Protezione delle risorse cloud con l'autenticazione a più fattori Microsoft Entra e AD FS

  • Articolo

Se l'organizzazione è federata con Microsoft Entra ID, usare l'autenticazione a più fattori Microsoft Entra o Active Directory Federation Services (AD FS) per proteggere le risorse a cui si accede tramite Microsoft Entra ID. Utilizzare le procedure seguenti per proteggere le risorse di Microsoft Entra con l'autenticazione a più fattori Microsoft o Active Directory Federation Services.

Nota

Impostare l'impostazione del dominio federatedIdpMfaBehavior su enforceMfaByFederatedIdp (scelta consigliata) o SupportsMFA su $True. L'impostazione federatedIdpMfaBehavior esegue l'override di SupportsMFA quando entrambi sono impostati.

Proteggere le risorse di Microsoft Entra con AD FS

Per proteggere le risorse cloud, configurare una regola attestazioni in modo che Active Directory Federation Services generi l'attestazione multipleauthn quando un utente esegue correttamente la verifica in due passaggi. Questa attestazione viene passata a Microsoft Entra ID. Seguire questa procedura per eseguire i passaggi:

  1. Aprire Gestione ADFS.

  2. A sinistra selezionare Attendibilità componente.

  3. Fare clic con il pulsante destro del mouse su Piattaforma delle identità di Microsoft Office 365 e selezionare Modifica regole attestazione.

    ADFS Console - Relying Party Trusts

  4. In Regole di trasformazione rilascio fare clic su Aggiungi regola.

    Editing Issuance Transform Rules

  5. Nell'Aggiunta guidata regole attestazione di trasformazione selezionare Applicare la funzione di pass-through o di filtro a un'attestazione in ingresso dall'elenco a discesa e fare clic su Avanti.

    Screenshot shows Add Transform Claim Rule Wizard where you select a Claim rule template.

  6. Assegna un nome alla regola.

  7. Selezionare Riferimenti dei metodi di autenticazione come Tipo di attestazione in ingresso.

  8. Seleziona Pass-through di tutti i valori attestazione.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass through all claim values.

  9. Fare clic su Fine. Chiudere la console di gestione di ADFS.

Indirizzi IP attendibili per utenti federati

Gli indirizzi IP attendibili consentono agli amministratori di ignorare la verifica in due passaggi per indirizzi IP specifici o per gli utenti federati che hanno richieste provenienti dall'interno della propria intranet. Le sezioni seguenti descrivono come configurare il bypass usando indirizzi IP attendibili. Questo avviene configurando ADFS in modo da applicare la funzione di pass-through o filtro a un modello di attestazione in ingresso con il tipo di attestazione All'interno della rete aziendale.

Questo esempio usa Microsoft 365 per i trust della relying party.

Configurare le regole attestazioni di ADFS

Per prima cosa è necessario configurare le attestazioni ADFS. Creare due regole attestazioni, una per il tipo di attestazione All'interno della rete aziendale e un'altra per mantenere gli utenti connessi.

  1. Aprire Gestione ADFS.

  2. A sinistra selezionare Attendibilità componente.

  3. Fare clic con il pulsante destro del mouse su Piattaforma delle identità di Microsoft Office 365 e selezionare Modifica regole attestazione...

    ADFS Console - Edit Claim Rules

  4. In Regole di trasformazione rilascio fare clic su Aggiungi regola.

    Adding a Claim Rule

  5. Nell'Aggiunta guidata regole attestazione di trasformazione selezionare Applicare la funzione di pass-through o di filtro a un'attestazione in ingresso dall'elenco a discesa e fare clic su Avanti.

    Screenshot shows Add Transform Claim Rule Wizard where you select Pass Through or Filter an Incoming Claim.

  6. Nella casella Nome regola attestazione assegnare un nome alla regola. Ad esempio: InternoReteAziend.

  7. Nell'elenco a discesa accanto a Tipo di attestazione in ingresso selezionare All'interno della rete aziendale.

    Adding Inside Corporate Network claim

  8. Fare clic su Fine.

  9. In Regole di trasformazione rilascio fare clic su Aggiungi regola.

  10. Nell'Aggiunta guidata regole attestazione di trasformazione selezionare Inviare attestazioni mediante una regola personalizzata dall'elenco a discesa e fare clic su Avanti.

  11. Nella casella sotto a Nome regola attestazione: specificare di mantenere gli utenti connessi.

  12. Nella casella Regola personalizzata immettere:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Create custom claim to keep users signed in

  13. Fare clic su Fine.

  14. Fare clic su Applica.

  15. Fare clic su OK.

  16. Chiudere Gestione ADFS.

Configurare gli indirizzi IP attendibili con autenticazione a più fattori Di Microsoft Entra con utenti federati

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Ora che le attestazioni sono configurate, è possibile procedere alla configurazione degli indirizzi IP attendibili.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.

  2. Passare a Percorsi denominati per l'accesso>condizionale.

  3. Nel pannello Accesso condizionale - Percorsi denominati selezionare Configura indirizzi IP attendibili MFA

    Microsoft Entra Conditional Access named locations Configure MFA trusted IPs

  4. Nella pagina Impostazioni del servizio, in INDIRIZZI IP attendibili selezionare Ignora autenticazione a più fattori per le richieste degli utenti federati nella rete Intranet.

  5. Fare clic su Salva.

Ecco fatto! A questo punto, gli utenti federati di Microsoft 365 devono usare l'autenticazione a più fattori solo quando un'attestazione proviene dall'esterno della intranet aziendale.