Introdução ao Servidor de Autenticação Multifator do Azure

  • Artigo

Getting started with MFA Server on-premises

Esta página aborda uma nova instalação do servidor e sua configuração com o Active Directory local. Se você já tiver o servidor MFA instalado e quiser atualizar, consulte Atualizar para o Servidor de Autenticação Multifator do Azure mais recente. Se você estiver procurando informações sobre como instalar apenas o serviço Web, confira Implantar o serviço Web de aplicativo móvel do Servidor de Autenticação Multifator.

Importante

Em setembro de 2022, a Microsoft anunciou a reprovação do Servidor de Autenticação Multifator do Azure AD. A partir de 30 de setembro de 2024, as implantações do Servidor de Autenticação Multifator do Microsoft Azure não atenderão mais às solicitações de autenticação multifator, o que poderá causar falhas de autenticação na sua organização. Para garantir serviços de autenticação ininterruptos e que eles permaneçam em um estado com suporte, as organizações devem migrar os dados de autenticação dos usuários para o serviço de autenticação multifator do Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização do Servidor de Autenticação Multifator do Microsoft Azure mais recente. Para mais informações, confira Migração do Servidor de Autenticação Multifator do Azure.

Para começar a usar a MFA baseada em nuvem, consulte o Tutorial: Proteja os eventos de logon do usuário com a autenticação multifator do Azure.

Planejar sua implantação

Antes de baixar o Servidor de Autenticação Multifator do Azure, pense em quais são seus requisitos de alta disponibilidade e carga. Use essas informações para decidir como e onde implantar.

Uma boa diretriz para a quantidade de memória necessária é o número de usuários que devem se autenticar regularmente.

Usuários RAM
1-10,000 4 GB
10,001-50,000 8 GB
50,001-100,000 12 GB
100,000-200,001 16 GB
200,001+ 32 GB

Você precisa configurar vários servidores para alta disponibilidade ou balanceamento de carga? Há várias maneiras de definir essa configuração com o Servidor de Autenticação Multifator do Microsoft Azure. Quando você instala o seu primeiro Servidor de Autenticação Multifator do Microsoft Azure, ele se torna o servidor mestre. Os outros servidores se tornam subordinados e sincronizam automaticamente os usuários e a configuração com o mestre. Em seguida, você pode configurar um servidor primário e ter o resto atuando como backup, ou pode configurar o balanceamento de carga entre todos os servidores.

Quando um Servidor de Autenticação Multifator do Microsoft Azure mestre fica offline, os servidores subordinados ainda podem processar solicitações de verificação em duas etapas. No entanto, você não pode adicionar novos usuários e os usuários existentes não podem atualizar suas configurações até que o mestre fique novamente online ou um subordinado seja promovido.

Prepare o seu ambiente

Verifique se o servidor que você está usando para a autenticação multifator do Azure atende aos seguintes requisitos.

Requisitos do Servidor de Autenticação Multifator do Azure Descrição
Hardware
  • 200 MB de espaço em disco rígido
  • processador compatível com x32 ou x64
  • 1 GB ou mais de RAM
    		•
    Software
  • Windows Server 20221
  • Windows Server 20191
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008/R2 (somente com ESU)
  • Windows 10
  • Windows 8.1, todas as edições
  • Windows 8, todas as edições
  • Windows 7, todas as edições (somente com ESU)
  • Microsoft .NET 4.0 Framework
  • IIS 7.0 ou superior se estiver instalando o portal do usuário ou o SDK do serviço Web
    		•
    Permissões Conta de Administrador Corporativo ou de Administrador de Domínio para registrar-se no Active Directory

    1Se o Servidor de Autenticação Multifator do Microsoft Azure não for ativado em uma VM do Azure que executa o Windows Server 2019 ou posterior, tente usar uma versão anterior do Windows Server.

    Componentes do Servidor de Autenticação Multifator do Microsoft Azure

    Há três componentes da Web que compõem o Servidor de Autenticação Multifator do Microsoft Azure:

    • SDK do Serviço Web - Permite a comunicação com os outros componentes e é instalado no servidor de aplicativos de autenticação multifator do Microsoft Entra
    • Portal do usuário - Um site de IIS que permite que os usuários se registrem na autenticação multifator do Azure e mantenham suas contas.
    • Serviço de aplicativo Web móvel: permite usar um aplicativo móvel como o aplicativo Microsoft Authenticator para verificação em duas etapas.

    Todos os três componentes podem ser instalados no mesmo servidor se ele estiver voltado para a Internet. Se os componentes forem divididos, o SDK do serviço Web é instalado no servidor de aplicativos de autenticação multifator do Microsoft Entra e o portal do usuário e o Serviço Web de Aplicativo Móvel são instalados em um servidor voltado para a Internet.

