Pianificazione di una distribuzione di Azure Multi-Factor Authentication basata sul cloudPlanning a cloud-based Azure Multi-Factor Authentication deployment

Le persone si connettono alle risorse dell'organizzazione in scenari sempre più complessi.People are connecting to organizational resources in increasingly complicated scenarios. Le persone si connettono a dispositivi personali, personali e di proprietà dell'organizzazione in rete aziendale tramite smartphone, tablet, PC e portatili, spesso su più piattaforme.People connect from organization-owned, personal, and public devices on and off the corporate network using smart phones, tablets, PCs, and laptops, often on multiple platforms. In questo mondo sempre connesso, multidispositivo e multipiattaforma, la sicurezza degli account utente è più importante che mai.In this always-connected, multi-device and multi-platform world, the security of user accounts is more important than ever. Le password, a prescindere dalla loro complessità, utilizzate tra dispositivi, reti e piattaforme non sono più sufficienti per garantire la sicurezza dell'account utente, specialmente quando gli utenti tendono a riutilizzare le password tra gli account.Passwords, no matter their complexity, used across devices, networks, and platforms are no longer sufficient to ensure the security of the user account, especially when users tend to reuse passwords across accounts. Il phishing sofisticato e altri attacchi di ingegneria sociale possono comportare la pubblicazione e la vendita di nomi utente e password in un sito Web scuro.Sophisticated phishing and other social engineering attacks can result in usernames and passwords being posted and sold across the dark web.

Azure multi-factor authentication ( multi-factor authentication) consente di proteggere l'accesso ai dati e alle applicazioni.Azure Multi-Factor Authentication (MFA) helps safeguard access to data and applications. Fornisce un livello di sicurezza aggiuntivo utilizzando una seconda forma di autenticazione.It provides an additional layer of security using a second form of authentication. Le organizzazioni possono usare l'accesso condizionale per rendere la soluzione adatta alle proprie esigenze specifiche.Organizations can use Conditional Access to make the solution fit their specific needs.

PrerequisitiPrerequisites

Prima di iniziare una distribuzione di Azure Multi-Factor Authentication, è necessario prendere in considerazione elementi prerequisiti.Before starting a deployment of Azure Multi-Factor Authentication, there are prerequisite items that should be considered.

ScenarioScenario PrerequisitoPrerequisite
Ambiente di identità solo cloud con autenticazione modernaCloud-only identity environment with modern authentication Nessuna attività dei prerequisiti aggiuntivaNo additional prerequisite tasks
Scenari di identità ibridaHybrid identity scenarios Azure ad Connect viene distribuita e le identità utente sono sincronizzate o federate con la Active Directory Domain Services locale con Azure Active Directory.Azure AD Connect is deployed and user identities are synchronized or federated with the on-premises Active Directory Domain Services with Azure Active Directory.
Applicazioni legacy locali pubblicate per l'accesso al cloudOn-premises legacy applications published for cloud access Azure AD proxy di applicazione viene distribuito.Azure AD Application Proxy is deployed.
Uso dell'autenticazione a più fattori di Azure con l'autenticazione RADIUSUsing Azure MFA with RADIUS Authentication Viene distribuito un Server dei criteri di rete .A Network Policy Server (NPS) is deployed.
Gli utenti hanno Microsoft Office 2010 o versioni precedenti o Apple Mail per iOS 11 o versioni precedentiUsers have Microsoft Office 2010 or earlier, or Apple Mail for iOS 11 or earlier Eseguire l'aggiornamento a Microsoft Office 2013 o versione successiva e Apple Mail per iOS 12 o versione successiva.Upgrade to Microsoft Office 2013 or later and Apple mail for iOS 12 or later. L'accesso condizionale non è supportato dai protocolli di autenticazione legacy.Conditional Access is not supported by legacy authentication protocols.

Pianificare l'implementazione utentePlan user rollout

Il piano di implementazione di multi-factor authentication deve includere una distribuzione pilota seguita da Waves di distribuzione che si trovano all'interno della capacità di supporto.Your MFA rollout plan should include a pilot deployment followed by deployment waves that are within your support capacity. Iniziare l'implementazione applicando i criteri di accesso condizionale a un piccolo gruppo di utenti pilota.Begin your rollout by applying your Conditional Access policies to a small group of pilot users. Dopo aver valutato l'effetto sugli utenti pilota, i processi usati e i comportamenti di registrazione, è possibile aggiungere altri gruppi al criterio o aggiungere altri utenti ai gruppi esistenti.After evaluating the effect on the pilot users, process used, and registration behaviors, you can either add more groups to the policy or add more users to the existing groups.

Comunicazioni utenteUser communications

È fondamentale informare gli utenti, nelle comunicazioni pianificate, sulle modifiche imminenti, sui requisiti di registrazione dell'autenticazione a più fattori di Azure e sulle azioni utente necessarie.It is critical to inform users, in planned communications, about upcoming changes, Azure MFA registration requirements, and any necessary user actions. È consigliabile che le comunicazioni siano sviluppate insieme ai rappresentanti all'interno dell'organizzazione, ad esempio le comunicazioni, la gestione delle modifiche o i reparti delle risorse umane.We recommend communications are developed in concert with representatives from within your organization, such as a Communications, Change Management, or Human Resources departments.

