Pianificare una distribuzione dell'autenticazione a più fattori di Microsoft Entra
L'autenticazione a più fattori di Microsoft Entra consente di proteggere l'accesso ai dati e alle applicazioni, offrendo un altro livello di sicurezza tramite una seconda forma di autenticazione. Le organizzazioni possono abilitare l'autenticazione a più fattori con l'accesso condizionale per adeguare la soluzione alle loro esigenze specifiche.
Questa guida alla distribuzione mostra come pianificare e implementare un'autenticazione a più fattori di Microsoft Entra.
Prerequisiti per la distribuzione dell'autenticazione a più fattori di Microsoft Entra
Prima di iniziare la distribuzione, assicurarsi di soddisfare i prerequisiti seguenti per gli scenari pertinenti.
Scenario | Prerequisito |
---|---|
Ambiente di gestione delle identità solo cloud con autenticazione moderna | Nessuna attività prerequisita |
Scenari con identità ibride | Distribuire Microsoft Entra Connect e sincronizzare le identità utente tra Active Directory Domain Services (AD DS) locale e Microsoft Entra ID. |
Applicazioni legacy locali pubblicate per l'accesso al cloud | Implementare Microsoft Entra Application Proxy |
Scegliere i metodi di autenticazione per MFA
Esistono molti metodi che possono essere usati per un'autenticazione a due fattori. È possibile scegliere dall'elenco dei metodi di autenticazione disponibili, valutando ognuno in termini di sicurezza, usabilità e disponibilità.
Importante
Abilitare più di un metodo di MFA in modo che gli utenti possano contare su un metodo di backup nel caso in cui il metodo principale non sia disponibile. I metodi comprendono:
- Windows Hello for Business (Configurare Windows Hello for Business)
- App Microsoft Authenticator
- Chiave di sicurezza FIDO2
- Token hardware OATH (anteprima)
- Token software OATH
- Verifica tramite SMS
- Verifica tramite chiamata vocale.
Quando si scelgono metodi di autenticazione che verranno usati nel tenant, considerare la sicurezza e l'usabilità di questi metodi:
Per altre informazioni sulla forza e la sicurezza di questi metodi e sul loro funzionamento, vedere le risorse seguenti:
- Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?
- Video: Scegliere i metodi di autenticazione corretti per proteggere l'organizzazione
È possibile usare questo script di PowerShell per analizzare le configurazioni MFA degli utenti e suggerire il metodo di autenticazione MFA appropriato.
Per una maggiore flessibilità e usabilità, usare l'app Microsoft Authenticator. Questo metodo di autenticazione offre la migliore esperienza utente e più modalità, ad esempio senza password, notifiche push MFA e codici OATH. L'app Microsoft Authenticator soddisfa anche i requisiti di Authenticator Assurance Level 2 del NIST (National Institute of Standards and Technology).
È possibile controllare i metodi di autenticazione disponibili nel tenant. Ad esempio, è possibile bloccare alcuni dei metodi meno sicuri, ad esempio SMS.
Metodo di autenticazione | Gestisci da | Scoping |
---|---|---|
Microsoft Authenticator (notifica push e accesso al telefono senza password) | Impostazioni MFA o criteri dei metodi di autenticazione | L'accesso tramite telefono senza password dell'autenticatore può essere limitato a utenti e gruppi |
Chiave di sicurezza FIDO2 | Criterio Metodi di autenticazione | L'ambito può essere limitato a utenti e gruppi |
Token OATH software o hardware | Impostazioni dell'autenticazione a più fattori | |
Verifica tramite SMS | Impostazioni dell'autenticazione a più fattori Gestire l'accesso tramite SMS per l'autenticazione primaria nei criteri di autenticazione |
L'accesso tramite SMS può essere limitato a utenti e gruppi. |
Chiamate vocali | Criterio Metodi di autenticazione |
Pianificare i criteri di accesso condizionale
L'autenticazione a più fattori di Microsoft Entra si basa su criteri di accesso condizionale. Questi criteri consentono di richiedere agli utenti di usare l'autenticazione a più fattori quando necessario per la sicurezza e di evitare di ostacolare gli utenti quando non necessario.
Nel centro di amministrazione di Microsoft Entra, si configurano i criteri di accesso condizionato in Protezione>Accesso condizionato.
