Eseguire la migrazione all'autenticazione a più fattori Di Microsoft Entra e all'autenticazione utente di Microsoft Entra
L'autenticazione a più fattori consente di proteggere l'infrastruttura e gli asset da attori malintenzionati. Il server Microsoft Multi-Factor Authentication (server MFA) non è più disponibile per le nuove distribuzioni. I clienti che usano il server MFA devono passare all'autenticazione a più fattori Microsoft Entra (autenticazione a più fattori Microsoft Entra).
Sono disponibili diverse opzioni per la migrazione da MFA Server a Microsoft Entra ID:
- Buono: spostare solo il servizio MFA in Microsoft Entra ID.
- Migliore: spostare il servizio MFA e l'autenticazione utente in Microsoft Entra ID, illustrato in questo articolo.
- Migliore: spostare tutte le applicazioni, il servizio MFA e l'autenticazione utente in Microsoft Entra ID. Vedere la sezione spostare le applicazioni in Microsoft Entra ID di questo articolo se si prevede di spostare le applicazioni, descritte in questo articolo.
Per selezionare l'opzione di migrazione MFA appropriata per l'organizzazione, vedere le considerazioni in Eseguire la migrazione dal server MFA all'autenticazione a più fattori Di Microsoft Entra.
Il diagramma seguente illustra il processo di migrazione all'autenticazione a più fattori Microsoft Entra e all'autenticazione cloud mantenendo alcune delle applicazioni in AD FS. Questo processo consente la migrazione iterativa degli utenti dal server MFA all'autenticazione a più fattori Di Microsoft Entra in base all'appartenenza al gruppo.
Ogni passaggio è illustrato nelle sezioni successive di questo articolo.
Nota
Se si prevede di spostare le applicazioni in Microsoft Entra ID come parte di questa migrazione, è consigliabile eseguire questa operazione prima della migrazione MFA. Se si spostano tutte le app, è possibile ignorare le sezioni del processo di migrazione MFA. Vedere la sezione sullo spostamento di applicazioni alla fine di questo articolo.
Processo di migrazione all'ID e all'autenticazione utente di Microsoft Entra
Preparare i gruppi e l'accesso condizionale
I gruppi vengono usati in tre capacità per la migrazione MFA.
Per spostare in modo iterativo gli utenti nell'autenticazione a più fattori Di Microsoft Entra con implementazione a fasi.
Usare un gruppo creato in Microsoft Entra ID, noto anche come gruppo solo cloud. È possibile usare i gruppi di sicurezza di Microsoft Entra o Gruppi di Microsoft 365 per spostare gli utenti in MFA e per i criteri di accesso condizionale.
Importante
I gruppi annidati e dinamici non sono supportati per l'implementazione a fasi. Non usare questi tipi di gruppi.
Criteri di accesso condizionale. È possibile usare Microsoft Entra ID o gruppi locali per l'accesso condizionale.
Per richiamare l'autenticazione a più fattori Di Microsoft Entra per le applicazioni AD FS con regole di attestazione. Questo passaggio si applica solo se si usano applicazioni con AD FS.
È necessario usare un gruppo di sicurezza Active Directory locale. Quando l'autenticazione a più fattori Di Microsoft Entra è un metodo di autenticazione aggiuntivo, è possibile designare gruppi di utenti per usare tale metodo su ogni trust della relying party. Ad esempio, è possibile chiamare l'autenticazione a più fattori Di Microsoft Entra per gli utenti di cui è già stata eseguita la migrazione e il server MFA per gli utenti che non sono ancora migrati. Questa strategia è utile sia nel test che durante la migrazione.
Nota
Non è consigliabile riutilizzare i gruppi usati per la sicurezza. Usare solo il gruppo di sicurezza per proteggere un gruppo di app di alto valore con criteri di accesso condizionale.
Configurare i criteri di accesso condizionale
Se si usa già l'accesso condizionale per determinare quando agli utenti viene richiesta l'autenticazione a più fattori, non saranno necessarie modifiche ai criteri. Quando gli utenti vengono migrati all'autenticazione cloud, inizieranno a usare l'autenticazione a più fattori Di Microsoft Entra come definito dai criteri di accesso condizionale. Non verranno più reindirizzati a AD FS e al server MFA.
