Tópico Anterior Próximo Tópico

Como habilitar MFA para Windows, macOS e Linux

Você pode aplicar MFA para máquinas Windows, macOS e Linux de duas maneiras:

• MFA baseada no usuário: Proteja logins em desktops ou laptops, incluindo logons remotos usando MFA para um grupo específico de usuários. Clique aqui para os passos de configuração.
• MFA baseada na máquina: Aplique MFA especificamente às máquinas, independentemente dos usuários que as acessam, seu status de inscrição e a conectividade do ADSelfService Plus. Os autenticadores configurados na MFA baseada no usuário são solicitados durante o processo de MFA baseada na máquina. Prompt de Controle de Conta de Usuário (UAC), autenticação de cliente e servidor RDP, e desbloqueios do sistema também podem ser protegidos pela MFA baseada na máquina. Clique aqui para saber mais.

Nota: A edição Professional do ADSelfService Plus com Endpoint MFA é necessária para que a MFA baseada na máquina funcione em servidores Windows. Caso contrário, a MFA será ignorada em servidores Windows.

As máquinas podem ser protegidas por MFA de duas formas:

• MFA Online: O processo padrão ou online de MFA no ADSelfService Plus usa uma conexão de rede entre o servidor ADSelfService Plus e as máquinas dos usuários para verificar a identidade dos usuários com base nos dados do autenticador registrados no servidor ADSelfService Plus.
• MFA Offline: Para garantir a segurança da identidade mesmo na ausência de uma conexão de rede adequada ou comunicação com o servidor ADSelfService Plus, a MFA offline verifica a identidade do usuário com dados do autenticador armazenados com segurança na máquina do usuário pelo agente de login do Windows ou macOS. A MFA offline é suportada apenas para logins Windows e macOS, e outras ações periféricas relacionadas ao Windows (prompts UAC, autenticação do servidor RDP e desbloqueios da máquina) quando o servidor ADSelfService Plus estiver inacessível. Clique nestes links para saber mais sobre o processo de inscrição e o processo de verificação.

Pré-requisitos

Geral

• O Endpoint MFA para ADSelfService Plus é necessário para habilitar o recurso MFA para logins em máquinas. Visite a loja para adquirir o Endpoint MFA.
• SSL deve estar habilitado: Faça login no console web do ADSelfService Plus com credenciais de administrador. Navegue até a aba Admin > Configurações do Produto > Conexão. Selecione a opção Porta ADSelfService Plus [https]. Consulte este guia para aprender como solicitar um certificado SSL e habilitar HTTPS.
• A URL de acesso deve estar configurada para HTTPS: Navegue até Admin > Configurações do Produto > Conexão > Configurações de Conexão > Configurar URL de Acesso e defina a opção Protocolo para HTTPS.
• Habilite os métodos de autenticação necessários. Para os passos de habilitação dos métodos de autenticação, consulte a seção Autenticadores.
• Instale o agente de login do software cliente ADSelfService Plus para Windows, macOS e Linux nas máquinas onde deseja habilitar MFA. Clique aqui para os passos de instalação do agente de login ADSelfService Plus.

Pré-requisitos para MFA offline

• O suporte para MFA offline requer a edição Professional do ADSelfService Plus com Endpoint MFA.
• A MFA offline é suportada apenas para máquinas Windows (exceto Windows 10 versão 1803) e logins macOS. Para logins remotos, a MFA offline não é suportada para autenticação de cliente RDP do Windows.
• Certifique-se de que o agente de login instalado em suas máquinas esteja na versão requerida: versão 6.3 ou superior para Windows, e versão 3.0 ou superior para macOS. Caso contrário, atualize o agente para a versão mais recente seguindo estes passos. Se ainda não instalou o agente de login, configure a MFA offline antes para garantir que as alterações sejam atualizadas.

