Construa resiliência com o gerenciamento de credenciais
Quando uma credencial é apresentada ao ID do Microsoft Entra em uma solicitação de token, pode haver várias dependências que devem estar disponíveis para validação. O primeiro fator de autenticação depende da autenticação do Microsoft Entra e, em alguns casos, da dependência externa (não Entra ID), como a infraestrutura local. Para obter mais informações sobre arquiteturas de autenticação híbrida, consulte Criar resiliência em sua infraestrutura híbrida.
A estratégia de credenciais mais segura e resiliente é usar a autenticação sem senha. As chaves de segurança do Windows Hello for Business e Passkey (FIDO 2.0) têm menos dependências do que outros métodos MFA. Para usuários do macOS, os clientes podem ativar a Credencial da plataforma para macOS. Quando você implementa esses métodos, os usuários podem executar autenticação multifator (MFA) forte, sem senha e resistente a phishing.
Dica
Para obter uma série de vídeos sobre como implantar esses métodos de autenticação, consulte Autenticação resistente a phishing no Microsoft Entra ID
Se você implementar um segundo fator, as dependências para o segundo fator serão adicionadas às dependências para o primeiro. Por exemplo, se o primeiro fator for via Pass Through Authentication (PTA) e o segundo fator for SMS, suas dependências serão as seguintes.
- Serviços de autenticação do Microsoft Entra
- Serviço de autenticação multifator Microsoft Entra
- Infraestrutura local
- Operadora de telefonia
- O dispositivo do usuário (não na imagem)
Sua estratégia de credenciais deve considerar as dependências de cada tipo de autenticação e os métodos de provisionamento que evitam um único ponto de falha.
Como os métodos de autenticação têm dependências diferentes, é uma boa ideia permitir que os usuários se registrem para o maior número possível de opções de segundo fator. Certifique-se de incluir segundos fatores com diferentes dependências, se possível. Por exemplo, chamadas de voz e SMS como segundos fatores compartilham as mesmas dependências, portanto, tê-los como as únicas opções não reduz o risco.
Para segundos fatores, o aplicativo Microsoft Authenticator ou outros aplicativos autenticadores que usam código de acesso único baseado no tempo (TOTP) ou tokens de hardware OAuth têm o menor número de dependências e, portanto, são mais resilientes.
Detalhes adicionais sobre dependências externas (não entrantes)
| Método de autenticação | Dependência externa (não entra) | Mais informações |
|---|---|---|
| Autenticação baseada em certificado (CBA) | Na maioria dos casos (dependendo da configuração), a ACB exigirá uma verificação de revogação. Isso adiciona uma dependência externa no CDP (ponto de distribuição de CRL) | Noções básicas sobre o processo de revogação de certificados |
| Autenticação de passagem (PTA) | O PTA usa agentes locais para processar a autenticação de senha. | Como funciona a autenticação de passagem do Microsoft Entra? |
| Federação | O(s) servidor(es) de federação deve(m) estar online e disponível(is) para processar a tentativa de autenticação | Implantação do AD FS entre regiões geográficas de alta disponibilidade no Azure com o Gerenciador de Tráfego do Azure |
| Métodos de autenticação externa (EAM) | O EAM fornece um caminho para os clientes usarem provedores de MFA externos. | Gerenciar um método de autenticação externa no Microsoft Entra ID (Visualização) |
Como várias credenciais ajudam na resiliência?
O provisionamento de vários tipos de credenciais oferece aos usuários opções que acomodam suas preferências e restrições ambientais. Como resultado, a autenticação interativa em que os usuários são solicitados para autenticação multifator será mais resiliente a dependências específicas que não estão disponíveis no momento da solicitação. Você pode otimizar os prompts de reautenticação para autenticação multifator.
Além da resiliência do usuário individual descrita acima, as empresas devem planejar contingências para interrupções em grande escala, como erros operacionais que introduzam uma configuração incorreta, um desastre natural ou uma interrupção de recursos em toda a empresa para um serviço de federação local (especialmente quando usado para autenticação multifator).
Como implementar credenciais resilientes?
- Implante credenciais sem senha. Prefira métodos resistentes a phishing, como o Windows Hello for Business, chaves de acesso (chaves de segurança Authenticator Passkey Sign-in e FIDO2) e autenticação baseada em certificado (CBA) para aumentar a segurança e, ao mesmo tempo, reduzir as dependências.
- Implante o aplicativo Microsoft Authenticator como um segundo fator.
- Migre da federação para a autenticação na nuvem para remover a dependência do provedor de identidade federada.
- Ative a sincronização de hash de senha para contas híbridas sincronizadas a partir do Ative Directory do Windows Server. Essa opção pode ser habilitada junto com serviços de federação, como os Serviços de Federação do Ative Directory (AD FS), e fornece um fallback caso o serviço de federação falhe.
- Analise o uso de métodos de autenticação multifator para melhorar a experiência do usuário.
- Implementar uma estratégia resiliente de controle de acesso
Próximos passos
Recursos de resiliência para administradores e arquitetos
- Crie resiliência com estados de dispositivo
- Construa resiliência usando a Avaliação de Acesso Contínuo (CAE)
- Crie resiliência na autenticação de usuários externos
- Crie resiliência em sua autenticação híbrida
- Crie resiliência no acesso ao aplicativo com o Proxy de Aplicativo