Tópico Anterior

MFA baseado em máquina

MFA baseada em máquina é uma configuração destinada a proteger máquinas críticas para os negócios em uma organização, impedindo que sejam comprometidas.

Nota: MFA baseada em máquina requer a Professional Edition of ADSelfService Plus com Endpoint MFA. Se você não possui estes, a MFA baseada em máquina não será aplicada.

• Como funciona a MFA baseada em máquina?
  • Etapas para aplicar a MFA baseada em máquina
  • Etapas para isentar uma máquina da MFA baseada em máquina
• Configurações avançadas de MFA para máquinas
  • Configurações de MFA para máquinas Windows
  • MFA para logins GUI em máquinas Windows
  • MFA para Controle de Conta de Usuário
  • MFA para acesso via Área de Trabalho Remota
  • MFA para desbloqueio de máquina

Como funciona a MFA baseada em máquina?

Quando a MFA baseada em máquina é aplicada para uma máquina específica, qualquer usuário que acessar a máquina deve comprovar sua identidade usando MFA para efetuar login com sucesso. Os autenticadores de MFA no prompt serão baseados nos autenticadores configurados para o usuário na seção MFA for Machine Login. Essas configurações diferem das configurações de MFA baseadas em política para máquinas, pois são destinadas a proteger máquinas sensíveis sob qualquer circunstância, ou seja, a MFA será aplicada nas máquinas selecionadas independentemente do status de inscrição do usuário que tenta fazer login ou da disponibilidade do servidor ADSelfService Plus.

Quando esta configuração está ativada, os usuários não poderão fazer login na máquina onde a MFA baseada em máquina está aplicada se:

• O servidor ADSelfService Plus não estiver acessível.
• A conta do usuário estiver restrita no ADSelfService Plus.
• O usuário não pertencer a nenhuma política que tenha MFA para Machine Login configurada.
• O usuário não tiver se inscrito em nenhum dos autenticadores configurados na seção MFA for Machine Login (tanto MFA online quanto offline), independentemente de a opção Forçar Inscrição estar ativada para a política do usuário.
• O limite de consumo da licença do usuário foi excedido ou o Endpoint MFA não foi adquirido. Para adquirir o Endpoint MFA, clique aqui.

No entanto, usuários que selecionaram a configuração Confiar nesta máquina na tela de login poderão acessar a máquina sem realizar MFA pelo período especificado após a verificação inicial de identidade.

Nota: Certifique-se de atualizar o agente de login para as seguintes versões mais recentes para a aplicação correta da MFA: Windows 5.10, macOS 1.7 ou Linux 2.4 ou superior. Se uma versão antiga do agente de login estiver instalada na máquina e o servidor ADSelfService Plus não estiver acessível, o usuário poderá acessar a máquina se a opção Ignorar MFA quando o servidor ADSelfService Plus estiver indisponível ou inacessível estiver ativada.

Etapas para aplicar a MFA baseada em máquina

1. Navigate to Configuration > Administrative Tools > GINA/Mac/Linux (Ctrl+Alt+Del) > GINA/Mac/Linux Installation > Installed Machines.

   

2. Selecione o domínio necessário na lista suspensa.
3. Select the máquinas on which you want to enforce machine-based MFA.

   

4. Click Gerenciar MFA and select Aplicar.

   

Etapas para isentar uma máquina da MFA baseada em máquina

1. Navegue até Configuration > Administrative Tools > GINA/Mac/Linux (Ctrl+Alt+Del) > GINA/Mac/Linux Installation > Installed Machines.
2. Selecione o domínio necessário na lista suspensa.
3. Selecione a máquina que deseja isentar da MFA baseada em máquina.
4. Click Gerenciar MFA drop-down and select Isentar.

   

Configurações avançadas de MFA para máquinas

O ADSelfService Plus permite que administradores habilitem MFA durante cenários específicos de uso para máquinas Windows. Para solicitar esse recurso para Mac ou Linux, clique aqui.

Nota: O recurso Avançado de MFA para Máquina requer a Professional edition of ADSelfService Plus com Endpoint MFA. Se você não possui estes, a MFA será ignorada em máquinas Windows.

Os autenticadores nos prompts para os cenários habilitados serão baseados nos fatores de MFA configurados na seção MFA for Machine Login. As configurações ativadas aqui serão aplicadas a todas as máquinas Windows onde o agente de login do ADSelfService Plus estiver instalado.

Configurações de MFA para Windows

• Habilitar MFA durante logons interativos em máquinas Windows via GUI:

  

  Quando esta configuração estiver ativada, a MFA será exigida durante logins interativos ou baseados em GUI em máquinas Windows. Os usuários poderão realizar ações subsequentes somente após a verificação bem-sucedida da identidade.

  Nota: MFA para logins interativos em servidores Windows requer a Professional edition of ADSelfService Plus com Endpoint MFA. Se você não possuir estes, o MFA será ignorado em servidores Windows.

• Habilitar MFA para Controle de Conta de Usuário: Esta configuração habilita MFA para todos os prompts de credenciais do Controle de Conta de Usuário (UAC), e o usuário poderá realizar a ação desejada somente após a verificação de identidade bem-sucedida.

Pré-requisito

Antes de configurar MFA para UAC, faça login em um Controlador de Domínio com privilégios de Administrador de Domínio e certifique-se de que as seguintes configurações de Diretiva de Grupo estejam aplicadas aos computadores-alvo:

1. Abra o Editor de Gerenciamento de Diretiva de Grupo (GPMC) e navegue até Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança.
2. Configure estas configurações de política:
• Controle de Conta de Usuário: Comportamento do prompt de elevação para administradores no Modo de Aprovação de Administrador → Definir para Solicitar credenciais na área de trabalho segura
• Controle de Conta de Usuário: Alternar para a área de trabalho segura ao solicitar elevação → Definir como Habilitado



• Após concluir, habilite a opção Habilitar MFA para Controle de Conta de Usuário no ADSelfService Plus.
• Esta configuração é compatível com Windows 7 e versões posteriores e Windows Server 2008 e posteriores. É suportada a partir da versão 5.10 do agente de login do ADSelfService Plus para Windows.

Nota: MFA para UAC em máquinas Windows requer a Professional edition of ADSelfService Plus com Endpoint MFA. Se você não possuir estes, o MFA será ignorado em máquinas Windows.



Nota: Ações realizadas selecionando a opção Executar como outro usuário não exigirão credenciais como solicitado por outras ações do UAC.



• Habilite MFA para acesso via Remote Desktop em máquinas Windows durante: The admin can configure MFA to be required when establishing connections with machines through the RDP. This will ensure that RDP connections to machines are secured with an additional layer of authentication.

  Nota: MFA para acesso RDP a máquinas Windows requer a Professional edition of ADSelfService Plus com Endpoint MFA. Se você não possuir estes, o MFA será ignorado durante logins RDP em máquinas Windows.

  Existem duas formas de configurar MFA para acesso via Remote Desktop:

  • Autenticação do servidor RDP: Quando esta configuração está habilitada, todas as conexões de Remote Desktop recebidas em máquinas Windows onde o agente de login do ADSelfService Plus está instalado serão autenticadas e protegidas usando MFA.
  • Para habilitar esta configuração, selecione Habilitar MFA para acesso via Remote Desktop em máquinas Windows durante e marque Autenticação do servidor RDP.
  • Autenticação do cliente RDP: This setting can be enabled to require MFA for all outgoing Remote Desktop connections from domain-joined machines, via the Windows Remote Desktop application (mstsc.exe) on machines where the ADSelfService Plus login agent is installed.

    Nota: A autenticação do cliente RDP não é suportada para usuários locais em máquinas ingressadas em domínio e em máquinas standalone (grupo de trabalho).

  • Pré-requisitos:

    Antes de configurar a autenticação do cliente RDP, faça login em um Controlador de Domínio com privilégios de Administrador de Domínio e certifique-se de que estas configurações estejam aplicadas:

  1. Abra o Editor de Gerenciamento de Diretiva de Grupo (GPMC) e navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Serviços de Área de Trabalho Remota > Host de Sessão da Área de Trabalho Remota > Segurança.
  2. Clique duas vezes em Exigir autenticação do usuário para conexões remotas usando Autenticação em Nível de Rede e marque Habilitado.
  3. Clique em Aplicar e Salvar suas configurações.
  • Após concluir, selecione Habilitar MFA para acesso via Remote Desktop em máquinas Windows durante e marque Autenticação do cliente RDP.
  • Esta configuração é suportada a partir da versão 5.10 do agente de login do ADSelfService Plus para Windows. Esta configuração é aplicável para Windows 7 e superior e Windows Server 2008 R2 e superior.

  

  Nota: Habilitar tanto a autenticação do servidor RDP quanto a do cliente RDP pode levar a uma dupla verificação se o agente de login do ADSelfService Plus estiver instalado tanto no servidor quanto nas máquinas clientes. Por exemplo, se o Google Authenticator for o autenticador MFA configurado, e ambas as autenticações do servidor e cliente RDP estiverem habilitadas, o usuário será obrigado a realizar a verificação de identidade usando o código tanto antes quanto depois de estabelecer a conexão com a máquina remota.
  • To enable MFA for RDP client authentication, log into a Domain Controller with Domain Admin privileges, and ensure the following Group Policy settings are applied to the target computers:
    • Abra o Editor de Gerenciamento de Diretiva de Grupo (GPMC) e navegue até Configuração do Computador > Modelos Administrativos > Componentes do Windows > Serviços de Área de Trabalho Remota > Host de Sessão da Área de Trabalho Remota > Segurança.
    • Clique duas vezes em Exigir autenticação do usuário para conexões remotas usando Autenticação em Nível de Rede e marque Habilitado.
    • Clique em Aplicar e Salvar suas configurações.

    Para exigir MFA para conexões Remote Desktop em um ambiente AD multi-floresta, deve haver uma relação de confiança entre os dois domínios. Confianças de domínio podem ser adicionadas entre florestas por meio de uma confiança de floresta (ou seja, uma relação de confiança no nível da floresta) ou por meio de uma confiança externa (ou seja, uma relação de confiança no nível do domínio). Para passos para configurar uma relação de confiança, consulte este documento.

    Nota: Com a autenticação do cliente RDP, você pode proteger o acesso remoto usando MFA apenas para usuários que acessam a máquina da internet ou de outros endereços IP públicos via Remote Desktop Gateway (RD Gateway) configurando uma regra de acesso condicional com restrições de IP. Saiba mais sobre acesso condicional aqui.
• Habilite MFA ao desbloquear máquinas Windows: Enabling this setting will enforce MFA during Windows machine unlocking.

  Nota: MFA para desbloqueio de máquinas Windows requer a Professional edition of ADSelfService Plus com Endpoint MFA. Se você não possuir estes, o MFA será ignorado durante desbloqueios de máquinas Windows.

  

Próximo Tópico