Pianificare una distribuzione di Azure Active Directory Multi-Factor Authentication

Azure Active Directory (Azure AD) Multi-Factor Authentication consente di proteggere l'accesso ai dati e alle applicazioni, fornendo un altro livello di sicurezza usando una seconda forma di autenticazione. Le organizzazioni possono abilitare l'autenticazione a più fattori con l'accesso condizionale per rendere la soluzione adatta alle proprie esigenze specifiche.

Questa guida alla distribuzione illustra come pianificare e implementare un'implementazione di Azure AD Multi-Factor Authentication .

Prerequisiti per la distribuzione di Azure AD Multi-Factor Authentication

Prima di iniziare la distribuzione, assicurarsi di soddisfare i prerequisiti seguenti per gli scenari pertinenti.

Scenario Prerequisito
Ambiente di gestione delle identità solo cloud con autenticazione moderna Nessuna attività prerequisito
Scenari di identità ibrida Distribuire Azure AD Connect e sincronizzare le identità utente tra Active Directory locale Domain Services (AD DS) e Azure AD.
Applicazioni legacy locali pubblicate per l'accesso al cloud Distribuire Application Proxy di Azure AD

Scegliere i metodi di autenticazione per MFA

Esistono molti metodi che possono essere usati per un'autenticazione a secondo fattore. È possibile scegliere dall'elenco dei metodi di autenticazione disponibili, valutando ognuno in termini di sicurezza, usabilità e disponibilità.

Importante

Abilitare più di un metodo MFA in modo che gli utenti dispongano di un metodo di backup nel caso in cui il metodo primario non sia disponibile. I metodi comprendono:

Quando si scelgono metodi di autenticazione che verranno usati nel tenant, considerare la sicurezza e l'usabilità di questi metodi:

Scegliere il metodo di autenticazione corretto

Per altre informazioni sulla forza e sulla sicurezza di questi metodi e su come funzionano, vedere le risorse seguenti:

È possibile usare questo script di PowerShell per analizzare le configurazioni MFA degli utenti e suggerire il metodo di autenticazione MFA appropriato.

Per la massima flessibilità e usabilità, usare l'app Microsoft Authenticator. Questo metodo di autenticazione offre la migliore esperienza utente e più modalità, ad esempio senza password, notifiche push MFA e codici OATH. L'app Microsoft Authenticator soddisfa anche i requisiti NIST (National Institute of Standards and Technology) Authenticator Assurance Level 2.

È possibile controllare i metodi di autenticazione disponibili nel tenant. Ad esempio, è possibile bloccare alcuni dei metodi meno sicuri, ad esempio SMS.

Metodo di autenticazione Gestire da Scoping
Microsoft Authenticator (notifica push e accesso telefonico senza password) Criteri di autenticazione o impostazioni MFA L'accesso senza password dell'autenticatore può essere ambito agli utenti e ai gruppi
Chiave di sicurezza FIDO2 Criteri dei metodi di autenticazione Può essere ambito agli utenti e ai gruppi
Token OATH software o hardware Impostazioni dell'autenticazione a più fattori
Verifica tramite SMS Impostazioni dell'autenticazione a più fattori
Gestire l'accesso SMS per l'autenticazione primaria nei criteri di autenticazione
L'accesso SMS può essere incluso nell'ambito di utenti e gruppi.
Chiamate vocali Criteri dei metodi di autenticazione

Pianificare i criteri di accesso condizionale

Azure AD Multi-Factor Authentication viene applicato con i criteri di accesso condizionale. Questi criteri consentono di richiedere agli utenti l'autenticazione a più fattori quando necessario per la sicurezza e rimanere fuori dal modo degli utenti quando non è necessario.

Flusso del processo di accesso condizionale concettuale

Nella portale di Azure configurare i criteri di accesso condizionale inAccesso condizionaledi>Azure Active Directory>.

Per altre informazioni sulla creazione di criteri di accesso condizionale, vedere Criteri di accesso condizionale per richiedere Azure AD Multi-Factor Authentication quando un utente accede al portale di Azure. Ciò consente di:

  • Acquisire familiarità con l'interfaccia utente
  • Ottenere una panoramica del funzionamento dell'accesso condizionale

Per indicazioni end-to-end sulla distribuzione dell'accesso condizionale di Azure AD, vedere il piano di distribuzione di accesso condizionale.