Microsoft fornisce modelli di comunicazione e documentazione per l' utente finale per facilitare la stesura delle comunicazioni.Microsoft provides communication templates and end-user documentation to help draft your communications. È possibile inviare utenti a https://myprofile.microsoft.com per la registrazione diretta selezionando i collegamenti info di sicurezza nella pagina.You can send users to https://myprofile.microsoft.com to register directly by selecting the Security Info links on that page.

Considerazioni sulla distribuzioneDeployment considerations

Azure Multifactor Authentication viene distribuito applicando criteri con accesso condizionale.Azure Multi-factor Authentication is deployed by enforcing policies with Conditional Access. Un criterio di accesso condizionale può richiedere agli utenti di eseguire l'autenticazione a più fattori quando vengono soddisfatti determinati criteri, ad esempio:A Conditional Access policy can require users to perform multi-factor authentication when certain criteria are met such as:

  • Tutti gli utenti, un utente specifico, un membro di un gruppo o un ruolo assegnatoAll users, a specific user, member of a group, or assigned role
  • Applicazione cloud specifica a cui si accedeSpecific cloud application being accessed
  • Piattaforma del dispositivoDevice platform
  • Stato del dispositivoState of device
  • Percorso di rete o indirizzo IP geograficoNetwork location or geo-located IP address
  • Applicazioni clientClient applications
  • Rischio di accesso (richiede Identity Protection)Sign-in risk (Requires Identity Protection)
  • Dispositivo conformeCompliant device
  • Dispositivo aggiunto all'identità ibrida di Azure ADHybrid Azure AD joined device
  • Applicazione client approvataApproved client application

Usare i poster e i modelli di posta elettronica personalizzabili nei materiali di implementazione di autenticazione a più fattori per implementare la funzionalità di autenticazione a più fattori per l'organizzazione.Use the customizable posters and email templates in multi-factor authentication rollout materials to roll out multi-factor authentication to your organization.

Abilitare Multi-Factor Authentication con l'accesso condizionaleEnable Multi-Factor Authentication with Conditional Access

I criteri di accesso condizionale applicano la registrazione, richiedendo agli utenti non registrati di completare la registrazione al primo accesso, una considerazione importante per la sicurezza.Conditional Access policies enforce registration, requiring unregistered users to complete registration at first sign-in, an important security consideration.

Azure ad Identity Protection fornisce un criterio di registrazione per il rilevamento dei rischi automatizzati e i criteri di correzione per la storia di multi-factor authentication di Azure.Azure AD Identity Protection contributes both a registration policy for and automated risk detection and remediation policies to the Azure Multi-Factor Authentication story. È possibile creare criteri per forzare le modifiche delle password quando esiste una minaccia di identità compromessa o richiedere l'autenticazione a più fattori quando un accesso viene considerato rischioso dagli eventiseguenti:Policies can be created to force password changes when there is a threat of compromised identity or require MFA when a sign-in is deemed risky by the following events:

  • Credenziali perseLeaked credentials
  • Accessi da indirizzi IP anonimiSign-ins from anonymous IP addresses
  • Trasferimento impossibile a posizioni atipicheImpossible travel to atypical locations
  • Accessi da posizioni non noteSign-ins from unfamiliar locations
  • Accessi da dispositivi infettiSign-ins from infected devices
  • Accessi da indirizzi IP con attività sospetteSign-ins from IP addresses with suspicious activities

Alcuni dei rilevamenti dei rischi rilevati da Azure Active Directory Identity Protection si verificano in tempo reale e altri richiedono l'elaborazione offline.Some of the risk detections detected by Azure Active Directory Identity Protection occur in real time and some require offline processing. Gli amministratori possono scegliere di bloccare gli utenti che presentano comportamenti rischiosi e correggere manualmente, richiedere una modifica della password o richiedere un'autenticazione a più fattori come parte dei criteri di accesso condizionale.Administrators can choose to block users who exhibit risky behaviors and remediate manually, require a password change, or require a multi-factor authentication as part of their Conditional Access policies.

Definire i percorsi di reteDefine network locations

È consigliabile che le organizzazioni usino l'accesso condizionale per definire la propria rete usando localitàdenominate.We recommended that organizations use Conditional Access to define their network using named locations. Se l'organizzazione USA Identity Protection, è consigliabile usare criteri basati sul rischio anziché percorsi denominati.If your organization is using Identity Protection, consider using risk-based policies instead of named locations.

