Migrar para a autenticação multifator do Microsoft Entra com federação

Migrar sua solução de MFA (autenticação multifator) para o Microsoft Entra ID é uma ótima primeira etapa em sua jornada para a nuvem. Considere também migrar para o Microsoft Entra ID para autenticação de usuário no futuro. Para obter mais informações, consulte o processo de migração para a autenticação multifator do Microsoft Entra com autenticação na nuvem.

Para migrar para a autenticação multifator do Microsoft Entra com federação, o provedor de autenticação multifator do Microsoft Entra é instalado no AD FS. A relação de confiança da terceira parte confiável do Microsoft Entra ID e outras relações de confiança de terceira parte confiável são configuradas para usar a autenticação multifator do Microsoft Entra para usuários migrados.

O diagrama a seguir mostra o processo de migração.

Fluxograma do processo de migração. As áreas do processo e os títulos neste documento estão na mesma ordem

Criar grupos de migração

Para criar novas políticas de Acesso Condicional, será necessário atribuir essas políticas a grupos. Você pode usar grupos de segurança do Microsoft Entra ou Grupos do Microsoft 365 para essa finalidade. Também é possível criar ou sincronizar novos grupos.

Você também precisará de um grupo de segurança do Microsoft Entra para migrar iterativamente usuários para a autenticação multifator do Microsoft Entra. Esses grupos são usados nas regras de declarações.

Não reutilize grupos que são usados para segurança. Se você estiver usando o grupo de segurança para proteger um grupo de aplicativos de alto valor com uma política de acesso condicional, use o grupo somente para essa finalidade.

Preparar o AD FS

Atualizar o farm de servidores do AD FS para 2019, FBL 4

No AD FS 2019, é possível especificar métodos de autenticação adicionais para uma terceira parte confiável, como um aplicativo. Você usa a associação de grupo para determinar o provedor de autenticação. Ao especificar um método de autenticação adicional, você pode fazer a transição para a autenticação multifator do Microsoft Entra enquanto mantém outras autenticações intactas durante a transição. Para obter mais informações, confira Atualizar para o AD FS no Windows Server 2016 com um banco de dados WID. O artigo aborda a atualização de seu farm para o AD FS 2019 e a atualização do FBL para 4.

Configurar regras de declarações para invocar a autenticação multifator do Microsoft Entra

Agora que a autenticação multifator do Microsoft Entra é um método de autenticação adicional, você pode atribuir grupos de usuários para usá-la. Isso é feito pela configuração de regras de declaração, também conhecida como relações de confiança de terceira parte confiável. Usando grupos, é possível controlar qual provedor de autenticação é chamado globalmente ou por aplicativo. Por exemplo, você pode chamar a autenticação multifator do Microsoft Entra para usuários que se registraram para obter informações de segurança combinadas, enquanto chama o Servidor MFA para aqueles que não se registraram.

Observação

As regras de declarações exigem grupo de segurança local. Antes de fazer alterações nas regras de declarações, faça backup delas.

Regras de backup

Antes de configurar novas regras de declarações, faça backup das regras. Você precisará restaurar essas regras como parte das etapas de limpeza.

Dependendo da configuração, talvez você também precise copiar a regra e acrescentar as novas regras criadas para a migração.

Para exibir as regras globais, execute:

Get-AdfsAdditionalAuthenticationRule

Para exibir as relações de confiança de terceira parte confiável, execute o seguinte comando e substitua RPTrustName pelo nome da regra de declarações de confiança de terceira parte confiável:

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules 

Políticas de controle de acesso

Observação

As políticas de controle de acesso não podem ser configuradas para que um provedor de autenticação específico seja invocado com base em uma associação de grupo.

Para fazer a transição das políticas de controle de acesso para regras de autenticação adicionais, execute o seguinte comando para cada uma das relações de confiança de terceira parte confiável usando o provedor de autenticação do servidor MFA:

Set-AdfsRelyingPartyTrust -TargetName AppA -AccessControlPolicyName $Null

Esse comando moverá a lógica da política de controle de acesso atual para as regras de autenticação adicionais.

