Adoção de MFA (+ capacidades do Entra ID)

Adoção de MFA (+ capacidades do Entra ID)

Fator importante para o sucesso das políticas de segurança de acesso da sua empresa, a adoção do MFA não consiste apenas em escolher um (ou mais) métodos de autenticação. Hoje falo sobre alguns fatores que devem ser considerados para que a sua estratégia seja efetiva!


Definição da estratégia

Planejar a estratégia para adoção de MFA pode ser algo muito estressante. É importante abordar não apenas aspectos técnicos, mas também processuais, sempre pensando no usuário final, que sofrerá os impactos da implantação dos novos processos e das novas tecnologias.

Aspectos não-técnicos que devem ser considerados

Algo de extrema importância que deve ser reconhecido no início do planejamento é a maturidade da sua organização quanto às tecnologias existentes. Tendo em mente a segurança dos acessos, escolher um (ou mais) fator de autenticação que permita à organização ter suporte aos usuários finais, bem como um bom gerenciamento dos dispositivos é essencial.

Aqui vão algumas necessidades que você encontrará ao longo da sua jornada e que podem te poupar muito tempo se você se planejar antecipadamente:

  • Suporte: com toda certeza, seus usuários precisarão de ajuda com a tecnologia, seja para configurá-la, para utilizá-la ou por algum outro motivo. Garanta que seus recursos do time de suporte saibam como orientar e solucionar os problemas dos usuários;

  • Guia: fornecer aos usuários um documento que contenha todas as informações que eles precisam saber sobre a nova tecnologia, pode economizar muitos esforços para suas equipes. O guia deve conter:

    • Processo de instalação e configuração da solução (utilize imagens e ilustrações para facilitar o entendimento do processo até por funcionários das áreas não técnicas);

    • Passo-a-passo sobre a utilização da ferramenta;

    • Possíveis problemas que o usuário pode encontrar durante sua ativação (caso mapeado, economizará muitos esforços do time de suporte e do time responsável pela ativação);

    • Contatos para apoio (uma lista com alguns contatos que possam apoiar os usuários nos novos processos definidos).

  • Comunicação: usufruir dos meios de comunicação internos da organização é essencial para informar os usuários das mudanças que estão ocorrendo;

Aspectos técnicos que devem ser considerados

Agora pensando nos recursos técnicos que você deve levar em conta, temos:

  • Soluções de MFA: temos uma série de soluções disponíveis que podem ser utilizadas como MFA, quando estiver escolhendo as soluções que farão parte do conjunto de tecnologias da sua empresa, deve-se levar em conta a maturidade da organização em relação aos processos necessários para utilizar aquela solução;

  • Compatibilidade: algumas soluções (como o windows hello for business) contém pré-requisitos para sua utilização. Antes de escolher uma solução, deve-se avaliar o estado das ferramentas fornecidas pela organizçaão bem como sua compatibilidade com a solução desejada;

  • Grupos de teste: a adoção de novas tecnologias sempre é feita com pequenos grupos de usuário, para fins de teste. Escolha bem seu público para testes, pois o resultado dos testes não é o único ponto que deve ser registrado, mas também o feedback desses usuários, visando melhorar a experiência dos outros usuários da organização.

Após falarmos sobre os problemas que você pode enfrentar quando estiver construindo a estratégia de adoção de MFA na sua organização, vamos falar sobre alguns recursos do Microsoft Entra que podem te ajudar a tornar todo o processo mais simples e menos doloroso para os usuários.


Recursos

Depois de comentarmos sobre alguns pontos que podem fazer sua jornada rumo à adoção de soluções de MFA mais simples, é hora de falarmos dos recursos que podem facilitar essas tarefas.

Essa seção é destinada puramente à soluções de tecnologia, as soluções para as questões processuais serão abordadas em uma sessão posterior.

