenticação é a proteção de acesso de uma organização para o novo mundo da cloud. As organizações precisam de um plano de controlo de identidade que reforce a sua segurança e mantenha as suas aplicações na cloud a salvo de intrusos.

Nota

Alterar o método de autenticação requer planeamento, teste e potencial tempo de inatividade. A implementação faseada é uma excelente forma de testar a migração dos utilizadores da federação para a autenticação na cloud.

Fora do âmbito

As organizações que não têm um espaço existente no diretório no local não são o foco deste artigo. Normalmente, essas empresas criam identidades apenas na cloud, o que não requer uma solução de identidade híbrida. As identidades apenas na cloud existem apenas na cloud e não estão associadas às identidades no local correspondentes.

Métodos de autenticação

Quando o Azure AD solução de identidade híbrida é o seu novo plano de controlo, a autenticação é a base do acesso à cloud. Escolher o método de autenticação correto é uma primeira decisão crucial na configuração de uma solução de identidade híbrida Azure AD. O método de autenticação que escolher é configurado com o Azure AD Connect, que também aprovisiona utilizadores na cloud.

Para escolher um método de autenticação, tem de considerar o tempo, a infraestrutura existente, a complexidade e o custo de implementação da sua escolha. Estes fatores são diferentes para cada organização e podem mudar ao longo do tempo.

Azure AD suporta os seguintes métodos de autenticação para soluções de identidade híbrida.

Autenticação na cloud

Ao escolher este método de autenticação, Azure AD processa o processo de início de sessão dos utilizadores. Juntamente com o início de sessão único (SSO), os utilizadores podem iniciar sessão em aplicações na cloud sem terem de reintroduzir as credenciais. Com a autenticação na cloud, pode escolher entre duas opções:

Sincronização de hash de palavra-passe do Azure AD. A forma mais simples de ativar a autenticação para objetos de diretório no local no Azure AD. Os utilizadores podem utilizar o mesmo nome de utilizador e palavra-passe que utilizam no local sem terem de implementar qualquer outra infraestrutura. Algumas funcionalidades premium do Azure AD, como o Identity Protection e o Azure AD Domain Services, requerem a sincronização do hash de palavras-passe, independentemente do método de autenticação que escolher.

Nota

As palavras-passe nunca são armazenadas em texto não encriptado ou encriptadas com um algoritmo reversível no Azure AD. Para obter mais informações sobre o processo real de sincronização do hash de palavras-passe, veja Implementar a sincronização do hash de palavras-passe com a sincronização do Azure AD Connect.

Azure AD Autenticação Pass-through. Fornece uma validação de palavra-passe simples para Azure AD serviços de autenticação através de um agente de software que é executado num ou mais servidores no local. Os servidores validam os utilizadores diretamente com a sua Active Directory no local, o que garante que a validação da palavra-passe não ocorre na cloud.

As empresas com um requisito de segurança para impor imediatamente estados de contas de utilizador no local, políticas de palavra-passe e horas de início de sessão podem utilizar este método de autenticação. Para obter mais informações sobre o processo de autenticação pass-through real, veja Início de sessão do utilizador com Azure AD autenticação pass-through.

Autenticação federada

Quando escolher este método de autenticação, Azure AD entrega o processo de autenticação a um sistema de autenticação fidedigno separado, como Active Directory no local Serviços de Federação (AD FS), para validar a palavra-passe do utilizador.

O sistema de autenticação pode fornecer outros requisitos de autenticação avançados, por exemplo, autenticação multifator de terceiros.

A secção seguinte ajuda-o a decidir qual o método de autenticação mais adequado para si ao utilizar uma árvore de decisões. Ajuda-o a determinar se pretende implementar a autenticação na cloud ou federada para a sua solução de identidade híbrida Azure AD.

