Passo a passo: Configurando autenticação multifator (MFA) no Azure AD

Passo a passo: Configurando autenticação multifator (MFA) no Azure AD

01/02/2024

Este artigo técnico e educativo tem como objetivo guiar analistas de segurança, administradores de TI e engenheiros de sistemas na configuração e implementação da Autenticação Multifator (MFA) no Azure Active Directory (agora Microsoft Entra ID). A MFA é uma camada de segurança essencial que exige que os usuários forneçam duas ou mais formas de verificação para provar sua identidade antes de obter acesso, reduzindo significativamente o risco de comprometimento de contas [1].

Introdução

No cenário atual de ameaças cibernéticas, senhas por si só não são mais suficientes para proteger contas de usuário. Ataques de phishing, pulverização de senhas e roubo de credenciais são táticas comuns usadas por invasores. A Autenticação Multifator (MFA) adiciona uma camada crítica de segurança, exigindo que os usuários forneçam algo que sabem (senha), algo que possuem (telefone, token de hardware) ou algo que são (impressão digital, reconhecimento facial). A implementação da MFA é uma das medidas de segurança mais eficazes que uma organização pode adotar para proteger seus recursos no Microsoft Entra ID e serviços associados [2].

Este guia prático abordará as etapas para configurar a MFA no Azure AD, focando em diferentes métodos de implementação, desde as configurações básicas até o uso de Políticas de Acesso Condicional para um controle mais granular. Serão fornecidas instruções passo a passo, exemplos de configurações e métodos de validação para garantir que o leitor possa aplicar a MFA de forma eficaz em seu ambiente.

Por que a MFA é crucial?

  • Redução de Riscos: Diminui drasticamente a probabilidade de comprometimento de contas, mesmo que as senhas sejam roubadas.
  • Conformidade: Muitos padrões e regulamentações de segurança exigem a implementação da MFA para proteger dados sensíveis.
  • Proteção contra Phishing: Adiciona uma barreira contra ataques de phishing, pois o invasor precisaria não apenas da senha, mas também do segundo fator.
  • Flexibilidade: O Azure AD oferece diversas opções de segundo fator, como aplicativo Microsoft Authenticator, SMS, chamada telefônica e tokens de hardware, permitindo que os usuários escolham o método mais conveniente e seguro.

Pré-requisitos

Para configurar a MFA no Azure AD, você precisará dos seguintes itens:

  1. Licenciamento: Uma licença que inclua recursos de MFA do Azure AD. Isso pode ser Azure AD Free (com Security Defaults), Azure AD Premium P1 ou P2 (para Acesso Condicional), ou licenças de Microsoft 365 que incluem Azure AD Premium [3].
  2. Acesso Administrativo: Uma conta com permissões de Administrador Global ou Administrador de Autenticação no portal do Azure (portal.azure.com) ou no Microsoft Entra admin center (entra.microsoft.com).
  3. Dispositivos de Teste: Pelo menos uma conta de usuário de teste e um dispositivo (smartphone) para configurar e validar a MFA.
  4. Contas de Acesso de Emergência: É uma boa prática criar e proteger contas de acesso de emergência (break-glass accounts) que são isentas de MFA para evitar bloqueios em caso de problemas com o sistema de MFA [4].

Passo a Passo: Configurando Autenticação Multifator (MFA) no Azure AD

Existem algumas maneiras de habilitar a MFA no Azure AD. Abordaremos as duas mais comuns: Security Defaults (para configurações rápidas e básicas) e Políticas de Acesso Condicional (para controle granular).

Opção 1: Habilitar MFA usando Security Defaults (Recomendado para pequenas e médias empresas)

Os Security Defaults fornecem um conjunto básico de políticas de segurança recomendadas pela Microsoft, incluindo a exigência de MFA para todos os usuários e administradores. É uma forma simples e eficaz de aumentar a segurança rapidamente.

