Esperienze di accesso con Azure AD Identity ProtectionSign-in experiences with Azure AD Identity Protection

Con Azure Active Directory Identity Protection è possibile:With Azure Active Directory Identity Protection, you can:

  • richiedere la registrazione degli utenti per l'autenticazione a più fattorirequire users to register for multi-factor authentication
  • gestire gli accessi rischiosi e gli utenti compromessihandle risky sign-ins and compromised users

La risposta del sistema a questi problemi ha un impatto sull’esperienza di accesso dell’utente, in quanto non sarà più possibile effettuare l’accesso in modo diretto fornendo semplicemente il nome utente e la password.The response of the system to these issues has an impact on a user's sign-in experience because just directly signing-in by providing a user name and a password won't be possible anymore. Saranno necessari passaggi aggiuntivi per consentire all’utente un accesso sicuro al sistema.Additional steps are required to get a user safely back into business.

Questo argomento presenta una panoramica dell'esperienza di accesso dell'utente per tutti i casi possibili.This topic gives you an overview of a user's sign-in experience for all cases that can occur.

Autenticazione a più fattoriMulti-factor authentication

  • Registrazione per l'autenticazione a più fattoriMulti-factor authentication registration

Accesso a rischioSign-in at risk

  • Ripristino di un accesso rischiosoRisky sign-in recovery
  • Accesso rischioso bloccatoRisky sign-in blocked
  • Registrazione per l'autenticazione a più fattori durante un accesso rischiosoMulti-factor authentication registration during a risky sign-in

Utente a rischioUser at risk

  • Ripristino di account compromessiCompromised account recovery
  • Account compromesso bloccatoCompromised account blocked

Registrazione per l'autenticazione a più fattoriMulti-factor authentication registration

Sia per il ripristino di un account compromesso che per l'accesso rischioso, la migliore esperienza utente si ottiene quando l'utente può eseguire il ripristino automatico.The best user experience for both, the compromised account recovery flow and the risky sign-in flow, is when the user can self-recover. Se gli utenti sono registrati per l’autenticazione a più fattori, hanno già un numero di telefono associato con l’account che può essere usato per trasmettere le richieste di sicurezza.If users are registered for multi-factor authentication, they already have a phone number associated with their account that can be used to pass security challenges. Non è necessario coinvolgere il supporto tecnico o l'amministratore per ripristinare un account compromesso.No help desk or administrator involvement is needed to recover from account compromise. È quindi consigliabile fare in modo che gli utenti siano registrati per l'autenticazione a più fattori.Thus, it’s highly recommended to get your users registered for multi-factor authentication.

Gli amministratori possono:Administrators can:

  • Impostare criteri che richiedono agli utenti di configurare l'account per la verifica di sicurezza aggiuntiva.set a policy that requires users to set up their accounts for additional security verification.
  • Consentire di ignorare la registrazione per l'autenticazione a più fattori per un massimo di 30 giorni, per dare agli utenti un periodo di tolleranza prima della registrazione.allow skipping multi-factor authentication registration for up to 30 days, in case they want to give users a grace period before registering.

La registrazione per l’autenticazione a più fattori prevede tre passaggi:The multi-factor authentication registration has three steps:

  1. Nel primo passaggio l'utente riceve una notifica della necessità di impostare l'account per l’autenticazione a più fattori.In the first step, the user gets a notification about the requirement to set the account up for multi-factor authentication.

    CorrezioneRemediation

  2. Per impostare l'autenticazione a più fattori, occorre indicare al sistema in che modo si desidera essere contattati.To set multi-factor authentication up, you need to let the system know how you want to be contacted.

    CorrezioneRemediation

  3. Il sistema invia una richiesta ed è necessario rispondere.The system submits a challenge to you and you need to respond.

    CorrezioneRemediation

Ripristino di un accesso rischiosoRisky sign-in recovery

Se un amministratore ha configurato dei criteri per i rischi di accesso, gli utenti interessati ricevono una notifica quando provano ad accedere.When an administrator has configured a policy for sign-in risks, the affected users are notified when they try to sign-in.