Soluções do Entra

O Entra ID nos oferece uma série de funcionalidades que visam diminuir as dores encontradas pelas empresas em seus processos de modernização tecnológicas. Desde campanhas para registro de MFA até soluções sofisticadas de análise de segurança, temos diversas capacidades fornecidas dentro de uma mesma interface, o Portal do Entra.

A imagem acima divide em 3 categorias principais (+1 de bônus) os recursos que podem ser utilizados. Vamos aos detalhes em cada uma delas.

Soluções de MFA

Dentro dessa categoria, utilizamos recursos que nos permitem visualizar as opções de soluções disponíveis e realizar algumas configurações préviamente à sua ativação.

Policies - as policies centralizam as configurações dos fatores de MFA disponíveis. Dentro dessa sessão, você consegue visualizar não apenas os modelos de autenticação multi-fator disponível, mas também configurá-los e habilitá-los para utilização pelos usuários da sua empresa. As imagens abaixo mostram a lista de modelos disponíveis e um exemplo de configuração possível.

Modelos, audiência e estado (habilitado ou não)

Exemplo de configuração

A imagem acima é referente à configuração do SMS como solução de MFA. Nela podemos visualizar o toggle que deve ser usado para habilitar/desabilitar o modelo e também podemos incluir grupos específicos que poderão usufruir desse modelo de MFA.

Authentication Strengths - visando sua implementação utilizando as políticas de acesso condicional, o authentication strength permite agrupar um conjunto de modelos de autenticação multi-fator para exigir seu uso em determinados cenários. Por padrão, temos 3 conjuntos comuns já criados: multifactor authentication, passwordless mfa e phishing-resistant mfa.

A imagem acima mostra uma das authentication strengths existentes no tenant. Ela engloba todos os métodos de MFA disponíveis na plataforma e como podemos visualizar na última coluna, ainda não está aplicada em nenhuma política de acesso condicional.

Você também pode criar seu conjunto de dispositivos conforme desejar. Esse recurso será útil quando sua organização definir os MFA que poderão ser utilizados e você quiser exigir um (ou mais) deles quando um usuário tentar executar determinada tarefa.

Adoção do MFA

Para uma política efetiva de ativação de MFA, como foi apresentado anteriormente, é necessário uma junção dos recursos técnicos e dos processos.

Registration Campaign - essa funcionalidade nos permite configurar de quanto em quanto tempo os usuários serão "avisados" para configurar seu dispositivo de MFA.

Print do painel de configuração das campanhas

A imagem acima mostra as configurações disponíveis para as campanhas. Podemos destinar à um grupo de usuários específicos, bem como configurar quantas vezes e por quanto tempo o usuário poderá adiar essa configuração (para garantir efetividade nos processos da sua empresa, devemos desabilitar a possibilidade de adiamento ou configurar um período de tempo curto).

Segurança

Visando proteger os usuários e também o tenant, as funcionalidades listadas abaixo permitem que os usuários denunciem atividades suspeitas em seus aplicativos bem como habilitam que os sistemas da Microsoft identifiquem atividades suspeitas automaticamente.

Suspicious Activity - se habilitado, permite que os próprios usuários denunciem atividades suspeitas. Esse modelo está disponível para configurações de MFA que utilizam ou o aplicativo Microsoft Authenticator ou as chamadas por voz.

Formulário de configuração das atividades suspeitas.

Account Security - com a proposta de proteger a conta do usuário de ataques do tipo spray, podemos configurar limites de tentativas de autenticação que utilizam o aplicativo Microsoft Authenticator. Essa configuração tem efeito apenas para os usuários que utilizam do PIN para confirmar a autenticação no aplicativo.

Painel para configuração dos limites.

Fraud Alert - essa funcionalidade permite que os usuários denunciem notificações de autenticação que não foram iniciadas por eles. No painel abaixo, vemos que é uma possibilidade bloquear automaticamente os usuários que reportarem fraude, com a intenção de proteger o tenant e a conta.

