Proteggere gli account utente da attacchi con il blocco intelligente di Microsoft Entra

La funzione di blocco intelligente blocca gli attori malintenzionati che tentano di indovinare le password degli utenti o usano metodi di forza bruta per ottenere l'accesso. Questa funzione è in grado di riconoscere i tentativi di accesso eseguiti da utenti validi e di gestirli in modo diverso da quelli di utenti malintenzionati e di altre origini sconosciute. La funzione di blocco intelligente blocca gli utenti malintenzionati, consentendo al contempo a quelli validi di accedere ai propri account senza effetti negativi sulla produttività.

Funzionamento del blocco intelligente

Per impostazione predefinita, il blocco intelligente blocca un account dall'accesso dopo:

• 10 tentativi non riusciti in Azure Pubblico e Microsoft Azure gestito da 21 Tenant diVianet
• 3 tentativi non riusciti per i tenant di Azure US Government

L'account si blocca nuovamente dopo ogni tentativo di accesso non riuscito successivo. Il periodo di blocco è di un minuto all'inizio e più lungo nei tentativi successivi. Per ridurre al minimo i modi in cui un utente malintenzionato potrebbe aggirare questo comportamento, non viene divulgata la frequenza con cui il periodo di blocco aumenta dopo tentativi di accesso non riusciti.

Il blocco intelligente tiene traccia degli ultimi tre hash delle password non validi per evitare l'incremento del contatore dei blocchi per la stessa password. Se un utente immette più volte la stessa password non valida, questo comportamento non causa il blocco dell'account.

Nota

La funzionalità di rilevamento hash non è disponibile per i clienti con autenticazione pass-through abilitata perché l'autenticazione avviene in locale non nel cloud.

Le distribuzioni federate che usano Active Directory Federation Services (AD FS) 2016 e AD FS 2019 possono abilitare vantaggi simili usando il blocco Extranet di AD FS e il blocco intelligente Extranet di Extranet. È consigliabile passare all'autenticazione gestita.

Il blocco intelligente è sempre attivo, per tutti i clienti di Microsoft Entra, con le impostazioni predefinite che offrono la giusta combinazione di sicurezza e usabilità. Per personalizzare le impostazioni del blocco intelligente con valori specifici per un'organizzazione, è necessario disporre di licenze di Microsoft Entra ID P1 o superiori per i propri utenti.

L'uso del blocco intelligente non garantisce che un utente originale non venga mai bloccato, nonostante sia stato profuso grande impegno perché non vengano bloccati utenti originali. Il servizio di blocco cerca di garantire che un utente non autorizzato non possano accedere all'account di un utente originale. Si applicano le considerazioni seguenti:

• Lo stato di blocco nei data center Di Microsoft Entra viene sincronizzato. Tuttavia, il numero totale di tentativi di accesso non riusciti consentiti prima che un account venga bloccato avrà una leggera variazione rispetto alla soglia di blocco configurata. Una volta bloccato un account, viene bloccato ovunque in tutti i data center di Microsoft Entra.
• Il blocco intelligente usa la differenziazione tra posizioni conosciute e sconosciute per individuare gli utenti originali e distinguerli da quelli non autorizzati. Sia le posizioni sconosciute che le posizioni familiari hanno contatori di blocco separati.
• Dopo il blocco di un account, l'utente può avviare la reimpostazione della password self-service per eseguire di nuovo l'accesso. Se l'utente sceglie di aver dimenticato la password durante la reimpostazione della password self-service, la durata del blocco viene reimpostata su 0 secondi. Se l'utente sceglie di conoscere la password durante la reimpostazione della password self-service, il timer di blocco continua e la durata del blocco non viene reimpostata. Per reimpostare la durata e accedere di nuovo, l'utente deve modificare la password.

Il blocco intelligente può essere integrato con distribuzioni ibride che usano la sincronizzazione degli hash delle password o l'autenticazione pass-through, per impedire il blocco degli account Active Directory Domain Services locali da parte di utenti malintenzionati. Impostando criteri di blocco intelligente adeguati in Microsoft Entra ID, è possibile filtrare gli attacchi prima che raggiungano l'istanza locale di Active Directory Domain Services.

Quando si usa l'autenticazione pass-through, si applicano le considerazioni seguenti:

• La soglia di blocco di Microsoft Entra è inferiore alla soglia di blocco dell'account di Active Directory Domain Services. Configurare i valori in modo che la soglia di blocco degli account di Active Directory Domain Services sia almeno due o tre volte superiore rispetto alla soglia di blocco di Microsoft Entra.
• La durata del blocco di Microsoft Entra deve essere più lunga della durata del blocco account di Active Directory Domain Services. La durata di Microsoft Entra viene impostata in secondi, mentre la durata di Servizi di dominio Active Directory è impostata in minuti.