Árvore de decisões

árvore de decisões de autenticação de Azure AD

Detalhes sobre questões de decisão:

  1. Azure AD pode processar o início de sessão dos utilizadores sem depender de componentes no local para verificar as palavras-passe.
  2. Azure AD pode entregar o início de sessão do utilizador a um fornecedor de autenticação fidedigno, como o AD FS da Microsoft.
  3. Se precisar de aplicar políticas de segurança do Active Directory ao nível do utilizador, como conta expirada, conta desativada, palavra-passe expirada, conta bloqueada e horas de início de sessão em cada início de sessão do utilizador, Azure AD requer alguns componentes no local.
  4. As funcionalidades de início de sessão não são suportadas nativamente por Azure AD:
    • Inicie sessão com uma solução de autenticação de terceiros.
    • Solução de autenticação no local de vários sites.
  5. Azure AD Identity Protection requer a Sincronização hash de palavras-passe, independentemente do método de início de sessão que escolher, para fornecer aos Utilizadores um relatório de credenciais com fugas. As organizações podem efetuar a ativação pós-falha para a Sincronização hash de palavras-passe se o método de início de sessão principal falhar e tiver sido configurado antes do evento de falha.

Nota

Azure AD Identity Protection requer licenças de Azure AD Premium P2.

Considerações detalhadas

Autenticação na cloud: sincronização do hash de palavras-passe

  • Esforço. A sincronização do hash de palavras-passe requer o menor esforço em relação à implementação, manutenção e infraestrutura. Normalmente, este nível de esforço aplica-se a organizações que apenas precisam que os seus utilizadores iniciem sessão no Microsoft 365, aplicações SaaS e outros recursos baseados em Azure AD. Quando ativada, a sincronização do hash de palavras-passe faz parte do processo de sincronização do Azure AD Connect e é executada a cada dois minutos.

  • Experiência de utilizador. Para melhorar a experiência de início de sessão dos utilizadores, utilize Azure AD dispositivos associados (AADJ) ou dispositivos associados a Azure AD Híbrido (HAADJ). Se não conseguir associar os seus dispositivos Windows a Azure AD, recomendamos que implemente um SSO totalmente integrado com a sincronização do hash de palavras-passe. O SSO Totalmente Integrado elimina pedidos desnecessários quando os utilizadores têm sessão iniciada.

  • Cenários avançados. Se as organizações optarem por fazê-lo, é possível utilizar informações de identidades com relatórios do Azure AD Identity Protection com Azure AD Premium P2. Um exemplo é o relatório de credenciais com fugas. Windows Hello para Empresas tem requisitos específicos quando utiliza a sincronização do hash de palavras-passe. Azure AD Domain Services requer a sincronização do hash de palavras-passe para aprovisionar os utilizadores com as respetivas credenciais empresariais no domínio gerido.

    As organizações que necessitam de autenticação multifator com a sincronização do hash de palavras-passe têm de utilizar Azure AD controlos personalizados do Multi-Factor Authentication ou do Acesso Condicional. Essas organizações não podem utilizar métodos de autenticação multifator no local ou de terceiros que dependem da federação.

Nota

Azure AD Acesso Condicional requerem licenças de Azure AD Premium P1.

  • Continuidade do negócio. A utilização da sincronização do hash de palavras-passe com a autenticação na cloud é altamente disponível como um serviço cloud que é dimensionado para todos os datacenters da Microsoft. Para garantir que a sincronização do hash de palavras-passe não fica inativa durante longos períodos, implemente um segundo Azure AD Ligar servidor no modo de teste numa configuração de reserva.

  • Considerações. Atualmente, a sincronização do hash de palavras-passe não impõe imediatamente alterações nos estados da conta no local. Nesta situação, um utilizador tem acesso a aplicações na cloud até que o estado da conta de utilizador seja sincronizado com Azure AD. As organizações poderão querer ultrapassar esta limitação ao executar um novo ciclo de sincronização depois de os administradores efetuarem atualizações em massa para os estados da conta de utilizador no local. Um exemplo é a desativação de contas.

Nota

A palavra-passe expirou e os estados de bloqueio da conta não estão atualmente sincronizados para Azure AD com o Azure AD Connect. Quando altera a palavra-passe de um utilizador e define que o utilizador tem de alterar a palavra-passe no próximo sinalizador de início de sessão, o hash de palavra-passe não será sincronizado para Azure AD com Azure AD Ligar até que o utilizador altere a palavra-passe.