Configurar o grupo e localizar o SID

Você precisará ter um grupo específico para colocar os usuários para os quais desejar invocar a autenticação multifator Microsoft Entra. Você precisará do SID (identificador de segurança) desse grupo.

Para localizar o SID do grupo, use o comando a seguir, com o nome do grupo

Get-ADGroup "GroupName"

Imagem da captura de tela mostrando os resultados do script Get-ADGroup.

Configurar as regras de declarações para chamar a autenticação multifator do Microsoft Entra

Os seguintes cmdlets do PowerShell invocam a autenticação multifator do Microsoft Entra para usuários do grupo quando eles não estão na rede corporativa. Substitua "YourGroupSid" pelo SID encontrado ao executar o cmdlet acima.

Examine o artigo Como escolher provedores de autorização adicionais no 2019.

Importante

Fazer backup de suas regras de declarações

Definir a regra de declarações globais

Execute o seguinte cmdlet do PowerShell:

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules

O comando retorna as regras de autenticação adicionais atuais para a relação de confiança de terceira parte confiável. Acrescente as seguintes regras às regras de declaração atuais:

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

O exemplo a seguir pressupõe que as regras de declaração atuais estão configuradas para solicitar MFA quando os usuários se conectam por fora da rede. Este exemplo inclui regras adicionais que você precisa acrescentar.

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type == 
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"http://schemas.microsoft.com/claims/multipleauthn" );
 c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

Definir a regra de declarações por aplicativo

Este exemplo modifica as regras de declaração em uma relação de confiança de terceira parte confiável específica (aplicativo) e inclui as informações que você deve acrescentar.

Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type == 
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"http://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

Configurar a autenticação multifator Microsoft Entra como um provedor de autenticação no AD FS

Para configurar a autenticação multifator do Microsoft Entra para o AD FS, é necessário configurar cada servidor do AD FS. Se você tiver vários servidores AD FS no farm, eles poderão ser configurados remotamente usando o PowerShell do Azure AD.

Para obter instruções passo a passo sobre esse processo, confira Configurar os servidores do AD FS no artigo Configurar a autenticação multifator do Microsoft Entra como provedor de autenticação com o AD FS.

Depois de ter configurado os servidores, você poderá adicionar a autenticação multifator do Microsoft Entra como um método de autenticação adicional.

Captura de tela mostrando a tela Editar métodos de autenticação com a autenticação multifator do Microsoft Entra e o Servidor de Autenticação Multifator do Azure selecionado

Preparar o Microsoft Entra ID e implementar a migração

Esta seção aborda as etapas finais antes de migrar as configurações de MFA do usuário.

Definir federatedIdpMfaBehavior para enforceMfaByFederatedIdp

Para domínios federados, a MFA pode ser aplicada pelo Microsoft Entra Conditional Access ou pelo provedor de federação local. Cada domínio federado tem uma configuração de segurança do Microsoft Graph PowerShell chamada federatedIdpMfaBehavior. É possível definir federatedIdpMfaBehavior como enforceMfaByFederatedIdp para que o Microsoft Entra ID aceite a autenticação multifator executada pelo provedor de identidade federado. Se o provedor de identidade federado não tiver executado a MFA, o Microsoft Entra ID redirecionará a solicitação para o provedor de identidade federada para executar a MFA. Para obter mais informações, consulte federatedIdpMfaBehavior.

Observação

A configuração federatedIdpMfaBehavior é uma nova versão da propriedade SupportsMfa do cmdlet New-MgDomainFederationConfiguration.

