Migrar do MFA Server para a autenticação multifator do Microsoft Entra
A autenticação multifator é importante para proteger sua infraestrutura e seus ativos contra agentes mal-intencionados. O Servidor Azure Multi-Factor Authentication (MFA Server) não está disponível para novas implantações e será preterido. Os clientes que estão usando o MFA Server devem passar a usar a autenticação multifator Microsoft Entra baseada em nuvem.
Neste artigo, assumimos que você tem um ambiente híbrido onde:
- Você está usando o MFA Server para autenticação multifator.
- Você está usando a federação no Microsoft Entra ID com os Serviços de Federação do Ative Directory (AD FS) ou outro produto de federação do provedor de identidade.
- Embora este artigo tenha como escopo o AD FS, etapas semelhantes se aplicam a outros provedores de identidade.
- O Servidor MFA está integrado com o AD FS.
- Você pode ter aplicativos usando o AD FS para autenticação.
Há vários estados finais possíveis para sua migração, dependendo do seu objetivo.
| Objetivo: Descomissionar o servidor MFA APENAS | Objetivo: Descomissionar o MFA Server e mudar para a autenticação do Microsoft Entra | Meta: Descomissionar o Servidor MFA e o AD FS | |
|---|---|---|---|
| Provedor de MFA | Altere o provedor MFA do MFA Server para a autenticação multifator Microsoft Entra. | Altere o provedor MFA do MFA Server para a autenticação multifator Microsoft Entra. | Altere o provedor MFA do MFA Server para a autenticação multifator Microsoft Entra. |
| Autenticação do utilizador | Continue a usar a federação para autenticação do Microsoft Entra. | Mude para o ID do Microsoft Entra com Sincronização de Hash de Senha (preferencial) ou Autenticação de Passagem e Logon único contínuo (SSO). | Mude para o ID do Microsoft Entra com Sincronização de Hash de Senha (preferencial) ou Autenticação de Passagem e SSO. |
| Autenticação de aplicação | Continue a usar a autenticação do AD FS para seus aplicativos. | Continue a usar a autenticação do AD FS para seus aplicativos. | Mova aplicativos para o Microsoft Entra ID antes de migrar para a autenticação multifator do Microsoft Entra. |
Se puder, mova a autenticação multifator e a autenticação de usuário para o Azure. Para obter orientação passo a passo, consulte Movendo-se para a autenticação multifator do Microsoft Entra e a autenticação de usuário do Microsoft Entra.
Se não conseguir mover a autenticação do utilizador, consulte as orientações passo-a-passo para Mudar para a autenticação multifator do Microsoft Entra com federação.
Pré-requisitos
- Ambiente do AD FS (necessário se você não estiver migrando todos os seus aplicativos para o Microsoft Entra antes de migrar o Servidor MFA)
- Atualize para o AD FS para Windows Server 2019, Nível de comportamento do farm (FBL) 4. Essa atualização permite que você selecione o provedor de autenticação com base na associação ao grupo para uma transição de usuário mais perfeita. Embora seja possível migrar enquanto estiver no AD FS para Windows Server 2016 FBL 3, não é tão fácil para os usuários. Durante a migração, os usuários são solicitados a selecionar um provedor de autenticação (MFA Server ou Microsoft Entra multifactor authentication) até que a migração seja concluída.
- Permissões
- Função de administrador corporativo no Ative Directory para configurar o farm do AD FS para autenticação multifator do Microsoft Entra
- Função de administrador global no Microsoft Entra ID para configurar o Microsoft Entra ID usando o PowerShell
Considerações para todos os caminhos de migração
A migração do MFA Server para a autenticação multifator Microsoft Entra envolve mais do que apenas mover os números de telefone MFA registrados. O servidor MFA da Microsoft pode ser integrado com muitos sistemas, e você deve avaliar como esses sistemas estão usando o MFA Server para entender as melhores maneiras de integrar com a autenticação multifator Microsoft Entra.
Migrando informações de usuário de MFA
Maneiras comuns de pensar em mover usuários em lotes incluem movê-los por regiões, departamentos ou funções, como administradores. Você deve mover as contas de usuário iterativamente, começando com grupos de teste e piloto, e certificar-se de ter um plano de reversão em vigor.
Você pode usar o Utilitário de Migração do Servidor MFA para sincronizar dados de MFA armazenados no Servidor Azure MFA local com a autenticação multifator do Microsoft Entra e usar a Distribuição em Estágios para redirecionar os usuários para o Azure MFA. A Distribuição em Estágios ajuda você a testar sem fazer alterações nas configurações de federação do domínio.
