Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As organizações estão enfrentando ataques que tentam forçar, comprometer ou bloquear contas de usuário enviando solicitações de autenticação baseadas em senha. Para ajudar a proteger as organizações contra o comprometimento, o AD FS introduziu recursos como bloqueio "inteligente" de extranet e bloqueio baseado em endereço IP.
No entanto, essas mitigações são reativas. Para fornecer uma maneira proativa, para reduzir a gravidade desses ataques, o AD FS tem a capacidade de solicitar outros fatores antes de coletar a senha.
Por exemplo, o AD FS 2016 introduziu a autenticação multifator do Microsoft Entra como autenticação primária para que os códigos OTP do aplicativo Authenticator possam ser usados como o primeiro fator. A partir do AD FS 2019, você pode configurar provedores de autenticação externa como fatores de autenticação primários.
Há dois cenários principais que isso permite:
Cenário 1: proteger a senha
Proteja a entrada baseada em senha contra ataques de força bruta e bloqueios solicitando um fator externo adicional primeiro. Um prompt de senha só é visto quando a autenticação externa é concluída com êxito. Isso elimina uma maneira conveniente de os invasores tentarem comprometer ou desabilitar contas.
Esse cenário consiste em dois componentes:
- Solicitação da autenticação multifator do Microsoft Entra (disponível a partir do AD FS 2016) ou de um fator de autenticação externo como autenticação primária.
- Nome de usuário e senha como autenticação adicional no AD FS
Cenário 2: sem senha
Eliminar senhas inteiramente, mas concluir uma autenticação multifator forte usando métodos totalmente não baseados em senha no AD FS
- Autenticação multifator do Microsoft Entra com aplicativo Authenticator
- Windows 10 Hello para Empresas
- Autenticação de certificado
- Provedores de autenticação externos
Concepts
O que a autenticação primária realmente significa é que é o método que o usuário é solicitado primeiro, antes de fatores adicionais. Anteriormente, os únicos métodos primários disponíveis no AD FS eram métodos internos para autenticação multifator do Active Directory ou Microsoft Entra ou outros repositórios de autenticação LDAP. Métodos externos podem ser configurados como autenticação "adicional", que ocorre após a autenticação primária ter sido concluída com êxito.
No AD FS 2019, a autenticação externa como funcionalidade primária significa que todos os provedores de autenticação externa registrados no farm do AD FS (usando Register-AdfsAuthenticationProvider) ficam disponíveis para autenticação primária e autenticação "adicional". Eles podem ser habilitados da mesma maneira que os provedores internos, como Autenticação de Formulários e Autenticação de Certificado, para uso de intranet e/ou extranet.
Depois que um provedor externo é habilitado para extranet, intranet ou ambos, ele fica disponível para os usuários usarem. Se mais de um método estiver habilitado, os usuários verão uma página de escolha e poderão escolher um método primário, assim como fazem para autenticação adicional.
Prerequisites
Antes de configurar provedores de autenticação externa como primários, verifique se você tem os seguintes pré-requisitos em vigor.
- O FBL (nível de comportamento do farm) do AD FS foi elevado para '4' (esse valor se traduz em AD FS 2019.)
- Esse é o valor FBL padrão para novas fazendas do AD FS 2019.
- Para farms do AD FS com base no Windows Server 2012 R2 ou 2016, o FBL pode ser gerado usando o commandlet do PowerShell Invoke-AdfsFarmBehaviorLevelRaise. Para obter mais informações sobre como atualizar um grupo de servidores do AD FS, consulte o artigo de atualização para grupos de servidores SQL ou WID.
- Você pode verificar o valor do FBL usando o cmdlet Get-AdfsFarmInformation.
- O farm do AD FS 2019 está configurado para usar as novas páginas de usuário "paginadas" de 2019.
- Esse é o comportamento padrão para novas implementações do AD FS 2019.
- Para farms do AD FS que foram atualizadas do Windows Server 2012 R2 ou 2016, os fluxos paginados são habilitados automaticamente quando a autenticação externa como primária (o recurso descrito neste documento) está ativada, conforme descrito na seção seguinte deste artigo.
Habilitar métodos de autenticação externa como primários
Depois de verificar os pré-requisitos, há duas maneiras de configurar provedores de autenticação adicionais do AD FS como primários: o PowerShell ou o console de Gerenciamento do AD FS.
Usando o PowerShell
PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true
O serviço do AD FS deve ser reiniciado depois de habilitar ou desabilitar a autenticação adicional como primária.
Usando o console de Gerenciamento do AD FS
No console de Gerenciamento do AD FS, em Métodos deAutenticação de> Serviço, em Métodos de Autenticação Primária, selecione Editar
Marque a caixa de seleção para Permitir provedores de autenticação adicionais como primários.
O serviço do AD FS deve ser reiniciado depois de habilitar ou desabilitar a autenticação adicional como primária.
Habilitar o nome de usuário e a senha como autenticação adicional
Para concluir o cenário de "proteger a senha", habilite o nome de usuário e a senha como autenticação adicional usando o PowerShell ou o console de Gerenciamento do AD FS. Exemplos são fornecidos para ambos os métodos.
Habilitar o nome de usuário e a senha como autenticação adicional usando o PowerShell
PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider
PS C:\>$providers = $providers + "FormsAuthentication"
PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers
Habilitar o nome de usuário e a senha como autenticação adicional usando o console de Gerenciamento do AD FS
No console de Gerenciamento do AD FS, em Métodos de Autenticação de> Serviço, em Métodos de Autenticação Adicionais, selecione Editar
Marque a caixa de seleção da Autenticação de Formulários para habilitar o nome de usuário e a senha como autenticação adicional.