Il flusso per l'accesso rischioso prevede due passaggi:The risky sign-in flow has two steps:

  1. L’utente è informato del fatto che qualcosa di insolito è stato rilevato in merito al suo accesso, ad esempio l’accesso da una nuova posizione, dispositivo o app.The user is informed that something unusual was detected about their sign-in, such as signing in from a new location, device, or app.

    CorrezioneRemediation

  2. L'utente deve dimostrare la propria identità rispondendo a una richiesta di sicurezza.The user is required to prove their identity by solving a security challenge. Se l'utente è registrato per l'autenticazione a più fattori, deve eseguire il round trip di un codice di sicurezza al proprio numero di telefono.If the user is registered for multi-factor authentication they need to round-trip a security code to their phone number. Poiché questo è solo un accesso rischioso e non un account compromesso, l’utente non dovrà cambiare la password in questo flusso.Since this is a just a risky sign in and not a compromised account, the user won’t have to change the password in this flow.

    CorrezioneRemediation

Accesso rischioso bloccatoRisky sign-in blocked

Gli amministratori possono anche impostare criteri di rischio di accesso per bloccare gli utenti al momento dell'accesso in base al livello di rischio.Administrators can also choose to set a Sign-In Risk policy to block users upon sign-in depending on the risk level. Per essere sbloccati, gli utenti finali devono contattare un amministratore o il supporto tecnico oppure possono provare a eseguire l'accesso da una posizione o un dispositivo noto.To get unblocked, end users must contact an administrator or help desk, or they can try signing in from a familiar location or device. Il ripristino automatico tramite l'autenticazione a più fattori non è possibile in questo caso.Self-recovering by solving multi-factor authentication is not an option in this case.

CorrezioneRemediation

Ripristino di account compromessiCompromised account recovery

Dopo che sono stati configurati criteri di sicurezza per il rischio utente, gli utenti che rientrano nel livello di rischio utente specificato nei criteri, e quindi considerati compromessi, devono seguire il flusso di ripristino di utenti compromessi per poter eseguire l'accesso.When a user risk security policy has been configured, users who meet the user risk level specified in the policy (and are therefore assumed compromised) must go through the user compromise recovery flow before they can sign-in.

Il flusso di ripristino di utenti compromessi è composto da tre passaggi:The user compromise recovery flow has three steps:

  1. L'utente viene informato che la sicurezza dell'account è a rischio a causa di attività sospette o di credenziali perse.The user is informed that their account security is at risk because of suspicious activity or leaked credentials.

    CorrezioneRemediation

  2. L'utente deve dimostrare la propria identità rispondendo a una richiesta di sicurezza.The user is required to prove their identity by solving a security challenge. Se l'utente è registrato per l'autenticazione a più fattori può eseguire il ripristino automatico da eventuali compromissioni.If the user is registered for multi-factor authentication they can self-recover from being compromised. Deve eseguire il round trip di un codice di sicurezza al proprio numero di telefono.They will need to round-trip a security code to their phone number.

    CorrezioneRemediation

  3. Infine, all'utente viene richiesto di modificare la password perché qualcun altro potrebbe aver avuto accesso all'account.Finally, the user is forced to change their password since someone else may have had access to their account. Sono incluse per riferimento le screenshot di questa esperienza.Screenshots of this experience are below.

    CorrezioneRemediation

Account compromesso bloccatoCompromised account blocked

Per sbloccare un utente bloccato da criteri di sicurezza per il rischio utente, è necessario contattare un amministratore o il supporto tecnico.To get a user that was blocked by a user risk security policy unblocked, the user must contact an administrator or help desk. Il ripristino automatico tramite l'autenticazione a più fattori non è possibile in questo caso.Self-recovering by solving multi-factor authentication is not an option in this case.

CorrezioneRemediation

Reimpostazione delle passwordReset password

Se l’accesso degli utenti compromessi è bloccato, un amministratore può generare una password temporanea per consentire l’accesso.If compromised users are blocked from signing in, an administrator can generate a temporary password for them. Gli utenti dovranno modificare la password all'accesso successivo.The users will have to change their password during a next sign-in.

CorrezioneRemediation

Vedere ancheSee also