Migração do Servidor MFA
Este tópico aborda como migrar configurações de MFA para usuários do Microsoft Entra do Azure MFA Server local para a autenticação multifator do Microsoft Entra.
Descrição geral da solução
O Utilitário de Migração do Servidor MFA ajuda a sincronizar os dados de autenticação multifator armazenados no Azure MFA Server local diretamente com a autenticação multifator do Microsoft Entra. Depois que os dados de autenticação são migrados para o Microsoft Entra ID, os usuários podem executar MFA baseada em nuvem sem problemas, sem precisar se registrar novamente ou confirmar métodos de autenticação. Os administradores podem usar o MFA Server Migration Utility para direcionar usuários individuais ou grupos de usuários para teste e distribuição controlada sem precisar fazer alterações em todo o locatário.
Vídeo: Como usar o MFA Server Migration Utility
Dê uma olhada em nosso vídeo para obter uma visão geral do MFA Server Migration Utility e como ele funciona.
Limitações e requisitos
O MFA Server Migration Utility requer que uma nova compilação da solução MFA Server seja instalada no seu Servidor MFA Primário. A compilação faz atualizações para o arquivo de dados do MFA Server e inclui o novo MFA Server Migration Utility. Não é necessário atualizar o WebSDK ou o portal do usuário. A instalação da atualização não inicia a migração automaticamente.
Nota
O MFA Server Migration Utility pode ser executado em um MFA Server secundário. Para obter mais informações, verifique Executar um servidor MFA secundário (opcional).
O MFA Server Migration Utility copia os dados do arquivo de banco de dados para os objetos de usuário no Microsoft Entra ID. Durante a migração, os usuários podem ser direcionados para a autenticação multifator do Microsoft Entra para fins de teste usando a distribuição em estágios. A migração em etapas permite testar sem fazer alterações nas configurações de federação de domínio. Quando as migrações estiverem concluídas, você deverá finalizar a migração fazendo alterações nas configurações de federação de domínio.
O AD FS que executa o Windows Server 2016 ou superior é necessário para fornecer autenticação MFA em qualquer terceira parte confiável do AD FS, não incluindo a ID do Microsoft Entra e o Office 365.
Revise suas políticas de controle de acesso do AD FS e verifique se nenhuma exige que a MFA seja executada no local como parte do processo de autenticação.
A distribuição em etapas pode atingir um máximo de 500.000 usuários (10 grupos contendo um máximo de 50.000 usuários cada).
Guia de migração
Uma migração do MFA Server geralmente inclui as etapas no seguinte processo:
Alguns pontos importantes:
A fase 1 deve ser repetida à medida que você adiciona usuários de teste.
- A ferramenta de migração usa grupos do Microsoft Entra para determinar os usuários para os quais os dados de autenticação devem ser sincronizados entre o MFA Server e a autenticação multifator do Microsoft Entra. Depois que os dados do usuário tiverem sido sincronizados, esse usuário estará pronto para usar a autenticação multifator do Microsoft Entra.
- A distribuição em estágios permite redirecionar os usuários para a autenticação multifator do Microsoft Entra, também usando grupos do Microsoft Entra. Embora você certamente possa usar os mesmos grupos para ambas as ferramentas, recomendamos que os usuários possam ser redirecionados para a autenticação multifator do Microsoft Entra antes que a ferramenta sincronize seus dados. Recomendamos configurar grupos do Microsoft Entra para sincronizar dados de autenticação pelo MFA Server Migration Utility e outro conjunto de grupos para Staged Rollout para direcionar os usuários direcionados para a autenticação multifator do Microsoft Entra em vez de local.
A fase 2 deve ser repetida à medida que você migra sua base de usuários. Até o final da Fase 2, toda a sua base de usuários deve estar usando a autenticação multifator do Microsoft Entra para todas as cargas de trabalho federadas com a ID do Microsoft Entra.
Durante as fases anteriores, você pode remover usuários das pastas de distribuição em estágios para retirá-los do escopo da autenticação multifator do Microsoft Entra e roteá-los de volta ao seu servidor Azure MFA local para todas as solicitações de MFA originadas da ID do Microsoft Entra.