Para ajudar os usuários a diferenciar a conta recém-adicionada da conta antiga vinculada ao Servidor MFA, verifique se o nome da Conta para o Aplicativo Móvel no Servidor MFA está nomeado de forma a distinguir as duas contas. Por exemplo, o nome da conta que aparece em Aplicativo móvel no servidor MFA foi renomeado para servidor MFA local. O nome da conta no Microsoft Authenticator será alterado com a próxima notificação por push ao usuário.
A migração de números de telefone também pode levar à migração de números obsoletos e tornar os usuários mais propensos a permanecer no MFA baseado em telefone, em vez de configurar métodos mais seguros, como o Microsoft Authenticator, no modo sem senha. Portanto, recomendamos que, independentemente do caminho de migração escolhido, que todos os usuários se registrem para obter informações de segurança combinadas.
Migrando chaves de segurança de hardware
O Microsoft Entra ID fornece suporte para tokens de hardware OATH. Você pode usar o Utilitário de Migração do Servidor MFA para sincronizar as configurações de MFA entre o Servidor MFA e a autenticação multifator do Microsoft Entra e usar a Distribuição em Estágios para testar migrações de usuários sem alterar as configurações de federação de domínio.
Se você quiser migrar apenas tokens de hardware OATH, precisará carregar tokens para o Microsoft Entra ID usando um arquivo CSV, comumente chamado de "arquivo semente". O arquivo seed contém as chaves secretas, números de série do token e outras informações necessárias para carregar os tokens no Microsoft Entra ID.
Se você não tiver mais o arquivo seed com as chaves secretas, não será possível exportar as chaves secretas do MFA Server. Se você não tiver mais acesso às chaves secretas, entre em contato com o fornecedor do hardware para obter suporte.
O SDK do MFA Server Web Service pode ser usado para exportar o número de série de quaisquer tokens OATH atribuídos a um determinado usuário. Você pode usar essas informações junto com o arquivo seed para importar os tokens para o Microsoft Entra ID e atribuir o token OATH ao usuário especificado com base no número de série. O usuário também precisará ser contatado no momento da importação para fornecer informações OTP do dispositivo para concluir o registro. Consulte o tópico do arquivo de ajuda GetUserInfo>userSettings>OathTokenSerialNumber no Multi-Factor Authentication Server no seu MFA Server.
Mais migrações
A decisão de migrar do MFA Server para a autenticação multifator Microsoft Entra abre as portas para outras migrações. A conclusão de mais migrações depende de muitos fatores, incluindo, especificamente:
- Sua vontade de usar a autenticação do Microsoft Entra para usuários
- A sua vontade de mover as suas aplicações para o Microsoft Entra ID
Como o Servidor MFA é parte integrante da autenticação de aplicativos e usuários, considere mover ambas as funções para o Azure como parte de sua migração de MFA e, eventualmente, encerrar o AD FS.
As nossas recomendações:
- Use o Microsoft Entra ID para autenticação, pois ele permite segurança e governança mais robustas
- Mova aplicativos para o Microsoft Entra ID, se possível
Para selecionar o melhor método de autenticação de usuário para sua organização, consulte Escolha o método de autenticação certo para sua solução de identidade híbrida do Microsoft Entra. Recomendamos que você use a Sincronização de Hash de Senha (PHS).
Autenticação sem palavra-passe
Como parte do registro de usuários para usar o Microsoft Authenticator como um segundo fator, recomendamos que você habilite a entrada por telefone sem senha como parte de seu registro. Para obter mais informações, incluindo outros métodos sem senha, como chaves de segurança FIDO2 e Windows Hello for Business, visite Planejar uma implantação de autenticação sem senha com o Microsoft Entra ID.
Redefinição de senha de autoatendimento do Microsoft Identity Manager
Microsoft Identity Manager (MIM) SSPR pode usar o MFA Server para invocar códigos de acesso SMS de uso único como parte do fluxo de redefinição de senha. O MIM não pode ser configurado para usar a autenticação multifator do Microsoft Entra. Recomendamos que você avalie a mudança do serviço SSPR para o Microsoft Entra SSPR. Você pode usar a oportunidade de usuários se registrando para autenticação multifator Microsoft Entra para usar a experiência de registro combinado para se registrar no Microsoft Entra SSPR.
Se você não puder mover seu serviço SSPR ou aproveitar o MFA Server para invocar solicitações de MFA para cenários de Gerenciamento de Acesso Privilegiado (PAM), recomendamos que você atualize para uma opção alternativa de MFA de 3ª parte.
