Dando continuidade em nossa serie sobre segurança além do MFA, vamos abordar agora o registro combinado.
Mas antes disse, caso você não tenha lido a última postagem desse blogueiro eu sugiro que leia antes de prosseguir! Basta clicar aqui.
O registro combinado facilitou bastante a vida dos usuários e descomplicou um item importante para o Microsoft 365 e o Azure, que é a autenticação dos usuários.
Nesta postagem vamos explorar os fatos que tornam o registro combinado importante para o ambiente além de mostrar ao final como criar um acesso condicional para utilizar o Registro Combinado em qualquer localização.
Na próxima postagem vamos explorar o Acesso Temporário, High-Risk e o Meduim-Risk
Sumario
- Sumario
- Um pouco sobre o registro combinado de Informações do Azure active Directory
- Métodos disponíveis no registro combinado
- Modos de registro combinado
- Principais cenários de uso
- Habilitar o registro combinado
Um pouco sobre o registro combinado de Informações do Azure active Directory
Antes da implementação do registro combinado, os usuários precisavam registrar seus métodos de autenticação separadamente para poderem utilizar a autenticação multifator do Azure AD e a redefinição de senha de autoatendimento (SSPR).
Muitos usuários se confundiam ao perceber que métodos semelhantes eram necessários para ambos os recursos, resultando na necessidade de se registrar para ambos.
Com o registro combinado, no entanto, os usuários agora podem se registrar apenas uma vez e obter os benefícios tanto da autenticação multifator quanto da SSPR, eliminando a necessidade de realizar dois registros separados.
Métodos disponíveis no registro combinado
O registro combinado é compatível com os métodos e ações de autenticação listados na tabela a seguir.
| Método | Registrar | Alteração | Excluir |
|---|---|---|---|
| Microsoft Authenticator | Sim (no máximo 5) | Não | Sim |
| Outro aplicativo autenticador | Sim (no máximo 5) | Não | Sim |
| Token de hardware | Não | Não | Sim |
| Telefone | Sim | Sim | Sim |
| Telefone alternativo | Sim | Sim | Sim |
| Telefone do escritório* | Sim | Sim | Sim |
| Sim | Sim | Sim | |
| Perguntas de segurança | Sim | Não | Yes |
| Senhas de aplicativo* | Yes | Não | Yes |
| Chaves de segurança FIDO2* | Sim | Não | Sim |
Os usuários podem definir uma opções a seguir como o método padrão de autenticação multifator.
- Microsoft Authenticator – notificação por push ou sem senha
- Código do token de hardware ou aplicativo do autenticador
- chamada telefônica
- mensagem de texto
Modos de registro combinado
Existem dois modos de registro combinado: Interrupção e Gerenciamento.
- Modo Interrupção: semelhante a um assistente, é apresentado aos usuários quando eles registram ou atualizam suas informações de segurança na entrada.
- Modo Gerenciamento: faz parte do perfil do usuário e permite que os usuários gerenciem suas informações de segurança.
Em ambos os modos, os usuários que tenham registrado anteriormente um método que pode ser usado para a Autenticação Multifator do Azure AD precisam executá-la para conseguirem acessar as próprias informações de segurança. Os usuários devem confirmar as informações antes de continuarem usando os métodos registrados anteriormente.
Modo Interrupção
O registro combinado respeita as políticas de autenticação multifator e SSPR quando as duas estão habilitadas para o locatário. Essas políticas controlam se um usuário é interrompido para registro durante a entrada e quais métodos estão disponíveis para o registro. Se apenas uma política de SSPR estiver habilitada, os usuários poderão ignorar (indefinidamente) a interrupção do registro e concluí-la posteriormente.
Veja a seguir alguns exemplos de cenários em que pode ser solicitado que os usuários registrem ou atualizem suas informações de segurança:
- Registro de autenticação multifator imposto por meio do Identity Protection: os usuários precisam se registrar durante a entrada. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
- Registro de autenticação multifator imposto por meio da autenticação multifator por usuário: os usuários precisam se registrar durante a entrada. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
- Registro de autenticação multifator imposto por meio da política de Acesso Condicional ou outras políticas: os usuários precisam se registrar quando usam um recurso que requer autenticação multifator. Eles registram métodos de Autenticação Multifator e de SSPR (caso o usuário esteja habilitado para SSPR).
- Registro de SSPR imposto: os usuários precisam se registrar durante a entrada. Eles registram apenas métodos de SSPR.
- Atualização de SSPR imposta: os usuários são obrigados a revisar suas informações de segurança em um intervalo definido pelo administrador. As informações são exibidas para os usuários, que podem confirmá-las ou fazer alterações, se necessário.
Quando o registro é imposto, é exibido para os usuários o número mínimo de métodos necessários para manter a compatibilidade com as políticas de autenticação multifator e SSPR, do mais seguro para o menos seguro. Os usuários que passarem pelo registro combinado em que o registro de MFA e SSPR é aplicado e a política de SSPR exige dois métodos serão solicitados primeiro a registrar um método de MFA como o primeiro método e podem selecionar outro método específico de MFA ou SSPR como o segundo método registrado (por exemplo, e-mail, perguntas de segurança etc.)
