Configurar o Servidor Multi-Factor Authentication do Azure para trabalhar com o AD FS 2.0

Este artigo destina-se a organizações federadas com o Microsoft Entra ID e que pretendem proteger recursos no local ou na nuvem. Proteja os seus recursos através do Servidor Multi-Factor Authentication do Azure e configure-o para funcionar com o AD FS, para que a verificação em dois passos seja acionada para pontos finais de elevado valor.

Esta documentação abrange a utilização do Servidor Multi-Factor Authentication do Azure com o AD FS 2.0. Para obter informações sobre o AD FS, consulte Protegendo recursos locais e na nuvem usando o Servidor Azure Multi-Factor Authentication com o Windows Server.

Importante

Em setembro de 2022, a Microsoft anunciou a descontinuação do Azure Multi-Factor Authentication Server. A partir de 30 de setembro de 2024, as implantações do Servidor Azure Multi-Factor Authentication não atenderão mais às solicitações de autenticação multifator, o que pode fazer com que as autenticações falhem para sua organização. Para garantir serviços de autenticação ininterruptos e permanecer em um estado com suporte, as organizações devem migrar os dados de autenticação de seus usuários para o serviço de autenticação multifator Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização mais recente do Servidor Azure Multi-Factor Authentication. Para obter mais informações, consulte Migração do servidor Azure Multi-Factor Authentication.

Para começar a usar a MFA baseada em nuvem, consulte Tutorial: Eventos de entrada de usuário seguro com a autenticação multifator do Azure.

Se você usa MFA baseada em nuvem, consulte Protegendo recursos de nuvem com autenticação multifator do Azure e AD FS.

Os clientes existentes que ativaram o MFA Server antes de 1º de julho de 2019 podem baixar a versão mais recente, atualizações futuras e gerar credenciais de ativação como de costume.

Proteger o AD FS 2.0 com um proxy

Para proteger o AD FS 2.0 com um proxy, instale o Servidor Multi-Factor Authentication do Azure no servidor proxy do AD FS.

Configurar a autenticação do IIS

1. No Servidor Multi-Factor Authentication do Azure, clique no ícone Autenticação do IIS no menu da esquerda.

2. Clique no separador Baseado em Formulários.

3. Clique em Adicionar.

   

4. Para detetar automaticamente as variáveis de nome de usuário, senha e domínio, digite o URL de login (como https://sso.contoso.com/adfs/ls) na caixa de diálogo Configurar automaticamente o site baseado em formulário e clique em OK.

5. Marque a caixa Exigir correspondência de usuário de autenticação multifator do Azure se todos os usuários foram ou serão importados para o Servidor e sujeitos à verificação em duas etapas. Se um número significativo de usuários ainda não tiver sido importado para o Servidor e/ou estiver isento da verificação em duas etapas, deixe a caixa desmarcada.

6. Se as variáveis de página não puderem ser detetadas automaticamente, clique no botão Especificar manualmente... na caixa de diálogo Configurar automaticamente site baseado em formulário.

7. Na caixa de diálogo Adicionar Site Baseado em Formulário, insira a URL para a página de logon do AD FS no campo URL de Envio (como https://sso.contoso.com/adfs/ls) e insira um Nome do aplicativo (opcional). O nome do aplicativo aparece nos relatórios de autenticação multifator do Azure e pode ser exibido em mensagens de autenticação SMS ou Aplicativo Móvel.

8. Defina o formato do Pedido como POST ou GET.

9. Introduza a variável de Nome de Utilizador (ctl00$ContentPlaceHolder1$UsernameTextBox) e a variável de Palavra-passe (ctl00$ContentPlaceHolder1$PasswordTextBox). Se a página de início de sessão baseada em formulários apresentar uma caixa de texto do domínio, introduza também a variável de Domínio. para localizar os nomes das caixas de entrada na página de início de sessão num browser; clique com o botão direito do rato na página e selecione Ver Origem .

10. Marque a caixa Exigir correspondência de usuário de autenticação multifator do Azure se todos os usuários foram ou serão importados para o Servidor e sujeitos à verificação em duas etapas. Se um número significativo de usuários ainda não tiver sido importado para o Servidor e/ou estiver isento da verificação em duas etapas, deixe a caixa desmarcada.

    

11. Clique em Avançado... para revisar as configurações avançadas. As definições que pode configurar incluem:

    • Selecione um ficheiro de página de rejeição personalizado
    • Coloque em cache as autenticações bem-sucedidas para o Web site através de cookies
    • Selecione como pretende autenticar as credenciais primárias

12. Como não é provável que o servidor proxy do AD FS ingresse no domínio, você pode usar o LDAP para se conectar ao controlador de domínio para importação e pré-autenticação do usuário. Na caixa de diálogo Web site Baseado em Formulários Avançado, clique no separador Autenticação Primária e selecione Enlace de LDAP para o tipo de autenticação Pré-autenticação.

13. Quando terminar, clique em OK para regressar à caixa de diálogo Adicionar Web site Baseado em Formulários.

14. Clique em OK para fechar a caixa de diálogo.

15. Assim que as variáveis de URL e página forem detetadas ou introduzidas, os dados do site são apresentados no painel Baseado em Formulários.

