Implementando a autenticação passwordless no Entra ID

Implementando a autenticação passwordless no Entra ID

Nos tempos atuais, sabemos que apenas as senhas não são mais suficientes. Sabemos também que além de não ser o meio de autenticação mais seguro, também estão entre os menos convenientes. Dito isso, hoje falaremos sobre a autenticação sem senha do Entra ID.


Introdução

A imagem acima é um quadrante que representa como as diferentes combinações de fatores de autenticação se posicionam em Conveniência x Segurança.

Quando estamos definindo um modelo de autenticação é importante termos em mente quem utilizará esse modelo a maior parte do tempo. Precisamos entender que os usuários em nossa empresa precisam se preocupar apenas em agregar valor, e não deveriam ter que se autenticar toda vez que fossem utilizar uma nova ferramenta e muito menos tendo que lembrar sua senha a cada autenticação.

O uso apenas das senhas hoje também já não é mais recomendado. As senhas estão vulneráveis à vazamentos, engenharia social, phishing, brute force, entre outros tipos de vulnerabilidades.

Para uma autenticação forte, é necessário combinar:

  • Algo que você sabe — como uma senha ou um PIN;

  • Algo que você tem — no caso, seu dispositivo;

  • Algo que você é — uma característica sua que possa ser verificada, como a biometria.

Habilitando a autenticação passwordless nós substituímos a senha por: algo que você tem + algo que você é ou que sabe.

A autenticação passwordless não troca segurança por conveniência e isso é importantíssimo. Os requisitos de segurança estarão sendo cumpridos e os usuários estarão extremamente mais confortáveis para acessar as soluções.

Agora que entendemos os benefícios desse modelo, vamos estudar brevemente quais os tipos de MFA suportados pelo Entra.


Tipos de MFA

Esses acima são os métodos de MFA suportados pelo Entra. Nem todos podem ser utilizados para a autenticação passwordless, porém é interessante que você conheça todas as alternativas possíveis, uma vez que possam ser úteis em algum momento.

A lista de métodos de autenticação disponíveis e configurados pode ser visualizada em “Authentication methods” na aba do ID Protection.

Os dispositivos de MFA válidos para configurarmos a autenticação passwordless são:

  • Windows 10 — versão que contém disponível o Windows Hello for Business;

  • Smartphone — com o aplicativo Microsoft Authenticator instalado;

  • Hardware key — FIDO2 Security Key.

Para esse tutorial, vamos utilizar o mais simples, o smartphone. Não é requerido que você instale o aplicativo neste primeiro momento, durante a jornada de login, será solicitado que você o instale e configure-o.

Configurando o Microsoft Authenticator como para autenticação passwordless, nós cumpriremos 2 dos 3 requisitos representados na seção anterior. Algo temos será representado pelo smartphone com o aplicativo instalado. Para usar o aplicativo, será solicitado que realize o desbloqueio do seu smartphone. Caso utilize o desbloqueio por PIN, será solicitado que o insira, representando algo que você sabe. Caso utilize o desbloqueio biométrico, o requisito atendido será algo que você é.


Configurando autenticação passwordless

Para esse artigo, vamos configurar o Microsoft Authenticator como a solução de autenticação passwordless. Para isso, vamos:

  • Desabilitar o Security Defaults do tenant;

  • Criar uma política de acesso condicional que solicite o MFA para autenticação em qualquer um dos portais administrativos;

  • Configurar no Microsoft Authenticator a possibilidade de login com o smartphone.

O security defaults é uma configuração do tenant que aplica alguns controles básicos de segurança, com o intuito de evitar falhas básicas de segurança.

Desativando o Security Defaults

Dentro do portal do Entra, navegue até a aba “Overview”, abaixo de “Identity”. Acesse o menu “Properties” e navegue até o final da página, onde você encontrará o seguinte:

Clicando sob o link “Manage security defaults”, será mostrado ao lado direito da sua tela um drop que permitirá você selecionar “Enabled” (para manter a configuração ativa) e “Disabled” (para desativar as configurações).

Atente-se ao aviso apresentado na tela. O Security Defaults é um conjunto de configurações que aborda 99,9% dos possíveis comprometimentos de contas. Desative-o apenas no caso de ter políticas de acesso condicional que aplicam esses controles.

Criando a política de acesso condicional

Navegando até a aba “Conditional Access” em “Protection”, selecione a opção “Create new policy”.

Em “Assignments” escolha alguns usuários para teste.

Em “Target resources” selecione “Cloud apps”, “Select apps” e em “Select” escolha a opção “Microsoft Admin Portals”. Essa opção contém portais como Portal do Entra e Portal do Azure.

Na sessão “Grant” marque a opção “Require multifactor authentication”.

Marque sua policy como ativa no final da página e a salve.

Se você receber um aviso que não é possível criar a política, provavelmente você se esqueceu de desabilitar o security defaults. Volte alguns passos e desative-o.

Como administrador do sistema, sua parte foi feita! A próxima etapa é responsabilidade do usuário.

Configurando o smartphone

(Caso você já tenha o Microsoft Authenticator instalado e configurado com sua conta, você pode passar para a próxima etapa)

Acesse de seu computador algum dos portais administrativos da Microsoft (Portal do Azure, Portal do Entra, etc). Insira seu e-mail e logo em seguida sua senha. Você verá a seguinte tela:

Antes de habilitar sua autenticação passwordless, é necessário que você cadastre sua conta no aplicativo.

Selecione “Avançar” e siga os passos informados em sua tela. No final do processo você terá seu aplicativo instalado e sua conta configurada.

(vamos prosseguir com a habilitação da autenticação passwordless)

No seu aplicativo Microsoft Authenticator, selecione sua conta e selecione a opção “Configurar entrada pelo telefone”, será solicitado que você se re-autentique. Após isso, apenas confirme a configuração.

Pode ser que no momento do primeiro login após a configuração no aplicativo, seja solicitado que o usuário insira a senha. Ele pode seguir desta forma ou pode selecionar a opção “Outras formas de login” e logo em seguida será solicitado sua aprovação no aplicativo.

Pronto! Seus usuários podem terão uma experiência mais prazerosa e mais segura ao usar as diversas aplicações configuradas em seu tenant.


Outras pontuações

Uma parpte importante (que não foi abordada nesse artigo) é o estabelecimento de um bom processo de governança e de apoio aos usuários.

Pode ser que durante as jornadas (configuração, cadastro, uso, etc.) os mesmos encontrem problemas e dificuldades. A existência de materiais de apoio para essas situações é essencial para não gerar atrito.

É necessário também que os funcionários do helpdesk e administradores (responsáveis pelo contato com os usuários e resolução de problemas) saibam como agir nas mais diversas situações.

Construa bem sua jornada e procure pensar em todas as partes envolvidas. Talvez você não consiga cobrir tudo, mas é importante que antes de iniciar uma mudança drástica como essa, você proure documentar os possíveis problemas e forneça meios para que os usuários saibam como resolvê-los.


Obrigado por ter lido até aqui, espero que tenha gostado do conteúdo, nos vemos em breve.

Até logo!