Configurazione di un percorso denominatoConfiguring a named location

  1. Aprire Azure Active Directory nella portale di AzureOpen Azure Active Directory in the Azure portal
  2. Fare clic su accesso condizionaleClick Conditional Access
  3. Fare clic su località denominateClick Named Locations
  4. Fare clic su nuova posizioneClick New Location
  5. Nel campo nome specificare un nome significativoIn the Name field, provide a meaningful name
  6. Consente di indicare se si sta definendo il percorso usando gli intervalli IP o i paesi/aree geograficheSelect whether you are defining the location using IP ranges or Countries/Regions
    1. Se si usano gli intervalli IPIf using IP Ranges
      1. Decidere se contrassegnare il percorso come attendibile.Decide whether to mark the location as Trusted. L'accesso da una posizione attendibile riduce il rischio di accesso dell'utente.Signing in from a trusted location lowers a user's sign-in risk. Contrassegnare questo percorso come attendibile se si è certi che gli intervalli IP immessi siano stabiliti e credibili nell'organizzazione.Only mark this location as trusted if you know the IP ranges entered are established and credible in your organization.
      2. Specificare gli intervalli IPSpecify the IP Ranges
    2. Se si usano paesi/aree geograficheIf using Countries/Regions
      1. Espandere il menu a discesa e selezionare i paesi o le aree geografiche che si desidera definire per la località specificata.Expand the drop-down menu and select the countries or regions you wish to define for this named location.
      2. Decidere se includere aree sconosciute.Decide whether to Include unknown areas. Le aree sconosciute sono indirizzi IP di cui non è possibile eseguire il mapping a un paese/area geografica.Unknown areas are IP addresses that can't be mapped to a country/region.
  7. Fare clic su CreaClick Create

Pianificare i metodi di autenticazionePlan authentication methods

Gli amministratori possono scegliere i metodi di autenticazione che desiderano rendere disponibili per gli utenti.Administrators can choose the authentication methods that they want to make available for users. È importante consentire più di un singolo metodo di autenticazione in modo che gli utenti dispongano di un metodo di backup disponibile nel caso in cui il metodo principale non sia disponibile.It is important to allow more than a single authentication method so that users have a backup method available in case their primary method is unavailable. Per consentire agli amministratori di abilitare, sono disponibili i metodi seguenti:The following methods are available for administrators to enable:

Notifica tramite l'app per dispositivi mobiliNotification through mobile app

Viene inviata una notifica push all'app Microsoft Authenticator nel dispositivo mobile.A push notification is sent to the Microsoft Authenticator app on your mobile device. L'utente Visualizza la notifica e seleziona approva per completare la verifica.The user views the notification and selects Approve to complete verification. Le notifiche push tramite un'app per dispositivi mobili offrono l'opzione meno intrusiva per gli utenti.Push notifications through a mobile app provide the least intrusive option for users. Sono anche l'opzione più affidabile e sicura perché usano una connessione dati invece della telefonia.They are also the most reliable and secure option because they use a data connection rather than telephony.

Nota

Se l'organizzazione dispone di personale che lavora o viaggia in Cina, la notifica tramite il metodo dell' app mobile nei dispositivi Android non funziona in quel paese.If your organization has staff working in or traveling to China, the Notification through mobile app method on Android devices does not work in that country. È necessario rendere disponibili metodi alternativi per tali utenti.Alternate methods should be made available for those users.

Codice di verifica dall'app per dispositivi mobiliVerification code from mobile app

Un'app per dispositivi mobili come l'app Microsoft Authenticator genera un nuovo codice di verifica del GIURAmento ogni 30 secondi.A mobile app like the Microsoft Authenticator app generates a new OATH verification code every 30 seconds. L'utente immette il codice di verifica nell'interfaccia di accesso.The user enters the verification code into the sign-in interface. L'opzione app per dispositivi mobili può essere usata indipendentemente dal fatto che il telefono abbia o meno un segnale dati o cellulare.The mobile app option can be used whether or not the phone has a data or cellular signal.

Chiamata al telefonoCall to phone

Viene effettuata una chiamata vocale automatizzata all'utente.An automated voice call is placed to the user. L'utente risponde alla chiamata e preme # il tastierino telefonico per approvare l'autenticazione.The user answers the call and presses # on the phone keypad to approve their authentication. La chiamata al telefono è un ottimo metodo di backup per il codice di notifica o di verifica da un'app per dispositivi mobili.Call to phone is a great backup method for notification or verification code from a mobile app.

SMS al telefonoText message to phone

All'utente viene inviato un messaggio di testo contenente un codice di verifica, all'utente viene richiesto di immettere il codice di verifica nell'interfaccia di accesso.A text message that contains a verification code is sent to the user, the user is prompted to enter the verification code into the sign-in interface.

Scegliere le opzioni di verificaChoose verification options

  1. Passare ad Azure Active Directory, Utenti, Multi-Factor Authentication.Browse to Azure Active Directory, Users, Multi-Factor Authentication.

    Accesso al portale Multi-Factor Authentication dal pannello Utenti di Azure AD nel portale di Azure

  2. Nella nuova scheda che si apre passare a Impostazioni del servizio.In the new tab that opens browse to service settings.

