Configuração do Azure Conditional Access + Autenticação Multifator MFA

Tutoriais

Configurar o Azure Conditional Access + Multi Factor Authentication MFA. O ambiente de ameaças cibernéticas de hoje está em constante evolução. Antes, era seguro presumir que sua conta estava protegida com uma senha. Isso não é mais verdade. O cibercrime evoluiu e os criminosos cibernéticos desenvolveram novos métodos sofisticados para roubar senhas, tornando o seu uso insuficiente, e as empresas perceberam isso.

Portanto, a política de Acesso Condicional no Azure AD foi projetada como uma contramedida para permitir que você proteja aplicativos Microsoft 365 com base em diferentes condições e critérios. A política permite que você solicite aos usuários a autenticação multi fator quando eles fizerem login em circunstâncias específicas.

Este artigo é uma análise abrangente dos acessos condicionais e políticas de autenticação multi fator no Microsoft Azure e como configurar essas políticas para sua conta.Leia também: Melhores Práticas de Segurança do Azure – Para Conformidade (Lista de Verificação)

Leia também Melhores Práticas de Segurança do Azure – Para Conformidade (Lista de Verificação)

Fonte da imagem: Thecloudcomputing

O que são Políticas de Acesso Condicional no Azure?

A fronteira de um moderno sistema seguro agora abrange não apenas a rede, mas também as identidades de usuários e seus dispositivos. Como medida de segurança, muitas organizações baseiam hoje suas determinações de controle de acesso nos sinais impulsionados por identidade. É por isso que, Azure é um excelente exemplo disso. Azure AD Acesso Condicional integra sinais para a tomada de decisão e a imposição de políticas.

I’d phrase Conditional Access policies as a statement: if a certain user wants to access a certain resource, then they need to pass a security measure. For example, if a user wants to access their account in Azure, then they need to do multi factor authentication to access it.

É importante notar que as políticas de acesso condicional são aplicadas após a conclusão da primeira etapa de autenticação. Com base se o usuário passou ou não a condição anterior, as políticas de acesso condicional são concedidas ou bloqueiam o acesso.

As políticas de acesso condicional mais comuns incluem:

  • Requer autenticação multifator para usuários administrativos.
  • Bloquear o login a partir de dispositivos que exibem comportamento suspeito.
  • Requer autenticação multifator para tarefas de gerenciamento do Azure.
  • Restringir ou permitir o acesso a partir de locais específicos.
  • Requer locais confiáveis para Azure AD registro de autenticação multifator.

Leia também Crie relatórios de segurança do Active Directory com o PowerShell

O que é Autenticação Multifator?

Aqui está uma estatística interessante: cibercriminosos roubaram quase 15 bilhões de credenciais confidenciais de sistemas inseguros. Se eles obtiverem as suas, isso pode resultar na perda de dados confidenciais, bem como danos financeiros e de reputação significativos para a sua empresa. É por isso que a autenticação multifator autenticação entra em jogo.

Basicamente, a autenticação multifator é projetada com a ideia de reforçar as defesas do seu sistema para impedir tais ataques.

A incorporação de autenticação multifatorial não elimina nomes de usuário e senhas. Em vez disso, adiciona uma camada a outro método de verificação para garantir que apenas pessoas autorizadas tenham acesso e que os golpistas sejam mantidos à distância.

Além disso, a autenticação multifatorial provou ser muito eficaz na prevenção de invasões. De acordo com a Microsoft, a MFA é tão eficaz que bloqueia quase 100 por cento das invasões de conta. É simples, mas muito eficaz.

Mais de 55% das organizações utilizam a autenticação multifatorial para proteger seus sistemas, e esse número está aumentando ano após ano. Cada vez mais organizações estão reconhecendo a importância de implementá-la e não deve surpreender que a Microsoft Azure esteja à frente disso.

Leia também Tipos de Grupos do Azure AD Explicação – Segurança / Grupos da Microsoft 365

Como funciona?

A autenticação multifator fortalece as defesas de um sistema combinando pelo menos dois fatores separados. Um é algo que você conhece, como seu endereço de e-mail ou nome de usuário e senha. E então o outro fator é:

Algo que você é (varreduras de iris, impressões digitais ou qualquer outro dado biométrico) ou algo que você possui (seu telefone, cartão de chave ou até mesmo seu USB)

A typical MFA process in Azure has the following sequence of events:

  • Registro:Uma pessoa vincula algo ao sistema, por exemplo, seu número de telefone.
  • Login:O usuário então digita seu nome de usuário e senha para acessar o sistema.
  • Verificação: O sistema então se conecta com o item que foi registrado. Um código de verificação é então enviado ao telefone do usuário. Se o usuário estiver usando um aplicativo de autenticador, então o sistema exibe um código QR que, quando escaneado, fornece ao usuário um código de verificação.
  • Ganhar Acesso: O usuário então digita o código de verificação enviado a eles e eles são concedidos acesso.

