Pianificare la distribuzione dell'autenticazione a più fattori
Prima di iniziare a distribuire l'autenticazione a più fattori Di Microsoft Entra, è necessario decidere diversi aspetti.
Prima di tutto, è consigliabile implementare l'autenticazione a più fattori in più fasi. Iniziare con un piccolo gruppo di utenti pilota per valutare la complessità dell'ambiente e identificare eventuali problemi di configurazione oppure app o dispositivi non supportati. Estendere quindi tale gruppo nel tempo e valutare i risultati di ogni fase finché tutti gli utenti dell'azienda non vengono registrati.
Assicurarsi quindi di definire un piano di comunicazione completo. L'autenticazione a più fattori di Microsoft Entra ha diversi requisiti a livello di interazione utente, tra cui un processo di registrazione. Tenere informati gli utenti ogni passaggio del modo. Comunicare loro cosa sono necessari per fare, date importanti e come ottenere risposte alle domande in caso di problemi. Microsoft fornisce modelli di comunicazione per la bozza delle comunicazioni, inclusi poster e modelli di posta elettronica.
Criteri di autenticazione a più fattori di Microsoft Entra
L'autenticazione a più fattori di Microsoft Entra si basa su criteri di accesso condizionale. che consistono in istruzioni di tipo IF-THEN. Se (IF) un utente vuole accedere a una risorsa, allora (THEN) deve completare un'azione. Ad esempio, un responsabile retribuzioni deve eseguire l'autenticazione a più fattori per accedere all'apposita applicazione. Altre richieste di accesso comuni che possono richiedere l'autenticazione a più fattori includono:
- L'accesso a un'applicazione cloud specifica
- L'accesso di un utente a una rete specifica
- L'accesso di un utente a un'applicazione client specifica
- La registrazione di un nuovo dispositivo da parte di un utente
Scelta dei metodi di autenticazione supportati
Quando si attiva l'autenticazione a più fattori Di Microsoft Entra, è possibile scegliere i metodi di autenticazione da rendere disponibili. È sempre consigliabile supportare più di un metodo, in modo che gli utenti dispongano di un'opzione di backup nel caso in cui il metodo principale non sia disponibile. È possibile scegliere tra i metodi seguenti:
| Metodo | Descrizione |
|---|---|
| Codice di verifica di un'app per dispositivi mobili | Un'app di autenticazione per dispositivi mobili, ad esempio l'app Microsoft Authenticator, può essere usata per recuperare un codice di verifica OATH, che viene quindi immesso nell'interfaccia di accesso. Il codice viene modificato ogni 30 secondi e l'app funziona anche in caso di connettività limitata. Questo approccio non funziona in Cina nei dispositivi Android. |
| Notifica dell'app per dispositivi mobili | Azure può inviare una notifica push a un'app di autenticazione per dispositivi mobili, ad esempio Microsoft Authenticator. L'utente può selezionare la notifica push e verificare l'accesso. |
| Chiamata telefonica | Azure può chiamare un numero di telefono specificato. L'utente approva quindi l'autenticazione tramite il tastierino. Questo metodo è preferibile per i backup. |
| Chiave di sicurezza FIDO2 | Le chiavi di sicurezza FIDO2 sono un metodo di autenticazione senza password basato su standard inutili. Queste chiavi sono in genere dispositivi USB, ma possono anche usare Bluetooth o NFC. |
| Windows Hello for Business (Configurare Windows Hello for Business) | Windows Hello for business sostituisce le password con l'autenticazione a due fattori avanzata sui dispositivi. Questo processo di autenticazione è costituito da un tipo di credenziale utente che è associata a un dispositivo e usa un dato biometrico o un PIN. |
| Token OATH | I token OATH possono essere applicazioni software, come l'app Microsoft Authenticator e altre app di autenticazione, oppure token basati su hardware che i clienti possono acquistare da fornitori diversi. |
Amministrazione istrator può abilitare una o più di queste opzioni, quindi gli utenti possono acconsentire esplicitamente a ogni metodo di autenticazione di supporto che vogliono usare.
Selezione di un metodo di autenticazione
Infine, è necessario decidere come gli utenti registrano i metodi selezionati. L'approccio più semplice consiste nell'usare Microsoft Entra ID Protection. Se l'organizzazione ha una licenza per Identity Protection, è possibile configurare questo servizio in modo da richiedere agli utenti di registrarsi per l'autenticazione a più fattori al successivo accesso.
Si può anche richiedere agli utenti di registrarsi per l'autenticazione a più fattori quando provano a usare un'applicazione o un servizio che richiede questo tipo di autenticazione. È infine possibile imporre la registrazione configurando criteri di accesso condizionale per un gruppo di Azure contenente tutti gli utenti dell'organizzazione. Questo approccio richiede alcune attività manuali per esaminare periodicamente il gruppo ed eventualmente rimuovere utenti registrati. Per alcuni script utili per automatizzare alcuni di questo processo, vedere Pianificare una distribuzione dell'autenticazione a più fattori di Microsoft Entra.