  3. In Opzioni di verifica selezionare tutte le caselle per i metodi disponibili per gli utenti.Under verification options, check all of the boxes for methods available to users.

    Configurare i metodi di verifica nella scheda delle impostazioni del servizio Multi-Factor Authentication

  4. Fare clic su Save.Click on Save.

  5. Chiudere la scheda Impostazioni del servizio.Close the service settings tab.

Pianificare i criteri di registrazionePlan registration policy

Gli amministratori devono determinare il modo in cui gli utenti registreranno i loro metodi.Administrators must determine how users will register their methods. Le organizzazioni devono abilitare la nuova esperienza di registrazione combinata per l'autenticazione a più fattori di Azure e la reimpostazione della password self-service (SSPR).Organizations should enable the new combined registration experience for Azure MFA and self-service password reset (SSPR). SSPR consente agli utenti di reimpostare la password in modo sicuro usando gli stessi metodi usati per l'autenticazione a più fattori.SSPR allows users to reset their password in a secure way using the same methods they use for multi-factor authentication. È consigliabile usare questa registrazione combinata, attualmente disponibile in anteprima pubblica, perché si tratta di un'esperienza ottimale per gli utenti, con la possibilità di registrarsi una sola volta per entrambi i servizi.We recommend this combined registration, currently in public preview, because it’s a great experience for users, with the ability to register once for both services. L'abilitazione degli stessi metodi per SSPR e l'autenticazione a più fattori di Azure consentirà agli utenti di essere registrati per usare entrambe le funzionalità.Enabling the same methods for SSPR and Azure MFA will allow your users to be registered to use both features.

Registrazione con Identity ProtectionRegistration with Identity Protection

Se l'organizzazione USA Azure Active Directory Identity Protection, configurare i criteri di registrazione dell' autenticazione a più fattori per richiedere agli utenti di registrarsi al successivo accesso interattivo.If your organization is using Azure Active Directory Identity Protection, configure the MFA registration policy to prompt your users to register the next time they sign in interactively.

Registrazione senza Identity ProtectionRegistration without Identity Protection

Se l'organizzazione non ha licenze che abilitano la protezione delle identità, agli utenti viene richiesto di effettuare la registrazione alla successiva richiesta di autenticazione a più fattori al momento dell'accesso.If your organization does not have licenses that enable Identity Protection, users are prompted to register the next time that MFA is required at sign-in. Gli utenti potrebbero non essere registrati per l'autenticazione a più fattori se non usano applicazioni protette con multi-factor authentication.Users may not be registered for MFA if they don't use applications protected with MFA. È importante che tutti gli utenti siano registrati in modo che gli attori malintenzionati non possano indovinare la password di un utente e registrarsi per l'autenticazione a più fattori per loro conto, assumendo effettivamente il controllo dell'account.It's important to get all users registered so that bad actors cannot guess the password of a user and register for MFA on their behalf, effectively taking control of the account.

Applicazione della registrazioneEnforcing registration

Usando i passaggi seguenti un criterio di accesso condizionale può forzare gli utenti a registrarsi per Multi-Factor AuthenticationUsing the following steps a Conditional Access policy can force users to register for Multi-Factor Authentication

  1. Creare un gruppo, aggiungere tutti gli utenti non attualmente registrati.Create a group, add all users not currently registered.
  2. Con l'accesso condizionale, applicare l'autenticazione a più fattori per questo gruppo per l'accesso a tutte le risorse.Using Conditional Access, enforce multi-factor authentication for this group for access to all resources.
  3. Periodicamente, rivalutare l'appartenenza al gruppo e rimuovere gli utenti che hanno eseguito la registrazione dal gruppo.Periodically, reevaluate the group membership, and remove users who have registered from the group.

È possibile identificare gli utenti di Azure multi-factor authentication registrati e non registrati con i comandi di PowerShell che si basano sul modulo MSOnline di PowerShell.You may identify registered and non-registered Azure MFA users with PowerShell commands that rely on the MSOnline PowerShell module.

Identificazione degli utenti registratiIdentify registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods -ne $null} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

Identificare utenti non registratiIdentify non-registered users

Get-MsolUser -All | where {$_.StrongAuthenticationMethods.Count -eq 0} | Select-Object -Property UserPrincipalName | Sort-Object userprincipalname 

Convertire gli utenti dall'autenticazione a più fattori per utente all'autenticazione a più fattoriConvert users from per-user MFA to Conditional Access based MFA

Se gli utenti sono stati abilitati con l'abilitazione per l'utente e l'applicazione di Azure Multi-Factor Authentication, il seguente PowerShell può risultare utile per eseguire la conversione in Azure Multi-Factor Authentication basato sull'accesso condizionale.If your users were enabled using per-user enabled and enforced Azure Multi-Factor Authentication the following PowerShell can assist you in making the conversion to Conditional Access based Azure Multi-Factor Authentication.

Eseguire questo PowerShell in una finestra ISE o salvarlo come. File PS1 da eseguire localmente.Run this PowerShell in an ISE window or save as a .PS1 file to run locally.

# Disable MFA for all users, keeping their MFA methods intact
Get-MsolUser -All | Disable-MFA -KeepMethods

# Wrapper to disable MFA with the option to keep the MFA methods (to avoid having to proof-up again later)
function Disable-MFA {

    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipeline=$True)]
        $User,
        [switch] $KeepMethods
    )

    Process {

        Write-Verbose ("Disabling MFA for user '{0}'" -f $User.UserPrincipalName)
        $User | Set-MfaState -State Disabled

        if ($KeepMethods) {
            # Restore the MFA methods which got cleared when disabling MFA
            Set-MsolUser -ObjectId $User.ObjectId `
                         -StrongAuthenticationMethods $User.StrongAuthenticationMethods
        }
    }
}

# Sets the MFA requirement state
function Set-MfaState {

    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )

    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }

        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}

Pianificare i criteri di accesso condizionalePlan Conditional Access policies

Per pianificare la strategia di criteri di accesso condizionale, che determina quando sono necessari l'autenticazione a più fattori e altri controlli, vedere informazioni sull' accesso condizionale in Azure Active Directory.To plan your Conditional Access policy strategy, which will determine when MFA and other controls are required, refer to What is Conditional Access in Azure Active Directory?.

È importante impedire il blocco inavvertitamente del tenant Azure AD.It is important that you prevent being inadvertently locked out of your Azure AD tenant. È possibile ridurre l'effetto di questa mancanza accidentale di accesso amministrativo creando due o più account di accesso di emergenza nel tenant ed escludendo questi ultimi dai criteri di accesso condizionale.You can mitigate the impact of this inadvertent lack of administrative access by creating two or more emergency access accounts in your tenant and excluding them from your Conditional Access policy.

Creare criteri di accesso condizionaleCreate Conditional Access policy

  1. Accedere al portale di Azure con un account amministratore globale.Sign in to the Azure portal using a global administrator account.
  2. Passare ad Azure Active Directory, Accesso condizionale.Browse to Azure Active Directory, Conditional Access.
  3. Selezionare Nuovi criteri.Select New policy.
  4. Immettere un nome significativo per i criteri.Provide a meaningful name for your policy.
  5. In Utenti e gruppi:Under users and groups:
    • Nella scheda Includere selezionare il pulsante di opzione Tutti gli utentiOn the Include tab, select the All users radio button
    • Nella scheda Escludi selezionare la casella per utenti e gruppi e scegliere gli account di accesso di emergenza.On the Exclude tab, check the box for Users and groups and choose your emergency access accounts.
    • Fare clic su Done.Click Done.
  6. In App cloud selezionare il pulsante di opzione Tutte le app cloud.Under Cloud apps, select the All cloud apps radio button.
    • FACOLTATIVAMENTE: nella scheda Escludere scegliere le app cloud per le quali l'organizzazione non richiede MFA.OPTIONALLY: On the Exclude tab, choose cloud apps that your organization does not require MFA for.
    • Fare clic su Done.Click Done.
  7. Nella sezione Condizioni:Under Conditions section:
    • FACOLTATIVAMENTE: se è stato abilitato Azure Identity Protection, è possibile scegliere di valutare il rischio di accesso come parte dei criteri.OPTIONALLY: If you have enabled Azure Identity Protection, you can choose to evaluate sign-in risk as part of the policy.
    • FACOLTATIVAMENTE: se sono state configurate posizioni attendibili o località denominate, è possibile specificare di includere o escludere tali percorsi dai criteri.OPTIONALLY: If you have configured trusted locations or named locations, you can specify to include or exclude those locations from the policy.
  8. In Concedi assicurarsi che il pulsante di opzione Concedi accesso sia selezionato.Under Grant, make sure the Grant access radio button is selected.
    • Selezionare la casella Richiedi autenticazione a più fattori.Check the box for Require multi-factor authentication.
    • Fare clic su Seleziona.Click Select.
  9. Ignorare la sezione Sessione.Skip the Session section.
  10. Impostare l'interruttore Abilita criterio su .Set the Enable policy toggle to On.
  11. Fare clic su Create(Crea).Click Create.

Creare un criterio di accesso condizionale per abilitare l'autenticazione a più fattori per portale di Azure utenti nel gruppo pilota

Pianificare l'integrazione con i sistemi localiPlan integration with on-premises systems

Alcune applicazioni legacy e locali che non eseguono l'autenticazione direttamente in Azure AD richiedono passaggi aggiuntivi per l'uso dell'autenticazione a più fattori, tra cui:Some legacy and on-premises applications that do not authenticate directly against Azure AD require additional steps to use MFA including:

  • Applicazioni locali legacy, che dovranno usare il proxy di applicazione.Legacy on-premises applications, which will need to use Application proxy.
  • Applicazioni RADIUS locali, che dovranno usare la scheda autenticazione a più fattori con server NPS.On-premises RADIUS applications, which will need to use MFA adapter with NPS server.
  • Applicazioni AD FS locali, che dovranno usare la scheda multi-factor authentication con AD FS 2016 o versione successiva.On-premises AD FS applications, which will need to use MFA adapter with AD FS 2016 or newer.

Le applicazioni che eseguono l'autenticazione direttamente con Azure AD e hanno l'autenticazione moderna (WS-Fed, SAML, OAuth, OpenID Connect) possono usare direttamente i criteri di accesso condizionale.Applications that authenticate directly with Azure AD and have modern authentication (WS-Fed, SAML, OAuth, OpenID Connect) can make use of Conditional Access policies directly.

Usare l'autenticazione a più fattori di Azure con Azure AD proxy applicazioneUse Azure MFA with Azure AD Application Proxy

Le applicazioni che risiedono in locale possono essere pubblicate nel tenant di Azure AD tramite Azure ad proxy di applicazione e possono sfruttare i vantaggi di Azure multi-factor authentication se sono configurate per l'uso Azure ad pre-autenticazione.Applications residing on-premises can be published to your Azure AD tenant via Azure AD Application Proxy and can take advantage of Azure Multi-Factor Authentication if they are configured to use Azure AD pre-authentication.

Queste applicazioni sono soggette ai criteri di accesso condizionale che applicano Multi-Factor Authentication di Azure, proprio come qualsiasi altra applicazione integrata Azure AD.These applications are subject to Conditional Access policies that enforce Azure Multi-Factor Authentication, just like any other Azure AD-integrated application.

Analogamente, se Azure Multi-Factor Authentication viene applicato per tutti gli accessi degli utenti, le applicazioni locali pubblicate con Azure AD proxy di applicazione verranno protette.Likewise, if Azure Multi-Factor Authentication is enforced for all user sign-ins, on-premises applications published with Azure AD Application Proxy will be protected.

Integrazione di Multi-Factor Authentication di Azure con il server dei criteri di reteIntegrating Azure Multi-Factor Authentication with Network Policy Server

L'estensione di Server dei criteri di rete (NPS) per Azure MFA aggiunge funzionalità MFA basate su cloud per l'infrastruttura di autenticazione usando i server esistenti.The Network Policy Server (NPS) extension for Azure MFA adds cloud-based MFA capabilities to your authentication infrastructure using your existing servers. Con l'estensione NPS, è possibile aggiungere una chiamata telefonica, un SMS o una verifica dell'app telefonica al flusso di autenticazione esistente.With the NPS extension, you can add phone call, text message, or phone app verification to your existing authentication flow. Questa integrazione presenta le limitazioni seguenti:This integration has the following limitations:

  • Con il protocollo CHAPv2, sono supportate solo le notifiche push dell'app di autenticazione e la chiamata vocale.With the CHAPv2 protocol, only authenticator app push notifications and voice call are supported.
  • Non è possibile applicare i criteri di accesso condizionale.Conditional Access policies cannot be applied.

L'estensione server dei criteri di rete funge da adattatore tra RADIUS e l'autenticazione a più fattori di Azure basata sul cloud per fornire un secondo fattore di autenticazione per proteggere la VPN, le connessioni Desktop remoto Gatewayo altre applicazioni che supportano RADIUS.The NPS extension acts as an adapter between RADIUS and cloud-based Azure MFA to provide a second factor of authentication to protect VPN, Remote Desktop Gateway connections, or other RADIUS capable applications. Gli utenti registrati per l'autenticazione a più fattori di Azure in questo ambiente verranno contestati per tutti i tentativi di autenticazione, la mancanza di criteri di accesso condizionale significa che l'autenticazione a più fattori è sempre obbligatoriaUsers that register for Azure MFA in this environment will be challenged for all authentication attempts, the lack of Conditional Access policies means MFA is always required.

Implementazione del server NPSImplementing your NPS server

Se è già stata distribuita un'istanza NPS e in uso, fare riferimento a integrare l'infrastruttura NPS esistente con multi-factor authentication di Azure.If you have an NPS instance deployed and in use already, reference Integrate your existing NPS Infrastructure with Azure Multi-Factor Authentication. Se si sta configurando Server dei criteri di rete per la prima volta, fare riferimento a Server dei criteri di rete (NPS) per le istruzioni.If you are setting up NPS for the first time, refer to Network Policy Server (NPS) for instructions. Le linee guida per la risoluzione dei problemi sono disponibili nell'articolo risolvere i messaggi di errore dall'estensione NPS per Azure multi-factor authentication.Troubleshooting guidance can be found in the article Resolve error messages from the NPS extension for Azure Multi-Factor Authentication.

