Esercitazione: Proteggere gli eventi di accesso degli utenti con Azure AD Multi-Factor Authentication

L'autenticazione a più fattori (MFA) è un processo in cui viene richiesto a un utente di specificare forme aggiuntive di identificazione durante un evento di accesso. Ad esempio, il prompt potrebbe essere quello di immettere un codice sul proprio cellulare o per fornire un'analisi delle impronte digitali. Quando è necessaria una seconda forma di identificazione, la sicurezza è aumentata perché questo fattore aggiuntivo non è facile per un utente malintenzionato ottenere o duplicare.

I criteri di accesso multi-factor authentication e di accesso condizionale di Azure AD offrono la flessibilità necessaria agli utenti per eventi di accesso specifici. Per una panoramica dell'autenticazione a più fattori, è consigliabile guardare questo video: Come configurare e applicare l'autenticazione a più fattori nel tenant.

Importante

Questa esercitazione illustra come un amministratore può abilitare Azure AD Multi-Factor Authentication.

Se il team IT non ha abilitato la possibilità di usare Azure AD Multi-Factor Authentication o se si verificano problemi durante l'accesso, contattare l'help desk per assistenza aggiuntiva.

In questa esercitazione si apprenderà come:

  • Creare criteri di accesso condizionale per abilitare Azure AD Multi-Factor Authentication per un gruppo di utenti.
  • Configurare le condizioni dei criteri che richiedono MFA.
  • Testare la configurazione e l'uso dell'autenticazione a più fattori come utente.

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

  • Tenant di Azure AD funzionante con licenze di valutazione o Azure AD Premium P1 abilitate.

  • Un account con privilegi di amministratore di accesso condizionale, amministratore della sicurezza o amministratore globale . Alcune impostazioni MFA possono essere gestite anche da un amministratore dei criteri di autenticazione. Per altre informazioni, vedere Amministratore criteri di autenticazione.

  • Un account non amministratore con una password che si conosce. Per questa esercitazione è stato creato un account di questo tipo, denominato testuser. In questa esercitazione viene testata l'esperienza utente finale della configurazione e dell'uso di Azure AD Multi-Factor Authentication.

  • Un gruppo di cui l'utente non amministratore è membro. Per questa esercitazione è stato creato un gruppo di questo tipo, denominato MFA-Test-Group. Questa esercitazione consente di abilitare Azure AD Multi-Factor Authentication per questo gruppo.

Creare criteri di accesso condizionale

I criteri di accesso condizionale costituiscono il modo consigliato per abilitare e usare Azure AD Multi-Factor Authentication. L'accesso condizionale consente di creare e definire criteri che reagiscono agli eventi di accesso e che richiedono azioni aggiuntive prima che un utente venga concesso l'accesso a un'applicazione o a un servizio.

Diagramma della panoramica del funzionamento dell'accesso condizionale per proteggere il processo di accesso

I criteri di accesso condizionale possono essere applicati a utenti, gruppi e app specifici. L'obiettivo è proteggere l'organizzazione fornendo anche i livelli corretti di accesso agli utenti che ne hanno bisogno.

In questa esercitazione viene creato un criterio di accesso condizionale di base per richiedere l'autenticazione a più fattori quando un utente accede al portale di Azure. In un'esercitazione successiva in questa serie viene configurato Azure AD Multi-Factor Authentication usando criteri di accesso condizionale basati su rischi.

Prima di tutto, creare un criterio di accesso condizionale e assegnare il gruppo di test degli utenti come segue:

  1. Accedere alla portale di Azure usando un account con autorizzazioni di amministratore globale.

  2. Cercare e selezionare Azure Active Directory. Selezionare quindi Sicurezza dal menu a sinistra.

  3. Selezionare Accesso condizionale, quindi + Nuovo criterio e infine Crea un nuovo criterio.

    Screenshot della pagina Accesso condizionale, in cui si seleziona

  4. Immettere un nome per il criterio, ad esempio MFA Pilot.

  5. In Assegnazioni selezionare il valore corrente in Utenti o identità del carico di lavoro.

    Screenshot della pagina Accesso condizionale, in cui si seleziona il valore corrente in

  6. In Che cosa si applica questo criterio?, verificare che sia selezionato Utenti e gruppi .

  7. In Includi scegliere Seleziona utenti e gruppi e quindi selezionareUtenti e gruppi.

    Screenshot della pagina per la creazione di un nuovo criterio, in cui si selezionano le opzioni per specificare utenti e gruppi.

