Partilhar via


Atualização para o Servidor Multi-Factor Authentication do Azure mais recente

Este artigo orienta você pelo processo de atualização do Azure Multi-Factor Authentication Server v6.0 ou superior. Se você precisar atualizar uma versão antiga do PhoneFactor Agent, consulte Atualizar o PhoneFactor Agent para o Servidor Azure Multi-Factor Authentication.

Se você estiver atualizando da v6.x ou anterior para a v7.x ou mais recente, todos os componentes serão alterados do .NET 2.0 para o .NET 4.5. Todos os componentes também requerem o Microsoft Visual C++ 2015 Redistributable Update 1 ou superior. O instalador do MFA Server instala as versões x86 e x64 desses componentes se ainda não estiverem instalados. Se o Portal do Usuário e o Serviço Web de Aplicativo Móvel forem executados em servidores separados, você precisará instalar esses pacotes antes de atualizar esses componentes. Você pode procurar a atualização mais recente do Microsoft Visual C++ 2015 Redistributable no Centro de Download da Microsoft.

Importante

Em setembro de 2022, a Microsoft anunciou a descontinuação do Azure Multi-Factor Authentication Server. A partir de 30 de setembro de 2024, as implantações do Servidor Azure Multi-Factor Authentication não atenderão mais às solicitações de autenticação multifator, o que pode fazer com que as autenticações falhem para sua organização. Para garantir serviços de autenticação ininterruptos e permanecer em um estado com suporte, as organizações devem migrar os dados de autenticação de seus usuários para o serviço Azure MFA baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização mais recente do Azure MFA Server. Para obter mais informações, consulte Migração do Azure MFA Server.

Para começar a usar o MFA baseado em nuvem, consulte Tutorial: Eventos de entrada de usuário seguro com a autenticação multifator do Microsoft Entra.

Resumo das etapas de atualização:

  • Atualizar Servidores Azure MFA (Subordinados e Primários)
  • Atualizar as instâncias do Portal do Usuário
  • Atualizar as instâncias do Adaptador AD FS

Atualizar o Azure MFA Server

  1. Use as instruções em Baixar o Servidor Azure Multi-Factor Authentication para obter a versão mais recente do instalador do Azure MFA Server.

  2. Faça um backup do arquivo de dados do MFA Server localizado em C:\Program Files\Multi-Factor Authentication Server\Data\PhoneFactor.pfdata (assumindo o local de instalação padrão) no seu MFA Server primário.

  3. Se você executar vários servidores para alta disponibilidade, altere os sistemas cliente que se autenticam no MFA Server para que eles parem de enviar tráfego para os servidores que estão atualizando. Se você usar um balanceador de carga, remova um MFA Server subordinado do balanceador de carga, faça a atualização e adicione o servidor novamente ao farm.

  4. Execute o novo instalador em cada MFA Server. Atualize os servidores subordinados primeiro porque eles podem ler o arquivo de dados antigo que está sendo replicado pelo primário.

    Nota

    Ao atualizar um servidor, ele deve ser removido de qualquer balanceamento de carga ou compartilhamento de tráfego com outros servidores MFA.

    Não é necessário desinstalar o MFA Server atual antes de executar o instalador. O instalador executa uma atualização in-loco. O caminho de instalação é retirado do registo da instalação anterior, pelo que é instalado na mesma localização (por exemplo, C:\Program Files\Multi-Factor Authentication Server).

  5. Se você for solicitado a instalar um pacote de atualização do Microsoft Visual C++ 2015 Redistributable, aceite o prompt. As versões x86 e x64 do pacote estão instaladas.

  6. Se você usar o SDK do Serviço Web, será solicitado a instalar o novo SDK do Serviço Web. Ao instalar o novo SDK do serviço Web, verifique se o nome do diretório virtual corresponde ao diretório virtual instalado anteriormente (por exemplo, MultiFactorAuthWebServiceSdk).

  7. Repita as etapas em todos os servidores subordinados. Promova um dos subordinados para ser o novo primário e, em seguida, atualize o servidor primário antigo.

Atualizar o Portal do Usuário

Conclua a atualização dos seus Servidores MFA antes de passar para esta seção.

  1. Faça um backup do arquivo web.config que está no diretório virtual do local de instalação do Portal do Usuário (por exemplo, C:\inetpub\wwwroot\MultiFactorAuth). Se alguma alteração foi feita no tema padrão, faça um backup da pasta App_Themes\Default também. É melhor criar uma cópia da pasta Padrão e criar um novo tema do que alterar o tema Padrão.

  2. Se o Portal do Usuário for executado no mesmo servidor que os outros componentes do MFA Server, a instalação do MFA Server solicitará que você atualize o Portal do Usuário. Aceite o prompt e instale a atualização do Portal do Usuário. Verifique se o nome do diretório virtual corresponde ao diretório virtual instalado anteriormente (por exemplo, MultiFactorAuth).

  3. Se o Portal do Usuário estiver em seu próprio servidor, copie o arquivo MultiFactorAuthenticationUserPortalSetup64.msi do local de instalação de um dos Servidores MFA e coloque-o no servidor Web do Portal do Usuário. Execute o instalador.

    Se ocorrer um erro informando "Microsoft Visual C++ 2015 Redistributable Update 1 ou superior é necessário", baixe e instale o pacote de atualização mais recente do Centro de Download da Microsoft. Instale as versões x86 e x64.

