Saiba como fazer a configuração do MFA a partir do Azure AD

A autenticação multifator (MFA) é um processo em que um usuário é solicitado durante um evento de entrada para formas adicionais de identificação. Esse processo pode ser para inserir um código no celular ou fornecer uma leitura de impressão digital. Quando você exige uma segunda forma de autenticação, a segurança aumenta, pois esse fator adicional não é algo fácil de ser obtido ou duplicado por um invasor.

Leia mais:

Aplicar MFA para sites online do SharePoint com políticas de acesso condicional
Habilitando e Gerenciando a Autenticação MFA usando o Office 365
MFA do Azure vs MFA do Microsoft 365 – Qual escolher?
MFA, você sabe o que é?
Configurando o Azure Active Directory B2B, Guest User e Single Sign On

Neste artigo efetuaremos a configuração do Multi-factor Authentication através do Azure AD e explicaremos sobre o licenciamento necessário e as opções de configuração do MFA.

Existem três versões de licença de MFA no Azure, são elas:

1 – MFA for Azure AD Admins – É a versão gratuita para administradores globais do Azure até o MFA está habilitado, onde todos são cobrados pelo serviço.

2 – MFA for Office 365 – Esta versão é incluída nas licenças de usuários do Office 365.

3 – Azure Multi-factor Authentication – É a versão mais completa do MFA e está disponível por padrão nas versões P1 e P2

Pré-requisitos

Para que o Azure Multi-factor Authentication funcione, você precisará dos seguintes produtos:

– Tenant Office 365;

– Licença Azure AD Premium P1 ou Azure AD Premium P2;

Configurando o Azure Multi-factor Authentication

1 – Acesse a página: https://aad.portal.azure.com/

2 – Após acessar a console do Azure Active Directory, clique na opção “Security”.

Não foi fornecido texto alternativo para esta imagem

3 – Entraremos agora nas configurações do “MFA”.

Não foi fornecido texto alternativo para esta imagem

4 – Iniciaremos a configuração pelo bloqueio de conta, clique em “Account lockout”.

Não foi fornecido texto alternativo para esta imagem

Bloqueio de conta

Para evitar tentativas repetidas de MFA como parte de um ataque, as configurações de bloqueio de conta permitem que você especifique quantas tentativas falhadas permitir antes que a conta seja bloqueada por um período. As configurações de bloqueio de conta são aplicadas apenas quando um código PIN é inserido para o prompt do MFA.

As seguintes configurações estão disponíveis:

 – Número de negações de MFA para acionar o bloqueio de conta;

 – Minutos até que o contador de bloqueio de conta seja reiniciado;

 – Minutos até a conta ser desbloqueada automaticamente.

5 – Devemos configurar nos três campos o tempo e quantidade de tentativas para o bloqueio de conta dos usuários após tentativas repetitivas.

Não foi fornecido texto alternativo para esta imagem

Após ativar o bloqueio de conta, temos as seguintes atividades que podemos realizar:

Bloquear um usuário

Para bloquear um usuário, execute as seguintes etapas:

  1. Navegue até Azure Active Directory > Segurança > MFA > Bloquear / desbloquear usuários;
  2. Selecione Adicionar para bloquear um usuário;
  3. Selecione o Grupo de Replicação e escolha Padrão do Azure. Insira o nome de usuário do usuário bloqueado como username\@domain.com e forneça um comentário no campo Motivo;
  4. Quando estiver pronto, selecione OK para bloquear o usuário.

Desbloquear um usuário

Para desbloquear um usuário, execute as seguintes etapas:

  1. Navegue até Azure Active Directory > Segurança > MFA > Bloquear / desbloquear usuários;
  2. Na   coluna Ação ao lado do usuário desejado, selecione Desbloquear;
  3. Insira um comentário no campo Motivo do desbloqueio;
  4. Quando estiver pronto, selecione OK para desbloquear o usuário.

6 – Ativaremos em sequência o recurso de alertas de fraude, ainda em “Multi-Factor Authentication”, clique em “Fraud Alert”.

Não foi fornecido texto alternativo para esta imagem

Alerta de fraude

O recurso de alerta de fraude permite que os usuários relatem tentativas fraudulentas de acessar seus recursos. Quando uma solicitação de MFA desconhecida e suspeita é recebida, os usuários podem relatar a tentativa de fraude usando o aplicativo Microsoft Authenticator ou por telefone, consideramos esse recurso essencial para ser ativado em seu ambiente.