  1. Acesse o Microsoft Entra admin center: https://entra.microsoft.com.
  2. No painel de navegação esquerdo, vá para Proteção > Visão geral da segurança.
  3. Na seção Habilitar padrões de segurança, clique em Gerenciar padrões de segurança.
  4. No painel Padrões de segurança, defina a opção Habilitar Padrões de Segurança como Sim.
  5. Clique em Salvar.

Observação: Uma vez ativados, os Security Defaults exigirão que todos os usuários configurem a MFA em seu próximo login. Eles serão solicitados a registrar o aplicativo Microsoft Authenticator. Os Security Defaults são ideais para organizações que não possuem licenças do Azure AD Premium P1 ou P2 e precisam de uma implementação de MFA rápida e padronizada. Não é possível usar Acesso Condicional e Security Defaults simultaneamente; um desabilita o outro.

Opção 2: Habilitar MFA usando Políticas de Acesso Condicional (Recomendado para controle granular e empresas maiores)

As Políticas de Acesso Condicional (CA) permitem definir condições específicas sob as quais a MFA será exigida, oferecendo muito mais flexibilidade do que os Security Defaults. Esta opção requer uma licença do Azure AD Premium P1 ou P2.

2.1. Criar um Grupo de Usuários para Teste

É uma boa prática testar as políticas de Acesso Condicional em um grupo pequeno de usuários antes de implantar em toda a organização.

  1. No Microsoft Entra admin center, vá para Identidade > Grupos > Todos os grupos.
  2. Clique em Novo grupo.
  3. Preencha os detalhes:
    • Tipo de grupo: Segurança
    • Nome do grupo: MFA_Users_Test
    • Funções do Azure AD podem ser atribuídas ao grupo: Não
    • Tipo de associação: Atribuído
  4. Adicione os usuários de teste como membros e clique em Criar.

2.2. Criar uma Política de Acesso Condicional para Exigir MFA

  1. No Microsoft Entra admin center, vá para Proteção > Acesso Condicional.
  2. Clique em Nova política > Criar nova política.
  3. Nome: Exigir MFA para todos os usuários (ou Exigir MFA para Grupo de Teste se estiver testando).
  4. Atribuições:
    • Usuários ou cargas de trabalho de identidade: Selecione Todos os usuários (ou o grupo MFA_Users_Test para teste).
    • Excluir: É crucial excluir suas contas de acesso de emergência aqui para evitar bloqueios. Adicione também quaisquer contas de serviço que não possam usar MFA.
  5. Recursos de nuvem ou ações: Selecione Todos os aplicativos de nuvem.
  6. Condições (Opcional, para granularidade adicional):
    • Você pode configurar condições baseadas em localização, dispositivos, aplicativos cliente, etc. Por exemplo, exigir MFA apenas para acessos de fora da rede corporativa.
  7. Conceder:
    • Selecione Conceder acesso.
    • Marque Exigir autenticação multifator.
    • Clique em Selecionar.
  8. Sessão (Opcional):
    • Você pode configurar o controle de frequência de login ou persistência de sessão.
  9. Habilitar política: Defina como Somente relatório para testar o impacto antes de aplicar, ou Ativado para aplicar imediatamente.
  10. Clique em Criar.

2.3. Configurar Métodos de Autenticação

É importante definir quais métodos de MFA estão disponíveis para os usuários.

  1. No Microsoft Entra admin center, vá para Proteção > Métodos de autenticação > Políticas.
  2. Aqui você pode habilitar ou desabilitar métodos como Microsoft Authenticator, SMS, Chamada de Voz, etc. Recomenda-se habilitar o Microsoft Authenticator e SMS como métodos primários.
  3. Configure as opções para cada método, como o modo de registro do Authenticator (sem senha ou push notification).

Validação e Teste

Após configurar a MFA, é essencial validar se ela está funcionando conforme o esperado.

1. Testar o Login de um Usuário

  1. Abra uma janela de navegador em modo anônimo/privado.
  2. Navegue até um aplicativo que a política de MFA cobre (ex: portal.office.com).
  3. Faça login com a conta de um usuário que está incluído na política de MFA.
  4. O usuário deverá ser solicitado a configurar a MFA (se for o primeiro login após a habilitação) ou a fornecer o segundo fator (ex: aprovar a notificação no Microsoft Authenticator, inserir código SMS).

