Cos'è l'autenticazione Microsoft Entra?
Una delle principali funzionalità di una piattaforma di gestione delle identità consiste nel verificare, o autenticare, le credenziali quando un utente accede a un dispositivo, a un'applicazione o a un servizio. In Microsoft Entra ID l'autenticazione comporta più della sola verifica di un nome utente e di una password. Per migliorare la sicurezza e ridurre la necessità di rivolgersi all'help desk per assistenza, l'autenticazione di Microsoft Entra include i componenti seguenti:
- Reimpostazione della password self-service
- L'autenticazione a più fattori di Microsoft Entra
- Integrazione ibrida per il wiriteback delle modifiche delle password nell'ambiente locale
- Integrazione ibrida per l'applicazione di criteri di protezione delle password per un ambiente locale
- Autenticazione senza password
Per altre informazioni su questi componenti di autenticazione, vedere il breve video.
Migliorare l'esperienza dell'utente finale
Microsoft Entra ID consente di proteggere l'identità di un utente e semplificare l'esperienza di accesso. Funzionalità come la reimpostazione della password self-service consentono agli utenti di aggiornare o cambiare le loro password usando un Web browser da qualsiasi dispositivo. Questa funzionalità è particolarmente utile quando l'utente ha dimenticato la password o se il suo account è bloccato. Senza aspettare il supporto dell'help desk o di un amministratore, un utente può sbloccare il proprio account e continuare a lavorare.
L'autenticazione a più fattori di Microsoft Entra consente agli utenti di scegliere una forma aggiuntiva di autenticazione durante l'accesso, ad esempio una telefonata o una notifica dell'app per dispositivi mobili. Questa funzionalità riduce la necessità di una singola forma fissa di autenticazione secondaria, come un token hardware. Se l'utente attualmente non ha una forma di autenticazione aggiuntiva, può scegliere un metodo diverso e continuare a lavorare.
L'autenticazione senza password rimuove completamente la necessità di creare e ricordare una password sicura. Funzionalità come Windows Hello for Business o le chiavi di sicurezza FIDO2 consentono agli utenti di accedere a un dispositivo o a un'applicazione senza password. Questa possibilità riduce la complessità associata alla gestione delle password tra ambienti diversi.
Reimpostazione della password self-service
La reimpostazione della password self-service consente agli utenti di cambiare o reimpostare la password, senza intervento dell'amministratore o dell'help desk. Se un utente dimentica la password o ha l'account bloccato, può seguire le istruzioni per sbloccarlo autonomamente e tornare al lavoro. Questa funzionalità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione.
La reimpostazione della password self-service funziona negli scenari seguenti:
- Modifica della password: l'utente conosce la propria password, ma intende cambiarla.
- Reimpostazione della password: l'utente non riesce ad accedere, ad esempio perché ha dimenticato la password e vuole reimpostarla.
- Sblocco dell'account: l'utente non riesce ad accedere perché l'account è bloccato e vuole sbloccarlo.
Quando un utente aggiorna o reimposta la password tramite reimpostazione self-service, è anche possibile che ne venga eseguito il writeback in un ambiente di Active Directory locale. Il writeback delle password garantisce a un utente la possibilità di usare immediatamente le credenziali aggiornate con i dispositivi e le applicazioni locali.
L'autenticazione a più fattori di Microsoft Entra
L'autenticazione a più fattori è un processo in cui all'utente viene richiesta una forma aggiuntiva di identificazione durante il processo di accesso, ad esempio l'immissione di un codice sul cellulare o la scansione dell'impronta digitale.
Se si usa solo una password per autenticare un utente, viene lasciato un vettore non sicuro per l'attacco. Se la password è vulnerabile o è stata esposta altrove, come su può avere la certezza che sia effettivamente l'utente che accede con il nome utente e la password e non un utente malintenzionato? Quando è necessaria una seconda forma di autenticazione, la sicurezza viene rafforzata, perché questo fattore aggiuntivo non è facile da ottenere o duplicare.
L'autenticazione a più fattori di Microsoft Entra richiede due o più dei metodi di autenticazione seguenti:
- Informazione nota, in genere una password.
- Elemento disponibile, ad esempio un dispositivo attendibile non facile da duplicare, come un telefono o una chiave hardware.
- Caratteristica personale: ad esempio un'impronta digitale o la scansione del viso per l'identificazione biometrica.
Gli utenti possono registrarsi sia per la reimpostazione della password self-service che per l'autenticazione a più fattori di Microsoft Entra in un unico passaggio per semplificare l'esperienza di onboarding. Gli amministratori possono definire quali forme di autenticazione secondaria possono essere usate. L'autenticazione a più fattori di Microsoft Entra può essere necessaria anche quando gli utenti eseguono una reimpostazione della password self-service per proteggere ulteriormente tale processo.
Password di protezione
Per impostazione predefinita, Microsoft Entra ID blocca le password deboli, ad esempio Password1. Viene automaticamente aggiornato e applicato un elenco globale di password vietate note per essere vulnerabili. Se un utente di Microsoft Entra tenta di impostare la password su una di queste password deboli, riceve una notifica per scegliere una password più sicura.
Per aumentare la sicurezza, è possibile definire criteri personalizzati per le password di protezione. Questi criteri possono usare i filtri per bloccare qualsiasi variante di una password contenente ad esempio un nome, come Contoso, o una località, come Londra.
Per la sicurezza ibrida, è possibile integrare la protezione password di Microsoft Entra con un ambiente Active Directory locale. Un componente installato nell'ambiente locale riceve l'elenco globale delle password escluse e i criteri di protezione password personalizzati da Microsoft Entra ID e i controller di dominio li usano per elaborare gli eventi di modifica delle password. Questo approccio ibrido garantisce che venga imposto l'uso di password complesse indipendentemente dal modo in cui un utente cambia le proprie credenziali.
Autenticazione senza password
L'obiettivo finale per molti ambienti è quello di rimuovere l'uso delle password dagli eventi di accesso. Le funzionalità come la protezione password di Azure o l'autenticazione a più fattori di Microsoft Entra consentono di migliorare la sicurezza, ma un nome utente e una password rimangono una forma debole di autenticazione che può essere esposta o con attacco di forza bruta.
Quando si accede con un metodo senza password, le credenziali vengono fornite usando metodi come la biometria con Windows Hello for Business o una chiave di sicurezza FIDO2. Questi metodi di autenticazione non possono essere facilmente duplicati da un utente malintenzionato.
Microsoft Entra ID offre la possibilità di eseguire l'autenticazione nativa usando metodi senza password per semplificare l'esperienza di accesso degli utenti e ridurre il rischio di attacchi.
Passaggi successivi
Per iniziare, vedere l'esercitazione per la reimpostazione della password self-service e l'autenticazione a più fattori Di Microsoft Entra.
Per altre informazioni sui concetti di reimpostazione della password self-service, vedere Come funziona la reimpostazione della password self-service di Microsoft Entra.
Per altre informazioni sui concetti relativi all'autenticazione a più fattori, vedere Funzionamento dell'autenticazione a più fattori di Microsoft Entra.