Queremos exigir a autenticação multifator para login RDP (e login local) daqui para frente em nossos sistemas Windows Server. Atualmente, todos os nossos sistemas Windows Server são Windows Server 2016. Estamos usando o nível gratuito do Azure Active Directory (mas estamos abertos para atualização, se necessário). Não queremos usar produtos de terceiros no mix.
Então, idealmente, juntaríamos os sistemas Windows Server 2016 ao Azure AD. Então precisaríamos de alguma forma de autenticação multifator.
Não conseguimos encontrar um guia simples sobre como fazer isso. Há algumas perguntas no StackExchange sobre esse tópico, mas não há respostas ou as perguntas têm vários anos e dizem que isso não pode ser feito.
Como é 2020, e também há os novos sistemas operacionais Windows Server 2019 e 2016 disponíveis, e como a área de trabalho do Windows 10 suporta MFA, eu queria fazer esta pergunta:
Como obter o login do Azure AD + MFA + Windows Server 2016 RDP?
As formas possíveis de fazer isso seriam as seguintes:
Se seus servidores estiverem em uma rede local e não hospedados no Azure , implante um farm de Gateway de Área de Trabalho Remota (RDG) e integre-o ao Azure AD usando a extensão NPS (Network Policy Server), isso permitirá que o Azure lide com solicitações de MFA: https:// docs.microsoft.com/en-us/azure/active-directory/authentication/howto-mfa-nps-extension-rdg
Se seus servidores estiverem hospedados no Azure , você poderá usar o novo recurso (Pré-visualização) que permite autenticar usando contas de usuário do Azure AD, que permitirá solicitar MFA dos usuários quando eles fizerem RDP nos servidores: https: //docs.microsoft.com/en-us/azure/active-directory/devices/howto-vm-sign-in-azure-ad-windows
Lembre-se de que a segunda maneira tem muitas limitações, onde: