Azure AD MFA
Nota: Azure AD MFA é um Advanced Authenticator disponível como parte da edição Professional do ADSelfService Plus.
Se sua organização utiliza Microsoft Azure Active Directory (AD) e usa Azure AD multi-factor authentication (MFA) para proteger logins, você pode estender o uso do Azure AD MFA configurando-o como um método de autenticação para o recurso MFA do ADSelfService Plus. Isso simplifica o processo de configuração para administradores e oferece uma experiência de autenticação familiar para os usuários finais.
Azure AD MFA pode ser usado para verificação de identidade durante:
- Ações de redefinição de senha ou desbloqueio de conta em self-service do AD.
- Logins em máquinas endpoint para Windows, macOS e Linux, e logins web do Outlook.
- Logins em aplicações empresariais via single sign-on.
- Logins no portal do ADSelfService Plus.
Azure AD MFA oferece os seguintes autenticadores para proteger o acesso:
- Notificações push baseadas no aplicativo Microsoft Authenticator.
- Códigos de verificação baseados no aplicativo Microsoft Authenticator.
- Verificação por chamada telefônica.
- Verificação por SMS.
- Tokens de hardware OATH usando Yubico, DeepNet Security e outros.
Como o Azure AD MFA funciona?
- O usuário tenta fazer login ou realizar a redefinição de senha ou desbloqueio de conta em self-service.
- A página de autenticação multifator é carregada, e o usuário inicia o Azure AD MFA.
- O servidor ADSelfService Plus envia uma solicitação RADIUS para o Network Policy Server (NPS).
- A extensão NPS para Azure MFA contata a nuvem Azure e dispara uma solicitação MFA.
- Se os métodos de verificação por notificação push do Microsoft Authenticator ou por chamada telefônica estiverem habilitados para Azure AD MFA, a solicitação de verificação é disparada diretamente.
- Se os métodos de código de verificação do Microsoft Authenticator, token de hardware ou código de verificação por SMS estiverem habilitados para Azure AD MFA, a extensão NPS retorna uma resposta de desafio RADIUS para o servidor ADSelfService Plus e o usuário é solicitado a informar o código de verificação.
- Uma vez que o Azure AD MFA é bem-sucedido, a extensão NPS retorna uma resposta de aceitação RADIUS para o servidor ADSelfService Plus e o usuário recebe acesso.
Passos para configuração do Azure AD MFA
Com a configuração pré-existente e informações de inscrição do usuário no Azure, você pode habilitar o Azure AD MFA como método de verificação de identidade do ADSelfService Plus usando os seguintes passos:
Pré-requisitos:
- O servidor configurado como NPS deve ter a extensão Azure NPS instalada e configurada usando estes passos.
- Um cliente RADIUS deve ser configurado no NPS para o servidor ADSelfService Plus.
- No NPS, a autenticação primária deve ser ignorada selecionando a opção Aceitar usuários sem credenciais de validação em Política de Solicitação de Conexão > Autenticação.
- Certifique-se de que a Política de Conexão onde a autenticação é ignorada se aplica apenas ao cliente RADIUS do ADSelfService Plus para evitar acesso não autenticado a outros clientes RADIUS no mesmo NPS.
- Se for necessário remover o Azure AD MFA, não desinstale a extensão Azure NPS sem desabilitar o Azure AD MFA no ADSelfService Plus.
- Os usuários finais devem estar inscritos no Azure AD MFA.
Passos de configuração:
- Navegue até Configuração > Self-Service > Multi-factor Authentication > Configuração de Autenticadores.
- No menu suspenso Choose the Policy, selecione uma política.
Nota: O ADSelfService Plus permite criar políticas baseadas em unidades organizacionais (OU) e grupos. Para criar uma política, vá para Configuração > Self-Service > Configuração de Política > Adicionar Nova Política. Clique em Selecionar OUs/Grupos e faça a seleção conforme suas necessidades. É necessário selecionar pelo menos um recurso de self-service. Por fim, clique em Salvar Política.
- Clique em Azure AD MFA.
- Insira as informações necessárias nos campos Servidor NPS, Porta de Autenticação NPS, Método de Autenticação, Segredo Compartilhado (definidos durante a configuração do cliente RADIUS. Consulte o pré-requisito 2), Padrão de Nome de Usuário e Configurações de Tempo Limite de Solicitação.
- Para tokens de hardware OATH, verificação por SMS e métodos de código de verificação baseados no aplicativo Microsoft Authenticator, PAP deve ser selecionado como Método de Autenticação.
- Para notificações push baseadas no aplicativo Microsoft Authenticator e métodos de verificação por chamada móvel, recomenda-se que as Configurações de Tempo Limite de Solicitação sejam definidas para pelo menos 60 segundos.
- Clique em Testar Conexão & Salvar.
Para modificar a configuração:
- Navegue até Configuração > Self-Service > Multi-factor Authentication > Configuração de Autenticadores.
- Selecione Azure AD MFA.
- Clique em Modificar e altere as informações fornecidas onde for necessário.
- Se a configuração precisar ser removida, clique em Remover Configuração.
- Clique em Testar Conexão & Salvar.
Não encontrou o que procura?
-
Visite nossa comunidade
Publique suas perguntas no fórum.
-
Solicite recursos adicionais
Envie-nos suas necessidades.
-
Precisa de assistência para implementação?
Experimente o OnboardPro
ADManager Plus
ADAudit Plus
Exchange Reporter Plus
M365 Manager Plus
Tópico Anterior