As seguintes configurações estão disponíveis:

 – ‎Permitir que os usuários enviem alertas de fraude‎;

 – ‎Bloqueie automaticamente usuários que denunciam fraude‎;

 – Código para denunciar fraude durante a saudação inicial.

7 – Ativaremos os três recursos conforme imagem abaixo:

Não foi fornecido texto alternativo para esta imagem

NOTA: Para visualizar relatórios de fraude, selecione Azure Active Directory > Sign-ins > Authentication Details. O relatório de fraude agora faz parte do relatório padrão de Logins do Azure AD e será mostrado em “Result Detail” como MFA negado, Código de fraude inserido.

8 – Após a ativação do recurso, devemos ativar as notificações para um e-mail que será monitorado e tratado os alertas de fraude, selecionaremos agora a opção “Notifications”.

Não foi fornecido texto alternativo para esta imagem

9 – Ativaremos também a função de permitir lembrar autenticação multifator caso o usuário tenha interesse.

Para habilitar e configurar a opção de os usuários se lembrarem de seu status de MFA, entraremos na opção “gettting started” e clique em “Additional cloud-based MFA settings”.

Não foi fornecido texto alternativo para esta imagem

10 – Nas configurações clicaremos na box “Remembre multi-factor” e colocaremos um número de dias para exigir novamente o MFA.

Não foi fornecido texto alternativo para esta imagem

11 – Por fim vamos ativar o método de verificação MFA nos usuários, ainda no portal “Azure Active Directory” vamos na aba “Users” nesta tela devemos clicar em “Multi-Factor Authentication”.

Não foi fornecido texto alternativo para esta imagem

12 – Já com a nova tela aberta, basta selecionar os usuários que deseja ativar o MFA com as políticas que já deixamos configuradas.

Não foi fornecido texto alternativo para esta imagem

Primeiro acesso como usuário:

1- Após o primeiro login do usuário, será solicitado para o mesmo mais informações conforme apresentadas abaixo:

Não foi fornecido texto alternativo para esta imagem

2 – Neste cenário recomendamos que o usuário instale o aplicativo de autenticação da Microsoft o “Microsoft Authenticator” para que consiga gerar o código de dupla autenticação.

Não foi fornecido texto alternativo para esta imagem

3 – Após realizar a instalação do aplicativo em seu celular, siga os passos abaixo para finalizar as configurações do MFA:

Não foi fornecido texto alternativo para esta imagem

NOTA: Recomendamos permitir as notificações em seu celular para não perder nenhum aviso de acesso.

4 – Configurado a conta no aplicativo do celular, será necessário ler o QR Code para que o MFA fique vinculado ao aplicativo.

Não foi fornecido texto alternativo para esta imagem

Com o aplicativo vinculado está completa a dupla autenticação primaria para conta do usuário.

5 – Nesta etapa selecionaremos mais uma forma de autenticação para que não ocorra perda de acesso a conta, selecionaremos então a opção segundaria como celular.

Não foi fornecido texto alternativo para esta imagem

6 – Será solicitado o número com o DD incluso para cadastro.

Não foi fornecido texto alternativo para esta imagem

7 – Será enviado um código para o seu número com seis dígitos para que o usuário confirme ser ele mesmo que está realizando aquele novo registro de MFA.

Não foi fornecido texto alternativo para esta imagem

8 – Validando o código como última etapa, o usuário estará em conformidade com o ambiente empresarial e com redundância de acesso caso perca o celular.

Não foi fornecido texto alternativo para esta imagem

Conclusão

Conforme a facilidade de utilizar os aplicativos empresariais aumenta, devemos também ter uma forma de monitorá-las e restringir os acessos a fim de evitar e mitigar o comprometimento de informações sigilosas, pensando nisso, o Azure Multi-factor Authentication estará a todo o tempo registrando novos acessos dos usuários e exigindo que os mesmos garantam que são legítimos e não um possível ataque ao ambiente.

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Gabriel Reche
Atuo na área de suporte técnico a clientes, ajudando empresas na administração de ambientes híbridos, desde firewalls, antivírus, backups até infraestruturas em cloud. Possuo certificação MTA em Windows Server, e outros cursos em áreas relacionadas.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!