Considere o seguinte exemplo de cenário:
- Um usuário está habilitado para SSPR. A política de SSPR exige dois métodos para redefinição e habilitou o aplicativo Microsoft Authenticator, o e-mail e o telefone.
- Quando o usuário opta por se registrar, dois métodos são necessários:
- Por padrão, são exibidos o aplicativo Microsoft Authenticator e o telefone.
- O usuário pode optar por registrar o e-mail em vez do aplicativo autenticador ou do telefone.
Quando o Microsoft Authenticator é configurado, o usuário pode clicar em Eu quero configurar um método diferente para registrar outros métodos de autenticação. A lista de métodos disponíveis é determinada pela política de métodos de autenticação para o locatário.
Modo Gerenciamento
Os usuários podem acessar o modo Gerenciamento indo para https://aka.ms/mysecurityinfo ou selecionando Informações de segurança em Minha Conta. A partir daí, eles podem adicionar métodos, excluir ou alterar métodos existentes, alterar o método padrão e muito mais.
Principais cenários de uso
Proteger o registro de informações de segurança com o Acesso Condicional
É possível controlar quando e como os usuários poderão se registra para a Autenticação Multifator do Azure AD e a redefinição de senha self-service usando ações do usuário na política de Acesso condicional. Essa funcionalidade pode ser habilitada em organizações que desejam que os usuários se registrem para a Autenticação Multifator do Microsoft Azure e a SSPR de um local central, como um local de rede confiável, durante a integração de RH. Saiba mais sobre como configurar políticas comuns de Acesso Condicional para proteger o registro de informações de segurança.
Configurar informações de segurança durante a entrada
Um administrador impôs o registro.
Um usuário não configurou todas as informações de segurança necessárias e vai para o portal do Azure. Após o usuário inserir o nome de usuário e a senha, o usuário precisará configurar as informações de segurança. Ele segue as etapas mostradas no assistente para configurar as informações de segurança necessárias. Se as configurações permitirem, o usuário poderá optar por configurar métodos diferentes daqueles mostrados por padrão. Após os usuários concluírem o assistente, devem revisar os métodos que foram configurados e o método padrão para a autenticação multifator. Para finalizar o processo de instalação, o usuário confirma as informações e vai para o portal do Azure.
Configurar informações de segurança em Minha Conta
Um administrador não impôs o registro.
Um usuário que ainda não configurou todas as informações de segurança necessárias vai para https://myaccount.microsoft.com. O usuário seleciona Informações de segurança no painel esquerdo. A partir daí, o usuário opta por adicionar um método, seleciona um dos métodos disponíveis e segue as etapas para configurar esse método. Quando terminar, o usuário verá o método que foi configurado na página Informações de segurança.
Configurar outros métodos após o registro parcial
Se um usuário tiver atendido parcialmente o registro de MFA ou SSPR devido a registros de método de autenticação existentes executados pelo usuário ou administrador, os usuários só serão solicitados a registrar informações adicionais permitidas pelas configurações de política de Métodos de autenticação quando o registro for necessário. Se mais de um outro método de autenticação estiver disponível para o usuário escolher e se registrar, uma opção na experiência de registro intitulada Desejo configurar outro método será mostrada e permitirá ao usuário configurar o próprio método de autenticação desejado.
Habilitar o registro combinado
É possível controlar quando e como os usuários poderão se registra para a Autenticação Multifator do Azure AD e a redefinição de senha self-service usando ações do usuário na política de Acesso condicional. Essa funcionalidade pode ser habilitada em organizações que desejam que os usuários se registrem para a Autenticação Multifator do Microsoft Azure e a SSPR de um local central, como um local de rede confiável, durante a integração de RH.
Complete os passos a seguir para criar uma política que se aplica a todos os usuários selecionados que tentarem se registrar usando a experiência de registro combinado. Essa política bloqueará o acesso destes usuários, a menos que eles estejam se conectando de um local marcado como rede confiável:
- No Portal do Azure, navegue até Azure Active Directory>Segurança>Acesso Condicional.
- Selecione + Nova política.
- Insira um nome para essa política, como Registro combinado de informações de segurança em redes confiáveis.
- Em Atribuições, selecione Usuários ou identidades de carga de trabalho. Escolha os usuários e os grupos aos quais você deseja que essa política seja aplicada. Depois, selecione Concluído.
- Em Aplicativos ou ações de nuvem, selecione Ações do usuário. Marque Registrar informações de segurança e selecione Concluído.
- Em Condições>Locais, configure as seguintes opções:
- Configure Sim.
- Inclua Qualquer localização.
- Excluir Todos os locais confiáveis.
- Selecione Concluído na janela Locais. Depois, selecione Concluído na janela Condições.
- Em Controles de acesso>Conceder, escolha Bloquear acesso e Selecionar.
- Defina Habilitar política como Ativo.
- Para finalizar a política, selecione Criar.
Fonte de Pesquisa
Blog do Chesley 