Ativar MFA no Office 365: Um Guia Prático, Passo a Passo – techsyncer

Ataques relacionados à identidade frequentemente ocorrem e podem resultar em contas de usuário comprometidas. Alguns exemplos desses ataques de identidade são phishing e password spray. Os atacantes estão se tornando mais criativos e astutos. Um único usuário que não está suficientemente informado sobre os perigos de ameaças como phishing poderia facilmente ser o ponto de entrada para essas atividades maliciosas. Daí a importância do que é o MFA do Office 365.

Felizmente, há mais de uma camada de segurança disponível para proteger as identidades dos usuários do Office 365; Autenticação Multi-Fator MFA. MFA, como o nome sugere, utiliza várias camadas de autenticação. Normalmente, essas são:

Algo que você sabe (senha, PIN)
Algo que você tem (chave de segurança, gerador de token)
Algo que você é (biometria; rosto, impressão digital)

Pense no MFA como o vitamínico que você toma. Você não gosta, e às vezes é irritante. Mas é o que ajuda a protegê-lo das coisas ruins. A questão é que prevenir o roubo de credenciais é melhor do que reagir depois que isso já aconteceu.

Neste artigo, você aprenderá sobre como controlar o acesso aos serviços no Microsoft Office 365 com o uso de MFA e políticas condicionais.

Nota: O nome Office 365 foi substituído pelo termo Microsoft 365. Você pode perceber que ambos os nomes Microsoft 365 e Office 365 podem ser usados de forma intercambiável neste artigo.

Pré-requisitos

Neste artigo, pressupõe-se que você tenha algum conhecimento prático do Office 365 e do Azure Active Directory. Para acompanhar os exemplos, você deve ter acesso de administrador a um locatário do Office 365, preferencialmente a um locatário de teste. É fortemente desencorajado o uso do seu locatário de produção do Office 365.

Usando Configurações de Segurança Padrão para Aplicar Autenticação Multifator

Uma maneira de configurar a autenticação multifator para o Office 365 é ativar as configurações de segurança padrão no Azure Active Directory. Ativar as configurações de segurança padrão significa ativar um conjunto padrão de configurações de segurança predefinidas em seu locatário do Office 365.

Essas configurações de segurança incluem:

A aplicação de autenticação multifator para administradores. Contas de administradores do Office 365 são protegidas usando MFA como um método mais forte de verificação de identidade.
A aplicação de autenticação multifator para todos os usuários. Todos os usuários são obrigados a configurar MFA no Office 365.
O bloqueio da autenticação legada. Aplicativos clientes que não utilizam autenticação moderna ou aqueles que utilizam protocolos mais antigos como IMAP ou POP3 serão bloqueados de qualquer tentativa de autenticação.
Protegendo ações privilegiadas. Isso se aplica ao acessar o Azure Resource Manager para gerenciar seu locatário. Qualquer pessoa que esteja acessando o Azure Resource Manager será obrigada a fornecer um método de autenticação adicional.

Nota: Se o seu locatário do Microsoft 365 foi criado em ou após 22 de outubro de 2019, as configurações de segurança podem estar habilitadas em seu locatário.

Alguns pontos a serem considerados antes de habilitar as configurações de segurança padrão

Se você leu os quatro pontos acima, deve perceber que, embora ativar as configurações de segurança padrão forneça benefícios excelentes, o impacto potencial deve ser considerado. Planejamento cuidadoso para garantir que o acesso ao Office 365 não seja interrompido.

Uma das situações que você pode precisar considerar antes de habilitar as configurações de segurança padrão é quando você tem scripts do PowerShell usados para automação. Uma vez que você ativa as configurações de segurança padrão, esses scripts podem parar de funcionar.

Outro impacto potencial é se a autenticação moderna não estiver habilitada no Exchange Online. Os clientes do Outlook não poderão se autenticar usando MFA. Essa situação causará loops de login e impedirá que os usuários acessem suas caixas de correio.

Nota: O uso das configurações de segurança padrão não oferece controle granular sobre as configurações de segurança aplicadas a toda a organização. É uma configuração do tipo liga-desliga apenas.

Habilitando as configurações de segurança padrão no Azure Active Directory

Isenção de Responsabilidade: Este artigo não tem a intenção de dizer se você deve habilitar os padrões de segurança em seu locatário do Office 365. Este artigo apenas aborda o “como”. A decisão de habilitar os padrões de segurança é de sua responsabilidade.

O ato de habilitar os padrões de segurança é tão simples quanto alternar um único interruptor. Na verdade, o processo literalmente envolve apenas mover um único interruptor.

Quando todas as considerações foram feitas e o planejamento cuidadoso foi realizado, siga estas etapas para ativar os padrões de segurança e habilitar a MFA no Office 365.

Primeiro, faça login no Centro de Administração do Azure Active Directory.
Em seguida, vá para Azure Active Directory -> Propriedades.
Depois, role até o final da página de Propriedades e clique no link Gerenciar Padrões de Segurança.
Por último, clique em Sim abaixo do pop-up de Habilitar padrões de segurança, e clique em Salvar.

Você pode se referir à demonstração abaixo. Como você pode ver, no final, você deve receber uma confirmação na parte superior direita da página de que a política padrão foi salva.

Testando a Experiência de Configuração da MFA do Office 365

O que acontece depois que a MFA é habilitada? Os usuários são automaticamente bloqueados, ou os usuários têm a opção de continuar sem MFA dentro de um período de tempo fixo? Isso é o que você descobrirá nesta seção.

Apenas como em qualquer alteração de configuração, qualquer administrador que se preze tomaria o passo extra para confirmar que as configurações que eles estabeleceram realmente funcionam.

Os usuários não perceberão imediatamente que a autenticação de dois fatores (MFA) foi habilitada, especialmente se já estiverem conectados ao Office 365. Mas da próxima vez que os usuários forem solicitados a fazer login no Microsoft 365 novamente, eles verão uma mensagem adicional de login como a mostrada abaixo.

More information is required after enabling MFA

Como você pode ver na imagem acima, o usuário tem algumas opções. A opção Ignorar por enquanto significa que o usuário pode fazer login sem exigir MFA até que o período de carência expire. No entanto, se o usuário clicar no botão Próximo, o processo de configuração de sua conta para MFA será iniciado.

Suponha que o usuário tenha clicado no botão Próximo. Normalmente, também há uma opção para especificar um número de telefone onde o usuário pode receber o código de autenticação como mensagem de texto. Mas, na demonstração abaixo, o usuário optou por configurar o aplicativo autenticador da Microsoft.

Set up an authentication app on a mobile device

A partir deste ponto, toda vez que um usuário faz login no Office 365, eles terão que realizar outra etapa para aprovar ou fornecer um código para passar pela autenticação.

Nota: Para aplicativos e protocolos mais antigos que não suportam o uso de autenticação moderna e MFA, senhas de aplicativos podem ser usadas. Para obter mais informações, visite Crie uma senha de aplicativo para o Microsoft 365

Usando Políticas de Acesso Condicional para Impor a Autenticação de Multi-fatores

Implementar políticas condicionais permite um controle mais preciso sobre as configurações de segurança, ao contrário de habilitar padrões de segurança onde as alterações são aplicadas uniformemente em todo o locatário. No entanto, políticas de acesso condicional exigem uma licença Azure AD Premium (P1).

Alguns exemplos de controle granular que podem ser alcançados com políticas condicionais são:

Escolher quais recursos do Office 365 exigirão MFA.
Permitir acesso a recursos apenas quando a origem é de um local confiável.
Especificar aplicativos aprovados para acessar recursos do Office 365, como Exchange Online e SharePoint Online.

A lista acima abrange apenas alguns dos cenários nos quais políticas de acesso condicional podem ser aplicadas. Nas próximas seções, haverá exemplos que mostram como criar políticas condicionais e testá-las.

Nota: O uso de políticas de acesso condicional requer que os padrões de segurança estejam desativados. Isso significa que também desativará o MFA no Office 365 até que você tenha ativado suas novas políticas condicionais.

Criando uma Política de Acesso Condicional no Office 365 para Habilitar MFA

Existem momentos em que sua organização pode decidir que apenas um serviço específico precisa ser protegido com MFA. Neste exemplo, você aprenderá como criar uma política condicional de acesso de amostra para exigir MFA apenas ao acessar o Exchange Online.

As políticas de acesso condicional só podem ser criadas no modo Somente Relatório se os padrões de segurança estiverem habilitados em seu locatário. Você deve desativar os padrões de segurança antes de ativar as políticas de acesso condicional. Caso contrário, você encontrará uma mensagem semelhante à abaixo.

Warning that security defaults are still enabled

Para criar uma nova política de acesso condicional, faça login no Centro de administração do Azure Active Directory. Em seguida, vá para Azure Active Directory —> Segurança. Você verá a página de Acesso Condicional | Políticas como a mostrada abaixo. Clique no botão Nova política para começar a criar uma nova política.

Em seguida, crie a política com as seguintes configurações:

Nome: Exigir MFA para o Exchange Online
Atribuições: Todos os Usuários (sem exclusões)
Aplicativo de nuvem ou ações: Office 365 Exchange Online
Controles de Acesso: Exigir autenticação multifatorial
Habilitar política: Ativado

Você pode se referir à demonstração abaixo para criar a nova política.

Como pode ser visto na demonstração acima, a política condicional com o nome Exigir MFA para o Exchange Online foi criada e ativada. Com base nas configurações da política, ela é aplicada a todos os usuários ao fazer login no Exchange Online, sendo então necessário o MFA.

Testando a Aplicação da Política de Acesso Condicional com MFA

Quando a autenticação multifatorial é habilitada através de uma política de acesso condicional, os usuários serão obrigados a registrar e configurar suas credenciais de MFA.

Ao contrário do que acontece quando o MFA é habilitado a partir de padrões de segurança, não há opção para pular o registro de MFA ao usar políticas de acesso condicional.