Painel para configuração das opções de fraude.

Adicionais

One-time Bypass - não é exatamente um recurso atrelado às soluções de MFA, mas vale sua menção. Essa funcionalidade nos permite configurar um "escape" temporário da utilização do MFA. Esse é um cenário bem comum nas empresas e com certeza você vai se deparar com ele. Aqui configuramos um curto espaço de tempo onde o usuário poderá realizar o login e acessar a plataforma sem realizar a autenticação multi-fator. Uma vez que esse tempo expirar, ele será redirecionado à página de login, onde deverá realizar a autenticação MFA ou não poderá acessar os recursos que deseja.

Supressão das notificações - recentemente implementada, essa funcionalidade "esconde" a notificação que normalmente apareceria no seu dispositivo solicitando a aprovação da autenticação. Baseado em alguns riscos (como viagem atípica e IPs de origem anônimos), isso evita que o usuário receba notificações indesejadas. É importante apontar que mesmo as notificações sendo escondidas, a solicitação para autenticação ainda é existente, então caso o usuário abra o aplicativo ele será apresentado com a necessidade de permitir/negar a solicitação.

Soluções processuais

Tendo em mente os problemas enfrentados pelos usuários e os as pontuações que fiz no início do texto, vamos comentar sobre como podemos solucionar aqueles problemas processuais de maneira satisfatória.

Guia - para construção do guia você pode utilizar qualquer ferramenta de edição de texto. Optando por uma solução como o Microsoft Word ou Google Docs você tem mais possibilidades de exercitar a criatividade e construir um documento completo e compreensível, com imagens, enfoques no texto, divisão de sessões, links, endereços de e-mail, tabelas, etc.

Estruture bem seu documento para evitar deixá-lo confuso e incompreensível. Verifique a ortografia, se os links e informações de contato estão corretas e se o documento aborda todas as informações consideradas necessárias pelo seu time. No final do processo, salve o arquivo como .pdf e o mantenha em um local de fácil localização e acesso para que as outras áreas possam acessá-lo (cuidado com a restrição de acesso, colocar o documento em um local onde o acesso é controlado de maneira granular irá gerar um estresse inesperado para ambas as partes, usuários e times de tecnologia).

Comunicação - para um processo de comunicação efetivo é necessário utilizar os canais selecionados de maneira consistente e visando abranger a maior parcela da organização possível. Um meio efetivo de comunicação é o e-mail, por ser utilizado por toda a organização de maneira consistente (garantindo um maior alcance dos usuários) e para organizações que fazem uso de mensagens periódicas enviadas para grandes grupos da organização (ex: departamentos de tecnologia, gerentes, equipes de customer success) esses destinatários podem ser reaproveitados, tirando a necessidade de se realizar um mapeamento das equipes.

Alinhamento com Suporte - pensando em efetivar o processo de solicitação de suporte por parte dos usuários, é importante que os analistas responsáveis por solucionar as questões apresentadas pelos usuários estejam cientes das demandas e de como devem proceder em cada caso.

Fluxo de excessão - como é impossível prever o futuro e acertar 100% dos casos existentes, é importante que os usuários tenham a possibilidade de executar um fluxo de suporte alternativo, para problemas não mapeados e não registrados anteriormente (nas fases de teste e durante a adoção). Para isso, é uma estratégia interessante indicar alguns analistas da equipe que está conduzindo o projeto como pontos focais para esse contato, fazendo uso de seu conhecimento do projeto e da integração que os mesmos tem com as outras áreas.


A mudança cultural e tecnológica de uma empresa que está iniciando a adoção de novas soluções de autenticação não é simples, porém com um bom planejamento é possível obter êxito mesmo com todas as dores de cabeça que serão geradas ao longo do caminho.

Espero que tenha gostado do texto e que de alguma forma eu tenha conseguido te auxliar nessa jornada.

Até mais!