Creare resilienza con la gestione delle credenziali
Quando le credenziali vengono presentate a Microsoft Entra ID in una richiesta di token, più dipendenze devono essere disponibili per la convalida. Il primo fattore di autenticazione si basa sull'autenticazione di Microsoft Entra e, in alcuni casi, sull'infrastruttura locale. Per altre informazioni sulle architetture di autenticazione ibrida, vedere Creare resilienza nell'infrastruttura ibrida.
Se si implementa un secondo fattore, le dipendenze per il secondo fattore vengono aggiunte alle dipendenze del primo. Ad esempio, se il primo fattore è tramite Autenticazione pass-through (PTA) e il secondo fattore è tramite SMS, le dipendenze sono le seguenti.
- Servizi di autenticazione di Microsoft Entra
- Servizio di autenticazione a più fattori di Microsoft Entra
- Infrastruttura locale
- Gestore telefonico
- Dispositivo dell'utente (non indicato in figura)
La strategia delle credenziali deve considerare le dipendenze di ogni tipo di autenticazione e i metodi di provisioning che evitano il singolo punto di errore.
Poiché i metodi di autenticazione hanno dipendenze diverse, si consiglia di abilitare gli utenti a registrarsi con il maggior numero possibile di opzioni di secondo fattore. Assicurarsi di includere i secondi fattori con dipendenze diverse, se possibile. Ad esempio, la chiamata vocale e l'SMS come secondo fattore condividono le stesse dipendenze ed essendo le uniche opzioni non riduce gli eventi rischiosi.
La strategia delle credenziali più resiliente consiste nell'usare l'autenticazione senza password. Windows Hello for Business e le Chiavi di sicurezza FIDO 2.0 hanno meno dipendenze rispetto all'autenticazione avanzata con due fattori distinti. L'app Microsoft Authenticator, Windows Hello for Business e le Chiavi di sicurezza FIDO 2.0 rappresentano i metodi più sicuri.
Per i secondi fattori, l'app Microsoft Authenticator o altre app di autenticazione, che usano passcode monouso basati sul tempo (TOTP) o token hardware OAuth, hanno il minor numero di dipendenze e perciò sono più resilienti.
In che modo più credenziali migliorano la resilienza?
Il provisioning di più tipi di credenziali offre agli utenti opzioni che supportano le preferenze e i vincoli ambientali. Di conseguenza, l'autenticazione interattiva, in cui agli utenti viene richiesta l'autenticazione a più fattori, sarà più resiliente a specifiche dipendenze non disponibili al momento della richiesta. È possibile ottimizzare le richieste di riautenticazione per l'autenticazione a più fattori.
Oltre alla resilienza dei singoli utenti descritta in precedenza, le aziende devono pianificare le emergenze per le interruzioni su larga scala, ad esempio errori operativi che introducono una configurazione errata, una calamità naturale o un'interruzione delle risorse a livello aziendale di un servizio federativo locale (soprattutto se usato per l'autenticazione a più fattori).
Come implementare credenziali resilienti?
- Distribuire Credenziali senza password, ad esempio Windows Hello for Business, Autenticazione tramite telefono e Chiavi di sicurezza FIDO2 per ridurre le dipendenze.
- Distribuire l'app Microsoft Authenticator come secondo fattore.
- Attivare la sincronizzazione dell'hash delle password per gli account ibridi sincronizzati da Windows Server Active Directory. Questa opzione può essere abilitata insieme ai servizi federativi, ad esempio Active Directory Federation Services (AD FS) e fornisce un fallback nel caso in cui il servizio federativo dia esito negativo.
- Analizzare l'utilizzo dei Metodi di autenticazione a più fattori per migliorare l'esperienza utente.
- Progettare una strategia di controllo degli accessi resiliente
Passaggi successivi
Risorse di resilienza per amministratori e architetti
- Creare resilienza con gli stati del dispositivo
- Creare resilienza usando la Valutazione continua dell'accesso (CAE)
- Creare resilienza nell'autenticazione utente esterno
- Creare resilienza nell'autenticazione ibrida
- Creare resilienza nell'accesso alle applicazioni con Application Proxy
Risorse di resilienza per gli sviluppatori
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per