Melhore sua Segurança do Active Directory e Azure AD adicionando Políticas de Acesso +MFA

Experimente-nos para Gratuito, Acesso a todos os recursos. – Mais de 200 modelos de relatórios do AD disponíveis. Personalize facilmente seus próprios relatórios do AD.




Leia também O que é o Framework de Cibersegurança do NIST? (Melhores Práticas)

Criando uma Política de Acesso Condicional e Autenticação de Multi Fatores

Os seguintes passos são necessários para criar uma nova política de acesso condicional que se aplica a membros de um grupo de segurança no Azure.

  • O primeiro passo é acessar a lâmina do Azure Active Directory, fazendo login no portal do Azure usando uma conta de administrador global.
  • Em seguida, para acessar as configurações de segurança do Azure Active Directory, vá para Gerenciar > Segurança no lado esquerdo da janela.
  • Escolha Acesso Condicional na aba Proteção na barra lateral esquerda da página de segurança.
  • Selecione Adicionar Nova Política e então Criar Nova Política na página de políticas de Acesso Condicional.
  • Depois disso, insira um nome para a nova política (por exemplo: Política de Teste de MFA).
  • O próximo passo é escolher Usuários ou Identidades de Trabalho. Para fazer isso, vá para Atribuições e então selecione botão de opção usuários e grupos.
  • Em seguida, clique na caixa de seleção Usuários e grupos e selecione usuários ou grupos que você deseja que a política se aplique.
  • Pesquise seu grupo de segurança e clique no botão selecionar (por exemplo, Grupo-de-Segurança-MFA).
  • Selecione Todas as aplicações em nuvem em Aplicações em nuvem ou ações. Aqui, você pode escolher aplicativos individuais ou excluir aplicativos específicos da política, se necessário.
  • Em Condições, por favor, forneça sua configuração preferida. Eu selecionei Qualquer dispositivo em Plataformas de dispositivos e selecionei Qualquer local para aplicar essa política. Você pode ajustar a configuração aqui de acordo com suas preferências.
  • Sob os controles de Acesso, selecione Conceder acesso, marque a opção Exigir autenticação multifator e, em seguida, clique no botão Selecionar.
  • Clique na alternância Habilitar política e defina-a como ligado.
  • Por fim, clique no botão Criar.

Uma vez feito isso, sua política de acesso condicional deve estar ativa. Para testar e verificar sua política, você pode criar uma conta de usuário de teste e verificar o prompt de autenticação multifator.

Leia também Implantar Relatórios de Usuários do Office 365

Verifique sua Autenticação Multifator

O próximo passo após configurar o login de autenticação multifator é verificá-lo com uma conta de usuário de teste. Para fazer isso, siga os seguintes passos:

  • Crie um novo perfil em seu navegador ou abra uma nova janela no modo InPrivate ou Incognito e crie-o lá.
  • Abra a página Verificação em duas etapas ou faça login em qualquer um dos seus aplicativos online do Microsoft 365.
  • Faça login com a conta de usuário de teste que você criou e atribuiu ao grupo de segurança de teste.
  • Na próxima janela, você será solicitado a habilitar a Autenticação Multifator por meio de várias opções.
  • Selecione os métodos que melhor se adequam a você. Por exemplo, via código de telefone ou aplicativo autenticador. Em seguida, prossiga com as etapas subsequentes que se aplicam ao seu método de autenticação selecionado para concluir sua verificação.

Uma vez feito isso, agora você pode ter certeza de que a autenticação multifator foi verificada com sucesso para o seu sistema.

Agora que você verificou com sucesso a sua autenticação multifator, vamos aprofundar isso analisando as várias configurações de autenticação multifator disponíveis no Azure AD.

Leia também Encontre SID no Active Directory Usuários e Computadores Usando PowerShell

Configurações de Autenticação Multifator do Azure AD

Significativamente, a Azure AD Multi Factor Authentication permite que você personalize a experiência do usuário final, permitindo definir opções como limites de bloqueio de conta e alertas e notificações de fraude. Algumas configurações para Azure Active Directory (Azure AD) estão no portal do Azure, e algumas estão em um portal separado para Azure AD Multi Factor Authentication.

No portal do Azure, você configura as seguintes configurações de Multi Factor Authentication para o Azure AD:

  • Bloqueio de conta
  • Bloquear/desbloquear usuários
  • Alerta de fraude
  • Notificações
  • Tokens OATH
  • Configurações de chamada telefônica

Leia também Confira a Ferramenta de Monitoramento do Azure AD

1. Bloqueio de conta

Definir um número máximo de tentativas falhas de MFA antes de bloquear uma conta por um certo período de tempo ajudará a deter ataques que dependem de tentar repetidamente acessar a conta de um usuário. Essas configurações de bloqueio de conta só entram em vigor após a entrada de um código PIN para o prompt de MFA.

