Saiba fazer a configuração do MFA a partir do Azure AD

Por Gabriel Ferreira

A autenticação multifator (MFA) é um processo em que um usuário é solicitado durante um evento de entrada para formas adicionais de identificação. Esse processo pode ser para inserir um código no celular ou fornecer uma leitura de impressão digital. Quando você exige uma segunda forma de autenticação, a segurança aumenta, pois esse fator adicional não é algo fácil de ser obtido ou duplicado por um invasor.

Neste artigo efetuaremos a configuração do Multi-factor Authentication através do Azure AD e explicaremos sobre o licenciamento necessário e as opções de configuração do MFA.

Existem três versões de licença de MFA no Azure, são elas:

1 – MFA for Azure AD Admins – É a versão gratuita para administradores globais do Azure até o MFA está habilitado, onde todos são cobrados pelo serviço.

2 – MFA for Office 365 – Esta versão é incluída nas licenças de usuários do Office 365.

3 – Azure Multi-factor Authentication – É a versão mais completa do MFA e está disponível por padrão nas versões P1 e P2

Pré-requisitos

Para que o Azure Multi-factor Authentication funcione, você precisará dos seguintes produtos:

– Tenant Office 365;

– Licença Azure AD Premium P1 ou Azure AD Premium P2;

Configurando o Azure Multi-factor Authentication

1 – Acesse a página: https://aad.portal.azure.com/

2 – Após acessar a console do Azure Active Directory, clique na opção “Security”.

3 – Entraremos agora nas configurações do “MFA”.

4 – Iniciaremos a configuração pelo bloqueio de conta, clique em “Account lockout”.

Bloqueio de conta

Para evitar tentativas repetidas de MFA como parte de um ataque, as configurações de bloqueio de conta permitem que você especifique quantas tentativas falhadas permitir antes que a conta seja bloqueada por um período. As configurações de bloqueio de conta são aplicadas apenas quando um código PIN é inserido para o prompt do MFA.

As seguintes configurações estão disponíveis:

– Número de negações de MFA para acionar o bloqueio de conta;

– Minutos até que o contador de bloqueio de conta seja reiniciado;

– Minutos até a conta ser desbloqueada automaticamente.

5 – Devemos configurar nos três campos o tempo e quantidade de tentativas para o bloqueio de conta dos usuários após tentativas repetitivas.

Após ativar o bloqueio de conta, temos as seguintes atividades que podemos realizar:

Bloquear um usuário

Para bloquear um usuário, execute as seguintes etapas:

Navegue até Azure Active Directory > Segurança > MFA > Bloquear / desbloquear usuários;
Selecione Adicionar para bloquear um usuário;
Selecione o Grupo de Replicação e escolha Padrão do Azure. Insira o nome de usuário do usuário bloqueado como username\@domain.com e forneça um comentário no campo Motivo;
Quando estiver pronto, selecione OK para bloquear o usuário.

Desbloquear um usuário

Para desbloquear um usuário, execute as seguintes etapas:

Navegue até Azure Active Directory > Segurança > MFA > Bloquear / desbloquear usuários;

Na coluna Ação ao lado do usuário desejado, selecione Desbloquear;
Insira um comentário no campo Motivo do desbloqueio;
Quando estiver pronto, selecione OK para desbloquear o usuário.

6 – Ativaremos em sequência o recurso de alertas de fraude, ainda em “Multi-Factor Authentication”, clique em “Fraud Alert”.

Alerta de fraude

O recurso de alerta de fraude permite que os usuários relatem tentativas fraudulentas de acessar seus recursos. Quando uma solicitação de MFA desconhecida e suspeita é recebida, os usuários podem relatar a tentativa de fraude usando o aplicativo Microsoft Authenticator ou por telefone, consideramos esse recurso essencial para ser ativado em seu ambiente.

As seguintes configurações estão disponíveis:

– ‎Permitir que os usuários enviem alertas de fraude‎;

– ‎Bloqueie automaticamente usuários que denunciam fraude‎;

– Código para denunciar fraude durante a saudação inicial.

7 – Ativaremos os três recursos conforme imagem abaixo:

NOTA: Para visualizar relatórios de fraude, selecione Azure Active Directory > Sign-ins > Authentication Details. O relatório de fraude agora faz parte do relatório padrão de Logins do Azure AD e será mostrado em “Result Detail” como MFA negado, Código de fraude inserido.

8 – Após a ativação do recurso, devemos ativar as notificações para um e-mail que será monitorado e tratado os alertas de fraude, selecionaremos agora a opção “Notifications”

9 – Ativaremos também a função de permitir lembrar autenticação multifator caso o usuário tenha interesse.

Para habilitar e configurar a opção de os usuários se lembrarem de seu status de MFA, entraremos na opção “gettting started” e clique em “Additional cloud-based MFA settings”.

10 – Nas configurações clicaremos na box “Remembre multi-factor” e colocaremos um número de dias para exigir novamente o MFA.

11 – Por fim vamos ativar o método de verificação MFA nos usuários, ainda no portal “Azure Active Directory” vamos na aba “Users” nesta tela devemos clicar em “Multi-Factor Authentication”.

12 – Já com a nova tela aberta, basta selecionar os usuários que deseja ativar o MFA com as políticas que já deixamos configuradas.

Primeiro acesso como usuário:

1- Após o primeiro login do usuário, será solicitado para o mesmo mais informações conforme apresentadas abaixo:

2 – Neste cenário recomendamos que o usuário instale o aplicativo de autenticação da Microsoft o “Microsoft Authenticator” para que consiga gerar o código de dupla autenticação.

3 – Após realizar a instalação do aplicativo em seu celular, siga os passos abaixo para finalizar as configurações do MFA:

NOTA: Recomendamos permitir as notificações em seu celular para não perder nenhum aviso de acesso.

4 – Configurado a conta no aplicativo do celular, será necessário ler o QR Code para que o MFA fique vinculado ao aplicativo.

Com o aplicativo vinculado está completa a dupla autenticação primaria para conta do usuário.

5 – Nesta etapa selecionaremos mais uma forma de autenticação para que não ocorra perda de acesso a conta, selecionaremos então a opção segundaria como celular.

6 – Será solicitado o número com o DD incluso para cadastro.

7 – Será enviado um código para o seu número com seis dígitos para que o usuário confirme ser ele mesmo que está realizando aquele novo registro de MFA.

8 – Validando o código como última etapa, o usuário estará em conformidade com o ambiente empresarial e com redundância de acesso caso perca o celular.

Conclusão

Conforme a facilidade de utilizar os aplicativos empresariais aumenta, devemos também ter uma forma de monitorá-las e restringir os acessos a fim de evitar e mitigar o comprometimento de informações sigilosas, pensando nisso, o Azure Multi-factor Authentication estará a todo o tempo registrando novos acessos dos usuários e exigindo que os mesmos garantam que são legítimos e não um possível ataque ao ambiente.