Preparare NPS per utenti che non sono registrati per l'autenticazione a più fattoriPrepare NPS for users that aren't enrolled for MFA

Scegliere cosa accade quando gli utenti che non sono registrati con l'autenticazione a più fattori tentano di eseguire l'autenticazione.Choose what happens when users that aren’t enrolled with MFA try to authenticate. Usare l'impostazione REQUIRE_USER_MATCH del registro di sistema nel HKLM\Software\Microsoft\AzureMFA percorso del registro di sistema per controllare il comportamento della funzionalità.Use the registry setting REQUIRE_USER_MATCH in the registry path HKLM\Software\Microsoft\AzureMFA to control the feature behavior. Questa impostazione ha un'unica opzione di configurazione.This setting has a single configuration option.

ChiaveKey ValueValue PredefinitoDefault
REQUIRE_USER_MATCH TRUE/FALSETRUE / FALSE Non impostato (equivalente a VERO)Not set (equivalent to TRUE)

Lo scopo di questa impostazione è stabilire cosa fare quando un utente non è registrato per MFA.The purpose of this setting is to determine what to do when a user is not enrolled for MFA. Gli effetti della modifica di questa impostazione sono elencati nella tabella seguente.The effects of changing this setting are listed in the table below.

ImpostazioniSettings Stato dell'autenticazione a più fattoriUser MFA Status EffettiEffects
La chiave non esisteKey does not exist Non registratoNot enrolled La richiesta di autenticazione a più fattori non è riuscitaMFA challenge is unsuccessful
Il valore è impostato su true/not setValue set to True / not set Non registratoNot enrolled La richiesta di autenticazione a più fattori non è riuscitaMFA challenge is unsuccessful
Chiave impostata su falseKey set to False Non registratoNot enrolled Autenticazione senza autenticazione a più fattoriAuthentication without MFA
La chiave è impostata su false o trueKey set to False or True RegistratiEnrolled Eseguire l'autenticazione con l'autenticazione a più fattoriMust authenticate with MFA

Integrazione con Active Directory Federation ServicesIntegrate with Active Directory Federation Services

Se l'organizzazione è federata con Azure AD, è possibile usare multi-factor authentication di Azure per proteggere le risorse ad FS, sia in locale che nel cloud.If your organization is federated with Azure AD, you can use Azure Multi-Factor Authentication to secure AD FS resources, both on-premises and in the cloud. Autenticazione a più fattori di Azure consente di ridurre le password e fornire un modo più sicuro per l'autenticazione.Azure MFA enables you to reduce passwords and provide a more secure way to authenticate. A partire da Windows Server 2016, è ora possibile configurare l'autenticazione a più fattori di Azure per l'autenticazione principale.Starting with Windows Server 2016, you can now configure Azure MFA for primary authentication.

A differenza di quanto accade con AD FS in Windows Server 2012 R2, l'adapter multi-factor authentication di Azure AD FS 2016 si integra direttamente con Azure AD e non richiede un server di autenticazione a più fattori locale di Azure.Unlike with AD FS in Windows Server 2012 R2, the AD FS 2016 Azure MFA adapter integrates directly with Azure AD and does not require an on-premises Azure MFA server. La scheda multi-factor authentication di Azure è incorporata in Windows Server 2016 e non è necessaria un'installazione aggiuntiva.The Azure MFA adapter is built into Windows Server 2016, and there is no need for an additional installation.

Quando si usa l'autenticazione a più fattori di Azure con AD FS 2016 e l'applicazione di destinazione è soggetta ai criteri di accesso condizionale, esistono ulteriori considerazioni:When using Azure MFA with AD FS 2016 and the target application is subject to Conditional Access policy, there are additional considerations:

  • L'accesso condizionale è disponibile quando l'applicazione è un relying party Azure AD, federata con AD FS 2016 o versione successiva.Conditional Access is available when the application is a relying party to Azure AD, federated with AD FS 2016 or newer.
  • L'accesso condizionale non è disponibile quando l'applicazione è un relying party AD FS 2016 o AD FS 2019 e viene gestita o federata con AD FS 2016 o AD FS 2019.Conditional Access is not available when the application is a relying party to AD FS 2016 or AD FS 2019 and is managed or federated with AD FS 2016 or AD FS 2019.
  • L'accesso condizionale non è disponibile anche quando AD FS 2016 o AD FS 2019 è configurato per usare l'autenticazione a più fattori di Azure come metodo di autenticazione principale.Conditional Access is also not available when AD FS 2016 or AD FS 2019 is configured to use Azure MFA as the primary authentication method.