A fase 3 requer a movimentação de todos os clientes autenticados no MFA Server local (VPNs, gerenciadores de senhas e assim por diante) para a federação do Microsoft Entra via SAML/OAUTH. Se os padrões de autenticação modernos não forem suportados, será necessário manter o(s) servidor(es) NPS com a extensão de autenticação multifator Microsoft Entra instalada. Depois que as dependências são migradas, os usuários não devem mais usar o Portal do usuário no MFA Server, mas devem gerenciar seus métodos de autenticação no Microsoft Entra ID (aka.ms/mfasetup). Quando os usuários começarem a gerenciar seus dados de autenticação no Microsoft Entra ID, esses métodos não serão sincronizados de volta ao MFA Server. Se você reverter para o MFA Server local depois que os usuários tiverem feito alterações em seus métodos de autenticação na ID do Microsoft Entra, essas alterações serão perdidas. Após a conclusão das migrações de usuário, altere a configuração de federação de domínio federatedIdpMfaBehavior . A alteração informa ao Microsoft Entra ID para não executar mais MFA no local e para executar todas as solicitações MFA com autenticação multifator Microsoft Entra, independentemente da associação ao grupo.
As seções a seguir explicam as etapas de migração com mais detalhes.
Identificar dependências do Servidor Azure Multi-Factor Authentication
Trabalhámos arduamente para garantir que a transição para a nossa solução de autenticação multifator Microsoft Entra baseada na nuvem irá manter e até melhorar a sua postura de segurança. Há três grandes categorias que devem ser usadas para agrupar dependências:
Para ajudar na sua migração, combinamos recursos amplamente utilizados do MFA Server com o equivalente funcional na autenticação multifator do Microsoft Entra para cada categoria.
Métodos de AMF
Abra o Servidor MFA, clique em Configurações da Empresa:
| Servidor MFA | Autenticação multifator Microsoft Entra |
|---|---|
| Separador Geral | |
| Seção Padrões do Usuário | |
| Chamada telefónica (Padrão) | Nenhuma ação necessária |
| Mensagem de texto (OTP)* | Nenhuma ação necessária |
| Aplicação móvel (Padrão) | Nenhuma ação necessária |
| Chamada telefónica (PIN)* | Ativar OTP de voz |
| Mensagem de texto (OTP + PIN)** | Nenhuma ação necessária |
| Aplicação móvel (PIN)* | Ativar correspondência numérica |
| Linguagem de chamada telefónica/mensagem de texto/aplicação móvel/token OATH | As configurações de idioma serão aplicadas automaticamente a um usuário com base nas configurações de localidade em seu navegador |
| Seção de regras de PIN padrão | Não aplicável; Veja os métodos atualizados na captura de tela anterior |
| Guia Resolução de nome de usuário | Não aplicável; a resolução de nome de usuário não é necessária para a autenticação multifator do Microsoft Entra |
| Guia Mensagem de texto | Não aplicável; A autenticação multifator do Microsoft Entra usa uma mensagem padrão para mensagens de texto |
| Guia Token OATH | Não aplicável; A autenticação multifator do Microsoft Entra usa uma mensagem padrão para tokens OATH |
| Relatórios | Métodos de autenticação do Microsoft Entra Relatórios de atividades |
*Quando um PIN é usado para fornecer a funcionalidade de prova de presença, o equivalente funcional é fornecido acima. Os PINs que não estão criptograficamente vinculados a um dispositivo não protegem suficientemente contra cenários em que um dispositivo foi comprometido. Para se proteger contra esses cenários, incluindo ataques de troca de SIM, mova os usuários para métodos mais seguros de acordo com as práticas recomendadas dos métodos de autenticação da Microsoft.
**A experiência padrão de MFA de texto na autenticação multifator do Microsoft Entra envia aos usuários um código, que eles devem inserir na janela de login como parte da autenticação. O requisito de ida e volta do código fornece a funcionalidade de prova de presença.