Veja implementar a sincronização do hash de palavras-passe para obter os passos de implementação.

Autenticação na cloud: Autenticação Pass-through

  • Esforço. Para a autenticação pass-through, precisa de um ou mais (recomendamos três) agentes leves instalados em servidores existentes. Estes agentes têm de ter acesso ao seu Active Directory no local Domain Services, incluindo os controladores de domínio do AD no local. Precisam de acesso de saída à Internet e acesso aos controladores de domínio. Por este motivo, não é suportado implementar os agentes numa rede de perímetro.

    A Autenticação Pass-through requer acesso de rede não preparado aos controladores de domínio. Todo o tráfego de rede é encriptado e limitado a pedidos de autenticação. Para obter mais informações sobre este processo, veja a descrição detalhada da segurança sobre a autenticação pass-through.

  • Experiência de utilizador. Para melhorar a experiência de início de sessão dos utilizadores, utilize Azure AD dispositivos associados (AADJ) ou dispositivos associados ao Azure AD Híbrido (HAADJ). Se não conseguir associar os seus dispositivos Windows a Azure AD, recomendamos que implemente um SSO totalmente integrado com a sincronização do hash de palavras-passe. O SSO Totalmente Integrado elimina pedidos desnecessários quando os utilizadores têm sessão iniciada.

  • Cenários avançados. A Autenticação Pass-through impõe a política de conta no local no momento do início de sessão. Por exemplo, o acesso é negado quando o estado da conta de um utilizador no local está desativado, bloqueado ou a palavra-passe expira ou a tentativa de início de sessão fica fora das horas em que o utilizador tem permissão para iniciar sessão.

    As organizações que necessitam de autenticação multifator com autenticação pass-through têm de utilizar Azure AD controlos personalizados de Multi-Factor Authentication (MFA) ou Acesso Condicional. Essas organizações não podem utilizar um método de autenticação multifator no local ou de terceiros que dependa da federação. As funcionalidades avançadas exigem que a sincronização do hash de palavras-passe seja implementada, quer escolha ou não a autenticação pass-through. Um exemplo é o relatório de credenciais vazado do Identity Protection.

  • Continuidade do negócio. Recomendamos que implemente dois agentes de autenticação pass-through adicionais. Estes extras são adicionados ao primeiro agente no servidor Azure AD Connect. Esta outra implementação garante uma elevada disponibilidade de pedidos de autenticação. Quando tem três agentes implementados, um agente ainda pode falhar quando outro agente está inativo para manutenção.

    Existe outro benefício na implementação da sincronização de hash de palavras-passe, além da autenticação pass-through. Funciona como um método de autenticação de cópia de segurança quando o método de autenticação primária já não está disponível.

  • Considerações. Pode utilizar a sincronização de hash de palavras-passe como um método de autenticação de cópia de segurança para autenticação pass-through, quando os agentes não conseguem validar as credenciais de um utilizador devido a uma falha significativa no local. A ativação pós-falha da sincronização do hash de palavras-passe não ocorre automaticamente e tem de utilizar o Azure AD Ligar para mudar manualmente o método de início de sessão.

    Para outras considerações sobre a Autenticação Pass-through, incluindo o suporte de ID Alternativo, veja as perguntas mais frequentes.

Veja implementar a autenticação pass-through para obter os passos de implementação.

Autenticação federada

  • Esforço. Um sistema de autenticação federado depende de um sistema fidedigno externo para autenticar utilizadores. Algumas empresas querem reutilizar o investimento do sistema federado existente com a sua solução de identidade híbrida Azure AD. A manutenção e gestão do sistema federado fica fora do controlo de Azure AD. Cabe à organização utilizar o sistema federado para garantir que está implementado de forma segura e que consegue lidar com a carga de autenticação.

  • Experiência de utilizador. A experiência de utilizador da autenticação federada depende da implementação das funcionalidades, topologia e configuração do farm de federação. Algumas organizações precisam desta flexibilidade para se adaptarem e configurarem o acesso ao farm de federação de acordo com os respetivos requisitos de segurança. Por exemplo, é possível configurar utilizadores e dispositivos ligados internamente para iniciar sessão de utilizadores automaticamente, sem pedir credenciais. Esta configuração funciona porque já iniciaram sessão nos respetivos dispositivos. Se necessário, algumas funcionalidades de segurança avançadas dificultam o processo de início de sessão dos utilizadores.