Per altre informazioni sulla creazione di criteri di accesso condizionale, vedere Criteri di accesso condizionale per richiedere l'autenticazione a più fattori di Microsoft Entra quando un utente accede. In questo modo è possibile:
- Acquisire familiarità con l'interfaccia utente
- Ottenere una panoramica del funzionamento dell'accesso condizionale
Per indicazioni end-to-end sulla distribuzione dell'accesso condizionale di Microsoft Entra, vedere il piano di distribuzione dell'accesso condizionale.
Criteri comuni per l’autenticazione a più fattori di Microsoft Entra
I casi d'uso comuni per richiedere l'autenticazione a più fattori Microsoft Entra includono:
- Per gli amministratori
- Ad applicazioni specifiche
- Per tutti gli utenti
- Per la gestione di Azure
- Da percorsi di rete non considerati attendibili
Posizioni specifiche
Per gestire i criteri dell’accesso condizionale, la condizione della posizione dei criteri dei accesso condizionale consente di associare le impostazioni dei controlli dell'accesso ai percorsi di rete degli utenti. Si consiglia di usare località denominate in modo che sia possibile creare raggruppamenti logici di intervalli di indirizzi IP o di paesi e regioni. Ciò crea un criterio per tutte le app che blocchi l'accesso da tale località denominata. Assicurarsi di escludere gli amministratori da questi criteri.
Criteri basati sui rischi
Se l'organizzazione usa Microsoft Entra ID Protection per rilevare i segnali di rischio, considerare la possibilità di usare criteri basati sul rischio anziché località denominate. I criteri possono essere creati per forzare le modifiche delle password quando si verifica una minaccia di identità compromessa o richiedono l'autenticazione a più fattori quando un accesso viene considerato a rischio, ad esempio credenziali perse, accessi da indirizzi IP anonimi e altro ancora.
I criteri di rischio includono:
- Richiedere la registrazione di tutti gli utenti per l'autenticazione a più fattori di Microsoft Entra
- Richiedere una modifica della password per gli utenti ad alto rischio
- Richiedere l'autenticazione a più fattori per gli utenti con rischi di accesso medio o elevato
Convertire gli utenti dall'autenticazione a più fattori per utente all'autenticazione a più fattori basata sull'accesso condizionale
Se gli utenti sono stati abilitati usando MFA per utente abilitato e applicato l'autenticazione a più fattori Di Microsoft Entra, è consigliabile abilitare l'accesso condizionale per tutti gli utenti e quindi disabilitare manualmente l'autenticazione a più fattori per utente. Per altre informazioni, vedere Creare criteri di accesso condizionale.
Pianificare la durata della sessione utente
Quando si pianifica la distribuzione dell'autenticazione a più fattori, è importante considerare la frequenza con cui si vuole richiedere agli utenti. Chiedere agli utenti le credenziali spesso sembra una cosa sensata da fare, ma può essere controproducente. Se gli utenti vengono formati a immettere le proprie credenziali senza pensare, possono fornirle involontariamente a un prompt dannoso. Microsoft Entra ID include più impostazioni che determinano la frequenza con cui gli utenti devono ripetere l'autenticazione. Comprendere le esigenze dell'azienda e degli utenti e configurare le impostazioni che offrono il miglior equilibrio per l'ambiente.
È consigliabile usare i dispositivi con token di aggiornamento primario (PRT) per migliorare l'esperienza utente finale e ridurre la durata della sessione con i criteri di frequenza di accesso solo in casi d'uso aziendali specifici.
Per altre informazioni, vedere Ottimizzare le richieste di autenticazione e comprendere la durata della sessione per l'autenticazione a più fattori di Microsoft Entra.
Pianificare la registrazione utente
Un passaggio importante in ogni distribuzione di autenticazione a più fattori consiste nel far registrare gli utenti per l'uso dell'autenticazione a più fattori Di Microsoft Entra. I metodi di autenticazione, ad esempio Voice e SMS, consentono la pre-registrazione, mentre altri come l'app Authenticator richiedono l'interazione dell'utente. Gli amministratori devono determinare il modo in cui gli utenti registreranno i propri metodi.
Registrazione combinata per la reimpostazione della password self-service e l'autenticazione a più fattori Microsoft Entra
L'esperienza di registrazione combinata per l'autenticazione a più fattori e la reimpostazione self-service della password (SSPR) di Microsoft Entra consente agli utenti di registrarsi sia per l'MFA che per l'SSPR in un'esperienza unificata. SSPR consente agli utenti di reimpostare la password in modo sicuro usando gli stessi metodi usati per l'autenticazione a più fattori Microsoft Entra. Per comprendere meglio le funzionalità e l’esperienza degli utenti finali, vedere Principi della registrazione delle informazioni di sicurezza combinata.