Portal do utilizador
Abra o Servidor MFA, clique em Portal do Usuário:
| Servidor MFA | Autenticação multifator Microsoft Entra |
|---|---|
| Guia Configurações | |
| URL do portal do utilizador | aka.ms/mfasetup |
| Permitir a inscrição de utilizador | Consulte Registo combinado de informações de segurança |
| - Prompt para telefone de backup | Consulte Configurações do Serviço MFA |
| - Solicitar token OATH de terceiros | Consulte Configurações do Serviço MFA |
| Permitir que os usuários iniciem um One-Time Bypass | Consulte a funcionalidade TAP do Microsoft Entra ID |
| Permitir que os utilizadores selecionem o método | Consulte Configurações do Serviço MFA |
| - Chamada telefónica | Consulte a documentação da chamada telefónica |
| - Mensagem de texto | Consulte Configurações do Serviço MFA |
| - Aplicação móvel | Consulte Configurações do Serviço MFA |
| - Token OATH | Consulte a documentação do token OATH |
| Permitir que os utilizadores selecionem o idioma | As configurações de idioma serão aplicadas automaticamente a um usuário com base nas configurações de localidade em seu navegador |
| Permitir que os utilizadores ativem a aplicação móvel | Consulte Configurações do Serviço MFA |
| - Limite de dispositivos | O Microsoft Entra ID limita os usuários a cinco dispositivos cumulativos (instâncias de aplicativos móveis + token OATH de hardware + token OATH de software) por usuário |
| Utilizar perguntas de segurança para contingência | O Microsoft Entra ID permite que os usuários escolham um método de fallback no momento da autenticação caso o método de autenticação escolhido falhe |
| - Perguntas a responder | As Perguntas de Segurança no Microsoft Entra ID só podem ser usadas para SSPR. Veja mais detalhes sobre Perguntas de Segurança Personalizada do Microsoft Entra |
| Permitir aos utilizadores associar token OATH de terceiros | Consulte a documentação do token OATH |
| Utilizar token OATH para contingência | Consulte a documentação do token OATH |
| Tempo limite da sessão | |
| Guia Perguntas de Segurança | As perguntas de segurança no MFA Server foram usadas para obter acesso ao portal do usuário. A autenticação multifator do Microsoft Entra suporta apenas perguntas de segurança para redefinição de senha de autoatendimento. Consulte a documentação de perguntas de segurança. |
| Guia Sessões passadas | Todos os fluxos de registro do método de autenticação são gerenciados pelo Microsoft Entra ID e não exigem configuração |
| IPs confiáveis | IPs confiáveis do Microsoft Entra ID |
Todos os métodos MFA disponíveis no MFA Server devem ser habilitados na autenticação multifator do Microsoft Entra usando as configurações do Serviço MFA. Os usuários não podem tentar seus métodos de MFA recém-migrados a menos que estejam habilitados.
Serviços de autenticação
O Azure MFA Server pode fornecer funcionalidade de MFA para soluções de terceiros que usam RADIUS ou LDAP agindo como um proxy de autenticação. Para descobrir dependências RADIUS ou LDAP, clique nas opções Autenticação RADIUS e Autenticação LDAP no Servidor MFA. Para cada uma dessas dependências, determine se esses terceiros oferecem suporte à autenticação moderna. Em caso afirmativo, considere a federação diretamente com o Microsoft Entra ID.
Para implantações RADIUS que não podem ser atualizadas, você precisará implantar um servidor NPS e instalar a extensão NPS de autenticação multifator Microsoft Entra.
Para implantações LDAP que não podem ser atualizadas ou movidas para RADIUS, determine se os Serviços de Domínio Microsoft Entra podem ser usados. Na maioria dos casos, o LDAP foi implantado para suportar alterações de senha em linha para usuários finais. Depois de migrados, os usuários finais podem gerenciar suas senhas usando a redefinição de senha de autoatendimento no Microsoft Entra ID.
Se você habilitou o provedor de Autenticação do Servidor MFA no AD FS 2.0 em qualquer relação de confiança de terceira parte confiável, exceto para a confiança de terceira parte confiável do Office 365, precisará atualizar para o AD FS 3.0 ou federar essas partes confiáveis diretamente para a ID do Microsoft Entra se elas oferecerem suporte a métodos de autenticação modernos. Determine o melhor plano de ação para cada uma das dependências.
Backup do arquivo de dados do Servidor Azure Multi-Factor Authentication
Faça um backup do arquivo de dados do MFA Server localizado em %programfiles%\Multi-Factor Authentication Server\Data\PhoneFactor.pfdata (local padrão) em seu servidor MFA primário. Certifique-se de ter uma cópia do instalador para sua versão atualmente instalada, caso precise reverter. Se já não tiver uma cópia, contacte o Serviço de Apoio ao Cliente.
Dependendo da atividade do usuário, o arquivo de dados pode se tornar desatualizado rapidamente. Quaisquer alterações feitas no MFA Server ou quaisquer alterações de usuário final feitas através do portal após o backup não serão capturadas. Se você reverter, as alterações feitas após este ponto não serão restauradas.
Instalar a atualização do MFA Server
Execute o novo instalador no servidor MFA primário. Antes de atualizar um servidor, remova-o do balanceamento de carga ou do compartilhamento de tráfego com outros servidores MFA. Não é necessário desinstalar o MFA Server atual antes de executar o instalador. O instalador executa uma atualização in-loco usando o caminho de instalação atual (por exemplo, C:\Program Files\Multi-Factor Authentication Server). Se você for solicitado a instalar um pacote de atualização do Microsoft Visual C++ 2015 Redistributable, aceite o prompt. As versões x86 e x64 do pacote estão instaladas. Não é necessário instalar atualizações para o Portal do Utilizador, SDK Web ou Adaptador AD FS.
