A autenticação de passagem também conhecida aqui no Brasil por PTA é um dos métodos de autenticação do Azure que permite que os usuários usem um único conjunto de credenciais para acessar recursos locais e recursos na nuvem, como Office 365 ou outros aplicativos SaaS.

Uma das maneiras mais comuns de os usuários se autenticarem no Azure com suas credenciais locais é por meio da Sincronização de Hash de Senha . No entanto, as organizações que têm políticas rígidas de segurança e conformidade podem optar por usar a autenticação de passagem, que (como a sincronização de hash de senha) não requer qualquer licenciamento adicional.

Observação: esta opção não está disponível para a nuvem Microsoft Azure Germany ou nuvem Microsoft Azure Government.

Este método usa agentes de software no local para validar senhas em relação aos controladores de domínio no local, em vez de apresentar a senha ao Azure AD.

Alguns dos benefícios e recursos da autenticação de passagem incluem:

• As credenciais são sempre autenticadas por controladores de domínio locais para segurança extra,
• Nenhum requisito de licenciamento adicional,
• Ser capaz de fazer uso de suas políticas de senha locais,
• Integração com gerenciamento de senha de autoatendimento no Azure, write-back de senha e proteção de senha, que proíbe o uso de senhas comumente usadas,
• Integração com políticas de acesso condicional, incluindo Azure MFA,
• A integração com SSO contínuo é possível para que os usuários não precisem digitar sua senha ao se autenticar no Azure AD,
• Proteção contra ataque de força bruta usando o recurso de bloqueio inteligente,
• Nenhum requisito de criação de porta de entrada, pois todo o tráfego é apenas de saída, tornando não essencial hospedar os agentes de autenticação em uma DMZ,
• Pouca sobrecarga de gerenciamento, pois cada agente atualiza e aplica patches a si mesmo automaticamente,
• A alta disponibilidade é facilmente alcançada com a implantação de vários agentes,
• Todos os aplicativos da web baseados em navegador e aplicativos do lado do cliente do Microsoft Office que usam autenticação moderna, como o Outlook, são suportados.

Conteúdo:

• Requisitos gerais de dimensionamento
• Acesso de firewall e proxy
• Fluxo de autenticação
• Configurando a autenticação de passagem
• Habilitando a autenticação de passagem e a sincronização de hash de senha
  • Planejamento
  • Instalando
• Solução de problemas

Requisitos gerais de dimensionamento:

Quando hospedado em um servidor CPU de 4 núcleos com 16 GB de RAM, um Agente de Autenticação pode suportar de 300 a 400 autenticações por segundo. Esses servidores devem estar localizados próximos aos controladores de domínio para reduzir a latência.

Acesso de firewall e proxy:

Para o registro inicial de um Agente de autenticação, certifique-se de que o agente pode acessar:

• login.windows.net
• login.microsoftonline.com

O agente deve ser capaz de se comunicar de saída nas seguintes portas

• TCP 80 – Usado para baixar as listas de revogação de certificado durante a validação do certificado SSL.
• TCP 443 – usado para todas as comunicações de saída com o serviço de autenticação no Azure.
• TCP 8080 (opcional) – Os agentes de autenticação relatam seu status a cada dez minutos usando essa porta, se a porta 443 não estiver disponível. O status de integridade é exibido no portal do Azure AD. A porta 8080 não é usada para logins de usuários.

Se o tráfego de seus Agentes de autenticação for roteado por meio de um proxy, certifique-se de que os seguintes endereços estejam na lista de permissões:

• * .msappproxy.net
• * .servicebus.windows.net

Se a lista de permissões de DNS não for possível, certifique-se de que o acesso aos intervalos de IP do datacenter do Azure listados aqui seja permitido.

Para validação do certificado, permita o acesso aos seguintes URLs:

• mscrl.microsoft.com:80
• crl.microsoft.com:80
• ocsp.msocps.com:80
• www.microsoft.com:80

Fluxo de autenticação:

1. O usuário acessa um aplicativo do lado do cliente do Microsoft Office, como o Outlook, usando Autenticação Moderna ou um aplicativo da web.
2. Se o usuário ainda não estiver conectado, ele será redirecionado para o Azure AD página de login.
3. O usuário insere seu nome de usuário e senha (a mesma que usa no local).
4. O Azure AD recebe a solicitação de entrada e coloca as credenciais do usuário em uma fila. As credenciais são criptografadas usando a chave pública dos agentes de autenticação.
5. Um Agente de Autenticação local recupera as credenciais criptografadas por meio de uma conexão persistente pré-estabelecida com o Azure AD. O agente descriptografa a senha usando sua chave privada.
6. As credenciais são validadas no Active Directory usando APIs padrão do Windows, que seguem um método semelhante ao que o AD FS usa.
7. O controlador de domínio que recebe a solicitação a valida e retorna uma resposta ao agente, como sucesso, falha, senha expirada, conta do usuário bloqueada etc.
8. A resposta do controlador de domínio é retransmitida pelo Agente de Autenticação para o Azure AD.
9. O Azure AD avalia a resposta e conecta o usuário ou desafia o usuário para autenticação multifator, por exemplo, se as políticas de acesso condicional estiverem em execução.
10. Após a autenticação ser concluída, o acesso ao aplicativo é concedido.

