Configurar MFA com Acesso condicional

O MFA ou Autenticação Multi Fator é uma ferramenta que visa aumentar a proteção de identidade quanto ao vazamento de senhas, implementando pelo menos mais um fator de autenticação, seja SMS, seja Authenticator App.

O Conditional Access é uma ferramenta do Azure AD baseado em políticas em que trabalha com sinais para tomada de decisão.

Ambas as definições estão bem resumidas, se quiser se aprofundar mais:

MFA: https://www.microsoft.com/pt-br/security/business/identity/mfa

Conditional Access: https://docs.microsoft.com/pt-br/azure/active-directory/conditional-access/overview

Com isso temos uma combinação de ferramentas para aumentar o nível de segurança do seu ambiente.

*Não vamos abordar a questão de licenciamento.

De padrão o Azure habilita o MFA para todos, para que possamos ter esse controle através de politicas de acesso, precisamos desabilitar os padrões de segurança impostos pela Microsoft.

Acesse o "Azure AD" (Caso não queira procurar basta digitar na barra de pesquisa)

Em seguida, vá em "Properties"

Em seguida, clique em "Manage Security Defaults" no fim da página:

Na flag de "yes/no", escolha "No"

Quando escolher "No", será aberto opções para justificar a retirada dos padrões de segurança. Pode escolher qualquer uma e clique em "Save".

Em seguida clique em "Save" na aba "Properties"

Com isso temos os padrões de segurança desabilitados, podemos verificar a configuração do Acesso condicional.

No acesso condicional existem diversas opções de configuração, desde clientes de acesso, se o acesso é de risco, de qual localização esse acesso está sendo realizado e etc.

A configuração que iremos abordar é se o usuário Fernando acessar meu ambiente, seja requisitado o MFA, caso queira algo mais aprofundado verifique o link do inicio do post. As configurações do Acesso Condicional são bem visuais, mas caso tenha dúvida a documentação da Microsoft é bem completa.

Para acessa o acesso condicional, na raiz do "Azure AD" vá em "Security"

Em seguida acesse "Acesso Condicional"

Clique em "Nova Política"

Em seguida será aberto o menu de configuração da nova política de acesso condicional. Primeiro defina o nome da política, e em seguida vamos começar a escolher as condições. A primeira condição é para quem essa política será aplicada.

Em seguida vamos configurar o MFA:

Para finalizar a criação, basta clicar em criar, porém chamo a atenção do seguinte:

"Somente Relatório".

Essa opção é muito boa para realizar testes da política antes de sua aplicação.

https://docs.microsoft.com/pt-br/azure/active-directory/conditional-access/concept-conditional-access-report-only

Dito isso, basta clicar em "Criar" que a política está pronta e funcional dentro do ambiente.

Enjoy!!