Como configurar o Azure Multi-Factor Authentication (MFA)
Como funciona autenticação multifator do Azure AD
A autenticação multifator é um processo que solicita uma forma adicional de identificação ao usuário durante uma conexão, como inserir um código no celular ou uma verificação de impressão digital.
Usar apenas uma senha para autenticar um usuário deixa um vetor inseguro para ataque. Se a senha for fraca ou exposta em outro lugar, um invasor pode se passar pelo usuário usando seu nome de usuário e senha. Com uma segunda forma de autenticação a segurança será aprimorada, dificultando a invasão.
A Autenticação Multifator do Azure AD funciona exigindo dois ou mais dos seguintes métodos de autenticação:
- Algo que você sabe: normalmente uma senha.
- Algo que você tem: um dispositivo confiável que não seja facilmente duplicado, como um telefone ou uma chave de hardware.
- Algo que você é: uma biometria, como uma impressão digital ou uma verificação facial.
Para proteger eventos de entrada do usuário no Azure AD, você pode exigir a MFA (autenticação multifator). Habilitar a autenticação multifator do Azure AD usando políticas de acesso condicional é a abordagem recomendada para proteger os usuários. O acesso condicional é um recurso Azure AD Premium P1 ou P2 que permite aplicar regras para exigir MFA conforme a necessidade de cada cenário.
Métodos de verificação disponíveis
Quando um usuário entra em um aplicativo ou serviço e recebe um prompt do MFA, ele pode escolher um formulário registrado de verificação adicional. Um administrador pode exigir o registro desses métodos de verificação do Azure AD. O usuário também pode acessar seu próprio perfil para editar ou adicionar métodos de verificação.
As seguintes formas adicionais de verificação podem ser usadas com a autenticação multifator do Azure AD:
- Aplicativo Microsoft Authenticator
- Token OATH de hardware
- SMS
- Chamada de voz
Como habilitar e usar a autenticação multifator do Azure AD
Criar uma política de Acesso Condicional
A maneira recomendada de habilitar e usar a Autenticação Multifator do Azure AD é com políticas de Acesso Condicional. O Acesso Condicional permite criar e definir políticas que reagem à entrada de eventos e solicitam ações adicionais antes que um usuário tenha acesso a um aplicativo ou serviço.
As políticas de Acesso Condicional podem ser granulares e específicas. O objetivo é capacitar os usuários a serem produtivos a qualquer hora e em qualquer lugar, mas também proteger sua organização.
Vamos criar o grupo e os usuários que utilizaram o MFA
01 – Faça login no portal do Azure
02 – Pesquise por Azure Active Directory.
No vídeo abaixo, mostro o passo a passo para criar dois usuários no Azure Active Directory, como criar um grupo e adicionar usuários ao grupo.
03 – Em Manage, selecione Licences.
Para utilizarmos o Conditional Access, precisamos de uma licença Azure AD Premium P1 ou P2.
04 – Na tela Licenses | All products, observe que já tenho uma licença adicionada para minha conta. Clique em +Try/By para ativar a trial da licença P2.
05 – A tela Activate será exibida. Em AZURE AD PREMIUM P2, clique em Free trial e Activate.
06 – Uma notificação será exibida informando que a licença trial foi ativada com sucesso.
07 – Atualize a página do portal do Azure pressionando f5. Observe que a licença Azure Active Directory Premium P2 está disponível para ser utilizada logo em seguida.
Desabilitando a configuração padrão de segurança
Por padrão, o Azure Active Directory habilita o MFA para todos os administradores. Isso causará problemas ao configurar a conditional Access, já que o MFA será habilitado na conditional Access. Por isso, é preciso desabilitar a configuração padrão de segurança.
18 – No Azure Active Directory, clique em Properties.
19 – Clique em Manage Security defaults. Em Enable Security, clique em No e selecione o motivo My organization is using Conditional Access.
Criando a Conditional Access
08 – Na tela overview do Azure Active Directory, em Manage, clique em Security.
09 – Na tela Security | Getting started, clique em Conditional Access.
10 – Na tela Conditional Access | Policies, clique em +New policy.