Nota
Depois de executar o instalador no servidor primário, os servidores secundários podem começar a registar entradas SB não tratadas. Isso ocorre devido a alterações de esquema feitas no servidor primário que não serão reconhecidas pelos servidores secundários. Esses erros são esperados. Em ambientes com 10.000 usuários ou mais, a quantidade de entradas de log pode aumentar significativamente. Para atenuar esse problema, você pode aumentar o tamanho do arquivo de seus logs do MFA Server ou atualizar seus servidores secundários.
Configurar o MFA Server Migration Utility
Depois de instalar a atualização do MFA Server, abra um prompt de comando do PowerShell com privilégios elevados: passe o mouse sobre o ícone do PowerShell, clique com o botão direito do mouse e clique em Executar como Administrador. Execute o script .\Configure-MultiFactorAuthMigrationUtility.ps1 encontrado no diretório de instalação do MFA Server (C:\Program Files\Multi-Factor Authentication Server por padrão).
Esse script exigirá que você forneça credenciais para um administrador de aplicativo em seu locatário do Microsoft Entra. O script criará um novo aplicativo MFA Server Migration Utility dentro do Microsoft Entra ID, que será usado para gravar métodos de autenticação do usuário em cada objeto de usuário do Microsoft Entra.
Para clientes de nuvem governamentais que desejam realizar migrações, substitua as entradas ".com" no script por ".us". Esse script gravará as entradas do Registro HKLM:\SOFTWARE\WOW6432Node\Positive Networks\PhoneFactor\ StsUrl e GraphUrl e instruirá o Utilitário de Migração a usar os pontos de extremidade GRAPH apropriados.
Você também precisará acessar os seguintes URLs:
https://graph.microsoft.com/*(ouhttps://graph.microsoft.us/*para clientes de nuvem governamentais)https://login.microsoftonline.com/*(ouhttps://login.microsoftonline.us/*para clientes de nuvem governamentais)
O script irá instruí-lo a conceder consentimento de administrador para o aplicativo recém-criado. Navegue até a URL fornecida ou, dentro do centro de administração do Microsoft Entra, clique em Registros de Aplicativos, localize e selecione o aplicativo Utilitário de Migração do Servidor MFA, clique em permissões de API e conceda as permissões apropriadas.
Depois de concluído, navegue até a pasta Multi-Factor Authentication Server e abra o aplicativo MultiFactorAuthMigrationUtilityUI . Você deve ver a seguinte tela:
Você instalou com êxito o Utilitário de Migração.
Nota
Para garantir que não haja alterações no comportamento durante a migração, se o seu Servidor MFA estiver associado a um Provedor de MFA sem referência de locatário, você precisará atualizar as configurações de MFA padrão (como saudações personalizadas) para o locatário que você está migrando para corresponder às configurações em seu Provedor de MFA. Recomendamos fazer isso antes de migrar qualquer usuário.
Executar um servidor MFA secundário (opcional)
Se sua implementação do MFA Server tiver um grande número de usuários ou um Servidor MFA primário ocupado, convém considerar a implantação de um Servidor MFA secundário dedicado para executar o Utilitário de Migração do Servidor MFA e os serviços de Sincronização de Migração. Depois de atualizar seu servidor MFA primário, atualize um servidor secundário existente ou implante um novo servidor secundário. O servidor secundário escolhido não deve lidar com outro tráfego de MFA.
O script Configure-MultiFactorAuthMigrationUtility.ps1 deve ser executado no servidor secundário para registrar um certificado com o registro do aplicativo MFA Server Migration Utility. O certificado é usado para autenticar no Microsoft Graph. A execução dos serviços Utilitário de Migração e Sincronização em um Servidor MFA secundário deve melhorar o desempenho de migrações de usuários manuais e automatizadas.
Migrar dados do usuário
A migração de dados do usuário não remove nem altera nenhum dado no banco de dados do Multi-Factor Authentication Server. Da mesma forma, esse processo não será alterado onde um usuário executa MFA. Esse processo é uma cópia unidirecional dos dados do servidor local para o objeto de usuário correspondente no Microsoft Entra ID.
O utilitário de migração do MFA Server tem como alvo um único grupo do Microsoft Entra para todas as atividades de migração. Você pode adicionar usuários diretamente a esse grupo ou adicionar outros grupos. Você também pode adicioná-los em etapas durante a migração.