Para domínios que definiram a propriedade SupportsMfa, essas regras determinarão como o federatedIdpMfaBehavior e o SupportsMfa funcionarão juntos:

  • Não há suporte para alternar entre federatedIdpMfaBehavior e SupportsMfa.
  • Depois que a propriedade federatedIdpMfaBehavior for definida, o Microsoft Entra ID ignorará a configuração SupportsMfa.
  • Se a propriedade federatedIdpMfaBehavior nunca for definida, o Microsoft Entra ID continuará obedecendo a configuração SupportsMfa.
  • Se federatedIdpMfaBehavior ou SupportsMfa não for definido, o Microsoft Entra ID assumirá como padrão o comportamento acceptIfMfaDoneByFederatedIdp.

É possível verificar o status de federatedIdpMfaBehavior usando Get-MgDomainFederationConfiguration.

Get-MgDomainFederationConfiguration –DomainID yourdomain.com

Você também pode verificar o status do sinalizador SupportsMfa com Get-MgDomainFederationConfiguration:

Get-MgDomainFederationConfiguration –DomainName yourdomain.com

O exemplo a seguir mostra como definir o federatedIdpMfaBehavior para enforceMfaByFederatedIdp usando o PowerShell do Graph.

Solicitação

PATCH https://graph.microsoft.com/beta/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
  "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}

Resposta

Observação: o objeto de resposta mostrado aqui pode ser reduzido para facilitar a leitura.

HTTP/1.1 200 OK
Content-Type: application/json
{
  "@odata.type": "#microsoft.graph.internalDomainFederation",
  "id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
   "issuerUri": "http://contoso.com/adfs/services/trust",
   "metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
   "signingCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "passiveSignInUri": "https://sts.contoso.com/adfs/ls",
   "preferredAuthenticationProtocol": "wsFed",
   "activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
   "signOutUri": "https://sts.contoso.com/adfs/ls",
   "promptLoginBehavior": "nativeSupport",
   "isSignedAuthenticationRequestRequired": true,
   "nextSigningCertificate": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
   "signingCertificateUpdateStatus": {
        "certificateUpdateResult": "Success",
        "lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
    },
   "federatedIdpMfaBehavior": "enforceMfaByFederatedIdp"
}

Configurar as políticas de acesso condicional, caso necessário

Se você usar o acesso condicional para determinar quando os usuários são solicitados para MFA, não precisará alterar as políticas.

Se os domínios federados tiverem SupportsMfa definido como false, analise suas regras de declarações na relação de confiança de terceira parte confiável do Microsoft Entra ID e crie políticas de acesso condicional que ofereçam suporte às mesmas metas de segurança.

Depois de criar as políticas de Acesso Condicional para impor os mesmos controles que o AD FS, você pode fazer backup e remover as personalizações de regras de declaração na terceira parte confiável do Microsoft Entra ID.

Para saber mais, consulte os recursos a seguir:

Registrar usuários para autenticação multifator do Microsoft Entra

Esta seção aborda como os usuários podem se registrar para segurança combinada (MFA e redefinição de senha de autoatendimento) e como migrar as configurações de MFA. O Microsoft Authenticator pode ser usado no modo sem senha. Ele também pode ser usado como um segundo fator para MFA com algum método de registro.

Recomendamos que os usuários se registrem para informações de segurança combinadas, que é um único local para registrar seus métodos de autenticação e dispositivos para MFA e SSPR.

A Microsoft oferece modelos de comunicação que você pode fornecer aos usuários para orientá-los pelo processo de registro combinado. Isso inclui modelos para email, cartazes, prismas de mesa e outros recursos. Os usuários registram suas informações em https://aka.ms/mysecurityinfo, o que os leva para a tela de registro de segurança combinada.

Recomendamos proteger o processo de registro de segurança com acesso condicional que exige que o registro seja feito com um dispositivo confiável ou de um local confiável. Para saber como acompanhar os status de registro, confira Atividade do método de autenticação do Microsoft Entra ID.

Observação

Os usuários que precisam registrar as informações de segurança combinadas de um local ou dispositivo não confiável podem receber uma Senha de Acesso Temporária ou serem excluídos temporariamente da política.