    Requisitos de firewall do Servidor de Autenticação Multifator do Azure

    Cada servidor MFA deve ser capaz de se comunicar na porta 443 de saída para os seguintes endereços:

    Se os firewalls de saída forem restritos na porta 443, abra os seguintes intervalos de endereços IP:

    Subrede de IP Máscara de rede Intervalo IP
    134.170.116.0/25 255.255.255.128 134.170.116.1 – 134.170.116.126
    134.170.165.0/25 255.255.255.128 134.170.165.1 – 134.170.165.126
    70.37.154.128/25 255.255.255.128 70.37.154.129 – 70.37.154.254
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    Se você não estiver usando o recurso de Confirmação de Eventos e os usuários não estiverem usando aplicativos móveis para verificar com dispositivos na rede corporativa, só precisará dos seguintes intervalos:

    Subrede de IP Máscara de rede Intervalo IP
    134.170.116.72/29 255.255.255.248 134.170.116.72 – 134.170.116.79
    134.170.165.72/29 255.255.255.248 134.170.165.72 – 134.170.165.79
    70.37.154.200/29 255.255.255.248 70.37.154.201 – 70.37.154.206
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    Baixar o Servidor MFA

    Dica

    As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

    Siga estas etapas para baixar o Servidor de Autenticação Multifator do Microsoft Azure:

    Importante

    Em setembro de 2022, a Microsoft anunciou a reprovação do Servidor de Autenticação Multifator do Azure AD. A partir de 30 de setembro de 2024, as implantações do Servidor de Autenticação Multifator do Microsoft Azure não atenderão mais às solicitações de autenticação multifator, o que poderá causar falhas de autenticação na sua organização. Para garantir serviços de autenticação ininterruptos e que eles permaneçam em um estado com suporte, as organizações devem migrar os dados de autenticação dos usuários para o serviço de autenticação multifator do Microsoft Entra baseado em nuvem usando o Utilitário de Migração mais recente incluído na atualização do Servidor de Autenticação Multifator do Microsoft Azure mais recente. Para mais informações, confira Migração do Servidor de Autenticação Multifator do Azure.

    Para começar a usar a MFA baseada em nuvem, consulte o Tutorial: Proteja os eventos de logon do usuário com a autenticação multifator do Azure.

    Os clientes existentes que ativaram o servidor da MFA antes de 1º de julho de 2019 podem baixar a versão mais recente, atualizações futuras e gerar credenciais de ativação como de costume. As etapas a seguir funcionarão apenas se você for um cliente do servidor MFA existente.

    1. Entre no centro de administração do Microsoft Entra como Administrador global.

    2. Navegue até Proteção>Autenticação multifator>Configurações de servidor.

    3. Selecione Baixar e siga as instruções na página de downloads para salvar o instalador.

      Download MFA Server

    4. Mantenha essa página aberta, pois vamos referenciá-la depois de executar o instalador.

    Instalar e configurar o Servidor MFA

    Agora que já baixou o servidor, você pode instalá-lo e configurá-lo. Verifique se o servidor em que você está instalando atende aos requisitos listados na seção de planejamento.

    1. Clique duas vezes no arquivo executável.
    2. Na tela Selecionar Pasta de Instalação, certifique-se de que a pasta esteja correta e clique em Avançar. As seguintes bibliotecas são instaladas:
    3. Quando a instalação for concluída, selecione Concluir. O assistente de configuração é iniciado.
    4. De volta à página de onde você baixou o servidor, clique no botão Gerar Credenciais de Ativação . Copie essas informações para o Servidor de Autenticação Multifator do Microsoft Azure nas caixas fornecidas e clique em Ativar.

    Observação

    Somente os administradores globais podem gerar credenciais de ativação no centro de administração do Microsoft Entra.

    Enviar um email aos usuários

    Para facilitar a distribuição, permita que o Servidor MFA se comunique com seus usuários. O Servidor MFA poderá enviar um email para informá-los se eles forem registrados para verificação em duas etapas.

    O email a ser enviado deve ser determinado pelo modo como você configura seus usuários para a verificação em duas etapas. Por exemplo, se você puder importar os números de telefone do diretório da empresa, o email deverá incluir os números de telefone padrão para que os usuários saibam o que esperar. Se você não importar os números de telefone, ou seus usuários forem usar o aplicativo móvel, envie um email que os direcione à conclusão do registro da conta. Inclua um hiperlink para o portal do usuário da autenticação multifator do Azure no email.

    O conteúdo do email vai variar de acordo com o método de autenticação que foi definido para o usuário (ligação telefônica, SMS ou aplicativo móvel). Por exemplo, se o usuário tiver que usar um PIN quando for se autenticar, o email informará qual PIN inicial foi definido para ele. Os usuários são solicitados a mudar o PIN na primeira autenticação.

    Configurar o email e os modelos de email

    Clique no ícone de email à esquerda para definir as configurações para enviar esses emails. Nesta página você pode inserir as informações SMTP do seu servidor de email e enviar um email marcando a caixa de seleção Enviar emails aos usuários.

    MFA Server Email configuration

    Na guia Conteúdo do Email, você verá os diversos modelos de email disponíveis para sua escolha. Dependendo de como você configurou os usuários para usar a autenticação de dois fatores, é possível escolher o modelo mais adequado para as suas necessidades.