È fondamentale informare gli utenti delle modifiche imminenti, dei requisiti di registrazione e di eventuali azioni utente necessarie. Sono disponibili modelli di comunicazione e documentazione utente per preparare gli utenti alla nuova esperienza e contribuire a garantire un'implementazione corretta. Indirizzare gli utenti su https://myprofile.microsoft.com per registrarsi selezionando il collegamento Informazioni di sicurezza su tale pagina.
Registrazione con Microsoft Entra ID Protection
Microsoft Entra ID Protection offre sia criteri di registrazione che criteri di rilevamento e correzione automatici dei rischi per la storia di autenticazione a più fattori di Microsoft Entra. È possibile creare criteri per forzare la modifica delle password quando esiste una minaccia di identità compromessa o per richiedere l'autenticazione a più fattori quando un accesso viene considerato rischioso. Se si usa Microsoft Entra ID Protection, configurare i criteri di registrazione dell'autenticazione a più fattori di Microsoft Entra per richiedere agli utenti di registrare la volta successiva che accedono in modo interattivo.
Registrazione senza Microsoft Entra ID Protection
Se non si hanno licenze che abilitano Microsoft Entra ID Protection, agli utenti viene richiesto di effettuare la registrazione la volta successiva che per accedere è necessaria l'autenticazione a più fattori. Per richiedere agli utenti di usare l'autenticazione a più fattori, è possibile usare i criteri di accesso condizionale e definire come destinazione applicazioni usate di frequente, ad esempio sistemi HR. Se la password di un utente viene compromessa, può essere usata per registrarsi per l'autenticazione a più fattori, prendendo il controllo del proprio account. È quindi consigliabile proteggere il processo di registrazione della sicurezza con i criteri di accesso condizionale che richiedono dispositivi e posizioni attendibili. È possibile proteggere ulteriormente il processo richiedendo anche un pass di accesso temporaneo. Passcode limitato al tempo emesso da un amministratore che soddisfa i requisiti di autenticazione avanzata e può essere usato per eseguire l'onboarding di altri metodi di autenticazione, inclusi quelli senza password.
Aumentare la sicurezza degli utenti registrati
Se si dispone di utenti registrati per MFA tramite SMS o chiamate vocali, è possibile spostarli in metodi più sicuri, ad esempio l'app Microsoft Authenticator. Microsoft offre ora un'anteprima pubblica delle funzionalità che consente di richiedere agli utenti di configurare l'app Microsoft Authenticator durante l'accesso. È possibile impostare queste richieste in base al gruppo, controllando chi viene richiesto, consentendo alle campagne mirate di spostare gli utenti nel metodo più sicuro.
Pianificare gli scenari di ripristino
Come accennato in precedenza, assicurarsi che gli utenti siano registrati per più di un metodo MFA, in modo che, se non disponibile, dispongano di un backup. Se l'utente non dispone di un metodo di backup disponibile, è possibile:
- Fornire loro un pass di accesso temporaneo in modo che possano gestire i propri metodi di autenticazione. È anche possibile fornire un pass di accesso temporaneo per abilitare l'accesso temporaneo alle risorse.
- Aggiornare i metodi come amministratore. A tale scopo, selezionare l'utente nell'interfaccia di amministrazione di Microsoft Entra, quindi selezionare Protezione>Metodi di autenticazione e aggiornare i relativi metodi.
Pianificare l'integrazione con i sistemi locali
Le applicazioni che eseguono l'autenticazione direttamente con Microsoft Entra ID e hanno l'autenticazione moderna (WS-Fed, SAML, OAuth, OpenID Connect) possono usare i criteri di accesso condizionale. Alcune applicazioni legacy e locali non eseguono l'autenticazione direttamente in Microsoft Entra ID e richiedono passaggi aggiuntivi per usare l'autenticazione a più fattori di Microsoft Entra. È possibile integrarli usando il proxy dell'applicazione Microsoft Entra o i servizi di criteri di rete.
Eseguire l'integrazione con le risorse di AD FS
È consigliabile eseguire la migrazione di applicazioni protette con Active Directory Federation Services (AD FS) a Microsoft Entra ID. Tuttavia, se non si è pronti per eseguire la migrazione a Microsoft Entra ID, è possibile usare l'adattatore di autenticazione a più fattori di Azure con AD FS 2016 o versione successiva.
Se l'organizzazione è federata con Microsoft Entra ID, è possibile configurare l’autenticazione a più fattori di Microsoft Entra come provider di autenticazione con le risorse AD FS, sia in locale che nel cloud.