Para iniciar o processo de migração, insira o nome ou GUID do grupo do Microsoft Entra que você deseja migrar. Uma vez concluído, pressione Tab ou clique fora da janela para começar a procurar o grupo apropriado. Todos os usuários do grupo são preenchidos. Um grupo grande pode levar vários minutos para terminar.
Para exibir dados de atributos de um usuário, realce o usuário e selecione Exibir:
Esta janela exibe os atributos para o usuário selecionado no ID do Microsoft Entra e no Servidor MFA local. Você pode usar essa janela para exibir como os dados foram gravados em um usuário após a migração.
A opção Configurações permite alterar as configurações do processo de migração:
Migrar – há três opções para migrar o método de autenticação padrão do usuário:
- Migrar sempre
- Migrar somente se ainda não estiver definido no ID do Microsoft Entra
- Definido como o método mais seguro disponível se ainda não estiver definido no Microsoft Entra ID
Essas opções fornecem flexibilidade quando você migra o método padrão. Além disso, a política de métodos de autenticação é verificada durante a migração. Se o método padrão que está sendo migrado não for permitido pela política, ele será definido como o método mais seguro disponível.
User Match – Permite especificar um atributo diferente do Ative Directory local para corresponder ao UPN do Microsoft Entra em vez da correspondência padrão para userPrincipalName:
- O utilitário de migração tenta a correspondência direta com o UPN antes de usar o atributo do Ative Directory local.
- Se nenhuma correspondência for encontrada, ele chamará uma API do Windows para localizar o UPN do Microsoft Entra e obter o SID, que ele usa para pesquisar a lista de usuários do MFA Server.
- Se a API do Windows não encontrar o usuário ou o SID não for encontrado no MFA Server, ele usará o atributo configurado do Ative Directory para localizar o usuário no Ative Directory local e, em seguida, usará o SID para pesquisar a lista de usuários do MFA Server.
Sincronização automática – Inicia um serviço em segundo plano que monitorará continuamente quaisquer alterações de método de autenticação para usuários no MFA Server local e as gravará na ID do Microsoft Entra no intervalo de tempo especificado definido.
Servidor de sincronização – Permite que o serviço MFA Server Migration Sync seja executado em um servidor MFA secundário em vez de ser executado apenas no primário. Para configurar o serviço de Sincronização de Migração para ser executado em um servidor secundário, o
Configure-MultiFactorAuthMigrationUtility.ps1script deve ser executado no servidor para registrar um certificado com o registro do aplicativo Utilitário de Migração do Servidor MFA. O certificado é usado para autenticar no Microsoft Graph.
O processo de migração pode ser automático ou manual.
As etapas manuais do processo são:
Para iniciar o processo de migração de um usuário ou a seleção de vários usuários, pressione e mantenha pressionada a tecla Ctrl enquanto seleciona cada um dos usuários que deseja migrar.
Depois de selecionar os usuários desejados, clique em Migrar usuários>selecionados>OK.
Para migrar todos os usuários do grupo, clique em Migrar usuários>Todos os usuários no grupo>Microsoft Entra OK.
Você pode migrar usuários mesmo que eles estejam inalterados. Por padrão, o utilitário é definido como Migrar somente usuários que foram alterados. Clique em Migrar todos os usuários para migrar novamente os usuários migrados anteriormente que não foram alterados. A migração de usuários inalterados pode ser útil durante o teste se um administrador precisar redefinir as configurações do Azure MFA de um usuário e quiser migrá-las novamente.
Para o processo automático, clique em Sincronização automática em Configurações e selecione se deseja que todos os usuários sejam sincronizados ou apenas membros de um determinado grupo do Microsoft Entra.
A tabela a seguir lista a lógica de sincronização para os vários métodos.