Você pode configurar as seguintes opções para habilitar isso:

  • O número máximo permitido de tentativas falhas de MFA antes do bloqueio de conta.
  • Número de minutos até que o temporizador para o bloqueio de conta seja redefinido.
  • O número de minutos até que a conta seja desbloqueada automaticamente.

2. Bloquear/desbloquear usuários

Esta configuração é usada para bloquear Azure AD tentativas de autenticação multifator de uma conta após o dispositivo do usuário ser perdido ou roubado. Quando essa configuração é usada, quaisquer tentativas de autenticação multifator para o usuário proibido são automaticamente negadas.

Após um usuário ser bloqueado, a autenticação multifator é proibida para sua conta por um período de 90 dias. 

3. Alerta de fraude

Esse recurso é útil para os usuários ao denunciar possível fraude envolvendo suas contas. Essa opção permite que o usuário denuncie um suposto e suspeito tentativa de AMF usando o aplicativo Microsoft Authenticator ou seu telefone.

Você pode ter as seguintes opções de configuração para esta definição:

Criar uma configuração para bloquear automaticamente usuários que relatam fraude

Se um usuário relatar fraude em sua conta, a conta será bloqueada do Azure AD Multi-Factor Authentication por 90 dias, ou até que a conta seja desbloqueada por um administrador.

Esse recurso também oferece um relatório de entrada, que permite que um administrador revise atividade de login e tome ações corretivas conforme necessário para evitar qualquer atividade fraudulenta adicional. O administrador então decide se desbloqueia ou não a conta do usuário.

Configure um código de chamada para denunciar fraude

Os usuários geralmente confirmam seu login pressionando # quando solicitado a fazê-lo durante uma chamada de autenticação multifator. Geralmente, para denunciar fraude, o usuário deve primeiro inserir um código antes de pressionar #

O valor padrão desse código é 0, embora você possa personalizá-lo. Você pode configurar a opção para habilitar o bloqueio automático. Os usuários podem receber um aviso para pressionar 1 se desejarem bloquear suas contas após pressionar 0 para denunciar fraude em suas contas.

4. Notificações

Você pode configurar essa opção para garantir que o Azure AD envie notificações por e-mail quando os usuários relatam alertas de fraude. Geralmente, já que as credenciais do usuário provavelmente foram comprometidas, essas alertas geralmente são direcionados a administradores de identidade.

5. Tokens OATH

Com essa opção, você pode gerenciar tokens OATH para usuários em ambientes de Autenticação Multifator do Azure AD que são baseados na nuvem.

Aplicativos como o aplicativo Authenticator da Microsoft e outros servem como exemplos de tokens de software OATH. A chave secreta, ou semente, que é usada para produzir cada OTP é gerada pelo Azure AD e, em seguida, inserida no aplicativo.

Quando configurado para notificações por push, o aplicativo Authenticator criará códigos em nome do usuário, fornecendo-lhes um método secundário de autenticação, mesmo que seu smartphone esteja offline. Os códigos também podem ser gerados com o uso de um programa de terceiros, desde que ele use o OATH TOTP para fazê-lo.

6. Configurações de chamada telefônica

Você pode usar esta configuração para configurar a experiência dos usuários sempre que receberem chamadas telefônicas para prompts de MFA. Por exemplo, você pode configurar o ID do chamador ou definir a voz do aviso que eles ouvem.

Obrigado por ler Configuração de Acesso Condicional do Azure + Autenticação Multifator (MFA). Vamos concluir este artigo de blog.

Leia tambémTop 10 Melhores Ferramentas de Caça a Ameaças em Segurança Cibernética (Vantagens e Desvantagens)

Conclusão da Configuração de Acesso Condicional do Azure + Autenticação Multifator

O Azure Conditional Access emparelhado com Autenticação Multifator é outra ferramenta desenvolvida na batalha em constante evolução entre cibercriminosos e especialistas em segurança cibernética. As políticas de acesso condicional do Microsoft Azure AD com autenticação multifator têm se mostrado ferramentas suficientes para organizações cuja principal preocupação é proteger seus usuários contra logins fraudulentos.

Os especialistas em segurança cibernética concordam que um nome de usuário e senha frequentemente são defesas insuficientes contra os ataques cibernéticos mais sofisticados. No Microsoft Azure, é necessário configurar políticas de acesso condicional e adicionar autenticação multifator como mais uma camada para tornar seu sistema à prova de falhas e seguro.

Para ler mais conteúdos do nosso blog e saber mais sobre segurança cibernética, por favor navegue aqui. Para informações sobre o Azure e mais conteúdos, por favor clique aqui.

Source:
https://infrasos.com/setup-azure-conditional-access-multi-factor-authentication-mfa/