Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
A settembre 2022, Microsoft ha annunciato la deprecazione del server Azure Multi-Factor Authentication. A partire dal 30 settembre 2024, le distribuzioni del server Azure Multi-Factor Authentication non supportano più richieste di autenticazione a più fattori (MFA). I clienti del server Azure Multi-Factor Authentication devono invece passare a usare provider MFA personalizzati o l'autenticazione basata su smart card o Windows Hello in AD.
Quando si configura un ruolo PAM, è possibile scegliere come autorizzare gli utenti che richiedono l'attivazione del ruolo. Le opzioni implementate dall'attività di autorizzazione PAM sono:
- Approvazione del proprietario del ruolo
- autenticazione a più fattori personalizzata
Se nessuna delle due opzioni è abilitata, gli utenti candidati vengono attivati automaticamente per il proprio ruolo.
Nota
L'approccio PAM con un ambiente bastion fornito da MIM è destinato a essere usato in un'architettura personalizzata per ambienti isolati in cui l'accesso a Internet non è disponibile, dove questa configurazione è richiesta dalla normativa o in ambienti isolati ad alto impatto, come laboratori di ricerca offline e tecnologie operative disconnesse o controllo e ambienti di acquisizione dei dati. Se Active Directory fa parte di un ambiente connesso a Internet, vedere Protezione dell'accesso con privilegi su dove iniziare.
Prerequisiti
Per usare l'autenticazione a più fattori personalizzata con MIM PAM, è necessario:
- MIM configurato per l'autenticazione a più fattori personalizzata
- Numeri di telefono di tutti gli utenti candidati
Configurare gli utenti PAM per l'autenticazione a più fattori personalizzata
Affinché un utente attivi un ruolo che richiede l'autenticazione a più fattori personalizzata, il numero di telefono dell'utente deve essere archiviato in MIM. Per l'impostazione di questo attributo sono disponibili due opzioni.
Prima di tutto, il New-PAMUser comando copia un attributo numero di telefono dalla voce di directory dell'utente nel dominio CORP al database del servizio MIM. Si noti che questa operazione viene eseguita una sola volta.
In secondo luogo, il Set-PAMUser comando aggiorna l'attributo numero di telefono nel database del servizio MIM. Il seguente esempio sostituisce un numero di telefono dell'utente PAM esistente nel servizio MIM. La loro voce di directory rimane invariata.
Set-PAMUser (Get-PAMUser -SourceDisplayName Jen) -SourcePhoneNumber 12135551212
Configurare i ruoli PAM per l'autenticazione a più fattori
Dopo che tutti gli utenti candidati per un ruolo PAM hanno i propri numeri di telefono archiviati nel database del servizio MIM, il ruolo può essere configurato per richiedere l'autenticazione a più fattori personalizzata. Questa operazione viene eseguita usando i New-PAMRole comandi o Set-PAMRole . ad esempio:
Set-PAMRole (Get-PAMRole -DisplayName "R") -MFAEnabled 1
L'autenticazione a più fattori può essere disabilitata per un ruolo specificando il parametro "-MFAEnabled 0" nel Set-PAMRole comando .
Risoluzione dei problemi
Nel registro eventi Privileged Access Management sono disponibili i seguenti eventi:
| ID | Gravità | Generato da | Descrizione |
|---|---|---|---|
| 101 | Errore | Servizio MIM | L'utente non ha completato l'autenticazione a più fattori personalizzata (ad esempio, non ha risposto al telefono) |
| 103 | Informazioni | Servizio MIM | L'utente ha completato l'autenticazione a più fattori personalizzata durante l'attivazione |
| 825 | Avviso | Servizio di monitoraggio PAM | Il numero di telefono è stato modificato |