  • Cenários avançados. É necessária uma solução de autenticação federada quando os clientes têm um requisito de autenticação que Azure AD não suporta nativamente. Veja informações detalhadas para o ajudar a escolher a opção de início de sessão correta. Considere os seguintes requisitos comuns:

    • Fornecedores multifator de terceiros que necessitam de um fornecedor de identidade federado.
    • Autenticação com soluções de autenticação de terceiros. Veja a lista de compatibilidade de federação Azure AD.
    • O início de sessão requer um sAMAccountName, por exemplo DOMAIN\username, em vez de um Nome Principal de Utilizador (UPN), por exemplo, user@domain.com.
  • Continuidade do negócio. Normalmente, os sistemas federados requerem uma matriz de servidores com balanceamento de carga, conhecida como farm. Este farm está configurado numa topologia de rede interna e de rede de perímetro para garantir uma elevada disponibilidade para pedidos de autenticação.

    Implemente a sincronização de hash de palavras-passe juntamente com a autenticação federada como um método de autenticação de cópia de segurança quando o método de autenticação principal já não estiver disponível. Um exemplo é quando os servidores no local não estão disponíveis. Algumas grandes organizações empresariais necessitam de uma solução de federação para suportar vários pontos de entrada na Internet configurados com geoDNS para pedidos de autenticação de baixa latência.

  • Considerações. Normalmente, os sistemas federados requerem um investimento mais significativo na infraestrutura no local. A maioria das organizações escolhe esta opção se já tiver um investimento de federação no local. E se for um requisito empresarial forte utilizar um fornecedor de identidade única. A federação é mais complexa para operar e resolver problemas em comparação com as soluções de autenticação na cloud.

Para um domínio não redirecionável que não pode ser verificado no Azure AD, precisa de configuração adicional para implementar o início de sessão do ID de utilizador. Este requisito é conhecido como Suporte de ID de início de sessão alternativo. Veja Configurar o ID de Início de Sessão Alternativo para obter limitações e requisitos. Se optar por utilizar um fornecedor de autenticação multifator de terceiros com federação, certifique-se de que o fornecedor suporta WS-Trust para permitir que os dispositivos adiram a Azure AD.

Veja Implementar Servidores de Federação para obter os passos de implementação.

Nota

Ao implementar a sua solução de identidade híbrida Azure AD, tem de implementar uma das topologias suportadas do Azure AD Connect. Saiba mais sobre as configurações suportadas e não suportadas nas Topologias do Azure AD Connect.

Diagramas de arquitetura

Os diagramas seguintes descrevem os componentes de arquitetura de alto nível necessários para cada método de autenticação que pode utilizar com a sua solução de identidade híbrida Azure AD. Fornecem uma descrição geral para o ajudar a comparar as diferenças entre as soluções.

  • Simplicidade de uma solução de sincronização do hash de palavras-passe:

    Azure AD identidade híbrida com a sincronização do hash de palavras-passe

  • Requisitos do agente da autenticação pass-through, utilizando dois agentes para redundância:

    Azure AD identidade híbrida com Autenticação Pass-through

  • Componentes necessários para a federação no perímetro e na rede interna da sua organização:

    Azure AD identidade híbrida com autenticação federada

Comparar métodos

Consideração Sincronização do hash de palavras-passe Autenticação pass-through Federação com o AD FS
Onde ocorre a autenticação? Na cloud Na cloud, após uma troca segura de verificação de palavras-passe com o agente de autenticação no local No local
Quais são os requisitos do servidor no local para além do sistema de aprovisionamento: Azure AD Connect? Nenhuma Um servidor para cada agente de autenticação adicional Dois ou mais servidores do AD FS

Dois ou mais servidores WAP na rede perímetro/DMZ
Quais são os requisitos para a Internet no local e a rede para além do sistema de aprovisionamento? Nenhuma Acesso à Internet de saída a partir dos servidores que executam agentes de autenticação Acesso à Internet de entrada para servidores WAP no perímetro