Criteri comuni per Azure AD Multi-Factor Authentication

Casi d'uso comuni per richiedere Azure AD Multi-Factor Authentication includono:

Posizioni specifiche

Per gestire i criteri di accesso condizionale, la condizione di posizione di un criterio di accesso condizionale consente di collegare le impostazioni dei controlli di accesso alle posizioni di rete degli utenti. È consigliabile usare percorsi denominati in modo che sia possibile creare raggruppamenti logici di intervalli di indirizzi IP o paesi e aree geografiche. In questo modo viene creato un criterio per tutte le app che bloccano l'accesso da tale posizione denominata. Assicurarsi di escludere gli amministratori da questi criteri.

Criteri basati sui rischi

Se l'organizzazione usa Azure AD Identity Protection per rilevare i segnali di rischio, prendere in considerazione l'uso di criteri basati sui rischi anziché posizioni denominate. I criteri possono essere creati per forzare le modifiche delle password quando si verifica una minaccia di identità compromessa o richiedono l'autenticazione a più fattori quando un accesso viene considerato a rischio , ad esempio credenziali perse, accessi da indirizzi IP anonimi e altro ancora.

I criteri di rischio includono:

Convertire gli utenti dall'autenticazione a più fattori per singolo utente all'autenticazione a più fattori basata sull'accesso condizionale

Se gli utenti sono stati abilitati usando mFA abilitati per utente e applicati, PowerShell seguente consente di eseguire la conversione in MFA basata sull'accesso condizionale.

Eseguire questo comando PowerShell in una finestra ISE o salvarlo come file .PS1 da eseguire localmente. L'operazione può essere eseguita solo usando il modulo MSOnline.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Pianificare la durata della sessione utente

Quando si pianifica la distribuzione dell'autenticazione a più fattori, è importante considerare la frequenza con cui si desidera richiedere agli utenti. Chiedere agli utenti le credenziali sembra spesso una cosa ragionevole da fare, ma può ripristinare il fuoco. Se gli utenti vengono sottoposti a training per immettere le proprie credenziali senza pensare, possono fornire in modo imprevisto a un prompt delle credenziali dannose. Azure AD include più impostazioni che determinano la frequenza con cui è necessario eseguire nuovamente l'autenticazione. Comprendere le esigenze dell'azienda e degli utenti e configurare le impostazioni che offrono il migliore equilibrio per l'ambiente.

È consigliabile usare i dispositivi con token di aggiornamento primario (PRT) per migliorare l'esperienza utente finale e ridurre la durata della sessione con criteri di frequenza di accesso solo in casi d'uso aziendali specifici.

Per altre informazioni, vedere Ottimizzare le richieste di riutenticazione e comprendere la durata della sessione per Azure AD Multi-Factor Authentication.

Pianificare la registrazione utente

Un passaggio principale in ogni distribuzione di autenticazione a più fattori sta ottenendo gli utenti registrati per l'uso di Azure AD Multi-Factor Authentication. I metodi di autenticazione, ad esempio Voice e SMS, consentono la pre-registrazione, mentre altri come l'app Authenticator richiedono l'interazione dell'utente. Gli amministratori devono determinare il modo in cui gli utenti registreranno i propri metodi.

Registrazione combinata per SSPR e Azure AD MFA

Nota

A partire dal 15 agosto 2020, tutti i nuovi tenant di Azure AD saranno abilitati automaticamente per la registrazione combinata. I tenant creati dopo questa data non potranno usare i flussi di lavoro di registrazione legacy. Dopo il 30 settembre 2022, tutti i tenant di Azure AD esistenti verranno abilitati automaticamente per la registrazione combinata.

È consigliabile che le organizzazioni usino l'esperienza di registrazione combinata per Azure AD Multi-Factor Authentication e la reimpostazione della password self-service (SSPR). La reimpostazione della password da parte degli utenti consente agli utenti di reimpostare la password in modo sicuro usando gli stessi metodi usati per Azure AD Multi-Factor Authentication. La registrazione combinata è un unico passaggio per gli utenti finali. Per assicurarsi di comprendere le funzionalità e l'esperienza utente finale, vedere i concetti relativi alla registrazione combinata delle informazioni di sicurezza.