  4. Depois que o software atualizado do Portal do Usuário for instalado, compare o backup web.config feito na etapa 1 com o novo arquivo web.config. Se não existirem novos atributos no novo web.config, copie o backup web.config para o diretório virtual para substituir o novo. Outra opção é copiar/colar os valores appSettings e a URL do SDK do serviço Web do arquivo de backup para o novo web.config.

Se você tiver o Portal do Usuário em vários servidores, repita a instalação em todos eles.

Atualizar o Serviço Web de Aplicativo Móvel

Nota

Ao atualizar de uma versão do Azure MFA Server anterior a 8.0 para 8.0+, o serviço Web de aplicativo móvel pode ser desinstalado após a atualização

Atualizar os adaptadores do AD FS

Conclua a atualização dos seus Servidores MFA e Portal do Usuário antes de passar para esta seção.

Se o MFA for executado em servidores diferentes do AD FS

Estas instruções só se aplicam se executar o Servidor Multi-Factor Authentication separadamente dos servidores AD FS. Se ambos os serviços forem executados nos mesmos servidores, ignore esta seção e vá para as etapas de instalação.

  1. Salve uma cópia do arquivo MultiFactorAuthenticationAdfsAdapter.config que foi registrado no AD FS ou exporte a configuração usando o seguinte comando do PowerShell: Export-AdfsAuthenticationProviderConfigurationData -Name [adapter name] -FilePath [path to config file]. O nome do adaptador é "WindowsAzureMultiFactorAuthentication" ou "AzureMfaServerAuthentication", dependendo da versão instalada anteriormente.

  2. Copie os seguintes arquivos do local de instalação do MFA Server para os servidores AD FS:

    • MultiFactorAuthenticationAdfsAdapterSetup64.msi
    • Register-MultiFactorAuthenticationAdfsAdapter.ps1
    • Unregister-MultiFactorAuthenticationAdfsAdapter.ps1
    • MultiFactorAuthenticationAdfsAdapter.config
  3. Edite o script Register-MultiFactorAuthenticationAdfsAdapter.ps1 adicionando -ConfigurationFilePath [path] ao final do Register-AdfsAuthenticationProvider comando. Substitua [path] pelo caminho completo para o arquivo MultiFactorAuthenticationAdfsAdapter.config ou o arquivo de configuração exportado na etapa anterior.

    Verifique os atributos no novo MultiFactorAuthenticationAdfsAdapter.config para ver se eles correspondem ao arquivo de configuração antigo. Se algum atributo tiver sido adicionado ou removido na nova versão, copie os valores de atributo do arquivo de configuração antigo para o novo ou modifique o arquivo de configuração antigo para corresponder.

Instalar novos adaptadores do AD FS

Importante

Seus usuários não serão obrigados a executar a verificação em duas etapas durante as etapas 3 a 8 desta seção. Se você tiver o AD FS configurado em vários clusters, poderá remover, atualizar e restaurar cada cluster no farm independentemente dos outros clusters para evitar tempo de inatividade.

  1. Remova alguns servidores AD FS do farm. Atualize esses servidores enquanto os outros ainda estão em execução.

  2. Instale o novo adaptador do AD FS em cada servidor removido do farm do AD FS. Se o Servidor MFA estiver instalado em cada servidor AD FS, você poderá atualizar por meio da UX de administração do Servidor MFA. Caso contrário, atualize executando MultiFactorAuthenticationAdfsAdapterSetup64.msi.

    Se ocorrer um erro informando "Microsoft Visual C++ 2015 Redistributable Update 1 ou superior é necessário", baixe e instale o pacote de atualização mais recente do Centro de Download da Microsoft. Instale as versões x86 e x64.

  3. Vá para Políticas>de Autenticação do AD FS>Editar Política Global de Autenticação Multifator. Desmarque WindowsAzureMultiFactorAuthentication ou AzureMFAServerAuthentication (dependendo da versão atual instalada).

    Quando esta etapa estiver concluída, a verificação em duas etapas por meio do Servidor MFA não estará disponível neste cluster do AD FS até que você conclua a etapa 8.

  4. Cancele o registro da versão mais antiga do adaptador AD FS executando o script Unregister-MultiFactorAuthenticationAdfsAdapter.ps1 PowerShell. Verifique se o parâmetro -Name ("WindowsAzureMultiFactorAuthentication" ou "AzureMFAServerAuthentication") corresponde ao nome exibido na etapa 3. Isso se aplica a todos os servidores no mesmo cluster do AD FS, pois há uma configuração central.

  5. Registre o novo adaptador AD FS executando o script PowerShell Register-MultiFactorAuthenticationAdfsAdapter.ps1. Isso se aplica a todos os servidores no mesmo cluster do AD FS, pois há uma configuração central.

  6. Reinicie o serviço AD FS em cada servidor removido do farm do AD FS.

  7. Adicione os servidores atualizados de volta ao farm do AD FS e remova os outros servidores do farm.

  8. Vá para Políticas>de Autenticação do AD FS>Editar Política Global de Autenticação Multifator. Verifique AzureMfaServerAuthentication.

  9. Repita a etapa 2 para atualizar os servidores agora removidos do farm do AD FS e reinicie o serviço AD FS nesses servidores.

  10. Adicione esses servidores novamente ao farm do AD FS.

Próximos passos