11 – Na tela New Conditional access policy, selecione um nome para a política e atribua a política a um grupo.
Neste exemplo, vou chamar a política de Policy-MFA e atribuir ao grupo MFA.
Clique em Users and groups, Select users and groups, selecione o grupo que deseja adicionar e clique em Select.
Defina os aplicativos ou ações na nuvem que acionam a política, os cenários que você considera necessário ter um processamento adicional. Você pode, por exemplo, definir um prompt de verificação adicional para acessar um aplicativo financeiro ou para usar ferramentas de gerenciamento.
Neste tutorial, você irá configurar a política de Acesso Condicional para exigir MFA quando um usuário entrar no portal do Azure e Office 365.
12 – Clique em Cloud apps or actions. Clique em Select apps, selecione o Office 365 e Microsoft Azure Management, em seguida clique em Select.
Conditional Access: Conditions
Em uma política de acesso condicional, um administrador pode fazer uso de sinais de condições para aprimorar suas decisões de política, como risco, plataforma do dispositivo ou localização.
Várias condições podem ser combinadas para criar políticas de acesso condicional refinadas e específicas. Por exemplo: ao acessar um aplicativo confidencial, um administrador pode levar em consideração as informações de risco de entrada do Identity Protection e a localização em sua decisão de acesso, além de outros controles como autenticação multifator.
Sign-in risk
O risco de login representa a probabilidade de uma solicitação de autenticação não ser autorizada pelo proprietário da identidade.
User risk
O risco do usuário representa a probabilidade de uma identidade ou conta ser comprometida.
Device platforms
A plataforma do dispositivo é caracterizada pelo sistema operacional executado em um dispositivo. O procedimento padrão é aplicar a todas as plataformas de dispositivos.
O Acesso Condicional do Azure AD oferece suporte às seguintes plataformas de dispositivo:
- Android
- iOS
- telefone do Windows
- janelas
- Mac OS
Locations
Ao configurar o local como uma condição, as organizações podem escolher incluir ou excluir locais. Apenas intervalos de IP podem ser marcados como um local confiável. Esses locais nomeados podem incluir as informações da rede IPv4 pública, país, região ou até mesmo áreas desconhecidas, não mapeadas em países ou regiões específicas.
A opção qualquer local, inclui qualquer endereço IP na Internet, não apenas locais nomeados configurados. Ao selecionar qualquer local, os administradores podem optar por excluir todos os locais confiáveis ou selecionados.
Client apps
Por padrão, todas as políticas de acesso condicional recém-criadas serão aplicadas a todos os tipos de aplicativos cliente, mesmo se a condição de aplicativos cliente não estiver configurada.
Device state (preview)
Este controle é usado para excluir dispositivos híbridos do Azure AD, associados ou marcados como compatíveis no Intune. A exclusão pode ser feita para bloquear dispositivos não gerenciados.
13 – Clique em Conditions e selecione um nome para a política.
14 – Clique em Users and groups, Select users and groups –> Users and groups e selecione o grupo MFA.
15 – Clique em Cloud apps or actions. Deixe selecionado Cloud apps. Clique em Select apps, selecione Office 365 e Microsoft Azure Management.
15 – Em Access controls, clique em Grant, selecione Grant access e escolha Require multi-factor authentication. Marque require on of the selected controls e clique em select.
16 – Em Enable policy, marque a opção On e clique em Create.
17 – Observe na imagem abaixo que a política foi criada com sucesso.
Configurando a Autenticação Multifactor
22 – Abra uma nova janela do navegador no modo InPrivate ou anônimo. Navegue até portal.azure.com ou admin.microsoft.com.
23- Faça login com um dos usuários adicionados ao grupo MFA, lembrando que todos os usuários no grupo MFA serão convidados a utilizar o MFA.
24 – O usuário receberá a solicitação de configuração do MFA. Clique em Avançar para continuar.
25 – Por padrão, a Microsoft sugere utilizar o Microsoft Authenticator. Neste exemplo, vou selecionar a configuração por telefone. Clique em Desejo configurar um método diferente.
26 – Após selecionar Desejo configurar um método diferente, é possível escolher entre Aplicativo Authenticator ou Telefone.
27 – Selecione Telefone e clique em Confirmar.
28 – Com a opção Telefone, uma mensagem de texto será enviada com um código de verificação para o telefone inserido. Insira seu número de telefone e clique em Próximo.
Selecione seu país, insira o número do seu telefone e clique em Próximo.
29 – Você receberá um código de verificação em seu telefone.
30 – Digite o código de verificação enviado para seu telefone e clique em Próximo.
31 – Observe na imagem abaixo que a verificação por SMS foi configurada com sucesso. Clique em Próximo para continuar.
33 – A configuração foi realizada com sucesso. Clique em Concluído para finalizar.
Testando a Autenticação Multifactor do Azure AD
No vídeo abaixo, demonstro a utilização do MFA quando o usuário tenta acessar o portal o Azure ou Office 365.
Habilitar MFA para um único usuário
34 – Faça login no Portal do Azure, vá para o Azure Active Directory e clique em Users.
34 – Vou criar um usuário de amostra para explicar como usar a autenticação multifator.
No vídeo abaixo, mostro como criar um usuário no Azure Active Directory.
36 – Para habilitar o MFA, selecione o usuário e clique em Multi-Factor Authentication.
37 – A janela multi-factor authentication será aberta. Selecione o usuário que deseja habilitar o MFA e clique em Enable.
38 – Será aberto um novo pop-up. Clique em enable multi-factor auth.
39 – Será exibida uma mensagem de ativação com sucesso. Clique em close.
40 – Com o MFA habilitado para o usuário, clique em Enforce para forçar a aplicação do MFA imediatamente.
41 – Na tela About non-browser applications, clique em enforce multi-factor auth.
42 – Será exibida uma mensagem de ativação com sucesso. Clique em close.
43 – Para finalizar a configuração do MFA do usuário Ana, repita as etapas mencionadas anteriormente em Configurando a Autenticação Multifactor.
Configurar locais nomeados no Azure Active Directory
Com locais nomeados, é possível rotular intervalos de endereços IP confiáveis em sua organização. Por exemplo: os usuários que estiverem na rede local da organização após configurar o named locations não precisarão autenticar um segundo fator.
44 – No portal do Azure, pesquise por Azure Active Directory. Em Security, selecione Named Locations.
45 – Na tela Named locations, clique em + New location.
46 – Na tela New named location, selecione um nome e range de endereços IPs Públicos para os quais não deve ser solicitado o MFA. Marque Mark as trusted location e clique em Create.
47 – Não será solicitado o MFA aos usuários que fizeram login no portal do Azure ou no office 365 a partir do endereço IP Público fornecido.
48 – Vou adicionar a política de Named location na política do Conditional Acesses.
No portal do Azure, pesquise por Azure Active Directory, selecione Security depois Conditional Access. Selecione a política Policy-MFA.
49 -Em Conditions, selecione Locations. Selecione Yes. Em Configure, selecione Exclude –> Selected locations e escolha o local que foi configurado (EMPRESA MATRIZ).
50 – Após adicionar o local à política, clique em Save.
Conclusão
Graças ao Azure Multi-Factor Authentication, é possível proteger o acesso a dados e aplicativos. Essa é a razão pela qual a autenticação multifator está em toda parte.
O MFA não é a única resposta. Existem muitas soluções que podem ser implantadas, mas o Azure MFA é muito fácil de usar.
Tem alguma sugestão ou observação? Comente aqui!
Forte abraço e até o próximo post…
Graduado em Informática Licenciatura pela Universidade Tiradentes, Pós Graduado em Administração e Segurança de Sistemas Computacionais pela Universidade Estácio de Sá, MBA em Gestão de Redes de Computadores pela FANESE, Certificações MCT, Azure Administrator, MCSE Core Infrastructure e MCSA Windows Server 2012, com mais de 07 anos de experiência em TI. Com conhecimento em Windows Server, Linux, Virtualização, Azure, Zabbix.
Tutorial ai me ajudou a implementar MFA de um cliente novo! Parabéns
Muito obrigado por prestigiar o nosso trabalho. Fico feliz por ter lhe ajudado como nosso conhecimento.