È fondamentale informare gli utenti sulle modifiche imminenti, sui requisiti di registrazione e sulle azioni utente necessarie. Sono disponibili modelli di comunicazione e documentazione utente per preparare gli utenti alla nuova esperienza e contribuire a garantire un'implementazione riuscita. Inviare utenti a eseguire https://myprofile.microsoft.com la registrazione selezionando il collegamento Informazioni di sicurezza in tale pagina.

Registrazione con Identity Protection

Azure AD Identity Protection contribuisce sia a criteri di registrazione per il rilevamento dei rischi automatizzati che ai criteri di correzione alla storia di Azure AD Multi-Factor Authentication. I criteri possono essere creati per forzare le modifiche delle password quando si verifica una minaccia di identità compromessa o richiedere l'autenticazione a più fattori quando un accesso è considerato rischioso. Se si usa Azure AD Identity Protection, configurare i criteri di registrazione MFA di Azure AD per richiedere agli utenti di registrare la prossima volta che accedono in modo interattivo.

Registrazione senza Identity Protection

Se non si dispone di licenze che abilitano Azure AD Identity Protection, gli utenti vengono richiesti per registrare la prossima volta che l'autenticazione a più fattori è necessaria all'accesso. Per richiedere agli utenti di usare l'autenticazione a più fattori, è possibile usare i criteri di accesso condizionale e le applicazioni usate di frequente, ad esempio sistemi HR. Se la password di un utente è compromessa, potrebbe essere usata per registrare l'autenticazione a più fattori, prendendo il controllo del proprio account. È quindi consigliabile proteggere il processo di registrazione della sicurezza con i criteri di accesso condizionale che richiedono dispositivi e posizioni attendibili. È possibile proteggere ulteriormente il processo richiedendo anche un passaggio di accesso temporaneo. Un passcode limitato al tempo rilasciato da un amministratore che soddisfa i requisiti di autenticazione sicuri e può essere usato per eseguire l'onboarding di altri metodi di autenticazione, inclusi quelli senza password.

Aumentare la sicurezza degli utenti registrati

Se si dispone di utenti registrati per L'autenticazione a più fattori tramite SMS o chiamate vocali, è possibile spostarli in metodi più sicuri, ad esempio l'app Microsoft Authenticator. Microsoft offre ora un'anteprima pubblica delle funzionalità che consente agli utenti di richiedere agli utenti di configurare l'app Microsoft Authenticator durante l'accesso. È possibile impostare queste richieste in base al gruppo, controllando chi viene richiesto, consentendo alle campagne mirate di spostare gli utenti nel metodo più sicuro.

Pianificare scenari di ripristino

Come accennato in precedenza, assicurarsi che gli utenti siano registrati per più di un metodo MFA, in modo che se uno non sia disponibile, hanno un backup. Se l'utente non dispone di un metodo di backup disponibile, è possibile:

  • Fornire loro un passaggio di accesso temporaneo in modo che possano gestire i propri metodi di autenticazione. È anche possibile fornire un pass di accesso temporaneo per abilitare l'accesso temporaneo alle risorse.
  • Aggiornare i metodi come amministratore. A tale scopo, selezionare l'utente nella portale di Azure, quindi selezionare Metodi di autenticazione e aggiornare i metodi. Comunicazioni per gli utenti

Pianificare l'integrazione con i sistemi locali

Le applicazioni che eseguono l'autenticazione direttamente con Azure AD e dispongono di autenticazione moderna (WS-Fed, SAML, OAuth, OpenID Connect) possono usare i criteri di accesso condizionale. Alcune applicazioni legacy e locali non vengono autenticate direttamente in Azure AD e richiedono passaggi aggiuntivi per l'uso di Azure AD Multi-Factor Authentication. È possibile integrarli usando il proxy applicazione di Azure AD o i servizi criteri di rete.