Acesso de rede de entrada aos servidores do AD FS a partir de servidores WAP no perímetro

Balanceamento de carga de rede
Existe um requisito de certificado TLS/SSL? No No Yes
Existe uma solução de monitorização do estado de funcionamento? não é necessário Estado do agente fornecido pelo portal do Azure Azure AD Connect Health
Os utilizadores obtêm o início de sessão único nos recursos da cloud a partir de dispositivos associados a um domínio na rede da empresa? Sim, com Azure AD dispositivos associados (AADJ), dispositivosassociados a Azure AD Híbridos (HAADJ), o plug-in SSO da Microsoft Enterprise para dispositivos Apple ou o SSO Totalmente Integrado Sim, com Azure AD dispositivos associados (AADJ), dispositivosassociados ao Azure AD Híbrido (HAADJ), o plug-in SSO da Microsoft Enterprise para dispositivos Apple ou SSO Totalmente Integrado Yes
Que tipos de início de sessão são suportados? UserPrincipalName + palavra-passe

Windows-Integrated Autenticação com o SSO Totalmente Integrado

ID de início de sessão alternativo

Dispositivos Associados Azure AD

Dispositivos associados a Azure AD híbridos (HAADJ)

Autenticação de certificados e smart card
UserPrincipalName + palavra-passe

Windows-Integrated Autenticação com o SSO Totalmente Integrado

ID de início de sessão alternativo

Dispositivos Associados Azure AD

Dispositivos associados a Azure AD híbridos (HAADJ)

Autenticação de certificados e smart card
UserPrincipalName + palavra-passe

sAMAccountName + palavra-passe

Autenticação Windows-Integrated

Autenticação de certificados e smart card

ID de início de sessão alternativo
A Windows Hello para Empresas é suportada? Modelo de fidedignidade chave

Confiança da Cloud Híbrida
Modelo de fidedignidade chave

Confiança da Cloud Híbrida

Ambos requerem Windows Server 2016 nível funcional do Domínio
Modelo de fidedignidade chave

Confiança da Cloud Híbrida

Modelo de confiança do certificado
Quais são as opções de autenticação multifator? Azure AD MFA

Controlos Personalizados com Acesso Condicional*
Azure AD MFA

Controlos Personalizados com Acesso Condicional*
Azure AD MFA

MFA de terceiros

Controlos Personalizados com Acesso Condicional*
Que estados de conta de utilizador são suportados? Contas desativadas
(atraso de até 30 minutos)
Contas desativadas

Conta bloqueada

Conta expirada

Palavra-passe expirada

Horas de início de sessão
Contas desativadas

Conta bloqueada

Conta expirada

Palavra-passe expirada

Horas de início de sessão
Quais são as opções de Acesso Condicional? Azure AD Acesso Condicional, com Azure AD Premium Azure AD Acesso Condicional, com Azure AD Premium Azure AD Acesso Condicional, com Azure AD Premium

Regras de afirmação do AD FS
O bloqueio de protocolos legados é suportado? Sim Sim Sim
Pode personalizar o logótipo, a imagem e a descrição nas páginas de início de sessão? Sim, com Azure AD Premium Sim, com Azure AD Premium Sim
Que cenários avançados são suportados? Bloqueio de palavra-passe inteligente

Relatórios de credenciais vazados, com Azure AD Premium P2
Bloqueio de palavra-passe inteligente Sistema de autenticação de baixa latência multilocal

Bloqueio da extranet do AD FS

Integração com sistemas de identidade de terceiros

Nota

Os controlos personalizados no Azure AD Acesso Condicional não suportam atualmente o registo de dispositivos.

Recomendações

O seu sistema de identidade garante o acesso dos seus utilizadores às aplicações que migra e disponibiliza na cloud. Utilize ou ative a sincronização do hash de palavras-passe com o método de autenticação que escolher, pelos seguintes motivos:

  1. Elevada disponibilidade e recuperação após desastre. A Autenticação Pass-through e a federação dependem da infraestrutura no local. Para a autenticação pass-through, os requisitos de espaço no local incluem o hardware do servidor e a rede de que os agentes de Autenticação Pass-through necessitam. Para a federação, a pegada no local é ainda maior. Requer servidores na sua rede de perímetro para pedidos de autenticação proxy e os servidores de federação internos.

