Segurança deve ser levado a sério não só em ambiente on-premises, mas também em ambiente cloud. O Microsoft Azure possui recursos interessantes relacionados ao aumento de segurança, como por exemplo, o MFA ou traduzindo, Autenticação Multifator do Azure.
A MFA ajuda a proteger o acesso a dados e aplicativos, mantendo a simplicidade para os usuários fornecendo segurança adicional ao exigir uma segunda forma de autenticação e entrega autenticação forte por meio de uma variedade de métodos de autenticação.
Para empresas que precisam atender níveis altos em questão de conformidade com os padrões do setor, como o PCI DSS versão 3.2, o MFA é necessário ter capacidade para autenticar usuários. Além de estar em conformidade com os padrões do setor, impor o MFA para autenticar usuários também pode ajudar as organizações a mitigar ataques de roubo de credenciais.
Outro ponto importante é que este laboratório mostra como ativar o MFA mas não trata a relação de custos financeiros (valores $$$) dessa solução. Vale a pena um olhar mais detalhado neste assunto antes de utilizar em seu ambiente produtivo. Vamos precisar habilitar uma assinatura do Azure AD do tipo P2 para este laboratório.
1. Faça logon em seu portal do Microsoft Azure e clique em Azure Active Directory.
2. Será apresentado uma tela parecida com esta figura abaixo.
3. Vamos ativar agora a licença do tipo P2. Do lado esquerdo de sua tela, procure o item Licenses e clique em cima dele.
4.
5. Expanda a opção Azure AD Premium P2. Você terá um trial de 30 dias sem custo para usar esse recurso. Depois disso haverá cobrança então fique atento. Clique em activate.
O Azure Active Directory Premium P2 aprimora seu diretório com recursos adicionais que incluem autenticação multifatorial, gerenciamento orientado por políticas e autoatendimento do usuário final. O teste inclui 100 licenças e estará ativo por 30 dias a partir da data de ativação. Se você deseja atualizar para uma versão paga, precisará adquirir o Azure Active Directory Premium P2.O Azure Active Directory Premium P2 é licenciado separadamente dos Serviços do Azure. Ao confirmar esta ativação, você concorda com o Contrato de Assinatura Online da Microsoft e a Declaração de Privacidade.
6. Clique em seu domínio no canto superior esquerdo da tela para voltarmos ao overview.
7. Aqui em meu exemplo é possível validar que o licenciamento P2 esta habilitado. Caso não apareça de primeira, pressione a tecla F5 de seu navegador para uma recarga do portal. Leva alguns minutos para aparecer a informação na tela.
8. Vamos agora clicar em Users, no canto esquerdo superior da tela.
9.
10. Vamos garantir que nosso usuário possua um local de atuação (este ponto é importante). Caso contrário haverá um erro ao salvarmos as configurações de aplicação do licenciamento.
11. Adicione a localização do acesso. Como estou no Brasil, adicionei essa informação em Usage location. Sem essa informação não temos como atribuir nenhum tipo de licenciamento adquirido (pelo menos até agora). Não esqueça de clicar em Save para fixar as configurações.
12. Ainda no usuário; no canto esquerdo clique em Licences.
13. Clique em + Assignments para atribuirmos a licença P2
14. Marque as opções listadas pela próxima figura e clique em Save.
15. Clique em Users | All user (Preview) para retornar a lista de usuários.
16. Localize e clique em Multi-factor Authentication
17. Você será levado em outra guia de seu navegador para esta rela. Aqui você pode validar quem possui o MFA ativavo ou não. Também é por ela que faremos a configuração.
18. Selecione o usuário e clique em Enable
19. Clique em enable multi-factor auth e depois clique em close
20. Você verá que a configuração foi aplicada e esta ativa para o usuário que selecionamos em nosso Azure Active Directory.
21. Clique em Enforce para que as configurações sejam aplicada imediatamente.
22. Clique em Service Settings para validar as opções do MFA
23. Você pode ignorar autenticação multifator para solicitações de usuários federados na minha intranet Ignorar autenticação multifator para solicitações do seguinte intervalo de sub-redes de endereços IP. Em nosso exemplo não pretendo habilitar essa configuração.
24. Veja que em meu exemplo tenho 03 opções disponíveis. Posso utilizar mensagem de texto para o telefone, notificação através de aplicativo móvel ou código de verificação do aplicativo móvel ou token de hardware.
25. Se você marcar a opção XXX permitirá que o usuário se lembre da autenticação multifator em dispositivos em que confiam por alguns dias antes de precisar se autenticar novamente (1-60). Você pode habilitar entre 1 e 60 dias. Para finalizar as configurações clique em Save no final da página.
25. Como um teste vou tentar efetuar o logon com este usuário no portal do Microsoft Azure. Abra um novo navegador ou uma aba anônima em seu navegador atual. Vamos fazer o logon com o usuário que recebeu o MFA.
26. Digite a senha e clique em Entrar
27. Aqui você já recebe uma informação interessante relatando que sua empresa requer mais informações antes de fazer o logon. Clique em avançar para prosseguir.
28. Vou adicionar meu número de telefone para receber o cod de segurança por um SMS. Digite seu número de telefone com DDD e clique em avançar.
29. Você receberá um SMS com o cod que deve ser digitado nesta tela de verificação de segurança adicional. Digite ai o SMS e clique em Verificar.
30. Eu recebi o SMS bem rápido (cerca de 6 segundos de demora), com o cód de verificação.
31. Após validar os múltiplos fatores de autenticação, podemos começar a administrar nosso ambeinte com o Microsoft Azure.
Ref:
Aproveito para deixar o link de alguns cursos aqui neste post.
Especialização em Active Directory - Windows Server 2019:
Curso Especialista em virtualização e servidores de arquivos:
Curso Manual de sobrevivência do analista de suporte: