Estou me preparando para enviar um novo conjunto de usuários para autenticação MFA com Entra/AD FS e estou enfrentando alguns problemas (felizmente, ainda durante a fase de testes!)
O ambiente é um servidor AD/AD FS local (2019), sincronizado com Entra com P1 para oferecer suporte a MFA. Isso está funcionando para a maioria dos usuários. Quando os usuários ativam uma nova conta, eles são redirecionados para o processo MS "ProofUp" em mysignins.micrsoft.com/security-info de acordo com a documentação e podem concluir o registro/autenticação. Isso permite que eles inicialmente ignorem o requisito de MFA para acessar a página "mysignins.micrsoft.com/security-info" até que fatores adicionais sejam fornecidos, como deveria.
No entanto, agora temos uma classe de usuários que vêm até nós e já possuem o aplicativo Microsoft Authenticator e já entraram no aplicativo com nossa "conta corporativa ou escolar", mas ainda não terminaram de registrar o aplicativo para MFA com nosso locatário do Azure/Entra. Notavelmente, o aplicativo NÃO aparece na seção Métodos de autenticação para o usuário no console de administração do Entra. Estes são estudantes (somos uma universidade) que usaram o aplicativo para fazer MFA com um serviço externo antes de solicitarmos MFA de estudante, e agora não usamos mais esse serviço.
Esses usuários NÃO conseguem carregar a página mysignins.micrsoft.com/security-inf ProofUp e, em vez disso, entram em um loop de redirecionamento onde voltam continuamente ao nosso site AD FS dizendo que precisam concluir o registro de MFA.
Uma chave é que em nenhum momento o usuário verá uma mensagem de erro real. Eles simplesmente não conseguem passar da página do AD FS solicitando o registro de tokens MFA. Qualquer coisa que fizerem para seguir em frente irá redirecioná-los de volta a este ponto. Além disso, os logs de login para esses usuários no Entra mostrarão apenas resultados de "Sucesso", a menos que eles realmente insiram uma senha incorreta, e mesmo estes são de antes de ativarmos o requisito de MFA para o usuário (ou depois de liberá-los devido a falha).
ATUALIZAR :
Agora posso recriar isso para um novo usuário de teste sob demanda com estas etapas:
- Crie um usuário no Active Directory local
- Certifique-se de que o usuário ainda NÃO seja necessário para MFA e deixe-o sincronizar com o Azure AD/Entra
- Faça um teste de dispositivo móvel que ainda NÃO esteja registrado no Entra
- Instale o aplicativo MS Authenticator novo no dispositivo (remova-o completamente primeiro e depois reinstale-o se já estiver lá, para que todos os dados locais de testes anteriores sejam apagados)
- Faça login no aplicativo Authenticator como uma conta de trabalho/escola com as credenciais de usuário criadas na etapa 1
- Feche e saia do aplicativo.
- Defina o usuário para exigir MFA para uma de nossas partes confiáveis do AD FS (fazemos isso aqui adicionando uma associação de grupo no AD)
- Faça com que o usuário tente acessar um aplicativo protegido
O importante foi que as etapas 5 e 6 aconteceram antes da etapa 7.
O AD FS agora determinará corretamente as necessidades do usuário para concluir a MFA; ele mostrará uma mensagem de acordo com a documentação e tentará redirecioná-los para a página Entra ProofUp após 5 segundos. Mas a página de prova não permitirá o acesso e os redirecionará imediatamente de volta ao AD FS para repetir o ciclo. O usuário é impedido de concluir o processo ProofUp.
Usar o botão "Exigir novo registro de autenticação multifator" mostrado abaixo para o usuário no console administrativo não funciona para resolver isso.
Até agora, tenho duas maneiras de levar esses usuários adiante:
- Insira manualmente um fator adicional para eles (como um telefone celular). Em breve traremos várias centenas de usuários adicionais dessa forma, onde não tenho necessariamente esses números de telefone celular. Eu preciso de algo melhor.
- Altere a política de controle de acesso do aplicativo Office 365 especificamente para não exigir MFA. Isso não é tão ruim quanto parece à primeira vista, porque usamos o Google Workspace para e-mail e a maioria dos serviços de documentos, mas obviamente também não é bom e não é algo com o qual eu queira viver a longo prazo.
Como posso limpar o registro incompleto do aplicativo Authenticator para esses usuários ou permitir que eles avancem com o registro MFA?
Não posso ser a primeira pessoa a se deparar com isso, porque pode acontecer com qualquer pessoa que pule uma etapa do processo normal e tente adicionar o aplicativo Authenticator muito cedo.
Navegue até Azure Active Directory > Usuários > Todos os usuários > Escolha o usuário no qual você deseja executar uma ação > selecione Métodos de autenticação > Exigir novo registro de MFA https://learn.microsoft.com/en-us/entra/identity/authentication /howto-mfa-userdevicesettings#próximas etapas
Atualização: Aqui está um script também usado pelo suporte da Microsoft para analisar os logs do adfs. Pode ser útil https://github.com/CSS-Identity/ADFS-Diag/
É assim que vamos resolver esse problema:
Adicionei um grupo adicional ao AD para gerenciar MFA chamado
MFA_ProofUpBypass. Então criei uma nova Política de Controle de Acesso no AD FS com três critérios:Depois de testar a política com êxito, apliquei-a à nossa parte confiável do Microsoft 365 (e somente a esta parte confiável) no AD FS.
Agora, à medida que adicionamos novos usuários dessa população (em lotes de cerca de 30/semana, porque só temos uma equipe de suporte de duas pessoas que ainda precisam lidar com solicitações regulares), inicialmente adicionaremos usuários tanto ao
MFA_RequiredeMFA_ProofUpBypassgrupo ao mesmo tempo.Dessa forma, esses usuários poderão concluir o processo de registro de MFA e os usuários existentes de MFA não perderão a proteção da conta do serviço Microsoft 365.
Então, como sabemos que cada lote concluiu o registro com sucesso, podemos removê-los do
MFA_ProofUpBypassgrupo, para que também tenham proteção MFA para o serviço Microsoft 365.No futuro, como temos problemas e rotatividade normal de usuários, podemos continuar a usar o
MFA_ProofUpByassgrupo para ajudar a dar suporte aos usuários nesse tipo de problema, bem como em coisas como transferência para um novo telefone.Ainda gostaria de resolver isso completamente, mas estou sem tempo (mais ou menos - só começaremos no próximo semestre, mas preciso que a liderança sênior aprove o plano de migração esta semana, antes das férias).