2. Verificar o Status de Registro de MFA

  1. No Microsoft Entra admin center, vá para Identidade > Usuários > Todos os usuários.
  2. Clique em um usuário e, em seguida, em Métodos de autenticação.
  3. Verifique os métodos de autenticação registrados para o usuário. Isso confirmará que o usuário configurou a MFA com sucesso.

3. Usar o Modo Somente Relatório (para Acesso Condicional)

Se você configurou a política de Acesso Condicional no modo Somente relatório, pode verificar os resultados sem enforcement.

  1. No Microsoft Entra admin center, vá para Proteção > Acesso Condicional.
  2. Clique na política que você criou e vá para a aba Somente relatório.
  3. Analise os resultados para ver quais usuários e aplicativos seriam afetados pela política e se a MFA seria exigida.

Dicas de Segurança e Melhores Práticas

  • Exigir MFA para Administradores: Sempre exija MFA para contas administrativas, independentemente de outras políticas. Essas contas são alvos primários de ataques.
  • Educação do Usuário: Treine os usuários sobre a importância da MFA e como configurá-la e usá-la corretamente. Explique como identificar e relatar tentativas de phishing de MFA.
  • Microsoft Authenticator: Promova o uso do aplicativo Microsoft Authenticator com notificações push, pois é considerado um dos métodos mais seguros e fáceis de usar, além de ser resistente a alguns tipos de ataques de phishing.
  • Políticas de Acesso Condicional Granulares: Utilize o Acesso Condicional para refinar quando a MFA é necessária (ex: fora da rede corporativa, para aplicativos de alto risco, para usuários em funções privilegiadas).
  • Revisão Periódica: Revise regularmente suas políticas de MFA e os métodos de autenticação registrados pelos usuários para garantir que continuem eficazes e seguros.
  • Contas de Emergência: Mantenha um processo rigoroso para as contas de acesso de emergência, incluindo armazenamento seguro de credenciais e auditoria regular de seu uso.

Troubleshooting Comum

  • Usuário não consegue configurar MFA: Verifique se o usuário tem uma licença apropriada e se os métodos de autenticação desejados estão habilitados. Oriente o usuário a seguir as instruções de registro cuidadosamente.
  • Usuário bloqueado após habilitar MFA: Verifique se o usuário foi excluído de alguma política de Acesso Condicional ou se há um problema com o método de MFA configurado. Use as contas de acesso de emergência se necessário.
  • MFA não é solicitada: Verifique se a política de Acesso Condicional está habilitada e atribuída aos usuários e aplicativos corretos. Se estiver usando Security Defaults, certifique-se de que não há políticas de Acesso Condicional conflitantes.
  • Problemas com o aplicativo Authenticator: Verifique a conectividade de rede do dispositivo móvel e se as notificações estão ativadas para o aplicativo. Tente remover e adicionar a conta novamente no aplicativo.

Conclusão

A Autenticação Multifator é um pilar fundamental da segurança de identidade moderna. A configuração da MFA no Azure AD, especialmente através de Políticas de Acesso Condicional, oferece uma defesa robusta contra o acesso não autorizado. Ao seguir as diretrizes deste artigo, sua organização estará mais bem equipada para proteger as identidades dos usuários e os recursos críticos, mitigando riscos e fortalecendo a postura geral de segurança. Lembre-se de que a segurança é um processo contínuo que exige adaptação e aprimoramento constantes.

Referências:

[1] Microsoft Learn. O que é Autenticação Multifator?. Disponível em: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2] Microsoft Learn. Planejar uma implantação de autenticação multifator do Microsoft Entra. Disponível em: https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3] Microsoft Learn. Licenciamento para Autenticação Multifator do Microsoft Entra. Disponível em: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4] Microsoft Learn. Criar contas de acesso de emergência no Microsoft Entra ID. Disponível em: https://learn.microsoft.com/pt-br/entra/identity/role-based-access-control/security-emergency-access-accounts