Registrazione AD FSAD FS logging

La registrazione standard AD FS 2016 e 2019 nel registro di sicurezza di Windows e nel registro AD FS amministratore contiene informazioni sulle richieste di autenticazione e il relativo esito positivo o negativo.Standard AD FS 2016 and 2019 logging in both the Windows Security Log and the AD FS Admin log, contains information about authentication requests and their success or failure. I dati del registro eventi all'interno di questi eventi indicheranno se è stato usato il multi-factor authentication.Event log data within these events will indicate whether Azure MFA was used. Ad esempio, un evento di controllo AD FS ID 1200 può contenere:For example, an AD FS Auditing Event ID 1200 may contain:

<MfaPerformed>true</MfaPerformed>
<MfaMethod>MFA</MfaMethod>

Rinnovo e gestione dei certificatiRenew and manage certificates

In ogni server AD FS, nel computer locale archivio personale, sarà presente un certificato di autenticazione a più fattori di Azure autofirmato denominato OU = Microsoft AD FS Azure multi-factor authentication, che contiene la data di scadenza del certificato.On each AD FS server, in the local computer My Store, there will be a self-signed Azure MFA certificate titled OU=Microsoft AD FS Azure MFA, which contains the certificate expiration date. Verificare il periodo di validità del certificato in ogni server AD FS per determinare la data di scadenza.Check the validity period of this certificate on each AD FS server to determine the expiration date.

Se il periodo di validità dei certificati è prossimo alla scadenza, generare e verificare un nuovo certificato multi-factor authentication in ogni server ad FS.If the validity period of your certificates is nearing expiration, generate and verify a new MFA certificate on each AD FS server.

Le linee guida seguenti illustrano come gestire i certificati di autenticazione a più fattori di Azure nei server AD FS.The following guidance details how to manage the Azure MFA certificates on your AD FS servers. Quando si configura ad FS con l'autenticazione a più fattori di Azure, New-AdfsAzureMfaTenantCertificate i certificati generati tramite il cmdlet di PowerShell sono validi per 2 anni.When you configure AD FS with Azure MFA, the certificates generated via the New-AdfsAzureMfaTenantCertificate PowerShell cmdlet are valid for 2 years. Rinnovare e installare i certificati rinnovati prima della scadenza per le rotture di ovoidale nel servizio multi-factor authentication.Renew and install the renewed certificates prior to expiration to ovoid disruptions in MFA service.

Implementare il pianoImplement your plan

Ora che è stata pianificata la soluzione, è possibile implementare attenendosi alla procedura seguente:Now that you have planned your solution, you can implement by following the steps below:

  1. Soddisfare i prerequisiti necessariMeet any necessary prerequisites
    1. Distribuisci Azure ad Connect per qualsiasi scenario ibridoDeploy Azure AD Connect for any hybrid scenarios
    2. Distribuire Azure ad proxy di applicazione per le app locali pubblicate per l'accesso al cloudDeploy Azure AD Application Proxy for on any on-premises apps published for cloud access
    3. Distribuire NPS per qualsiasi autenticazione RADIUSDeploy NPS for any RADIUS authentication
    4. Assicurarsi che gli utenti abbiano eseguito l'aggiornamento alle versioni supportate di Microsoft Office con l'autenticazione moderna abilitataEnsure users have upgraded to supported versions of Microsoft Office with modern authentication enabled
  2. Configura metodi di autenticazione sceltiConfigure chosen authentication methods
  3. Definire i percorsi di rete denominatiDefine your named network locations
  4. Selezionare i gruppi per iniziare a implementare l'autenticazione a più fattori.Select groups to begin rolling out MFA.
  5. Configurare i criteri di accesso condizionaleConfigure your Conditional Access policies
  6. Configurare i criteri di registrazione di autenticazione a più fattoriConfigure your MFA registration policy
    1. Multi-factor authentication e SSPRCombined MFA and SSPR
    2. Con Identity ProtectionWith Identity Protection
  7. Inviare le comunicazioni utente e chiedere agli utenti di registrarsi all'indirizzohttps://aka.ms/mfasetupSend user communications and get users to enroll at https://aka.ms/mfasetup
  8. Tenere traccia degli utenti registratiKeep track of who’s enrolled

Suggerimento

Gli utenti del cloud per enti pubblici possono iscriversi all'indirizzohttps://aka.ms/GovtMFASetupGovernment cloud users can enroll at https://aka.ms/GovtMFASetup

Gestire la soluzioneManage your solution

Report per l'autenticazione a più fattori di AzureReports for Azure MFA

Azure Multi-Factor Authentication fornisce report tramite i portale di Azure:Azure Multi-Factor Authentication provides reports through the Azure portal:

ReportReport LocationLocation DescrizioneDescription
Avvisi di illecito e utilizzoUsage and fraud alerts Azure AD > AccessiAzure AD > Sign-ins Fornisce informazioni su utilizzo complessivo, riepilogo utenti e dettagli utente; nonché una cronologia degli avvisi di illecito inviati durante l'intervallo di date specificato.Provides information on overall usage, user summary, and user details; as well as a history of fraud alerts submitted during the date range specified.

Risolvere i problemi di autenticazione a più fattoriTroubleshoot MFA issues

Trovare soluzioni per problemi comuni con l'autenticazione a più fattori di Azure nell' articolo sulla risoluzione dei problemi di azure multi-factor authentication in supporto tecnico Microsoft Center.Find solutions for common issues with Azure MFA at the Troubleshooting Azure Multi-Factor Authentication article on the Microsoft Support Center.

Passaggi successiviNext steps