| Método | Lógica |
|---|---|
| Telefone | Se não houver extensão, atualize o telefone MFA. Se houver uma extensão, atualize o telefone do Office. Exceção: Se o método padrão for Mensagem de Texto, solte a extensão e atualize o telefone MFA. |
| Telefone de backup | Se não houver nenhuma extensão, atualize o telefone alternativo. Se houver uma extensão, atualize o telefone do Office. Exceção: Se o telefone e o telefone de backup tiverem uma extensão, ignore o telefone de backup. |
| Aplicação móvel | Máximo de cinco dispositivos serão migrados ou apenas quatro se o usuário também tiver um token OATH de hardware. Se houver vários dispositivos com o mesmo nome, migre apenas o mais recente. Os dispositivos serão encomendados do mais recente para o mais antigo. Se os dispositivos já existirem no Microsoft Entra ID, corresponda à Chave Secreta do Token OATH e atualize. - Se não houver correspondência na Chave Secreta do Token OATH, corresponda no Token do Dispositivo -- Se encontrado, crie um token OATH de software para o dispositivo MFA Server para permitir que o método OATH Token funcione. As notificações ainda funcionarão usando o dispositivo de autenticação multifator Microsoft Entra existente. -- Se não for encontrado, crie um novo dispositivo. Se a adição de um novo dispositivo exceder o limite de cinco dispositivos, o dispositivo será ignorado. |
| OATH Token | Se os dispositivos já existirem no Microsoft Entra ID, corresponda à Chave Secreta do Token OATH e atualize. - Se não for encontrado, adicione um novo dispositivo Hardware OATH Token. Se a adição de um novo dispositivo exceder o limite de cinco dispositivos, o token OATH será ignorado. |
Os métodos MFA serão atualizados com base no que foi migrado e o método padrão será definido. O MFA Server rastreará o último carimbo de data/hora de migração e só migrará o usuário novamente se as configurações de MFA do usuário forem alteradas ou se um administrador modificar o que migrar na caixa de diálogo Configurações .
Durante o teste, recomendamos fazer uma migração manual primeiro e testar para garantir que um determinado número de usuários se comporte conforme o esperado. Quando o teste for bem-sucedido, ative a sincronização automática para o grupo do Microsoft Entra que você deseja migrar. À medida que você adiciona usuários a esse grupo, suas informações serão sincronizadas automaticamente com o ID do Microsoft Entra. O MFA Server Migration Utility destina-se a um grupo do Microsoft Entra, no entanto, esse grupo pode abranger usuários e grupos aninhados de usuários.
Uma vez concluído, uma confirmação irá informá-lo das tarefas concluídas:
Como mencionado na mensagem de confirmação, pode levar vários minutos para que os dados migrados apareçam em objetos de usuário dentro do ID do Microsoft Entra. Os usuários podem visualizar seus métodos migrados navegando até aka.ms/mfasetup.
Gorjeta
Você pode reduzir o tempo necessário para exibir grupos se não precisar exibir os métodos do Microsoft Entra MFA. Clique em Exibir>Métodos do Azure AD MFA para alternar a exibição de colunas para AAD Default, AAD Phone, AAD Alternate, AAD Office, AAD Devices e AAD OATH Token. Quando as colunas estão ocultas, algumas chamadas à API do Microsoft Graph são ignoradas, o que melhora muito o tempo de carregamento do usuário.
Ver detalhes da migração
Você pode usar logs de auditoria ou análise de log para exibir detalhes das migrações de usuário do MFA Server para o Azure MFA.
Usar logs de auditoria
Para acessar os logs de auditoria no centro de administração do Microsoft Entra para exibir detalhes das migrações de usuário do MFA Server para o Azure MFA, siga estas etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Autenticação.
Navegue até Monitoramento de identidade>& logs de auditoria de integridade>. Para filtrar os logs, clique em Adicionar filtros.
Selecione Iniciado por (ator) e clique em Aplicar.
Digite Azure MFA Management e clique em Aplicar.
Este filtro exibe apenas os logs do Utilitário de Migração do Servidor MFA. Para exibir detalhes de uma migração de usuário, clique em uma linha e escolha a guia Propriedades modificadas . Esta guia mostra as alterações nos métodos de MFA registrados e números de telefone.
A tabela a seguir lista o método de autenticação para cada código.
Código Método 0 Voz móvel 2 Escritório de voz 3 Voz móvel alternativa 5 SMS 6 Notificação por push do Microsoft Authenticator 7 OTP de token de hardware ou software Se algum dispositivo de usuário tiver sido migrado, haverá uma entrada de log separada.
Utilizar o Log Analytics
Os detalhes das migrações de usuário do MFA Server para o Azure MFA também podem ser consultados usando o Log Analytics.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Azure MFA Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| extend Upn = tostring(TargetResources[0]["userPrincipalName"])
| extend ModifiedProperties = TargetResources[0]["modifiedProperties"]
| project ActivityDateTime, InitiatedBy, UserObjectId, Upn, ModifiedProperties
| order by ActivityDateTime asc
Esta captura de tela mostra as alterações na migração do usuário:
Esta captura de tela mostra as alterações na migração de dispositivos:
O Log Analytics também pode ser usado para resumir a atividade de migração do usuário.