Passos para habilitar MFA para máquinas Windows, macOS e Linux

1. Vá para Configuração > Autoatendimento > Autenticação Multifator > MFA para Endpoints.
2. Selecione uma política no menu suspenso Escolher a Política. Isso determinará quais métodos de autenticação são habilitados para quais grupos de usuários.
O ADSelfService Plus permite criar políticas baseadas em OU e grupos. Para criar uma política, vá para Configuração > Autoatendimento > Configuração de Política > Adicionar Nova Política. Clique em Selecionar OUs/Grupos e faça a seleção conforme suas necessidades. É necessário selecionar pelo menos um recurso de autoatendimento. Clique em Salvar Política.
3. Na seção MFA para Login na Máquina, habilite a opção marcando a caixa, escolha o número de fatores de autenticação a serem solicitados e selecione o método de autenticação desejado no menu suspenso.
Nota: Passkeys FIDO2 são suportadas para logins em máquinas. Para mais detalhes sobre cenários suportados, clique aqui.
4. Selecione a opção Escolher Autenticadores para MFA Offline no Login da Máquina e escolha os métodos de autenticação preferidos para MFA offline no menu suspenso. Os seguintes autenticadores são suportados:
• Google Authenticator
• Microsoft Authenticator
• Autenticador personalizado de senha única baseada em tempo (TOTP)
• Zoho OneAuth TOTP
• Passkeys FIDO2 (Clique aqui para cenários suportados)

Para forçar os usuários a se inscreverem nos autenticadores selecionados aqui, escolha a opção Forçar inscrição nesta configuração avançada.

5. Clique em Salvar Configurações.

Nota:

• Se a MFA offline não estiver configurada ou a máquina do usuário não estiver inscrita para MFA offline, o acesso offline será negado, a menos que:
• A configuração Ignorar MFA quando o servidor ADSelfService Plus estiver fora do ar ou inacessível esteja habilitada. Essa configuração pode ser encontrada em Configuração > Autoatendimento > Autenticação Multifator > Avançado > Endpoint MFA > MFA para Login na Máquina.
• A MFA baseada na máquina não é aplicada para essa máquina. A configuração Manage MFA em Configuração > Ferramentas Administrativas > GINA/Mac/Linux (Ctrl+Alt+Del) > Instalação GINA/Mac/Linux > Máquinas Instaladas está definida como Isento.

Para evitar a redução da segurança ao ignorar a MFA ou prejudicar a produtividade ao negar acesso quando offline, recomenda-se habilitar a MFA offline.

• Alterações na configuração da MFA offline, configurações avançadas, dados de inscrição e cancelamento da inscrição da máquina na MFA offline serão refletidas somente após a próxima tentativa bem-sucedida de MFA online nessa máquina.
• Saiba como habilitar suporte ao idioma local para MFA no Windows.

Apêndice

Inscrição de máquinas Windows para MFA offline

Inscrição de autenticadores pelos usuários

Uma vez configurada a MFA offline, após o usuário completar a MFA online via agente de login ou no portal ADSelfService Plus, será solicitado que ele se inscreva nos autenticadores configurados para MFA offline, caso ainda não esteja inscrito.

Inscrição da máquina para MFA offline

Após a conclusão da MFA online, dependendo da configuração da configuração avançada, a máquina do usuário será automaticamente inscrita para MFA offline, ou ele terá que escolher entre inscrever a máquina ou pular a inscrição.

Uma vez que a máquina esteja cadastrada para MFA offline para o usuário específico, os dados de cadastro do autenticador do usuário serão transmitidos com segurança do servidor ADSelfService Plus e armazenados como dados criptografados na máquina específica para MFA offline. Esse processo se repetirá regularmente para manter os dados do autenticador atualizados.

O dispositivo cadastrado para MFA offline pode ser descadastrado pelos administradores ou pelos usuários finais, se necessário.

Como funciona o MFA offline?

1. O usuário insere suas credenciais para fazer login na sua máquina.
2. Se a autenticação primária for bem-sucedida, o agente de login do ADSelfService Plus instalado na máquina tenta acessar o servidor ADSelfService Plus para iniciar o MFA, mas falha devido à falta de conectividade.
3. O agente de login então inicia o MFA offline.
4. Se o usuário completar com sucesso os níveis de autenticação necessários, ele será autenticado na máquina.

Tópico Anterior Próximo Tópico