Planejar uma implantação de autenticação multifator do Microsoft Entra
A autenticação multifator Microsoft Entra ajuda a proteger o acesso a dados e aplicativos, fornecendo outra camada de segurança usando uma segunda forma de autenticação. As organizações podem habilitar a autenticação multifator com Acesso Condicional para fazer com que a solução atenda às suas necessidades específicas.
Este guia de implantação mostra como planejar e implementar uma implantação de autenticação multifator do Microsoft Entra.
Pré-requisitos para implantar a autenticação multifator do Microsoft Entra
Antes de começar a implantação, certifique-se de atender aos seguintes pré-requisitos para seus cenários relevantes.
| Cenário | Pré-requisito |
|---|---|
| Ambiente de identidade somente na nuvem com autenticação moderna | Sem tarefas de pré-requisito |
| Cenários de identidade híbrida | Implante o Microsoft Entra Connect e sincronize identidades de usuário entre os Serviços de Domínio Ative Directory (AD DS) locais e a ID do Microsoft Entra. |
| Aplicativos herdados locais publicados para acesso à nuvem | Implantar proxy de aplicativo Microsoft Entra |
Escolher métodos de autenticação para MFA
Há muitos métodos que podem ser usados para uma autenticação de segundo fator. Você pode escolher na lista de métodos de autenticação disponíveis, avaliando cada um em termos de segurança, usabilidade e disponibilidade.
Importante
Habilite mais de um método MFA para que os usuários tenham um método de backup disponível caso seu método principal não esteja disponível. Os métodos incluem:
- Windows Hello para empresas
- Aplicação Microsoft Authenticator
- Chave de segurança FIDO2
- Tokens de hardware OATH (visualização)
- Tokens de software OATH
- Verificação por SMS
- Verificação de chamadas de voz
Ao escolher métodos de autenticação que serão usados em seu locatário, considere a segurança e usabilidade desses métodos:
Para saber mais sobre a força e a segurança desses métodos e como eles funcionam, consulte os seguintes recursos:
- Que métodos de autenticação e verificação estão disponíveis no Microsoft Entra ID?
- Vídeo: Escolha os métodos de autenticação certos para manter sua organização segura
Você pode usar esse script do PowerShell para analisar as configurações de MFA dos usuários e sugerir o método de autenticação de MFA apropriado.
Para obter a melhor flexibilidade e usabilidade, use o aplicativo Microsoft Authenticator. Esse método de autenticação fornece a melhor experiência do usuário e vários modos, como sem senha, notificações por push MFA e códigos OATH. O aplicativo Microsoft Authenticator também atende aos requisitos de Nível 2 de Garantia do Autenticador do National Institute of Standards and Technology (NIST).
Você pode controlar os métodos de autenticação disponíveis em seu locatário. Por exemplo, você pode querer bloquear alguns dos métodos menos seguros, como o SMS.
| Método de autenticação | Gerir a partir de | Âmbito |
|---|---|---|
| Microsoft Authenticator (Notificação por push e entrada por telefone sem senha) | Configurações de MFA ou política de métodos de autenticação | O login do telefone sem senha do autenticador pode ter escopo para usuários e grupos |
| Chave de segurança FIDO2 | Política de métodos de autenticação | Pode ter escopo para usuários e grupos |
| Tokens OATH de software ou hardware | Configurações de MFA | |
| Verificação por SMS | Configurações de MFA Gerir o início de sessão por SMS para autenticação principal na política de autenticação |
O login por SMS pode ter como escopo usuários e grupos. |
| Chamadas de voz | Política de métodos de autenticação |
Planejar políticas de Acesso Condicional
A autenticação multifator do Microsoft Entra é imposta com políticas de Acesso Condicional. Essas políticas permitem que você solicite MFA aos usuários quando necessário para segurança e fique fora do caminho dos usuários quando não for necessário.
No centro de administração do Microsoft Entra, você configura as políticas de Acesso Condicional em Acesso Condicional de Proteção>.
Para saber mais sobre como criar políticas de Acesso Condicional, consulte Política de Acesso Condicional para solicitar a autenticação multifator do Microsoft Entra quando um usuário entrar. Isto ajuda-o a:
- Familiarize-se com a interface do usuário
- Tenha uma primeira impressão de como funciona o Acesso Condicional
Para obter orientação completa sobre a implantação do Acesso Condicional do Microsoft Entra, consulte o plano de implantação do Acesso Condicional.
Políticas comuns para autenticação multifator do Microsoft Entra
Os casos de uso comuns para exigir a autenticação multifator do Microsoft Entra incluem:
- Para administradores
- Para aplicações específicas
- Para todos os utilizadores
- Para gerenciamento do Azure
- A partir de localizações de rede em que não confia
Localizações com nome
Para gerir as suas políticas de Acesso Condicional, a condição de localização de uma política de Acesso Condicional permite-lhe associar as definições de controlos de acesso às localizações de rede dos seus utilizadores. Recomendamos o uso de Locais Nomeados para que você possa criar agrupamentos lógicos de intervalos de endereços IP ou países e regiões. Isso cria uma política para todos os aplicativos que bloqueia o login a partir desse local nomeado. Certifique-se de isentar os administradores desta política.
Políticas baseadas no risco
Se sua organização usa o Microsoft Entra ID Protection para detetar sinais de risco, considere usar políticas baseadas em risco em vez de locais nomeados. As políticas podem ser criadas para forçar alterações de senha quando há uma ameaça de identidade comprometida ou exigir MFA quando um login é considerado em risco , como credenciais vazadas, entradas de endereços IP anônimos e muito mais.
As políticas de risco incluem:
- Exigir que todos os usuários se registrem para autenticação multifator do Microsoft Entra
- Exigir uma alteração de senha para usuários de alto risco
- Exigir MFA para usuários com risco de login médio ou alto
Converter usuários de MFA por usuário para MFA baseada em Acesso Condicional
Se seus usuários foram habilitados usando MFA por usuário habilitada e imposta autenticação multifator do Microsoft Entra, recomendamos que você habilite o Acesso Condicional para todos os usuários e, em seguida, desabilite manualmente a autenticação multifator por usuário. Para obter mais informações, consulte Criar uma política de acesso condicional.
Planejar o tempo de vida da sessão do usuário
Ao planejar sua implantação de autenticação multifator, é importante pensar na frequência com que você gostaria de avisar seus usuários. Pedir credenciais aos usuários muitas vezes parece uma coisa sensata a fazer, mas o tiro pode sair pela culatra. Se os usuários forem treinados para inserir suas credenciais sem pensar, eles poderão fornecê-las involuntariamente a um prompt de credenciais mal-intencionado. O Microsoft Entra ID tem várias configurações que determinam com que frequência você precisa se autenticar novamente. Compreenda as necessidades da sua empresa e dos seus utilizadores e defina definições que proporcionem o melhor equilíbrio para o seu ambiente.
Recomendamos o uso de dispositivos com PRT (Primary Refresh Tokens) para melhorar a experiência do usuário final e reduzir o tempo de vida da sessão com a política de frequência de entrada apenas em casos de uso comerciais específicos.
Para obter mais informações, consulte Otimizar prompts de reautenticação e entender o tempo de vida da sessão para autenticação multifator do Microsoft Entra.
Planejar o registro do usuário
Uma etapa importante em cada implantação de autenticação multifator é fazer com que os usuários se registrem para usar a autenticação multifator do Microsoft Entra. Métodos de autenticação como voz e SMS permitem o pré-registro, enquanto outros, como o aplicativo autenticador, exigem interação do usuário. Os administradores devem determinar como os usuários registrarão seus métodos.
Registro combinado para autenticação multifator SSPR e Microsoft Entra
A experiência de registro combinada para autenticação multifator do Microsoft Entra e redefinição de senha de autoatendimento (SSPR) permite que os usuários se registrem para MFA e SSPR em uma experiência unificada. O SSPR permite que os usuários redefina sua senha de forma segura usando os mesmos métodos que usam para a autenticação multifator do Microsoft Entra. Para se certificar de que compreende a funcionalidade e a experiência do utilizador final, consulte os Conceitos de registo de informações de segurança combinadas.
É fundamental informar os usuários sobre alterações futuras, requisitos de registro e quaisquer ações necessárias do usuário. Fornecemos modelos de comunicação e documentação do usuário para preparar seus usuários para a nova experiência e ajudar a garantir uma implantação bem-sucedida. Envie os usuários para https://myprofile.microsoft.com se registrarem selecionando o link Informações de segurança nessa página.
Registo com Proteção de Identidade
O Microsoft Entra ID Protection contribui com uma política de registro e políticas automatizadas de deteção e correção de riscos para a história de autenticação multifator do Microsoft Entra. As políticas podem ser criadas para forçar alterações de senha quando há uma ameaça de identidade comprometida ou exigir MFA quando um login é considerado arriscado. Se você usar a Proteção de ID do Microsoft Entra, configure a política de registro de autenticação multifator do Microsoft Entra para solicitar que os usuários se registrem na próxima vez que entrarem interativamente.
Registo sem Proteção de Identidade
Se você não tiver licenças que habilitem a Proteção de ID do Microsoft Entra, os usuários serão solicitados a se registrar na próxima vez que o MFA for necessário no login. Para exigir que os usuários usem MFA, você pode usar políticas de Acesso Condicional e direcionar aplicativos usados com freqüência, como sistemas de RH. Se a senha de um usuário for comprometida, ela poderá ser usada para se registrar no MFA, assumindo o controle de sua conta. Portanto, recomendamos proteger o processo de registro de segurança com políticas de Acesso Condicional que exigem dispositivos e locais confiáveis. Você pode proteger ainda mais o processo exigindo também um Passe de Acesso Temporário. Uma senha por tempo limitado emitida por um administrador que satisfaz os requisitos de autenticação forte e pode ser usada para integrar outros métodos de autenticação, incluindo os sem senha.
Aumentar a segurança dos utilizadores registados
Se você tiver usuários registrados para MFA usando SMS ou chamadas de voz, convém movê-los para métodos mais seguros, como o aplicativo Microsoft Authenticator. A Microsoft agora oferece uma visualização pública da funcionalidade que permite solicitar que os usuários configurem o aplicativo Microsoft Authenticator durante o login. Você pode definir esses prompts por grupo, controlando quem é solicitado, permitindo que campanhas direcionadas movam os usuários para o método mais seguro.
Planejar cenários de recuperação
Como mencionado anteriormente, certifique-se de que os usuários estejam registrados para mais de um método MFA, para que, se um estiver indisponível, eles tenham um backup. Se o usuário não tiver um método de backup disponível, você poderá:
- Forneça-lhes um Passe de Acesso Temporário para que possam gerir os seus próprios métodos de autenticação. Você também pode fornecer um Passe de Acesso Temporário para habilitar o acesso temporário aos recursos.
- Atualize seus métodos como administrador. Para fazer isso, selecione o usuário no centro de administração do Microsoft Entra e, em seguida, selecione Métodos de autenticação de proteção>e atualize seus métodos.
Planejar a integração com sistemas locais
Os aplicativos que se autenticam diretamente com o Microsoft Entra ID e têm autenticação moderna (WS-Fed, SAML, OAuth, OpenID Connect) podem usar políticas de Acesso Condicional. Alguns aplicativos herdados e locais não são autenticados diretamente na ID do Microsoft Entra e exigem etapas adicionais para usar a autenticação multifator do Microsoft Entra. Você pode integrá-los usando o proxy de aplicativo Microsoft Entra ou serviços de política de rede.
Integração com recursos do AD FS
Recomendamos migrar aplicativos protegidos com os Serviços de Federação do Ative Directory (AD FS) para o Microsoft Entra ID. No entanto, se você não estiver pronto para migrá-los para o Microsoft Entra ID, poderá usar o adaptador de autenticação multifator do Azure com o AD FS 2016 ou mais recente.
Se sua organização estiver federada com o Microsoft Entra ID, você poderá configurar a autenticação multifator do Microsoft Entra como um provedor de autenticação com recursos do AD FS no local e na nuvem.
Clientes RADIUS e autenticação multifator Microsoft Entra
Para aplicativos que estão usando autenticação RADIUS, recomendamos mover aplicativos cliente para protocolos modernos, como SAML, OpenID Connect ou OAuth no Microsoft Entra ID. Se o aplicativo não puder ser atualizado, você poderá implantar a extensão NPS (Servidor de Diretivas de Rede). A extensão do servidor de diretivas de rede (NPS) atua como um adaptador entre aplicativos baseados em RADIUS e a autenticação multifator do Microsoft Entra para fornecer um segundo fator de autenticação.
Integrações comuns
Muitos fornecedores agora oferecem suporte à autenticação SAML para seus aplicativos. Sempre que possível, recomendamos federar esses aplicativos com o Microsoft Entra ID e impor MFA por meio do Acesso Condicional. Se o seu fornecedor não oferecer suporte à autenticação moderna, você poderá usar a extensão NPS. As integrações comuns de clientes RADIUS incluem aplicativos como gateways de área de trabalho remota e servidores VPN.
Outros podem incluir:
Citrix Gateway
O Citrix Gateway suporta integração de extensão RADIUS e NPS e uma integração SAML.
Cisco VPN
- A Cisco VPN suporta autenticação RADIUS e SAML para SSO.
- Ao passar da autenticação RADIUS para SAML, você pode integrar a Cisco VPN sem implantar a extensão NPS.
Todas as VPNs
Implantar a autenticação multifator do Microsoft Entra
Seu plano de implantação de autenticação multifator do Microsoft Entra deve incluir uma implantação piloto seguida por ondas de implantação que estejam dentro de sua capacidade de suporte. Comece sua distribuição aplicando suas políticas de Acesso Condicional a um pequeno grupo de usuários piloto. Depois de avaliar o efeito sobre os usuários piloto, o processo usado e os comportamentos de registro, você pode adicionar mais grupos à política ou adicionar mais usuários aos grupos existentes.
Siga os passos abaixo:
- Cumprir os pré-requisitos necessários
- Configurar métodos de autenticação escolhidos
- Configurar suas políticas de Acesso Condicional
- Definir configurações de tempo de vida da sessão
- Configurar políticas de registro de autenticação multifator do Microsoft Entra
Gerenciar a autenticação multifator do Microsoft Entra
Esta seção fornece relatórios e informações de solução de problemas para autenticação multifator do Microsoft Entra.
Relatórios e monitorização
O Microsoft Entra ID tem relatórios que fornecem informações técnicas e de negócios, acompanham o progresso da sua implantação e verificam se os usuários são bem-sucedidos no login com MFA. Faça com que os proprietários de aplicativos técnicos e de negócios assumam a propriedade e consumam esses relatórios com base nos requisitos da sua organização.
Você pode monitorar o registro e o uso do método de autenticação em toda a sua organização usando o painel Atividade de Métodos de Autenticação. Isso ajuda você a entender quais métodos estão sendo registrados e como eles estão sendo usados.
Relatório de entrada para revisar eventos de MFA
Os relatórios de entrada do Microsoft Entra incluem detalhes de autenticação para eventos quando um usuário é solicitado a MFA e se alguma política de Acesso Condicional estava em uso. Você também pode usar o PowerShell para gerar relatórios sobre usuários registrados para autenticação multifator do Microsoft Entra.
A extensão NPS e os logs do AD FS para atividade de MFA na nuvem agora estão incluídos nos logs de entrada e não são mais publicados no relatório de atividades.
Para obter mais informações e relatórios adicionais de autenticação multifator do Microsoft Entra, consulte Examinar eventos de autenticação multifator do Microsoft Entra.
Solucionar problemas de autenticação multifator do Microsoft Entra
Consulte Solução de problemas de autenticação multifator do Microsoft Entra para problemas comuns.
Passo a passo guiado
Para obter um passo a passo guiado de muitas das recomendações neste artigo, consulte o passo a passo guiado Microsoft 365 Configure multifactor authentication.