Migrar as configurações de MFA do Servidor de MFA

É possível usar o Utilitário de Migração do Servidor da MFA para sincronizar as configurações de MFA registradas para os usuários do Servidor de MFA com o Microsoft Entra ID. Você pode sincronizar números de telefone, tokens de hardware e registros de dispositivo como configurações do Microsoft Authenticator.

Adicionar os usuários aos grupos adequados

  • Se você criou novas políticas de Acesso Condicional, adicione os usuários apropriados a esses grupos.

  • Se você criou grupos de segurança locais para regras de declarações, adicione os usuários apropriados a esses grupos.

Não recomendamos reutilizar grupos que foram usados para segurança. Se você estiver usando o grupo de segurança para proteger um grupo de aplicativos de alto valor com uma política de acesso condicional, use o grupo somente para essa finalidade.

Monitoramento

O registro de autenticação multifator do Microsoft Entra pode ser monitorado usando o relatório de insights e uso de métodos de autenticação. Este relatório pode ser encontrado no Microsoft Entra ID. Selecione Monitoramento e, em seguida, selecione Uso e insights.

Em Uso e insights, selecione Métodos de autenticação.

Informações detalhadas de registro de autenticação multifator do Microsoft Entra podem ser encontradas na guia Registro. É possível detalhar para exibir uma lista de usuários registrados selecionando o hiperlink Usuários capazes de autenticação multifator do Azure.

Imagem da tela de atividade dos métodos de autenticação mostrando registros de usuário para MFA

Etapas de limpeza

Depois que você concluir a migração para a autenticação multifator do Microsoft Entra e já puder encerrar o servidor MFA, siga as três etapas abaixo:

  1. Reverta as regras de declaração no AD FS para a configuração de pré-migração e remova o provedor de autenticação do servidor MFA.

  2. Remova o servidor MFA como um provedor de autenticação no AD FS. Isso garantirá que todos os usuários usem a autenticação multifator do Microsoft Entra, pois esse será o único método de autenticação adicional habilitado.

  3. Desative o Servidor MFA.

Reverter regras de declarações no AD FS e remover o provedor de autenticação do servidor MFA

Siga as etapas em Configurar regras de declarações para invocar a autenticação multifator do Microsoft Entra para reverter para o backup das regras de declarações e remover quaisquer regras de declarações AzureMFAServerAuthentication.

Por exemplo, remova o seguinte da(s) regra(s):

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"**YourGroupSID**"] => issue(Type = "http://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'

Desabilitar o servidor MFA como um provedor de autenticação do AD FS

Essa alteração garante que apenas a autenticação multifator do Microsoft Entra seja usada como provedor de autenticação.

  1. Abra o console de gerenciamento do AD FS.

  2. Em Serviços, clique com o botão direito do mouse em Métodos de autenticação e escolha Editar métodos de autenticação multifator.

  3. Desmarque a caixa ao lado de Servidor de Autenticação Multifator do Azure.

Desativar o Servidor MFA

Siga o processo de desativação do servidor corporativo para remover os Servidores MFA do seu ambiente.

Algumas considerações possíveis ao desativar o servidor MFA incluem:

  • Examine os logs do Servidor MFA para garantir que ele não seja usado por usuários ou aplicativos antes da remoção do servidor.

  • Desinstalar o Servidor de Autenticação Multifator do painel de controle no servidor

  • Limpe opcionalmente os logs e os diretórios de dados que foram deixados para trás depois de fazer o back-up deles.

  • Desinstale o SDK do servidor Web de autenticação multifator, se aplicável, incluindo os arquivos deixados nos diretórios etpub\wwwroot\MultiFactorAuthWebServiceSdk e/ou MultiFactorAuth

  • Para versões do Servidor MFA anteriores a 8.0, também pode ser necessário remover o serviço Web do aplicativo de telefone de autenticação multifator

Próximas etapas