Partilhar via

Protegendo recursos de nuvem com autenticação multifator do Microsoft Entra e AD FS

  • Artigo

Se a sua organização estiver federada com o Microsoft Entra ID, use a autenticação multifator do Microsoft Entra ou os Serviços de Federação do Ative Directory (AD FS) para proteger os recursos acessados pelo Microsoft Entra ID. Use os procedimentos a seguir para proteger os recursos do Microsoft Entra com autenticação multifator do Microsoft Entra ou Serviços de Federação do Ative Directory.

Nota

Defina a configuração de domínio federatedIdpMfaBehavior como (recomendado) ou SupportsMFA como enforceMfaByFederatedIdp$True. A configuração federatedIdpMfaBehavior substitui SupportsMFA quando ambos são definidos.

Proteja os recursos do Microsoft Entra usando o AD FS

Para proteger o recurso da cloud, configure uma regra de afirmações para que os Serviços de Federação do Active Directory emitam a afirmação de autenticação múltipla quando um utilizador executar uma verificação de dois passos com êxito. Esta declaração é passada para o Microsoft Entra ID. Siga este procedimento para percorrer os passos:

  1. Abra a Gestão do AD FS.

  2. À esquerda, selecione Confianças de Entidades Confiadoras.

  3. Clique com o botão direito do rato na Plataforma de Identidade do Microsoft Office 365 e selecione Editar Regras de Afirmação.

    ADFS Console - Relying Party Trusts

  4. Em Regras de Transformação da Emissão, clique em Adicionar Regra.

    Editing Issuance Transform Rules

  5. No Assistente para Adicionar Regra de Afirmação de Transformação, selecione Passar ou Filtrar uma Afirmação de Entrada no menu pendente e clique em Seguinte.

    Screenshot shows Add Transform Claim Rule Wizard where you select a Claim rule template.

  6. Dê um nome à sua regra.

  7. Selecione Referências de Métodos de Autenticação como o tipo de Afirmação de entrada.

  8. Selecione Passar por todos os valores de afirmação.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass through all claim values.

  9. Clique em Concluir. Feche a consola de Gestão do AD FS.

IPs Fidedignos para utilizadores federados

Os IPs confiáveis permitem que os administradores ignorem a verificação em duas etapas para endereços IP específicos ou para usuários federados que têm solicitações originadas de sua própria intranet. As seções a seguir descrevem como configurar o bypass usando IPs confiáveis. Isto é feito ao configurar o AD FS para utilizar uma passagem ou filtrar um modelo de afirmação de entrada com o tipo de afirmação Dentro da Rede da Empresa.

Este exemplo usa o Microsoft 365 para nossas Relações de Confiança de Terceira Parte Confiável.

Configurar regras de afirmações do AD FS

A primeira coisa a fazer é configurar as afirmações do AD FS. Crie duas regras de afirmações, uma para o tipo de afirmação Dentro da Rede da Empresa e uma adicional para manter os utilizadores com sessão iniciada.

  1. Abra a Gestão do AD FS.

  2. À esquerda, selecione Confianças de Entidades Confiadoras.

  3. Clique com o botão direito do rato na Plataforma de Identidade do Microsoft Office 365 e selecione Editar Regras de Afirmação...

    ADFS Console - Edit Claim Rules

  4. Em Regras de Transformação da Emissão, clique em Adicionar Regra.

    Adding a Claim Rule

  5. No Assistente para Adicionar Regra de Afirmação de Transformação, selecione Passar ou Filtrar uma Afirmação de Entrada no menu pendente e clique em Seguinte.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass Through or Filter an Incoming Claim.

  6. Na caixa junto ao nome da regra de afirmação, atribua um nome à regra. Por exemplo: InsideCorpNet.

  7. No menu pendente, junto ao tipo de afirmação de entrada, selecione Dentro da Rede da Empresa.

    Adding Inside Corporate Network claim

  8. Clique em Concluir.

  9. Em Regras de Transformação da Emissão, clique em Adicionar Regra.

  10. No Assistente para Adicionar Regra de Afirmação de Transformação, selecione Enviar Afirmações Utilizando uma Regra Personalizada no menu pendente e clique em Seguinte.

  11. Na caixa em Nome da regra de afirmação, introduza Manter Utilizadores com Sessão Iniciada.

  12. Na caixa Regra personalizada, introduza:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Create custom claim to keep users signed in

  13. Clique em Concluir.

  14. Clique em Aplicar.

  15. Clique em OK.

  16. Feche a Gestão do AD FS.

Configurar IPs confiáveis de autenticação multifator do Microsoft Entra com usuários federados

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Agora que as afirmações estão implementadas, podemos configurar os IPs fidedignos.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Locais nomeados de acesso>condicional.

  3. Na folha Acesso condicional - locais nomeados, selecione Configurar IPs confiáveis de MFA

    Microsoft Entra Conditional Access named locations Configure MFA trusted IPs

  4. Na página Configurações do Serviço, em IPs confiáveis, selecione Ignorar autenticação multifator para solicitações de usuários federados na minha intranet.

  5. Clique em Guardar.

Está feito! Neste ponto, os usuários federados do Microsoft 365 só devem ter que usar MFA quando uma declaração se origina de fora da intranet corporativa.