Se ad esempio si vuole che la durata del blocco intelligente di Microsoft Entra sia superiore rispetto ad Active Directory Domain Services, si può impostare una durata di 120 secondi (2 minuti) Microsoft Entra ID mentre per AD locale è impostata su 1 minuto (60 secondi). Se si vuole che la soglia di blocco di Microsoft Entra sia 5, si vuole che la soglia di blocco di Active Directory Domain Services locale sia 10. Questa configurazione garantisce che il blocco intelligente impedisca che gli account di Active Directory Domain Services locali vengano bloccati da attacchi di forza bruta sugli account Microsoft Entra.

Importante

Un amministratore può sbloccare l'account cloud degli utenti se sono stati bloccati dalla funzionalità Blocco intelligente, senza dover attendere la scadenza della durata del blocco. Per altre informazioni, vedere Reimpostare la password di un utente usando Microsoft Entra ID.

Verificare i criteri di blocco degli account locali

Per verificare i criteri di blocco degli account di Active Directory Domain Services locali, completare i passaggi seguenti da un sistema aggiunto a un dominio con privilegi di amministratore:

1. Aprire lo strumento Gestione criteri di gruppo.
2. Modificare i criteri di gruppo che includono i criteri di blocco dell'account dell'organizzazione, ad esempio i criteri di dominio predefiniti.
3. Passare a Configurazione computer>Criteri>Impostazioni di Windows>Impostazioni di sicurezza>Criteri account>Criterio di blocco account.
4. Verificare i valori di Soglia di blocchi dell'account e Reimposta contatore blocco account dopo.

Gestire i valori di blocco intelligente di Microsoft Entra

In base ai requisiti dell'organizzazione, è possibile personalizzare i valori del blocco intelligente di Microsoft Entra. Per personalizzare le impostazioni del blocco intelligente con valori specifici per un'organizzazione, è necessario disporre di licenze Microsoft Entra ID P1 o superiori per i propri utenti. La personalizzazione delle impostazioni di blocco intelligente non è disponibile per Microsoft Azure gestito da tenant 21Vianet.

Per controllare o modificare i valori di blocco intelligente per l'organizzazione, completare la procedura seguente:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di autenticazione.

2. Passare a Protezione dei metodi>di autenticazione Protezione>password.

3. Impostare il valore di Soglia di blocco, in base al numero di accessi non riusciti consentiti per un account prima che venga applicato il primo blocco.

   Il valore predefinito è 10 per i tenant pubblici di Azure e 3 per i tenant di Azure US Government.

4. Impostare il valore di Durata del blocco in secondi sulla durata in secondi di ogni blocco.

   Il valore predefinito è 60 secondi (1 minuto).

Nota

Se anche il primo accesso dopo la scadenza di un periodo di blocco ha esito negativo, l'account si blocca nuovamente. Se un account viene bloccato più volte, la durata del blocco aumenta.

Test del blocco intelligente

Quando viene attivata la soglia di blocco intelligente, viene visualizzato il messaggio seguente mentre l'account è bloccato:

L'account è stato temporaneamente bloccato per impedirne l'uso non autorizzato. Riprovare più tardi. Se il problema persiste, contattare l'amministratore.

Quando si testa il blocco intelligente, le richieste di accesso potrebbero essere gestite da data center diversi a causa delle caratteristiche di distribuzione geografica e bilanciamento del carico del servizio di autenticazione di Microsoft Entra.

Il blocco intelligente tiene traccia degli ultimi tre hash delle password non validi per evitare l'incremento del contatore dei blocchi per la stessa password. Se un utente immette più volte la stessa password non valida, questo comportamento non causa il blocco dell'account.

Protezioni predefinite

Oltre al blocco intelligente, Microsoft Entra ID protegge anche dagli attacchi analizzando i segnali, incluso il traffico IP e identificando il comportamento anomalo. Microsoft Entra ID blocca questi accessi dannosi per impostazione predefinita e restituisce AADSTS50053 - Codice di errore IdsLocked, indipendentemente dalla validità della password.

Passaggi successivi

• Per personalizzare ulteriormente l'esperienza, è possibile configurare password personalizzate escluse per la protezione password di Microsoft Entra.

• Per consentire agli utenti di reimpostare o modificare la password da un Web browser, è possibile configurare la reimpostazione della password self-service di Microsoft Entra.