Come funziona: Azure Multi-Factor AuthenticationHow it works: Azure Multi-Factor Authentication

La sicurezza della verifica in due passaggi sta nel suo approccio a livelli.The security of two-step verification lies in its layered approach. La manomissione di più fattori rappresenta una sfida significativa per gli autori di attacchi.Compromising multiple authentication factors presents a significant challenge for attackers. Tuttavia, anche se un autore di un attacco riesce a ottenere la password dell'utente, questa risulta inutile se non è in possesso del metodo di autenticazione aggiuntivo.Even if an attacker manages to learn the user's password, it is useless without also having possession of the additional authentication method. In genere richiede due o più dei metodi di autenticazione seguenti:It works by requiring two or more of the following authentication methods:

  • Un'informazione nota (in genere una password)Something you know (typically a password)
  • Un oggetto che si possiede (un dispositivo attendibile non facile da duplicare, ad esempio un telefono)Something you have (a trusted device that is not easily duplicated, like a phone)
  • Una caratteristica fisica dell'utente (biometrica)Something you are (biometrics)

Immagine di metodi di autenticazione concettuali

Conceptual authentication methods image

Azure Multi-Factor Authentication consente di proteggere l'accesso ai dati e alle applicazioni, garantendo al tempo stesso un utilizzo semplice agli utenti.Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications while maintaining simplicity for users. Offre ulteriore sicurezza richiedendo una seconda forma di autenticazione nonché un'autenticazione avanzata tramite una gamma di metodi di autenticazione semplici.It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. Gli utenti possono o meno visualizzare una richiesta di autenticazione MFA in base alle decisioni di configurazione prese da un amministratore.Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

Come ottenere Multi-Factor AuthenticationHow to get Multi-Factor Authentication?

Multi-Factor Authentication è inclusa in quanto parte delle offerte seguenti:Multi-Factor Authentication comes as part of the following offerings:

  • Azure Active Directory Premium o Microsoft 365 business : uso completo dell'autenticazione a più fattori di Azure tramite criteri di accesso condizionale per richiedere l'autenticazione a più fattori.Azure Active Directory Premium or Microsoft 365 Business - Full featured use of Azure Multi-Factor Authentication using Conditional Access policies to require multi-factor authentication.

  • Azure ad free o licenze di Office 365 autonome: usare i criteri di protezione di base per l'accesso condizionale predefinito per richiedere l'autenticazione a più fattori per gli utenti e gli amministratori.Azure AD Free or standalone Office 365 licenses - Use pre-created Conditional Access baseline protection policies to require multi-factor authentication for your users and administrators.

  • Amministratori globali di Azure Active Directory: per proteggere gli account di amministratore globale è disponibile un subset di funzionalità di Azure multi-Factor Authentication.Azure Active Directory Global Administrators - A subset of Azure Multi-Factor Authentication capabilities are available as a means to protect global administrator accounts.

Nota

I nuovi clienti non possono più acquistare Azure Multi-Factor Authentication come offerta autonoma valida dal 1 ° settembre 2018.New customers may no longer purchase Azure Multi-Factor Authentication as a standalone offering effective September 1st, 2018. L'autenticazione a più fattori continuerà a essere una funzionalità disponibile nelle licenze di Azure AD Premium.Multi-factor authentication will continue to be an available feature in Azure AD Premium licenses.

SupportoSupportability

Poiché la maggior parte degli utenti è abituata a usare le password solo per l'autenticazione, è importante che l'organizzazione si metta in comunicazione con tutti gli utenti per informarli in merito al processo.Since most users are accustomed to using only passwords to authenticate, it is important that your organization communicates to all users regarding this process. La consapevolezza può ridurre la probabilità che gli utenti contattino l'help desk per problemi di lieve entità riguardanti l'autenticazione a più fattori.Awareness can reduce the likelihood that users call your help desk for minor issues related to MFA. Esistono tuttavia alcuni scenari in cui è necessario disabilitare temporaneamente MFA.However, there are some scenarios where temporarily disabling MFA is necessary. Per sapere come gestire questi scenari, usare le linee guida seguenti:Use the following guidelines to understand how to handle those scenarios:

  • Istruire il personale di supporto per le situazioni in cui l'utente non riesce ad accedere perché non ha accesso ai suoi metodi di autenticazione oppure perchè questi ultimi non funzionano correttamente.Train your support staff to handle scenarios where the user can't sign in because they do not have access to their authentication methods or they are not working correctly.
    • Usando i criteri di accesso condizionale per il Servizio autenticazione a più fattori di Azure, il personale di supporto può aggiungere un utente a un gruppo escluso dai criteri che richiedono l'autenticazione a più fattori.Using Conditional Access policies for Azure MFA Service, your support staff can add a user to a group that is excluded from a policy requiring MFA.
  • Provare a usare i percorsi denominati di accesso condizionale per ridurre al minimo le richieste di verifica in due passaggi.Consider using Conditional Access named locations as a way to minimize two-step verification prompts. Con questa funzionalità gli amministratori possono ignorare la verifica in due passaggi per gli utenti che accedono da un percorso di rete attendibile sicuro, ad esempio un segmento di rete usato per l'onboarding di un nuovo utente.With this functionality, administrators can bypass two-step verification for users that are signing in from a secure trusted network location such as a network segment used for new user onboarding.
  • Distribuire Azure AD Identity Protection e attivare la verifica in due passaggi basata su eventi di rischio.Deploy Azure AD Identity Protection and trigger two-step verification based on risk events.

Passaggi successiviNext steps