AuditLogs
| where ActivityDateTime > ago(7d)
| extend InitiatedBy = tostring(InitiatedBy["app"]["displayName"])
| where InitiatedBy == "Azure MFA Management"
| extend UserObjectId = tostring(TargetResources[0]["id"])
| summarize UsersMigrated = dcount(UserObjectId) by InitiatedBy, bin(ActivityDateTime, 1d)
Validar e testar
Depois de migrar com êxito os dados do usuário, você pode validar a experiência do usuário final usando a Distribuição em Estágios antes de fazer a alteração global do locatário. O processo a seguir permitirá que você direcione grupos(s) específicos do Microsoft Entra para Distribuição em Estágios para MFA. A Distribuição em Estágios informa ao Microsoft Entra ID para executar MFA usando a autenticação multifator do Microsoft Entra para usuários nos grupos de destino, em vez de enviá-los no local para executar MFA. Você pode validar e testar — recomendamos usar o centro de administração do Microsoft Entra, mas se preferir, também pode usar o Microsoft Graph.
Habilitar distribuição em etapas
Navegue até a seguinte url: Habilitar recursos de distribuição em estágios - Microsoft Azure.
Altere a autenticação multifator do Azure para Ativado e clique em Gerenciar grupos.
Clique em Adicionar grupos e adicione o(s) grupo(s) que contém os usuários que você deseja habilitar para o Azure MFA. Os grupos selecionados aparecem na lista exibida.
Nota
Todos os grupos segmentados usando o método Microsoft Graph abaixo também aparecerão nesta lista.
Habilitar a distribuição em etapas usando o Microsoft Graph
Criar o featureRolloutPolicy
Navegue até aka.ms/ge e faça login no Graph Explorer usando uma conta de Administrador de Identidade Híbrida no locatário que você deseja configurar para a Distribuição em etapas.
Verifique se o POST está selecionado visando o seguinte ponto de extremidade:
https://graph.microsoft.com/v1.0/policies/featureRolloutPoliciesO corpo da sua solicitação deve conter o seguinte (altere a política de distribuição de MFA para um nome e uma descrição para sua organização):
{ "displayName": "MFA rollout policy", "description": "MFA rollout policy", "feature": "multiFactorAuthentication", "isEnabled": true, "isAppliedToOrganization": false }
Execute um GET com o mesmo ponto de extremidade e anote o valor de ID (riscado na imagem a seguir):
Direcione o(s) grupo(s) do Microsoft Entra que contêm os usuários que você deseja testar
Crie uma solicitação POST com o seguinte ponto de extremidade (substitua {ID da política} pelo valor de ID copiado da etapa 1d):
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{ID of policy}/appliesTo/$refO corpo da solicitação deve conter o seguinte (substitua {ID do grupo} pelo ID do objeto do grupo que você deseja direcionar para a distribuição em estágios):
{ "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{ID of group}" }Repita as etapas a e b para quaisquer outros grupos que você deseja segmentar com a distribuição em estágios.
Você pode exibir a política atual em vigor fazendo um GET no seguinte URL:
https://graph.microsoft.com/v1.0/policies/featureRolloutPolicies/{policyID}?$expand=appliesToO processo anterior usa o recurso featureRolloutPolicy. A documentação pública ainda não foi atualizada com o novo recurso multifactorAuthentication, mas tem informações detalhadas sobre como interagir com a API.
Confirme se a experiência de MFA do usuário final. Aqui estão algumas coisas para verificar:
- Os usuários veem seus métodos em aka.ms/mfasetup?
- Os utilizadores recebem chamadas telefónicas/mensagens de texto?
- Eles são capazes de autenticar com sucesso usando os métodos acima?
- Os usuários recebem notificações do Autenticador com êxito? Eles são capazes de aprovar essas notificações? A autenticação é bem-sucedida?
- Os usuários são capazes de autenticar com êxito usando tokens OATH de hardware?
Educar os utilizadores
Certifique-se de que os usuários saibam o que esperar quando forem movidos para o Azure MFA, incluindo novos fluxos de autenticação. Você também pode instruir os usuários a usar o portal de Registro Combinado (aka.ms/mfasetup) do Microsoft Entra ID para gerenciar seus métodos de autenticação em vez do portal do usuário quando as migrações forem concluídas. Quaisquer alterações feitas nos métodos de autenticação no Microsoft Entra ID não serão propagadas de volta ao seu ambiente local. Em uma situação em que você teve que reverter para o MFA Server, quaisquer alterações feitas pelos usuários no Microsoft Entra ID não estarão disponíveis no portal do usuário do MFA Server.