Client RADIUS e autenticazione a più fattori Microsoft Entra
Per le applicazioni che usano l'autenticazione RADIUS, è consigliabile spostare le applicazioni client in protocolli moderni, ad esempio SAML, OpenID Connect o OAuth in Microsoft Entra ID. Se l'applicazione non può essere aggiornata, è possibile distribuire l'estensione Server dei criteri di rete. L'estensione di Server dei criteri di rete (NPS) funge da adattatore tra i applicazioni basate su RADIUS e autenticazione a più fattori di Azure (MFA) per fornire un secondo fattore di autenticazione.
Integrazioni comuni
Molti fornitori ora supportano l'autenticazione SAML per le applicazioni. Quando possibile, è consigliabile eseguire la federazione di queste applicazioni con Microsoft Entra ID e l'applicazione dell'autenticazione a più fattori tramite l'accesso condizionale. Se il fornitore non supporta l'autenticazione moderna, è possibile usare l'estensione Server dei criteri di rete. Le integrazioni client RADIUS comuni includono applicazioni come Gateway Desktop remoto e server VPN.
Altre attività possono includere:
Citrix Gateway
Citrix Gateway supporta l'integrazione dell'estensione RADIUS e NPS e un'integrazione SAML.
Cisco VPN
- Cisco VPN supporta sia l'autenticazione RADIUS che l'autenticazione SAML per l'accesso SSO.
- Passando dall'autenticazione RADIUS a SAML, è possibile integrare cisco VPN senza distribuire l'estensione NPS.
Tutte le VPN
Distribuire l'autenticazione a più fattori di Microsoft Entra.
Il piano di implementazione di autenticazione a più fattori di Microsoft Entra deve includere una distribuzione pilota seguita da cicli di distribuzione che rientrano nella capacità di supporto. Per iniziare l'implementazione, applicare i criteri di accesso condizionale a un piccolo gruppo di utenti pilota. Dopo aver valutato l'effetto sugli utenti pilota, i processi usati e i comportamenti di registrazione, è possibile aggiungere altri gruppi ai criteri o aggiungere altri utenti ai gruppi esistenti.
Segui i passaggi riportati di seguito:
- Soddisfare i prerequisiti necessari
- Configurare i metodi di autenticazione scelti
- Configurare i criteri di accesso condizionale
- Configurare le impostazioni di durata della sessione
- Configurare i criteri di registrazione dell'autenticazione a più fattori di Microsoft Entra
Gestire l’autenticazione a più fattori Microsoft Entra corretta
Questa sezione fornisce informazioni sulla creazione di report e sulla risoluzione dei problemi per l'autenticazione a più fattori di Microsoft Entra.
Monitoraggio e creazione di report
Microsoft Entra ID include report che forniscono informazioni tecniche e aziendali dettagliate, seguire lo stato di avanzamento della distribuzione e verificare se gli utenti hanno esito positivo all'accesso con MFA. Chiedere ai proprietari di applicazioni aziendali e tecniche di assumere la proprietà di e utilizzare questi report in base ai requisiti dell'organizzazione.
È possibile monitorare la registrazione e l'utilizzo dei metodi di autenticazione nell'organizzazione tramite il dashboard attività dei metodi di autenticazione. Ciò consente di comprendere quali metodi vengono registrati e come vengono usati.
Report di accesso per esaminare gli eventi di autenticazione a più fattori
I report di accesso di Microsoft Entra includono i dettagli relativi all'autenticazione per gli eventi quando a un utente viene richiesta l'autenticazione a più fattori e quando sono in uso criteri di accesso condizionale. È anche possibile usare PowerShell per la creazione di report sugli utenti registrati per l'autenticazione a più fattori Di Microsoft Entra.
L'estensione NPS e i log DI AD FS per l'attività MFA cloud sono ora inclusi nei log di accesso e non sono più pubblicati nel report Attività.
Per altre informazioni e altri report sull'autenticazione a più fattori di Microsoft Entra, vedere Esaminare gli eventi di autenticazione a più fattori di Microsoft Entra.
Risolvere i problemi di autenticazione a più fattori di Microsoft Entra
Vedere Risolvere i problemi di autenticazione a più fattori di Microsoft Entra per i problemi comuni.
Procedura guidata dettagliata
Per una procedura dettagliata guidata di molti dei consigli in questo articolo, vedere la procedura guidata configurare l'autenticazione a più fattori in Microsoft 365.