    Poiché nessuno è ancora assegnato, viene aperto automaticamente l'elenco di utenti e gruppi (illustrato nel passaggio successivo).

  8. Cercare e selezionare il gruppo di Azure AD, ad esempio MFA-Test-Group, quindi scegliere Seleziona.

    Screenshot dell'elenco di utenti e gruppi, con risultati filtrati dalle lettere M F A e 'MFA-Test-Group' selezionate.

È stato selezionato il gruppo a cui applicare i criteri. Nella sezione successiva vengono configurate le condizioni in base alle quali applicare i criteri.

Configurare le condizioni per l'autenticazione a più fattori

Dopo aver creato i criteri di accesso condizionale e viene assegnato un gruppo di test di utenti, definire le app o le azioni cloud che attivano i criteri. Queste app o azioni cloud sono gli scenari che si decide richiedono un'elaborazione aggiuntiva, ad esempio la richiesta di autenticazione a più fattori. Ad esempio, è possibile decidere che l'accesso a un'applicazione finanziaria o all'uso degli strumenti di gestione richiede una richiesta aggiuntiva per l'autenticazione.

Configurare le app che richiedono l'autenticazione a più fattori

Per questa esercitazione, configurare i criteri di accesso condizionale per richiedere l'autenticazione a più fattori quando un utente accede alla portale di Azure.

  1. Selezionare il valore corrente in App o azioni cloud e quindi in Selezionare a quale criterio si applica questo criterio, verificare che le app cloud siano selezionate.

  2. In Includi scegliere Seleziona app.

    Poiché non sono ancora selezionate app, viene aperto automaticamente l'elenco di app (mostrate nel passaggio successivo).

    Suggerimento

    È possibile scegliere di applicare il criterio di accesso condizionale per Tutte le app cloud o Seleziona le app. Per garantire flessibilità, è anche possibile escludere determinate app dal criterio.

  3. Esplorare l'elenco degli eventi di accesso disponibili che possono essere usati. Per questa esercitazione, selezionare Microsoft Gestione di Azure in modo che i criteri si applicano agli eventi di accesso ai portale di Azure. Quindi scegliere Seleziona.

    Screenshot della pagina Accesso condizionale, in cui si seleziona l'app, Microsoft Gestione di Azure, a cui verrà applicato il nuovo criterio.

Configurare l'autenticazione a più fattori per l'accesso

Verrà quindi configurato il controllo di accesso. I controlli di accesso consentono di definire i requisiti per concedere l'accesso a un utente. Potrebbe essere necessario usare un'app client approvata o un dispositivo aggiunto ad Azure AD.

In questa esercitazione configurare i controlli di accesso per richiedere l'autenticazione a più fattori durante un evento di accesso al portale di Azure.

  1. In Controlli di accesso selezionare il valore corrente in Concedi e quindi selezionare Concedi accesso.

    Screenshot della pagina Accesso condizionale, in cui si seleziona

  2. Selezionare Richiedi autenticazione a più fattori e quindi scegliere Seleziona.

    Screenshot delle opzioni per concedere l'accesso, in cui si seleziona

Attivare i criteri

I criteri di accesso condizionale possono essere impostati solo su Report se si vuole vedere come la configurazione influisce sugli utenti o disattiva se non si vuole usare il criterio in questo momento. Poiché un gruppo di test di utenti è destinato a questa esercitazione, abilitare i criteri e quindi testare Azure AD Multi-Factor Authentication.