16. Clique na guia Módulo Nativo e selecione o servidor, o site em que o proxy do AD FS está sendo executado (como "Site Padrão") ou o aplicativo proxy do AD FS (como "ls" em "adfs") para habilitar o plug-in do IIS no nível desejado.

17. Clique na caixa Ativar autenticação do IIS na parte superior do ecrã.

A autenticação do IIS está agora ativada.

Configurar a integração de diretórios

Ativou a autenticação do IIS, mas para executar a pré-autenticação para o Active Directory (AD) através de LDAP, tem de configurar a ligação LDAP para o controlador de domínio.

1. Clique no ícone Integração de Diretórios.

2. No separador Definições, selecione o botão de opção Utilizar configuração de LDAP específica.

   

3. Clique em Editar.

4. Na caixa de diálogo Editar Configuração de LDAP, preencha os campos com as informações necessárias para ligar ao controlador de domínio do AD.

5. Teste a ligação LDAP, clicando no botão Testar.

   

6. Se o teste de ligação LDAP for concluído com êxito, clique em OK.

Configurar definições da empresa

1. Em seguida, clique no ícone Definições da Empresa e selecione o separador Resolução de Nomes de Utilizador.
2. Selecione o botão de opção Utilizar o atributo de identificador exclusivo de LDAP para nomes de utilizador correspondentes.
3. Se os usuários inserirem seu nome de usuário no formato "domínio\nome de usuário", o servidor precisará ser capaz de remover o domínio do nome de usuário quando criar a consulta LDAP, o que pode ser feito por meio de uma configuração do Registro.
4. Abra o editor de registo e aceda a HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432Node/Positive Networks/PhoneFactor num servidor de 64 bits. Se você usar um servidor de 32 bits, remova /Wow6432Node do caminho. Crie uma chave de registo DWORD chamada "UsernameCxz_stripPrefixDomain" e defina o valor como 1. A autenticação multifator do Azure agora está protegendo o proxy do AD FS.

Verifique se os usuários são importados do Ative Directory para o servidor. Para permitir que os usuários ignorem a verificação em duas etapas de endereços IP internos, consulte IPs confiáveis.

AD FS 2.0 Direct sem proxy

Você pode proteger o AD FS quando o proxy do AD FS não é usado. Instale o Servidor Multi-Factor Authentication do Azure no servidor do AD FS e configure o Servidor de acordo com os seguintes passos:

1. No Servidor Multi-Factor Authentication do Azure, clique no ícone Autenticação do IIS no menu da esquerda.

2. Clique no separador HTTP.

3. Clique em Adicionar.

4. Na caixa de diálogo Adicionar URL Base, insira a URL do site do AD FS onde a autenticação HTTP é executada (como https://sso.domain.com/adfs/ls/auth/integrated) no campo URL Base. Em seguida, introduza um Nome da aplicação (opcional). O nome do aplicativo aparece nos relatórios de autenticação multifator do Azure e pode ser exibido em mensagens de autenticação SMS ou Aplicativo Móvel.

5. Se pretender, ajuste o Tempo limite de inatividade e os Tempos máximos de sessão.

6. Marque a caixa Exigir correspondência de usuário de autenticação multifator do Azure se todos os usuários foram ou serão importados para o Servidor e sujeitos à verificação em duas etapas. Se um número significativo de usuários ainda não tiver sido importado para o Servidor e/ou estiver isento da verificação em duas etapas, deixe a caixa desmarcada.

7. Selecione a caixa da cache de cookies, se pretender.

   

8. Clique em OK.

9. Clique na guia Módulo Nativo e selecione o servidor, o site (como "Site Padrão") ou o aplicativo AD FS (como "ls" em "adfs") para habilitar o plug-in do IIS no nível desejado.

10. Clique na caixa Ativar autenticação do IIS na parte superior do ecrã.

A autenticação multifator do Azure agora está protegendo o AD FS.

Certifique-se de que os utilizadores foram importados do Active Directory para o Servidor. Consulte a próxima seção se quiser permitir endereços IP internos para que a verificação em duas etapas não seja necessária ao entrar no site a partir desses locais.

IPs Fidedignos

Os IPs confiáveis permitem que os usuários ignorem a autenticação multifator do Azure para solicitações de site originadas de endereços IP ou sub-redes específicas. Por exemplo, pode querer excluir utilizadores da verificação em dois passos quando iniciam sessão a partir do escritório. Para tal, especifique a sub-rede do escritório como uma entrada de IPs Fidedignos.

Para configurar IPs fidedignos

1. Na secção Autenticação do IIS, clique no separador IPs Fidedignos.
2. Clique no botão Adicionar.
3. Quando for apresentada a caixa de diálogo Adicionar IPs Fidedignos, selecione o botão de opção IP único, Intervalo de IPs ou Sub-rede.
4. Insira o endereço IP, o intervalo de endereços IP ou a sub-rede que deve ser permitido. Se introduzir uma sub-rede, selecione a Máscara de rede adequada e clique no botão OK.