Come funziona: Azure Multi-Factor AuthenticationHow it works: Azure Multi-Factor Authentication

La sicurezza della verifica in due passaggi sta nel suo approccio a livelli.The security of two-step verification lies in its layered approach. La manomissione di più fattori rappresenta una sfida significativa per gli autori di attacchi.Compromising multiple authentication factors presents a significant challenge for attackers. Tuttavia, anche se un autore di un attacco riesce a ottenere la password dell'utente, questa risulta inutile se non è in possesso del metodo di autenticazione aggiuntivo.Even if an attacker manages to learn the user's password, it is useless without also having possession of the additional authentication method. In genere richiede due o più dei metodi di autenticazione seguenti:It works by requiring two or more of the following authentication methods:

  • Un'informazione nota (in genere una password)Something you know (typically a password)
  • Un oggetto che si possiede (un dispositivo attendibile non facile da duplicare, ad esempio un telefono)Something you have (a trusted device that is not easily duplicated, like a phone)
  • Una caratteristica fisica dell'utente (biometrica)Something you are (biometrics)

Immagine di metodi di autenticazione concettuale

Conceptual authentication methods image

Azure Multi-Factor Authentication consente di proteggere l'accesso ai dati e alle applicazioni, garantendo al tempo stesso un utilizzo semplice agli utenti.Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications while maintaining simplicity for users. Offre ulteriore sicurezza richiedendo una seconda forma di autenticazione nonché un'autenticazione avanzata tramite una gamma di metodi di autenticazione semplici.It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. Gli utenti possono o meno visualizzare una richiesta di autenticazione MFA in base alle decisioni di configurazione prese da un amministratore.Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

Come ottenere Multi-Factor AuthenticationHow to get Multi-Factor Authentication?

Multi-Factor Authentication è inclusa in quanto parte delle offerte seguenti:Multi-Factor Authentication comes as part of the following offerings:

  • Licenze di Azure Active Directory Premium: utilizzo del servizio Microsoft Azure Multi-Factor Authentication (Cloud) o server Microsoft Azure Multi-Factor Authentication (in locale) con funzionalità complete.Azure Active Directory Premium licenses - Full featured use of Azure Multi-Factor Authentication Service (Cloud) or Azure Multi-Factor Authentication Server (On-premises).
    • Servizio Azure MFA (Cloud) - Questa opzione è il percorso consigliato per le nuove distribuzioni.Azure MFA Service (Cloud) - This option is the recommended path for new deployments. Azure MFA nel cloud non richiede alcuna infrastruttura locale e può essere usato con gli utenti federati o solo cloud.Azure MFA in the cloud requires no on-premises infrastructure and can be used with your federated or cloud-only users.
    • Server Azure MFA: può essere un'opzione se l'organizzazione vuole gestire gli elementi di infrastruttura associati ed è stato distribuito AD FS nell'ambiente locale.Azure MFA Server - If your organization wants to manage the associated infrastructure elements and has deployed AD FS in your on-premises environment this way may be an option.
  • Multi-Factor Authentication per Office 365: nella sottoscrizione è incluso un subset di funzionalità di autenticazione a più fattori di Azure.Multi-Factor Authentication for Office 365 - A subset of Azure Multi-Factor Authentication capabilities are available as a part of your subscription. Per altre informazioni sull'autenticazione a più fattori per Office 365, vedere l'articolo Pianificare l'autenticazione a più fattori per le distribuzioni di Office 365.For more information about MFA for Office 365, see the article Plan for multi-factor authentication for Office 365 Deployments.
  • Amministratori globali di Azure Active Directory: per proteggere gli account di amministratore globale è disponibile un subset di funzionalità di Azure multi-Factor Authentication.Azure Active Directory Global Administrators - A subset of Azure Multi-Factor Authentication capabilities are available as a means to protect global administrator accounts.

Nota

I nuovi clienti non possono più acquistare Azure Multi-Factor Authentication come offerta autonoma valida dal 1 ° settembre 2018.New customers may no longer purchase Azure Multi-Factor Authentication as a standalone offering effective September 1st, 2018. L'autenticazione a più fattori continuerà a essere una funzionalità disponibile nelle licenze di Azure AD Premium.Multi-factor authentication will continue to be an available feature in Azure AD Premium licenses.

SupportoSupportability

Poiché la maggior parte degli utenti è abituata a usare le password solo per l'autenticazione, è importante che l'organizzazione si metta in comunicazione con tutti gli utenti per informarli in merito al processo.Since most users are accustomed to using only passwords to authenticate, it is important that your organization communicates to all users regarding this process. La consapevolezza può ridurre la probabilità che gli utenti contattino l'help desk per problemi di lieve entità riguardanti l'autenticazione a più fattori.Awareness can reduce the likelihood that users call your help desk for minor issues related to MFA. Esistono tuttavia alcuni scenari in cui è necessario disabilitare temporaneamente MFA.However, there are some scenarios where temporarily disabling MFA is necessary. Per sapere come gestire questi scenari, usare le linee guida seguenti:Use the following guidelines to understand how to handle those scenarios:

  • Istruire il personale di supporto per le situazioni in cui l'utente non riesce ad accedere perché non ha accesso ai suoi metodi di autenticazione oppure perchè questi ultimi non funzionano correttamente.Train your support staff to handle scenarios where the user can't sign in because they do not have access to their authentication methods or they are not working correctly.
    • Usando i criteri di accesso condizionale per il servizio Azure MFA, il personale di supporto può aggiungere un utente a un gruppo che è escluso da un criterio che richiede un'autenticazione a più fattori.Using conditional access policies for Azure MFA Service, your support staff can add a user to a group that is excluded from a policy requiring MFA.
    • Il personale di supporto è possibile può abilitare un bypass monouso temporaneo per gli utenti di Azure MFA Server per consentire loro di autenticarsi senza la verifica in due passaggi.Support staff can enable a temporary one-time bypass for Azure MFA Server users to allow a user to authenticate without two-step verification. Il bypass è temporaneo e scade dopo un numero di secondi specificato.The bypass is temporary and expires after a specified number of seconds.
  • È consigliabile usare indirizzi IP attendibili o posizioni specifiche come metodo per ridurre al minimo le richieste di verifica in due passaggi.Consider using Trusted IPs or named locations as a way to minimize two-step verification prompts. Questa funzionalità consente agli amministratori di un tenant gestito o federato di ignorare la verifica in due passaggi per gli utenti che accedono da un percorso di rete affidabile, ad esempio la rete Intranet dell'organizzazione.With this feature, administrators of a managed or federated tenant can bypass two-step verification for users that are signing in from a trusted network location such as their organization's intranet.
  • Distribuire Azure AD Identity Protection e attivare la verifica in due passaggi basata su eventi di rischio.Deploy Azure AD Identity Protection and trigger two-step verification based on risk events.

Passaggi successiviNext steps