MFA: Security Defaults vs. Conditional Access Policy

Abaixo está a demonstração que mostra que fazer login no Exchange Online exigirá que o usuário aprove a solicitação de login usando o aplicativo Microsoft Authenticator.

Logging in to Exchange Online requires MFA

Em contraste, fazer login no site do SharePoint Online não exige MFA, como visto na demonstração abaixo.

Este é apenas um exemplo de uso de políticas de acesso condicional para controlar o acesso ao Office 365 e habilitar MFA. Aqui estão outras coisas que você pode querer tentar neste ponto:

Inclua o SharePoint Online como alvo da política condicional para forçar MFA.
Exija MFA ao acessar o Exchange Online, mas apenas se a origem for do navegador (OWA). Se o acesso vier do cliente Outlook Desktop, ele deve ser excluído do MFA.
Crie uma política para permitir apenas o acesso móvel ao Exchange Online e SharePoint Online usando os aplicativos móveis aprovados do Office 365 (por exemplo, Outlook para IOS/Android)

Reiniciar o Registro de Autenticação Multifator

A Microsoft publicou extensos documentos sobre a correção de problemas relacionados ao MFA. Você pode visualizar esses artigos nos seguintes links:

Além daqueles listados acima, haverá momentos em que o registro de MFA de um usuário precisará ser redefinido. Algumas situações em que uma redefinição de MFA seria necessária é quando o usuário trocou de celular ou trocou de número de telefone.

E, se os usuários não conseguirem fazer login por não atenderem aos requisitos de login do MFA, os administradores podem redefinir o registro de MFA para os usuários. Em seguida, o usuário será solicitado a registrar o MFA novamente durante a próxima tentativa de login.

Há algumas maneiras de redefinir o registro de MFA de um usuário.

Redefinindo o Registro de MFA a partir do Centro de Administração do Microsoft 365

Para redefinir o registro de MFA de um usuário, faça login no Centro de Administração do Microsoft 365. Em seguida, vá para Usuários -> Usuários Ativos e clique no botão Autenticação Multi-Fator.

Você será levado para a página de autenticação multi-fator. Em seguida, selecione o nome do usuário na lista e clique no link Gerenciar configurações do usuário. Marque a caixa de seleção Exigir que os usuários selecionados forneçam métodos de contato novamente, e depois clique em Salvar. Veja a demonstração abaixo.

Resetting the user MFA registration from the Microsoft 365 Admin Center

Redefinindo o Registro de MFA a partir do Centro de Administração do Azure Active Directory

O registro de MFA também pode ser limpo a partir do Centro de Administração do Azure Active Directory.

Para redefinir o registro de MFA usando este método, vá para Active Directory -> Usuários. Em seguida, clique no usuário da lista. Uma vez na página de propriedades do usuário, role para baixo até encontrar o link que diz Métodos de Autenticação e clique nele. Por fim, clique no botão Exigir nova inscrição no MFA.

Consulte a demonstração abaixo sobre como redefinir o registro de MFA.

Resetting the user MFA registration from the Azure Active Directory admin center

Redefinindo o Registro de MFA usando o Office 365 PowerShell

Este método requer conexão com o Office 365 PowerShell. Quando sua sessão do PowerShell já estiver estabelecida, copie o código abaixo e cole-o no console do PowerShell para executá-lo.

Garanta alterar primeiro o valor da variável $upn para o nome principal do usuário correto. Você pode consultar os comentários acima de cada comando para saber mais sobre o que cada linha de comando faz.

# nome principal do usuário da conta
$upn = '[email protected]'
# Redefinir MFA
Reset-MsolStrongAuthenticationMethodByUpn -UserPrincipalName $upn

Se o código acima for executado com sucesso, então não deve haver nenhuma saída retornada na tela. A saída se pareceria com a demonstração abaixo.

Conclusão

Neste artigo, você aprendeu que há mais de uma maneira de habilitar a autenticação multifatorial para seus usuários do Microsoft 365. Essas duas opções – padrões de segurança e política de acesso condicional – utilizam os métodos de MFA já incluídos no Office 365 e no Azure AD.

Você também aprendeu a diferença na experiência do usuário do MFA, dependendo de como o MFA foi habilitado. Com os padrões de segurança, o MFA é habilitado em todo o locatário sem oportunidades de personalização.

Aplicar o MFA por meio de políticas de acesso condicional oferece várias opções de configuração sobre como controlar o acesso aos serviços do Office 365. No entanto, esta opção requer uma licença Premium do Azure AD, que nem sempre é uma opção para todas as organizações.

Além disso, você aprendeu algumas maneiras diferentes de redefinir o registro do MFA dos usuários. Essas formas de redefinir o MFA incluem o centro de administração do Microsoft 365, o centro de administração do Azure Active Directory e o PowerShell do Office 365.

I hope that the knowledge you gained in this article helps you become aware of how MFA can help your organization protect users from identity-related attacks. The next time you have questions or concerns about MFA, maybe you don’t have to go straight to Office support agents right away for help and try things out on your own.