Se i domini federati hanno il flag federatedIdpMfaBehavior impostato su o SupportsMfa impostato su $True (l'oggetto federatedIdpMfaBehavior esegue l'override di SupportsMfa quando entrambi sono impostatienforceMfaByFederatedIdp), è probabile che l'applicazione di MFA in AD FS usi regole attestazioni.
In questo caso, è necessario analizzare le regole delle attestazioni nell'attendibilità della relying party microsoft Entra ID e creare criteri di accesso condizionale che supportano gli stessi obiettivi di sicurezza.
Se necessario, configurare i criteri di accesso condizionale prima di abilitare l'implementazione a fasi. Per ulteriori informazioni, vedi le seguenti risorse:
Preparare AD FS
Se non si dispone di applicazioni in AD FS che richiedono L'autenticazione a più fattori, è possibile ignorare questa sezione e passare alla sezione Preparazione implementazione a fasi.
Aggiornare la server farm ad AD FS a 2019, FBL 4
In AD FS 2019 Microsoft ha rilasciato nuove funzionalità per specificare metodi di autenticazione aggiuntivi per una relying party, ad esempio un'applicazione. È possibile specificare un metodo di autenticazione aggiuntivo usando l'appartenenza al gruppo per determinare il provider di autenticazione. Specificando un metodo di autenticazione aggiuntivo, è possibile passare all'autenticazione a più fattori Di Microsoft Entra mantenendo intatta l'altra autenticazione durante la transizione.
Per altre informazioni, vedere Aggiornamento ad AD FS in Windows Server 2016 con un database WID. L'articolo illustra sia l'aggiornamento della farm ad AD FS 2019 che l'aggiornamento di FBL a 4.
Configurare le regole delle attestazioni per richiamare l'autenticazione a più fattori Di Microsoft Entra
Ora che l'autenticazione a più fattori Microsoft Entra è un metodo di autenticazione aggiuntivo, è possibile assegnare gruppi di utenti per l'uso dell'autenticazione a più fattori di Microsoft Entra configurando le regole delle attestazioni, note anche come trust della relying party. Usando i gruppi, è possibile controllare quale provider di autenticazione viene chiamato globalmente o dall'applicazione. Ad esempio, è possibile chiamare l'autenticazione a più fattori Di Microsoft Entra per gli utenti registrati per informazioni di sicurezza combinate o per i relativi numeri di telefono migrati, mentre si chiama MFA Server per gli utenti i cui numeri di telefono non sono stati migrati.
Nota
Le regole delle attestazioni richiedono un gruppo di sicurezza locale.
Regole di backup
Prima di configurare nuove regole attestazioni, eseguire il backup delle regole. È necessario ripristinare le regole delle attestazioni come parte dei passaggi di pulizia.
A seconda della configurazione, potrebbe anche essere necessario copiare la regola esistente e aggiungere le nuove regole create per la migrazione.
Per visualizzare le regole globali, eseguire:
Get-AdfsAdditionalAuthenticationRule
Per visualizzare i trust della relying party, eseguire il comando seguente e sostituire RPTrustName con il nome della regola di attestazioni attendibilità della relying party:
(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules
Criteri di controllo di accesso
Nota
I criteri di controllo di accesso non possono essere configurati in modo che venga richiamato un provider di autenticazione specifico in base all'appartenenza al gruppo.
Per eseguire la transizione dai criteri di controllo di accesso a regole di autenticazione aggiuntive, eseguire questo comando per ognuno dei trust relying party usando il provider di autenticazione del server MFA:
Set-AdfsRelyingPartyTrust -**TargetName AppA -AccessControlPolicyName $Null**
Questo comando sposta la logica dal criterio di Controllo di accesso corrente in Regole di autenticazione aggiuntive.