Integrare con le risorse di AD FS

È consigliabile eseguire la migrazione di applicazioni protette con Active Directory Federation Services (AD FS) ad Azure AD. Tuttavia, se non si è pronti per eseguire la migrazione a Azure AD, è possibile usare l'adattatore Azure Multi-Factor Authentication con AD FS 2016 o versione successiva.

Se l'organizzazione è federata con Azure AD, è possibile configurare Azure AD Multi-Factor Authentication come provider di autenticazione con risorse AD FS sia locali che nel cloud.

Client RADIUS e Azure AD Multi-Factor Authentication

Per le applicazioni che usano l'autenticazione RADIUS, è consigliabile spostare applicazioni client in protocolli moderni, ad esempio SAML, Open ID Connect o OAuth in Azure AD. Se l'applicazione non può essere aggiornata, è possibile distribuire Server criteri di rete con l'estensione Azure MFA. L'estensione server criteri di rete (NPS) funge da adattatore tra applicazioni basate su RADIUS e Azure AD MFA per fornire un secondo fattore di autenticazione.

Integrazioni comuni

Molti fornitori supportano ora l'autenticazione SAML per le applicazioni. Quando possibile, è consigliabile federate queste applicazioni con Azure AD e applicare MFA tramite l'accesso condizionale. Se il fornitore non supporta l'autenticazione moderna, è possibile usare l'estensione NPS. Le integrazioni client RADIUS comuni includono applicazioni come gateway Desktop remoto e server VPN.

Altri possono includere:

  • Citrix Gateway

    Citrix Gateway supporta l'integrazione di estensioni RADIUS e NPS e un'integrazione SAML.

  • Cisco VPN

  • Tutte le VPN

Distribuire Azure AD Multi-Factor Authentication

Il piano di implementazione di Azure AD Multi-Factor Authentication deve includere una distribuzione pilota seguita da onde di distribuzione all'interno della capacità di supporto. Per iniziare l'implementazione, applicare i criteri di accesso condizionale a un piccolo gruppo di utenti pilota. Dopo aver valutato l'effetto sugli utenti pilota, i processi usati e i comportamenti di registrazione, è possibile aggiungere altri gruppi ai criteri o aggiungere altri utenti ai gruppi esistenti.

Seguire la procedura descritta di seguito:

  1. Soddisfare i prerequisiti necessari
  2. Configurare i metodi di autenticazione scelti
  3. Configurare i criteri di accesso condizionale
  4. Configurare le impostazioni della durata della sessione
  5. Configurare i criteri di registrazione MFA di Azure AD

Gestire Azure AD Multi-Factor Authentication

Questa sezione fornisce informazioni sulla creazione di report e risoluzione dei problemi per Azure AD Multi-Factor Authentication.

Creazione di report e monitoraggio

Azure AD include report che forniscono informazioni tecniche e aziendali, seguire lo stato di avanzamento della distribuzione e verificare se gli utenti hanno esito positivo all'accesso con MFA. I proprietari di applicazioni aziendali e tecniche presuppongono la proprietà di e utilizzano questi report in base ai requisiti dell'organizzazione.

È possibile monitorare la registrazione e l'utilizzo dei metodi di autenticazione nell'organizzazione usando il dashboard attività metodi di autenticazione. Ciò consente di comprendere quali metodi vengono registrati e come vengono usati.

Accedere al report per esaminare gli eventi MFA

I report di accesso di Azure AD includono i dettagli di autenticazione per gli eventi quando viene richiesto l'autenticazione a più fattori e se sono stati usati criteri di accesso condizionale. È anche possibile usare PowerShell per la creazione di report sugli utenti registrati per Azure AD Multi-Factor Authentication.

Le estensioni dei criteri di rete e i log DI AD FS per l'attività MFA cloud sono ora inclusi nei log di accesso e non sono più pubblicati nelreport AttivitàMFA>sicurezza>.

Per altre informazioni e altri report di Azure AD Multi-Factor Authentication, vedere Esaminare gli eventi di Azure AD Multi-Factor Authentication.

Risolvere i problemi di Azure AD Multi-Factor Authentication

Vedere Risoluzione dei problemi comuni di Azure AD Multi-Factor Authentication .

Passaggi successivi

Distribuire altre funzionalità di identità