    Para evitar pontos únicos de falha, implemente servidores redundantes. Em seguida, os pedidos de autenticação serão sempre reparados se algum componente falhar. Tanto a autenticação pass-through como a federação também dependem de controladores de domínio para responder a pedidos de autenticação, o que também pode falhar. Muitos destes componentes precisam de manutenção para se manterem em bom estado de funcionamento. As interrupções são mais prováveis quando a manutenção não é planeada e implementada corretamente.

  2. Sobrevivência de indisponibilidade no local. As consequências de uma falha no local devido a um ciberataque ou desastre podem ser substanciais, desde danos reputacionais à marca a uma organização paralisada incapaz de lidar com o ataque. Recentemente, muitas organizações foram vítimas de ataques de software maligno, incluindo ransomware direcionado, o que fez com que os seus servidores no local ficassem inativos. Quando a Microsoft ajuda os clientes a lidar com este tipo de ataques, vê duas categorias de organizações:

    • As organizações que anteriormente também ativavam a sincronização do hash de palavras-passe sobre a autenticação federada ou pass-through alteraram o método de autenticação principal para, em seguida, utilizarem a sincronização do hash de palavras-passe. Voltaram a estar online numa questão de horas. Ao utilizar o acesso ao e-mail através do Microsoft 365, estes trabalharam para resolver problemas e aceder a outras cargas de trabalho baseadas na cloud.

    • As organizações que não ativaram anteriormente a sincronização do hash de palavras-passe tinham de recorrer a sistemas de e-mail de consumidor externo não fidedignos para que as comunicações resolvessem os problemas. Nesses casos, demoraram semanas a restaurar a infraestrutura de identidade no local, antes de os utilizadores poderem iniciar sessão novamente em aplicações baseadas na cloud.

  3. Proteção de identidade. Uma das melhores formas de proteger os utilizadores na cloud é Azure AD Identity Protection com Azure AD Premium P2. A Microsoft procura continuamente na Internet listas de utilizadores e palavras-passe que os maus atores vendem e disponibilizam na Dark Web. Azure AD pode utilizar estas informações para verificar se algum dos nomes de utilizador e palavras-passe na sua organização está comprometido. Por conseguinte, é fundamental ativar a sincronização do hash de palavras-passe independentemente do método de autenticação que utilizar, quer seja federado ou de autenticação pass-through. As credenciais com fugas são apresentadas como um relatório. Utilize estas informações para bloquear ou forçar os utilizadores a alterarem as respetivas palavras-passe quando tentarem iniciar sessão com palavras-passe com fugas de palavras-passe.

Conclusão

Este artigo descreve várias opções de autenticação que as organizações podem configurar e implementar para suportar o acesso a aplicações na cloud. Para cumprir vários requisitos empresariais, de segurança e técnicos, as organizações podem escolher entre a sincronização do hash de palavras-passe, a Autenticação Pass-through e a federação.

Considere cada método de autenticação. O esforço para implementar a solução e a experiência do utilizador no processo de início de sessão satisfazem os seus requisitos empresariais? Avalie se a sua organização precisa dos cenários avançados e das funcionalidades de continuidade de negócio de cada método de autenticação. Por fim, avalie as considerações de cada método de autenticação. Alguma delas impede que implemente a sua escolha?

Passos seguintes

No mundo de hoje, as ameaças estão presentes 24 horas por dia e vêm de todo o lado. Implemente o método de autenticação correto e irá mitigar os riscos de segurança e proteger as suas identidades.

Comece a utilizar Azure AD e implemente a solução de autenticação certa para a sua organização.

Se estiver a pensar em migrar da autenticação federada para a cloud, saiba mais sobre como alterar o método de início de sessão. Para o ajudar a planear e implementar a migração, utilize estes planos de implementação de projetos ou considere utilizar a nova funcionalidade implementação faseada para migrar utilizadores federados para utilizarem a autenticação na cloud numa abordagem faseada.