Configurare il gruppo e trovare il SID
È necessario disporre di un gruppo specifico in cui si inserisce gli utenti per i quali si vuole richiamare l'autenticazione a più fattori Di Microsoft Entra. Sarà necessario trovare l'identificatore di sicurezza (SID) per tale gruppo.
Per trovare il SID del gruppo, eseguire il comando seguente e sostituire GroupName con il nome del gruppo:
Get-ADGroup GroupName
Impostazione delle regole delle attestazioni per chiamare l'autenticazione a più fattori Di Microsoft Entra
I cmdlet di PowerShell di Microsoft Graph seguenti richiamano l'autenticazione a più fattori Microsoft Entra per gli utenti del gruppo quando non si trovano nella rete aziendale.
Sostituire "YourGroupSid" con il SID trovato eseguendo il cmdlet precedente.
Assicurarsi di esaminare come scegliere provider di autenticazione aggiuntivi nel 2019.
Importante
Eseguire il backup delle regole delle attestazioni prima di procedere.
Impostare la regola delle attestazioni globali
Eseguire il comando seguente e sostituire RPTrustName con il nome della regola delle attestazioni di attendibilità della relying party:
(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules
Il comando restituisce le regole di autenticazione aggiuntive correnti per l'attendibilità della relying party.
È necessario aggiungere le regole seguenti alle regole attestazioni correnti:
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Nell'esempio seguente si presuppone che le regole attestazioni correnti siano configurate per richiedere l'autenticazione a più fattori quando gli utenti si connettono dall'esterno della rete. Questo esempio include le regole aggiuntive che è necessario aggiungere.
Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type ==
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type =
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value =
"https://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Impostare la regola delle attestazioni per applicazione
Questo esempio modifica le regole attestazioni in un trust della relying party specifico (applicazione). Include le regole aggiuntive che è necessario aggiungere.
Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type ==
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type =
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value =
"https://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Configurare l'autenticazione a più fattori Microsoft Entra come provider di autenticazione in AD FS
Per configurare l'autenticazione a più fattori Microsoft Entra per AD FS, è necessario configurare ogni server AD FS. Se nella farm si trovano più server AD FS, è possibile configurarli in remoto usando Microsoft Graph PowerShell.
Per istruzioni dettagliate su questo processo, vedere Configurare i server AD FS.
Dopo aver configurato i server, è possibile aggiungere l'autenticazione a più fattori Di Microsoft Entra come metodo di autenticazione aggiuntivo.
Preparare l'implementazione a fasi
A questo punto è possibile abilitare l'implementazione a fasi. L'implementazione a fasi consente di spostare in modo iterativo gli utenti in PHS o PTA durante la migrazione delle impostazioni MFA locali.
- Assicurarsi di esaminare gli scenari supportati.
- In primo luogo, è necessario eseguire il lavoro preliminare per PHS o il prework per il PTA. È consigliabile usare PHS.
- Successivamente, si eseguiranno le operazioni preliminari per l'accesso Single Sign-On facile.
- Abilitare l'implementazione a fasi dell'autenticazione cloud per il metodo di autenticazione selezionato.
- Aggiungere i gruppi creati per l'implementazione a fasi. Tenere presente che si aggiungeranno utenti ai gruppi in modo iterativo e che non possono essere gruppi dinamici o gruppi annidati.
Registrare gli utenti per l'autenticazione a più fattori Microsoft Entra
Questa sezione illustra come gli utenti possono registrarsi per la sicurezza combinata (MFA e reimpostazione della password self-service) e come eseguire la migrazione delle impostazioni MFA. Microsoft Authenticator può essere usato come in modalità senza password. Può anche essere usato come secondo fattore per l'autenticazione a più fattori con entrambi i metodi di registrazione.
Registrarsi per la registrazione di sicurezza combinata (scelta consigliata)
È consigliabile registrare gli utenti per informazioni di sicurezza combinate, che è un'unica posizione per registrare i metodi di autenticazione e i dispositivi sia per MFA che per la reimpostazione della password self-service.
Microsoft fornisce modelli di comunicazione che è possibile fornire agli utenti per guidarli tramite il processo di registrazione combinato.
