Come richiedere l'autenticazione MFA in Azure AD Privileged Identity ManagementHow to require MFA in Azure AD Privileged Identity Management

È consigliabile richiedere l'autenticazione Multi-Factor Authentication (MFA) per tutti gli amministratori.We recommend that you require multi-factor authentication (MFA) for all of your administrators. Ciò consente di ridurre il rischio di attacchi causato da una password compromessa.This reduces the risk of an attack due to a compromised password.

È possibile richiedere agli utenti di compilare una richiesta per l'autenticazione MFA durante l'accesso.You can require that users complete an MFA challenge when they sign in. Il post di blog relativo a MFA per Office 365 e MFA per Azure confronta le opzioni delle sottoscrizioni di Azure e Office con le funzionalità contenute nell'offerta di Microsoft Azure Multi-Factor Authentication.The blog post MFA for Office 365 and MFA for Azure compares what is included in Office and Azure subscriptions, with the features contained in the Microsoft Azure Multi-Factor Authentication offering.

È anche possibile richiedere agli utenti di compilare una richiesta per l'autenticazione MFA durante l'attivazione di un ruolo in Azure AD PIM.You can also require that users complete an MFA challenge when they activate a role in Azure AD PIM. In questo modo, se l'utente non ha compilato una richiesta per l'autenticazione MFA durante l'accesso, PIM richiederà all'utente di eseguire tale operazione.This way, if the user didn't complete an MFA challenge when they signed in, they will be prompted to do so by PIM.

Richiedere l'MFA in Azure AD Privileged Identity ManagementRequiring MFA in Azure AD Privileged Identity Management

Quando si gestiscono le identità in PIM come amministratore dei ruoli con privilegi, è possibile che vengano visualizzati avvisi che consigliano l'autenticazione MFA per gli account con privilegi.When you manage identities in PIM as a privileged role administrator, you may see alerts that recommend MFA for privileged accounts. Fare clic sull'avviso di sicurezza nel dashboard di PIM. Verrà visualizzato un nuovo pannello con un elenco degli account amministratore che devono richiedere l'autenticazione MFA.Click the security alert in the PIM dashboard, and a new blade will open with a list of the administrator accounts that should require MFA. Per richiedere l'autenticazione MFA, selezionare più ruoli e quindi fare clic sul pulsante Correggi oppure fare clic sui puntini di sospensione accanto ai singoli ruoli e quindi sul pulsante Correggi.You can require MFA by selecting multiple roles and then clicking the Fix button, or you can click the ellipses next to individual roles and then click the Fix button.

Importante

Azure Multi-Factor Authentication (MFA) funziona attualmente solo con account aziendali o dell'istituto di istruzione, non con account Microsoft (account personale usato in genere per l'accesso a servizi Microsoft, come Skype, Xbox e Outlook.com).Right now, Azure MFA only works with work or school accounts, not Microsoft accounts (usually a personal account that's used to sign in to Microsoft services like Skype, Xbox, Outlook.com, etc.). Gli utenti che usano un account Microsoft non possono essere amministratori idonei poiché non possono usare l'autenticazione MFA per attivare i propri ruoli.Because of this, anyone using a Microsoft account can't be an eligible admin because they can't use MFA to activate their roles. Se devono continuare a gestire i carichi di lavoro con un account Microsoft, elevare questi utenti a livello di amministratori permanenti per ora.If these users need to continue managing workloads using a Microsoft account, elevate them to permanent administrators for now.

È anche possibile modificare il requisito di autenticazione MFA per un ruolo specifico facendo clic sul ruolo nella sezione Ruoli del dashboard di PIM.Additionally, you can change the MFA requirement for a specific role by clicking on it in the Roles section of the PIM dashboard. Fare clic su Settings (Impostazioni) nel pannello del ruolo e quindi selezionare Abilita sotto l'autenticazione MFA.Then, click on Settings in the role blade and then selecting Enable under multi-factor authentication.

Modalità di convalida della MFA da parte di Azure AD PIMHow Azure AD PIM validates MFA

Sono disponibili due opzioni per la convalida di MFA quando un utente attiva un ruolo.There are two options for validating MFA when a user activates a role.

L'opzione più semplice consiste nell'usare Azure MFA per gli utenti che attivano un ruolo con privilegi.The simplest option is to rely on Azure MFA for users who are activating a privileged role. A tale scopo, verificare prima di tutto che gli utenti abbiano una licenza, se necessario, e che abbiano effettuato la registrazione per Azure MFA.To do this, first check that those users are licensed, if necessary, and have registered for Azure MFA. Per altre informazioni su questa procedura, vedere Introduzione ad Azure Multi-Factor Authentication nel cloud.More information on how to do this is in Getting started with Azure Multi-Factor Authentication in the cloud. È consigliabile, ma non obbligatorio, configurare Azure AD in modo da rendere obbligatoria l'autenticazione MFA per questi utenti durante l'accesso.It is recommended, but not required, that you configure Azure AD to enforce MFA for these users when they sign in. Le verifiche di MFA verranno infatti effettuate direttamente da Azure AD PIM.This is because the MFA checks will be made by Azure AD PIM itself.

In alternativa, se gli utenti eseguono l'autenticazione in locale, è possibile assegnare al provider di identità la responsabilità dell'autenticazione MFA.Alternatively, if users authenticate on-premises you can have your identity provider be responsible for MFA. Ad esempio, se AD Federation Services è stato configurato per richiedere l'autenticazione basata su smart card prima dell'accesso ad Azure AD, vedere le istruzioni per la configurazione di AD FS per l'invio di attestazioni ad Azure AD nell'articolo Protezione delle risorse cloud con Azure Multi-Factor Authentication e AD FS .For example, if you have configured AD Federation Services to require smartcard-based authentication before accessing Azure AD, Securing cloud resources with Azure Multi-Factor Authentication and AD FS includes instructions for configuring AD FS to send claims to Azure AD. Quando un utente prova ad attivare un ruolo, Azure AD PIM accetta il fatto che l'autenticazione MFA sia già stata convalidata per l'utente alla ricezione delle attestazioni appropriate.When a user tries to activate a role, Azure AD PIM will accept that MFA has already been validated for the user once it receives the appropriate claims.

Passaggi successiviNext steps