Habilitando a autenticação de passagem e a sincronização de hash de senha :

Você pode habilitar a Sincronização de Hash de Senha por meio da  página Recursos opcionais do assistente do Azure AD Connect. Isso permite que o login seja concluído para aplicativos que não oferecem suporte à autenticação de passagem. Além disso, se os Agentes de autenticação falharem e você ficar sem um agente em funcionamento para processar as solicitações de autenticação, é possível ativar a sincronização de hash de senha para evitar qualquer tempo de inatividade. A troca de métodos não é automática e você deve alterar manualmente o método de login para Sincronização de Hash de Senha no assistente AD Connect. Se o servidor AD Connect primário também estiver offline e você não tiver acesso a um servidor de armazenamento temporário, será necessário ligar para o Suporte da Microsoft para desativar a autenticação de passagem. Observe que os usuários apenas na nuvem não serão afetados por uma interrupção na autenticação de passagem.

Configurando a autenticação de passagem:

⮩ Planejamento:

• Ao instalar o Agente de autenticação de passagem, você deve instalar o primeiro agente em um servidor AD Connect, que está executando o Windows Server 2012 R2 ou superior. Você também deve aproveitar esta oportunidade para atualizar o AD Connect se as atualizações automáticas não estiverem habilitadas.
• Servidores de agente adicionais também devem estar executando o Windows Server 2012 R2. A Microsoft recomenda que você tenha no mínimo 3 Agentes de autenticação em execução no seu locatário. O número máximo possível para um único inquilino é 12.

⮩ Instalando:

Para habilitar a autenticação de passagem em seu locatário, você deve executar uma instalação personalizada do AD Connect. Como alternativa, você pode executar novamente o assistente após a configuração inicial e escolher Alterar login do usuário , inserir as credenciais de administrador globais e selecionar Autenticação de passagem -> Avançar .

Observação: a ativação da autenticação de passagem aplica esse método a todo o locatário. Ou seja, para todos os domínios personalizados em seu locatário que são Gerenciados , a autenticação de passagem será usada. Observe que os domínios federados podem continuar a usar o AD FS ou outras soluções de terceiros.

Clique em Configurar .

Clique em Sair .

Este processo instalará o primeiro Agente de Autenticação em seu ambiente, que ficará ao lado do servidor AD Connect. Você pode ver os três novos pacotes que foram instalados por meio de Programas e Recursos.

Navegue até o portal do Azure -> Azure Active Directory -> Azure AD Connect e clique em Autenticação de passagem , que deve ser exibida como Habilitada .

Aqui, você verá uma lista de servidores em seu ambiente que estão atuando como Agentes de autenticação. Você também pode ver o IP, o status e implantar mais agentes baixando o software do agente. Clique em Download .

Observação: você também pode baixar diretamente o software do agente em https://aka.ms/getauthagent

Clique em Aceitar os termos e fazer download .

Após a conclusão do download do agente, execute o instalador em seu próximo servidor de Agente de autenticação eleito.

Clique em Instalar .

Insira as credenciais da conta de administrador global do locatário e clique em Avançar.

Clique em Fechar para completar a instalação.

Depois de alguns momentos, seu novo servidor do Agente de Autenticação será exibido no portal do Azure AD.

O símbolo de aviso também desaparecerá no portal do Azure AD ao lado da autenticação de passagem , porque agora você tem alta disponibilidade entre seus agentes.

Solução de problemas:

Existem várias maneiras de solucionar problemas de autenticação de passagem, como:

• Exibindo logs de eventos em Logs de aplicativos e serviços -> Microsoft -> AzureAdConnect -> AuthenticationAgent -> Admin .
• Exibindo o status dos servidores do agente do portal do Azure AD em Azure Active Directory -> AD Connect.
• Verificando os logs do AD Connect em % ProgramData% \ AADConnect \ trace – *. Log para erros relacionados à instalação.
• Verificando logs de rastreamento detalhados em % ProgramData% \ Microsoft \ Azure AD Connect Authentication Agent \ Trace \ .

Dentro deste contexto que muitos administradores me perguntam é se é possivel realizar bloqueio por horário?

Resposta: Sim.

A administração do bloqueio do horário é toda realizada pelo Active Directory tradicional.

Quando é feito o procedimento ele repassa pelo PTA, quando o usuário for se autenticar no portal se durante um determinado horário você tiver bloqueado o usuário não irá acessar o ambiente seja ele local ou em aplicações na nuvem.

Espero ter ajudado.