  1. In Abilita criterio selezionare .

    Screenshot del controllo vicino alla parte inferiore della pagina Web in cui si specifica se il criterio è abilitato.

  2. Per applicare il criterio di accesso condizionale, selezionare Crea.

Testare Azure AD Multi-Factor Authentication

A questo punto, si testerà il funzionamento del criterio di accesso condizionale e di Azure AD Multi-Factor Authentication.

Prima di tutto, accedere a una risorsa che non richiede MFA:

  1. Aprire una nuova finestra del browser in modalità InPrivate o in incognito e passare a https://account.activedirectory.windowsazure.com.

    L'uso di una modalità privata per il browser impedisce a qualsiasi credenziali esistente di influire su questo evento di accesso.

  2. Accedere con l'utente test non amministratore, ad esempio testuser. Assicurarsi di includere @ e il nome di dominio per l'account utente.

    Se si tratta della prima istanza di accesso con questo account, viene richiesto di modificare la password. Tuttavia, non è necessario configurare o usare l'autenticazione a più fattori.

  3. Chiudere la finestra del browser.

I criteri di accesso condizionale sono stati configurati per richiedere l'autenticazione aggiuntiva per il portale di Azure. A causa di questa configurazione, viene richiesto di usare Azure AD Multi-Factor Authentication o di configurare un metodo se non è ancora stato fatto. Testare questo nuovo requisito accedendo all'portale di Azure:

  1. Aprire una nuova finestra del browser in modalità InPrivate o in incognito e passare a https://portal.azure.com.

  2. Accedere con l'utente test non amministratore, ad esempio testuser. Assicurarsi di includere @ e il nome di dominio per l'account utente.

    È necessario registrarsi e usare Azure AD Multi-Factor Authentication.

    Prompt che indica

  3. Selezionare Avanti per avviare il processo.

    È possibile scegliere di configurare un telefono di autenticazione, un telefono ufficio o un'app per dispositivi mobili per l'autenticazione. Il telefono di autenticazione supporta messaggi di testo e chiamate telefoniche, il telefono office supporta chiamate a numeri con estensione e app per dispositivi mobili supporta l'uso di un'app per dispositivi mobili per ricevere notifiche per l'autenticazione o generare codici di autenticazione.

    Richiesta che indica

  4. Completare le istruzioni sullo schermo per configurare il metodo di autenticazione a più fattori selezionato.

  5. Chiudere la finestra del browser e accedere di nuovo in https://portal.azure.com per testare il metodo di autenticazione configurato. Ad esempio, se è stata configurata un'app per dispositivi mobili per l'autenticazione, verrà visualizzato un prompt simile al seguente.

    Per accedere, seguire le richieste nel browser e quindi il prompt sul dispositivo registrato per l'autenticazione a più fattori.

  6. Chiudere la finestra del browser.

Pulire le risorse

Se non si vuole più usare i criteri di accesso condizionale configurati come parte di questa esercitazione, eliminare i criteri seguendo questa procedura:

  1. Accedere al portale di Azure.

  2. Cercare e selezionare Azure Active Directory e quindi selezionare Sicurezza dal menu a sinistra.

  3. Selezionare Accesso condizionale e quindi selezionare i criteri creati, ad esempio MFA Pilot.

  4. selezionare Elimina e quindi confermare che si desidera eliminare il criterio.

    Per eliminare i criteri di accesso condizionale aperti, selezionare Elimina che si trova sotto il nome del criterio.

Passaggi successivi

In questa esercitazione è stato abilitato Azure AD Multi-Factor Authentication usando i criteri di accesso condizionale per un gruppo selezionato di utenti. Si è appreso come:

  • Creare criteri di accesso condizionale per abilitare Azure AD Multi-Factor Authentication per un gruppo di utenti di Azure AD.
  • Configurare le condizioni dei criteri che richiedono l'autenticazione a più fattori.
  • Testare la configurazione e l'uso dell'autenticazione a più fattori come utente.