Clientes RADIUS e autenticação multifator Microsoft Entra
O MFA Server suporta RADIUS para invocar a autenticação multifator para aplicativos e dispositivos de rede que suportam o protocolo. Se você estiver usando RADIUS com MFA Server, recomendamos mover aplicativos cliente para protocolos modernos, como SAML, OpenID Connect ou OAuth no Microsoft Entra ID. Se o aplicativo não puder ser atualizado, você poderá implantar o NPS (Servidor de Diretivas de Rede) com a extensão de autenticação multifator do Microsoft Entra. A extensão do servidor de diretivas de rede (NPS) atua como um adaptador entre aplicativos baseados em RADIUS e a autenticação multifator do Microsoft Entra para fornecer um segundo fator de autenticação. Este "adaptador" permite-lhe mover os seus clientes RADIUS para a autenticação multifator Microsoft Entra e encerrar o seu MFA Server.
Considerações importantes
Há limitações ao usar o NPS para clientes RADIUS, e recomendamos avaliar qualquer cliente RADIUS para determinar se você pode atualizá-los para protocolos de autenticação modernos. Consulte o fornecedor de serviços para obter informações sobre as versões suportadas do produto e as respetivas capacidades.
- A extensão NPS não usa políticas de Acesso Condicional do Microsoft Entra. Se você permanecer com o RADIUS e usar a extensão NPS, todas as solicitações de autenticação destinadas ao NPS exigirão que o usuário execute MFA.
- Os usuários devem se registrar para autenticação multifator do Microsoft Entra antes de usar a extensão NPS. Caso contrário, a extensão não consegue autenticar o usuário, o que pode gerar chamadas de suporte técnico.
- Quando a extensão NPS invoca MFA, a solicitação MFA é enviada para o método MFA padrão do usuário.
- Como a entrada acontece em aplicativos que não são da Microsoft, o usuário muitas vezes não consegue ver a notificação visual de que a autenticação multifator é necessária e que uma solicitação foi enviada para seu dispositivo.
- Durante o requisito de autenticação multifator, o usuário deve ter acesso ao seu método de autenticação padrão para concluir o requisito. Eles não podem escolher um método alternativo. Seu método de autenticação padrão será usado mesmo se estiver desabilitado nos métodos de autenticação de locatário e nas políticas de autenticação multifator.
- Os usuários podem alterar seu método padrão de autenticação multifator na página Informações de Segurança (aka.ms/mysecurityinfo).
- Os métodos MFA disponíveis para clientes RADIUS são controlados pelos sistemas clientes que enviam as solicitações de acesso RADIUS.
- Os métodos de MFA que exigem a entrada do usuário depois que ele insere uma senha só podem ser usados com sistemas que suportam respostas de desafio de acesso com RADIUS. Os métodos de entrada podem incluir OTP, tokens OATH de hardware ou Microsoft Authenticator.
- Alguns sistemas podem limitar os métodos de autenticação multifator disponíveis para notificações por push e chamadas telefônicas do Microsoft Authenticator.
Nota
O algoritmo de criptografia de senha usado entre o cliente RADIUS e o sistema NPS e os métodos de entrada que o cliente pode usar afetam quais métodos de autenticação estão disponíveis. Para obter mais informações, consulte Determinar quais métodos de autenticação seus usuários podem usar.
As integrações comuns de clientes RADIUS incluem aplicativos como gateways de área de trabalho remota e servidores VPN. Outros podem incluir:
- Citrix Gateway
- O Citrix Gateway suporta integração de extensão RADIUS e NPS e uma integração SAML.
- Cisco VPN
- A Cisco VPN suporta autenticação RADIUS e SAML para SSO.
- Ao passar da autenticação RADIUS para SAML, você pode integrar a Cisco VPN sem implantar a extensão NPS.
- Todas as VPNs
- Recomendamos federar sua VPN como um aplicativo SAML, se possível. Essa federação permitirá que você use o Acesso Condicional. Para obter mais informações, consulte uma lista de fornecedores de VPN integrados na galeria de aplicativos do Microsoft Entra ID .
Recursos para implantação do NPS
- Adicionando nova infraestrutura NPS
- Práticas recomendadas de implantação do NPS
- Script de verificação de integridade da extensão NPS de autenticação multifator do Microsoft Entra
- Integrando a infraestrutura NPS existente com a autenticação multifator do Microsoft Entra