Questi includono modelli per posta elettronica, poster, tende da tavolo e vari altri asset. Gli utenti registrano le informazioni in https://aka.ms/mysecurityinfo, che li porta alla schermata di registrazione di sicurezza combinata.
È consigliabile proteggere il processo di registrazione della sicurezza con l'accesso condizionale che richiede la registrazione da un dispositivo o una posizione attendibile. Per informazioni sul rilevamento degli stati di registrazione, vedere Attività del metodo di autenticazione per Microsoft Entra ID.
Nota
Gli utenti che DEVONO registrare le informazioni di sicurezza combinate da una posizione o da un dispositivo non attendibili possono essere rilasciati un pass di accesso temporaneo o, in alternativa, esclusi temporaneamente dai criteri.
Eseguire la migrazione delle impostazioni MFA dal server MFA
È possibile usare l'utilità Migrazione server MFA per sincronizzare le impostazioni MFA registrate per gli utenti da MFA Server a Microsoft Entra ID. È possibile sincronizzare numeri di telefono, token hardware e registrazioni dei dispositivi, ad esempio le impostazioni dell'app Microsoft Authenticator.
Aggiungere utenti ai gruppi appropriati
- Se sono stati creati nuovi criteri di accesso condizionale, aggiungere gli utenti appropriati a tali gruppi.
- Se sono stati creati gruppi di sicurezza locali per le regole delle attestazioni, aggiungere gli utenti appropriati a tali gruppi.
- Solo dopo aver aggiunto utenti alle regole di accesso condizionale appropriate, aggiungere utenti al gruppo creato per l'implementazione a fasi. Al termine, inizieranno a usare il metodo di autenticazione di Azure selezionato (PHS o PTA) e l'autenticazione a più fattori Di Microsoft Entra quando sono necessari per eseguire l'autenticazione a più fattori.
Importante
I gruppi annidati e dinamici non sono supportati per l'implementazione a fasi. Non usare questi tipi di gruppi.
Non è consigliabile riutilizzare i gruppi usati per la sicurezza. Se si usa un gruppo di sicurezza per proteggere un gruppo di app di alto valore con criteri di accesso condizionale, usare solo il gruppo a tale scopo.
Monitoraggio
Per monitorare la distribuzione sono disponibili molte cartelle di lavoro di Monitoraggio di Azure e report di Utilizzo e Informazioni dettagliate. Questi report sono disponibili in Microsoft Entra ID nel riquadro di spostamento in Monitoraggio.
Monitoraggio dell'implementazione a fasi
Nella sezione Cartelle di lavoro selezionare Modelli pubblici. Nella sezione Autenticazione ibrida selezionare gruppi , utenti e accessi nella cartella di lavoro Implementazione temporanea.
Questa cartella di lavoro può essere usata per monitorare le attività seguenti:
- Utenti e gruppi aggiunti all'implementazione a fasi.
- Utenti e gruppi rimossi dall'implementazione a fasi.
- Errori di accesso per gli utenti nell'implementazione a fasi e i motivi degli errori.
Monitoraggio della registrazione dell'autenticazione a più fattori di Microsoft Entra
È possibile monitorare la registrazione dell'autenticazione a più fattori di Microsoft Entra usando il report Utilizzo e informazioni dettagliate sui metodi di autenticazione. Questo report è disponibile in Microsoft Entra ID. Selezionare Monitoraggio e quindi Utilizzo e informazioni dettagliate.
In Utilizzo e informazioni dettagliate selezionare Metodi di autenticazione.
Informazioni dettagliate sulla registrazione dell'autenticazione a più fattori di Microsoft Entra sono disponibili nella scheda Registrazione. È possibile eseguire il drill-down per visualizzare un elenco di utenti registrati selezionando il collegamento ipertestuale Utenti registrati per l'autenticazione a più fattori di Azure.
Monitoraggio dell'integrità dell'accesso delle app
Monitorare le applicazioni spostate in Microsoft Entra ID con la cartella di lavoro integrità dell'accesso dell'app o il report sull'utilizzo dell'attività dell'applicazione.
- Cartella di lavoro di integrità dell'accesso dell'app. Per indicazioni dettagliate sull'uso di questa cartella di lavoro, vedere Monitoraggio dell'integrità dell'accesso delle applicazioni per la resilienza .
- Report sull'utilizzo dell'attività dell'applicazione Microsoft Entra. Questo report può essere usato per visualizzare gli accessi riusciti e non riusciti per le singole applicazioni, nonché la possibilità di eseguire il drill-down e visualizzare l'attività di accesso per un'applicazione specifica.
Eseguire la pulizia delle attività
Dopo aver spostato tutti gli utenti nell'autenticazione cloud di Microsoft Entra e nell'autenticazione a più fattori Microsoft Entra, si è pronti per rimuovere le autorizzazioni del server MFA. È consigliabile esaminare i log del server MFA per assicurarsi che non vengano usati utenti o applicazioni prima di rimuovere il server.
Convertire i domini nell'autenticazione gestita
È ora necessario convertire i domini federati in MICROSOFT Entra ID in gestito e rimuovere la configurazione dell'implementazione a fasi. Questa conversione garantisce che i nuovi utenti usino l'autenticazione cloud senza essere aggiunti ai gruppi di migrazione.
Ripristinare le regole delle attestazioni in AD FS e rimuovere il provider di autenticazione del server MFA
Seguire la procedura descritta in Configurare le regole attestazioni per richiamare l'autenticazione a più fattori di Microsoft Entra per ripristinare le regole delle attestazioni e rimuovere le regole delle attestazioni AzureMFAServerAuthentication.
Ad esempio, rimuovere la sezione seguente dalle regole:
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"**YourGroupSID**"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'
Disabilitare il server MFA come provider di autenticazione in AD FS
Questa modifica garantisce che solo l'autenticazione a più fattori Microsoft Entra venga usata come provider di autenticazione.
- Aprire la console di gestione di AD FS.
- In Servizi fare clic con il pulsante destro del mouse su Metodi di autenticazione e scegliere Modifica metodi di autenticazione a più fattori.
- Deselezionare la casella di controllo Server Azure Multi-Factor Authentication.
Rimuovere le autorizzazioni del server MFA
Seguire il processo di rimozione delle autorizzazioni del server aziendale per rimuovere i server MFA nell'ambiente in uso.
Le possibili considerazioni relative alle autorizzazioni del server MFA includono:
- È consigliabile esaminare i log del server MFA per assicurarsi che non vengano usati utenti o applicazioni prima di rimuovere il server.
- Disinstallare il server Multi-Factor Authentication dal Pannello di controllo nel server.
- Facoltativamente, pulire i log e le directory dei dati che vengono lasciati indietro dopo averli prima di tutto di backup.
- Disinstallare Web Server SDK per l'autenticazione a più fattori, se applicabile, inclusi eventuali file lasciati inetpub\wwwroot\MultiFactorAuthWebServiceSdk e/o directory MultiFactorAuth.
- Per le versioni precedenti alla versione 8.0.x del server MFA, potrebbe anche essere necessario rimuovere l'autenticazione a più fattori Telefono servizio Web app.
Spostare l'autenticazione dell'applicazione in Microsoft Entra ID
Se si esegue la migrazione di tutte le autenticazioni dell'applicazione con l'autenticazione mfa e l'autenticazione utente, sarà possibile rimuovere parti significative dell'infrastruttura locale, riducendo i costi e i rischi. Se si sposta tutta l'autenticazione dell'applicazione, è possibile ignorare la fase Preparare AD FS e semplificare la migrazione MFA.
Il processo di spostamento di tutte le autenticazioni dell'applicazione è illustrato nel diagramma seguente.
Se non è possibile spostare tutte le applicazioni prima della migrazione, spostare il maggior numero possibile prima di iniziare. Per altre informazioni sulla migrazione di applicazioni ad Azure, vedere Risorse per la migrazione di applicazioni a Microsoft Entra ID.