Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As organizações estão sofrendo ataques que tentam forçar a força, comprometer ou bloquear contas de usuário enviando solicitações de autenticação baseadas em senha. Para ajudar a proteger as organizações contra comprometimento, o AD FS introduziu recursos como bloqueio "inteligente" de extranet e bloqueio baseado em endereço IP.
No entanto, essas mitigações são reativas. Para fornecer uma maneira proativa, para reduzir a gravidade desses ataques, o AD FS tem a capacidade de solicitar outros fatores antes de coletar a senha.
Por exemplo, o AD FS 2016 introduziu a autenticação multifator Microsoft Entra como autenticação primária para que os códigos OTP do Aplicativo Autenticador pudessem ser usados como o primeiro fator. A partir do AD FS 2019, você pode configurar provedores de autenticação externos como fatores de autenticação primários.
Há dois cenários principais que isso permite:
Cenário 1: proteger a palavra-passe
Proteja o login baseado em senha contra ataques de força bruta e bloqueios, solicitando primeiro um fator externo adicional. Um prompt de senha só é visto quando a autenticação externa é concluída com êxito. Isso elimina uma maneira conveniente como os invasores têm tentado comprometer ou desativar contas.
Este cenário consiste em dois componentes:
- Solicitar autenticação multifator do Microsoft Entra (disponível no AD FS 2016 em diante) ou um fator de autenticação externo como método de autenticação primário
- Nome de utilizador e palavra-passe como autenticação adicional no AD FS
Cenário 2: sem palavra-passe
Elimine totalmente as senhas, mas conclua uma autenticação forte e multifator usando métodos totalmente não baseados em senha no AD FS
- Autenticação multifator Microsoft Entra com aplicação Authenticator
- Windows 10 Olá para Empresas
- Autenticação de certificados
- Provedores de autenticação externos
Concepts
O que a autenticação primária realmente significa é que é o método para o qual o usuário é solicitado primeiro, antes de fatores adicionais. Anteriormente, os únicos métodos primários disponíveis no AD FS eram os métodos incorporados para autenticação multifator do Active Directory ou do Microsoft Entra, ou outros armazenamentos de autenticação LDAP. Os métodos externos podem ser configurados como autenticação "adicional", que ocorre após a conclusão bem-sucedida da autenticação primária.
No AD FS 2019, a autenticação externa como recurso principal significa que todos os provedores de autenticação externos registrados no farm do AD FS (usando Register-AdfsAuthenticationProvider) ficam disponíveis para autenticação primária e autenticação "adicional". Eles podem ser habilitados da mesma forma que os provedores internos, como Autenticação de Formulários e Autenticação de Certificado, para uso na intranet e/ou extranet.
Quando um provedor externo é habilitado para extranet, intranet ou ambos, ele fica disponível para uso dos usuários. Se mais de um método estiver habilitado, os usuários verão uma página de escolha e poderão escolher um método primário, assim como fazem para autenticação adicional.
Prerequisites
Antes de configurar provedores de autenticação externos como primários, verifique se você tem os seguintes pré-requisitos em vigor.
- O nível de comportamento do farm do AD FS (FBL) foi aumentado para '4' (esse valor se traduz em AD FS 2019.)
- Este é o valor FBL padrão para novos farms do AD FS 2019.
- Para farms do AD FS baseados no Windows Server 2012 R2 ou 2016, o FBL pode ser elevado usando o cmdlet do PowerShell Invoke-AdfsFarmBehaviorLevelRaise. Para obter mais informações sobre como atualizar um farm do AD FS, consulte o artigo de atualização do farm para farms SQL ou WID
- Você pode verificar o valor FBL usando o cmdlet Get-AdfsFarmInformation.
- O farm do AD FS 2019 está configurado para usar as novas páginas voltadas para o usuário 'paginadas' de 2019.
- Esse é o comportamento padrão para novos farms do AD FS 2019.
- Para farms do AD FS atualizados do Windows Server 2012 R2 ou 2016, os fluxos paginados são habilitados automaticamente quando a autenticação externa como principal (o recurso descrito neste documento) é habilitada, conforme descrito na próxima seção deste artigo.
Habilitar métodos de autenticação externa como principal
Depois de verificar os pré-requisitos, há duas maneiras de configurar os provedores de autenticação adicionais do AD FS como primários: PowerShell ou o console de Gerenciamento do AD FS.
Usando o PowerShell
PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true
O serviço AD FS deve ser reiniciado após habilitar ou desabilitar a autenticação adicional como principal.
Usando o console de Gerenciamento do AD FS
No console de Gerenciamento do AD FS, em Métodos de >, em Métodos de Autenticação Primária, selecione Editar
Marque a caixa de seleção Permitir provedores de autenticação adicionais como principal.
O serviço AD FS deve ser reiniciado após habilitar ou desabilitar a autenticação adicional como principal.
Habilitar nome de usuário e senha como autenticação adicional
Para concluir o cenário "proteger a senha", habilite o nome de usuário e a senha como autenticação adicional usando o PowerShell ou o console de Gerenciamento do AD FS. São fornecidos exemplos para ambos os métodos.
Habilitar nome de usuário e senha como autenticação adicional usando o PowerShell
PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider
PS C:\>$providers = $providers + "FormsAuthentication"
PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers
Habilitar nome de usuário e senha como autenticação adicional usando o console de Gerenciamento do AD FS
No console de Gerenciamento do AD FS, em Métodos de >, em Métodos de Autenticação Adicionais, selecione Editar
Marque a caixa de seleção Autenticação de formulários para habilitar nome de usuário e senha como autenticação adicional.