    MFA Server Email templates in the console

    Importar usuários do Active Directory

    Agora que o servidor está instalado, você deve adicionar usuários. Você pode escolher criá-los manualmente, importar usuários do Active Directory ou configurar a sincronização automática com o Active Directory.

    Importar do Active Directory manualmente

    1. No Servidor de Autenticação Multifator do Microsoft Azure, à esquerda, selecione Usuários.

    2. Na parte inferior, selecione Importar do Active Directory.

    3. Agora, você pode procurar por usuários individuais ou buscar no diretório do AD UOs que tenham usuários. Nesse caso, nós especificaremos o UO de usuários.

    4. Realce todos os usuários à direita e clique em Importar. Você deve receber uma mensagem informando que obteve êxito. Feche a janela de importação.

      MFA Server user import from Active Directory

    Sincronização automática com o Active Directory

    1. No Servidor de Autenticação Multifator do Microsoft Azure, à esquerda, selecione Integração de diretórios.
    2. Navegue até a guia Sincronização.
    3. Na parte inferior, escolha Adicionar
    4. Na caixa Adicionar Item de sincronização que aparece, escolha o domínio, OU ou grupo de segurança, configurações, padrões de método e idioma padrão para essa tarefa de sincronização e clique em Adicionar .
    5. Marque a caixa denominada Habilitar a sincronização com o Active Directory e escolha um intervalo de sincronização entre um minuto e 24 horas.

    Como o Servidor de Autenticação Multifator do Azure lida com os dados do usuário

    Quando você usa o Servidor de Autenticação Multifator local, os dados do usuário são armazenados em servidores locais. Nenhum dado de usuário persistente é armazenado na nuvem. Quando o usuário realiza uma verificação em duas etapas, o Servidor MFA envia dados para o serviço de nuvem de autenticação multifator do Microsoft Entra para realizar a verificação. Quando essas solicitações de autenticação são enviadas ao serviço de nuvem, os campos a seguir são enviados na solicitação e nos logs para que eles fiquem disponíveis em relatórios de uso/autenticação do cliente. Alguns dos campos são opcionais; portanto, podem ser habilitados ou desabilitados no Servidor de Autenticação Multifator. A comunicação do servidor MFA para o serviço de nuvem MFA usa saída SSL/TLS pela porta 443. Esses campos são:

    • ID exclusiva: nome de usuário ou ID interna do servidor MFA
    • Nome e sobrenome (opcional)
    • Endereço de email (opcional)
    • Número de telefone - ao fazer uma chamada de voz ou SMS de autenticação
    • Token de dispositivo: ao fazer autenticação de aplicativos móveis
    • Modo de autenticação
    • Resultado da autenticação
    • Nome do servidor MFA
    • Servidor IP MFA
    • Cliente IP: se disponível

    Além dos campos acima, o resultado da autenticação (êxito/negação) e o motivo de uma possível recusa também são armazenados com os dados de autenticação e ficam disponíveis por meio de relatórios de autenticação/uso.

    Importante

    Desde março de 2019, as opções de chamadas telefônicas não estarão disponíveis para os usuários do Servidor MFA em locatários de avaliação/gratuita do Microsoft Entra. As mensagens SMS não são afetadas por essa alteração. A chamada telefônica continuará disponível para os usuários de locatários pagos da Microsoft Entra. Essa alteração afeta apenas os locatários de avaliação/gratuita do Microsoft Entra.

    Fazer backup e restaurar o Servidor de Autenticação Multifator do Microsoft Azure

    Ter certeza de que você tem um bom backup é uma etapa importante em qualquer sistema.

    Para fazer backup do Servidor de Autenticação Multifator do Microsoft Azure, verifique se você tem uma cópia da pasta C:\Program Files\Multi-Factor Authentication Server\Data incluindo o arquivo PhoneFactor.pfdata.

    Caso seja necessário fazer uma restauração, conclua as seguintes etapas:

    1. Reinstale o Servidor de Autenticação Multifator do Microsoft Azure em um novo servidor.
    2. Ative o novo Servidor de Autenticação Multifator do Microsoft Azure.
    3. Pare o serviço MultiFactorAuth.
    4. Substitua o PhoneFactor.pfdata pela cópia de backup.
    5. Inicie o serviço MultiFactorAuth.

    O novo servidor está agora configurado e em execução com a configuração e os usuário de backup originais.

    Como gerenciar protocolos TLS/SSL e conjuntos de codificação

    Depois que você tiver feito upgrade ou instalado o MFA Server versão 8.x ou superior, é recomendável que os conjuntos de codificação mais antigos ou mais fracos sejam desabilitados ou removidos, a menos que eles sejam exigidos por sua organização. Você pode obter informações sobre como concluir esta tarefa no artigo Gerenciar protocolos SSL/TLS e conjuntos de codificação para o AD FS

    Próximas etapas