Se você usar soluções de terceiros que dependem do Servidor Azure MFA para autenticação (consulte Serviços de autenticação), desejará que os usuários continuem a fazer alterações em seus métodos de MFA no Portal do usuário. Essas alterações serão sincronizadas com o Microsoft Entra ID automaticamente. Depois de migrar essas soluções de terceiros, você pode mover os usuários para a página de registro combinado do Microsoft Entra ID.
Migração de usuário completa
Repita as etapas de migração encontradas nas seções Migrar dados do usuário e Validar e testar até que todos os dados do usuário sejam migrados.
Migrar dependências do MFA Server
Usando os pontos de dados coletados nos serviços de Autenticação, comece a realizar as várias migrações necessárias. Quando isso for concluído, considere fazer com que os usuários gerenciem seus métodos de autenticação no portal de registro combinado, em vez de no Portal do usuário no servidor MFA.
Atualizar configurações de federação de domínio
Depois de concluir as migrações de usuários e mover todos os seus serviços de Autenticação do MFA Server, é hora de atualizar as configurações de federação de domínio. Após a atualização, o Microsoft Entra não envia mais a solicitação de MFA para o servidor de federação local.
Para configurar o Microsoft Entra ID para ignorar solicitações MFA para seu servidor de federação local, instale o SDK do Microsoft Graph PowerShell e defina federatedIdpMfaBehavior como rejectMfaByFederatedIdp, conforme mostrado no exemplo a seguir.
Pedir
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Response
Nota: O objeto de resposta mostrado aqui pode ser encurtado para legibilidade.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "Success",
"lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
},
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
}
Os usuários não serão mais redirecionados para seu servidor de federação local para MFA, independentemente de serem direcionados pela ferramenta de distribuição em estágios ou não. Observe que isso pode levar até 24 horas para entrar em vigor.
Nota
A atualização da configuração de federação de domínio pode levar até 24 horas para entrar em vigor.
Opcional: Desativar o portal do usuário do MFA Server
Depois de concluir a migração de todos os dados do usuário, os usuários finais podem começar a usar as páginas de registro combinadas do Microsoft Entra ID para gerenciar os Métodos MFA. Há algumas maneiras de impedir que os usuários usem o Portal do usuário no MFA Server:
- Redirecionar a URL do portal do usuário do MFA Server para aka.ms/mfasetup
- Desmarque a caixa de seleção Permitir que os usuários façam login naguia Configurações na seção Portal do usuário do MFA Server para impedir que os usuários façam login no portal completamente.
Descomissionar o MFA Server
Quando você não precisar mais do servidor Azure MFA, siga suas práticas normais de substituição do servidor. Nenhuma ação especial é necessária no Microsoft Entra ID para indicar a desativação do MFA Server.
Plano de reversão
Se a atualização tiver problemas, siga estas etapas para reverter:
Desinstale o MFA Server 8.1.
Substitua PhoneFactor.pfdata pelo backup feito antes da atualização.
Nota
Quaisquer alterações desde que o backup foi feito serão perdidas, mas devem ser mínimas se o backup tiver sido feito antes da atualização e da atualização não terem sido bem-sucedidas.
Execute o instalador da versão anterior (por exemplo, 8.0.x.x).
Configure a ID do Microsoft Entra para aceitar solicitações de MFA para seu servidor de federação local. Use o Graph PowerShell para definir federatedIdpMfaBehavior como , conforme
enforceMfaByFederatedIdpmostrado no exemplo a seguir.Pedir
PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc Content-Type: application/json { "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }O objeto de resposta a seguir é encurtado para legibilidade.
Response
HTTP/1.1 200 OK Content-Type: application/json { "@odata.type": "#microsoft.graph.internalDomainFederation", "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc", "issuerUri": "http://contoso.com/adfs/services/trust", "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex", "signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI", "passiveSignInUri": "https://sts.contoso.com/adfs/ls", "preferredAuthenticationProtocol": "wsFed", "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed", "signOutUri": "https://sts.contoso.com/adfs/ls", "promptLoginBehavior": "nativeSupport", "isSignedAuthenticationRequestRequired": true, "nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI", "signingCertificateUpdateStatus": { "certificateUpdateResult": "Success", "lastRunDateTime": "2021-08-25T07:44:46.2616778Z" }, "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp" }
Defina a distribuição em etapas para o Azure MFA como Desativado. Os usuários serão novamente redirecionados para o servidor de federação local para MFA.
Próximos passos
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários