Introdução ao Servidor de Autenticação Multifator do Azure

Introdução ao Servidor da MFA local

Esta página aborda uma nova instalação do servidor e sua configuração com o Active Directory local. Se você já tiver o servidor MFA instalado e quiser atualizar, consulte Atualizar para o Servidor de Autenticação Multifator do Azure mais recente. Se você estiver procurando informações sobre como instalar apenas o serviço Web, confira Implantar o serviço Web de aplicativo móvel do Servidor de Autenticação Multifator.

Importante

Em setembro de 2022, a Microsoft anunciou a descontinuidade do Servidor de Autenticação Multifator do Azure AD. A partir de 30 de setembro de 2024, as implantações do Servidor de Autenticação Multifator do Microsoft Azure não atenderão mais às solicitações de autenticação multifator, o que poderá causar falhas de autenticação na sua organização. Para garantir serviços de autenticação ininterruptos e que eles permaneçam em um estado com suporte, as organizações devem migrar os dados de autenticação dos usuários para o serviço de autenticação multifator do Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização do Servidor de Autenticação Multifator do Azure mais recente. Para mais informações, confira Migração do Servidor de Autenticação Multifator do Azure.

Para começar a usar a MFA baseada em nuvem, confira o Tutorial: proteger acessos do usuário com a autenticação multifator do Azure.

Planejar sua implantação

Antes de baixar o Servidor de Autenticação Multifator do Azure, pense em quais são seus requisitos de alta disponibilidade e carga. Use essas informações para decidir como e onde implantar.

Uma boa diretriz para a quantidade de memória necessária é o número de usuários que devem se autenticar regularmente.

Usuários RAM
1-10.000 4 GB
10.001-50.000 8 GB
50.001-100.000 12 GB
100.000-200.001 16 GB
200.001+ 32 GB

Você precisa configurar vários servidores para alta disponibilidade ou balanceamento de carga? Há várias maneiras de definir essa configuração com o Servidor de Autenticação Multifator do Azure. Quando você instala o seu primeiro Servidor de Autenticação Multifator do Azure, ele se torna o servidor mestre. Os outros servidores se tornam subordinados e sincronizam automaticamente os usuários e a configuração com o mestre. Em seguida, você pode configurar um servidor primário e ter o resto atuando como backup, ou pode configurar o balanceamento de carga entre todos os servidores.

Quando um Servidor de Autenticação Multifator do Azure mestre fica offline, os servidores subordinados ainda podem processar solicitações de verificação em duas etapas. No entanto, você não pode adicionar novos usuários e os usuários existentes não podem atualizar suas configurações até que o mestre fique novamente online ou um subordinado seja promovido.

Prepare o seu ambiente

Verifique se o servidor que você está usando para a autenticação multifator do Azure atende aos seguintes requisitos.

Requisitos do Servidor de Autenticação Multifator do Azure Descrição
Hardware
  • 200 MB de espaço em disco rígido
  • Processador compatível com x32 ou x64
  • 1 GB ou mais de RAM
  • Software
  • Windows Server 20221
  • Windows Server 20191
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008/R2 (somente com [ESU (atualização de segurança estendida)](/lifecycle/faq/extended-security-updates))
  • Windows 10
  • Windows 8.1, todas as edições
  • Windows 8, todas as edições
  • Windows 7, todas as edições (somente com [ESU (atualização de segurança estendida)](/lifecycle/faq/extended-security-updates))
  • Microsoft .NET 4.0 Framework
  • IIS 7.0 ou superior se estiver instalando o portal do usuário ou o SDK do serviço Web
  • Permissões Conta de Administrador Corporativo ou de Administrador de Domínio para registrar-se no Active Directory

    1Se o Servidor de Autenticação Multifator do Azure não for ativado em uma VM (máquina virtual) do Azure que executa o Windows Server 2019 ou posterior, tente usar uma versão anterior do Windows Server.

    Componentes do Servidor de Autenticação Multifator do Azure

    Há três componentes da Web que compõem o Servidor de Autenticação Multifator do Azure:

    • SDK do serviço Web: permite a comunicação com outros componentes e é instalado no servidor de aplicativos do Servidor de Autenticação Multifator do Azure
    • Portal do usuário - Um site de IIS (Serviços de Informações da Internet) que permite que os usuários se registrem na autenticação multifator do Microsoft Entra e mantenham suas contas.
    • Serviço Web de aplicativo móvel: permite usar um aplicativo móvel como o aplicativo Microsoft Authenticator para verificação em duas etapas.

    Todos os três componentes podem ser instalados no mesmo servidor se ele estiver voltado para a Internet. Se os componentes forem divididos, o SDK do serviço Web é instalado no servidor de aplicativos de autenticação multifator do Microsoft Entra e o portal do usuário e o Serviço Web de Aplicativo Móvel são instalados em um servidor voltado para a Internet.

    Requisitos de firewall do Servidor de Autenticação Multifator do Azure

    Cada servidor MFA deve ser capaz de se comunicar na porta 443 de saída para os seguintes endereços:

    Se os firewalls de saída forem restritos na porta 443, abra os seguintes intervalos de endereços IP:

    Sub-rede de IP Netmask Intervalo de IP
    134.170.116.0/25 255.255.255.128 134.170.116.1 – 134.170.116.126
    134.170.165.0/25 255.255.255.128 134.170.165.1 – 134.170.165.126
    70.37.154.128/25 255.255.255.128 70.37.154.129 – 70.37.154.254
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    Se você não estiver usando o recurso de Confirmação de Eventos e os usuários não estiverem usando aplicativos móveis para verificar com dispositivos na rede corporativa, só precisará dos seguintes intervalos:

    Sub-rede de IP Netmask Intervalo de IP
    134.170.116.72/29 255.255.255.248 134.170.116.72 – 134.170.116.79
    134.170.165.72/29 255.255.255.248 134.170.165.72 – 134.170.165.79
    70.37.154.200/29 255.255.255.248 70.37.154.201 – 70.37.154.206
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    Baixe o Servidor MFA

    Dica

    As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

    Siga estas etapas para baixar o Servidor de Autenticação Multifator do Azure:

    Importante

    Em setembro de 2022, a Microsoft anunciou a descontinuidade do Servidor de Autenticação Multifator do Azure AD. A partir de 30 de setembro de 2024, as implantações do Servidor de Autenticação Multifator do Microsoft Azure não atenderão mais às solicitações de autenticação multifator, o que poderá causar falhas de autenticação na sua organização. Para garantir serviços de autenticação ininterruptos e que eles permaneçam em um estado com suporte, as organizações devem migrar os dados de autenticação dos usuários para o serviço de autenticação multifator do Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização do Servidor de Autenticação Multifator do Azure mais recente. Para mais informações, confira Migração do Servidor de Autenticação Multifator do Azure.

    Para começar a usar a MFA baseada em nuvem, confira o Tutorial: proteger acessos do usuário com a autenticação multifator do Azure.

    Os clientes existentes que ativaram o servidor da MFA antes de 1º de julho de 2019 podem baixar a última versão, atualizações futuras e gerar credenciais de ativação como de costume. As etapas a seguir funcionarão apenas se você for um cliente do servidor MFA existente.

    1. Iniciar sessão no centro de administração do Microsoft Entra como Administrador global.

    2. Navegue até Proteção>Autenticação multifator>Configurações de servidor.

    3. Selecione Baixar e siga as instruções na página de downloads para salvar o instalador.

      Baixar o Servidor MFA

    4. Mantenha essa página aberta, pois vamos referenciá-la depois de executar o instalador.

    Instalar e configurar o Servidor MFA

    Agora que já baixou o servidor, você pode instalá-lo e configurá-lo. Verifique se o servidor em que você está instalando atende aos requisitos listados na seção de planejamento.

    1. Clique duas vezes no arquivo executável.
    2. Na tela Selecionar Pasta de Instalação, certifique-se de que a pasta esteja correta e clique em Avançar. As seguintes bibliotecas são instaladas:
    3. Quando a instalação for concluída, selecione Concluir. O assistente de configuração é iniciado.
    4. De volta à página de onde você baixou o servidor, clique no botão Gerar Credenciais de Ativação. Copie essas informações para o Servidor de Autenticação Multifator do Azure nas caixas fornecidas e clique em Ativar.

    Observação

    Um Administrador Global é necessário para gerenciar esse recurso.

    Enviar um email aos usuários

    Para facilitar a distribuição, permita que o Servidor MFA se comunique com seus usuários. O Servidor MFA poderá enviar um email para informá-los se eles forem registrados para verificação em duas etapas.

    O email a ser enviado deve ser determinado pelo modo como você configura seus usuários para a verificação em duas etapas. Por exemplo, se você puder importar os números de telefone do diretório da empresa, o email deverá incluir os números de telefone padrão para que os usuários saibam o que esperar. Se você não importar os números de telefone, ou seus usuários forem usar o aplicativo móvel, envie um email que os direciona à conclusão do registro da conta. Inclua um hiperlink para o portal do usuário da autenticação multifator do Azure no email.

    O conteúdo do email vai variar conforme o método de autenticação que foi definido para o usuário (chamada telefônica, SMS ou aplicativo móvel). Por exemplo, se o usuário tiver que usar um PIN quando for se autenticar, o email informará qual PIN inicial foi definido para ele. Os usuários são solicitados a mudar o PIN na primeira verificação.

    Configurar o email e os modelos de email

    Clique no ícone de email à esquerda para definir as configurações para enviar esses emails. Nesta página você pode inserir as informações de protocolo SMTP do seu servidor de email e enviar um email marcando a caixa de seleção Enviar emails aos usuários.

    Configuração de email do Servidor MFA

    Na guia Conteúdo do Email, você verá os diversos modelos de email disponíveis para sua escolha. Dependendo de como você configurou os usuários para usar a verificação em duas etapas, é possível escolher o modelo mais adequado para as suas necessidades.

    Modelos de email do Servidor MFA no console

    Importar usuários do Active Directory

    Agora que o servidor está instalado, você deve adicionar usuários. Você pode escolher criá-los manualmente, importar usuários do Active Directory ou configurar a sincronização automática com o Active Directory.

    Importar do Active Directory manualmente

    1. No Servidor de Autenticação Multifator do Azure, à esquerda, selecione Usuários.

    2. Na parte inferior, selecione Importar do Active Directory.

    3. Agora você pode pesquisar usuários individuais ou pesquisar no Windows Server Active Directory as unidades organizacionais (OUs) com usuários nelas. Nesse caso, nós especificaremos a UO de usuários.

    4. Realce todos os usuários à direita e clique em Importar. Você deve receber uma mensagem pop-up informando que obteve êxito. Feche a janela de importação.

      Importação de usuário do Servidor MFA a partir do Active Directory

    Sincronização automática com o Active Directory

    1. No Servidor de Autenticação Multifator do Azure, à esquerda, selecione Integração de diretórios.
    2. Navegue até a guia Sincronização.
    3. Na parte inferior, escolha Adicionar
    4. Na caixa Adicionar Item de sincronização que aparece, escolha o domínio, UO ou grupo de segurança, configurações, padrões de método e idioma padrão para essa tarefa de sincronização e clique em Adicionar.
    5. Marque a caixa denominada Habilitar a sincronização com o Active Directory e escolha um intervalo de sincronização entre um minuto e 24 horas.

    Como o Servidor de Autenticação Multifator do Azure lida com os dados do usuário

    Quando você usa o Servidor de Autenticação Multifator local, os dados do usuário são armazenados em servidores locais. Nenhum dado de usuário persistente é armazenado na nuvem. Quando o usuário realiza uma verificação em duas etapas, o Servidor MFA envia dados para o serviço de nuvem de autenticação multifator do Microsoft Entra para realizar a verificação. Quando essas solicitações de autenticação são enviadas ao serviço de nuvem, os campos a seguir são enviados na solicitação e nos logs para que eles fiquem disponíveis em relatórios de uso/autenticação do cliente. Alguns dos campos são opcionais; portanto, podem ser habilitados ou desabilitados no Servidor de Autenticação Multifator. A comunicação do servidor MFA para o serviço de nuvem MFA usa a saída SSL/TLS pela porta 443. Esses campos são:

    • ID exclusiva: nome de usuário ou ID interna do servidor MFA
    • Nome e sobrenome (opcional)
    • Endereço de email (opcional)
    • Número de telefone - ao fazer uma chamada de voz ou SMS de autenticação
    • Token de dispositivo - ao fazer autenticação de aplicativos móveis
    • Modo de autenticação
    • Resultado da autenticação
    • Nome do servidor MFA
    • Servidor IP MFA
    • Cliente IP - se disponível

    Além dos campos acima, o resultado da autenticação (êxito/negação) e o motivo de uma possível recusa também são armazenados com os dados de autenticação e ficam disponíveis por meio de relatórios de autenticação/uso.

    Importante

    Desde março de 2019, as opções de chamadas telefônicas não estarão disponíveis para os usuários do Servidor MFA em locatários de avaliação/gratuitos do Microsoft Entra. As mensagens SMS não são afetadas por essa alteração. A chamada telefônica continuará disponível para os usuários de locatários pagos do Microsoft Entra. Essa alteração afeta apenas os locatários de avaliação/gratuitos do Microsoft Entra.

    Efetuar backup e restaurar o Servidor de Autenticação Multifator do Microsoft Azure

    Ter certeza de que você tem um bom backup é uma etapa importante em qualquer sistema.

    Para fazer backup do Servidor de Autenticação Multifator do Microsoft Azure, verifique se você tem uma cópia da pasta C:\Program Files\Multi-Factor Authentication Server\Data incluindo o arquivo PhoneFactor.pfdata.

    Caso seja necessário fazer uma restauração, conclua as seguintes etapas:

    1. Reinstale o Servidor de Autenticação Multifator do Azure em um novo servidor.
    2. Ative o novo Servidor de Autenticação Multifator do Azure.
    3. Pare o serviço MultiFactorAuth.
    4. Substitua o PhoneFactor.pfdata pela cópia de backup.
    5. Inicie o serviço MultiFactorAuth.

    O novo servidor está agora em funcionamento com a configuração original do backup e os dados do usuário.

    Como gerenciar protocolos TLS/SSL e conjuntos de criptografia

    Depois que você tiver feito upgrade ou instalado o Servidor MFA versão 8.x ou superior, é recomendável que os conjuntos de criptografia mais antigos ou mais fracos sejam desabilitados ou removidos, a menos que eles sejam exigidos por sua organização. Você pode obter informações sobre como concluir esta tarefa no artigo Gerenciar protocolos SSL/TLS e conjuntos de criptografia para os Serviços de Federação do Active Directory (AD FS).

    Próximas etapas