Pianificare una Azure Active Directory multi-factor authentication

Azure Active Directory (Azure AD) Multi-Factor Authentication (MFA) consente di proteggere l'accesso a dati e applicazioni, fornendo un altro livello di sicurezza usando una seconda forma di autenticazione. Le organizzazioni possono abilitare l'autenticazione a più fattori con l'accesso condizionale per adattare la soluzione alle proprie esigenze specifiche.

Questa guida alla distribuzione illustra come pianificare e implementare un'implementazione Azure AD MFA.

Prerequisiti per la distribuzione di Azure AD MFA

Prima di iniziare la distribuzione, assicurarsi di soddisfare i prerequisiti seguenti per gli scenari pertinenti.

Scenario Prerequisito
Ambiente di gestione delle identità solo cloud con autenticazione moderna Nessuna attività prerequisita
Scenari di identità ibrida Distribuire Azure AD Connessione e sincronizzare le identità utente tra Active Directory locale Domain Services (AD DS) e Azure AD.
Applicazioni legacy locali pubblicate per l'accesso cloud Distribuire Azure AD Application Proxy

Scegliere i metodi di autenticazione per MFA

Esistono molti metodi che possono essere usati per un'autenticazione a secondo fattore. È possibile scegliere dall'elenco dei metodi di autenticazione disponibili, valutando ognuno in termini di sicurezza, usabilità e disponibilità.

Importante

Abilitare più di un metodo MFA in modo che gli utenti abbia un metodo di backup disponibile nel caso in cui il metodo primario non sia disponibile. I metodi comprendono:

Quando si scelgono i metodi di autenticazione che verranno usati nel tenant, considerare la sicurezza e l'usabilità di questi metodi:

Scegliere il metodo di autenticazione corretto

Per altre informazioni sulla complessità e la sicurezza di questi metodi e sul loro funzionamento, vedere le risorse seguenti:

È possibile usare questo script di PowerShell per analizzare le configurazioni MFA degli utenti e suggerire il metodo di autenticazione MFA appropriato.

Per la massima flessibilità e usabilità, usare l'app Microsoft Authenticator. Questo metodo di autenticazione offre la migliore esperienza utente e più modalità, ad esempio senza password, notifiche push MFA e codici OATH. L Microsoft Authenticator app soddisfa anche i requisiti NIST (National Institute of Standards and Technology) Authenticator Assurance Level 2.

È possibile controllare i metodi di autenticazione disponibili nel tenant. Ad esempio, è possibile bloccare alcuni dei metodi meno sicuri, ad esempio SMS.

Metodo di autenticazione Gestisci da Scoping
Microsoft Authenticator (notifica push e accesso tramite telefono senza password) Impostazioni dell'autenticazione a più fattori o
Criteri dei metodi di autenticazione Authenticator'accesso tramite telefono senza password può essere con ambito utenti e gruppi
Chiave di sicurezza FIDO2 Criteri dei metodi di autenticazione L'ambito può essere utenti e gruppi
Token OATH software o hardware Impostazioni dell'autenticazione a più fattori
Verifica tramite SMS Impostazioni dell'autenticazione a più fattori Gestire l'accesso SMS per l'autenticazione primaria nei criteri di autenticazione. L'ambito dell'accesso SMS può essere utenti e gruppi.
Chiamate vocali Criteri dei metodi di autenticazione

Pianificare i criteri di accesso condizionale

Azure AD'autenticazione a più fattori viene applicata con i criteri di accesso condizionale. Questi criteri consentono di richiedere agli utenti l'autenticazione a più fattori quando necessario per la sicurezza e di rimanere fuori dal modo in cui gli utenti non sono necessari.

Flusso del processo di accesso condizionale concettuale

Nel portale di Azure configurare i criteri di accesso condizionale in Azure Active Directory > sicurezza > condizionale.

Per altre informazioni sulla creazione di criteri di accesso condizionale, vedere Criteri di accesso condizionale per richiedere l'autenticazione Azure AD MFAquando un utente accede alla portale di Azure . Ciò consente di:

  • Acquisire familiarità con l'interfaccia utente
  • Ottenere una panoramica del funzionamento dell'accesso condizionale

Per indicazioni end-to-end sulla distribuzione Azure AD di accesso condizionale, vedere il piano di distribuzione dell'accesso condizionale.

Criteri comuni per Azure AD MFA

I casi d'uso comuni per richiedere Azure AD MFA includono:

Posizioni specifiche

Per gestire i criteri di accesso condizionale, la condizione di posizione di un criterio di accesso condizionale consente di associare le impostazioni dei controlli di accesso ai percorsi di rete degli utenti. È consigliabile usare Percorsi denominati per creare raggruppamenti logici di intervalli di indirizzi IP o paesi e aree geografiche. Verrà creato un criterio per tutte le app che bloccano l'accesso da tale posizione denominata. Assicurarsi di escludere gli amministratori da questi criteri.

Criteri basati sui rischi

Se l'organizzazione usa Azure AD Identity Protection per rilevare i segnali di rischio, è consigliabile usare criteri basati sul rischio anziché località denominate. È possibile creare criteri per forzare le modifiche della password in caso di minaccia di identità compromessa o richiedere l'autenticazione a più fattori quando un accesso viene considerato rischioso da eventi come la perdita di credenziali, l'accesso da indirizzi IP anonimi e altro ancora.

I criteri di rischio includono:

Convertire gli utenti dall'autenticazione a più fattori per singolo utente all'autenticazione a più fattori basata sull'accesso condizionale

Se gli utenti sono stati abilitati usando per utente abilitato e applicato Azure AD Multi-Factor Authentication, PowerShell seguente può essere utile per eseguire la conversione in Azure AD Multi-Factor Authentication basata sull'accesso condizionale.

Eseguire questo comando PowerShell in una finestra ISE o salvarlo come file .PS1 da eseguire localmente. L'operazione può essere eseguita solo usando il modulo MSOnline.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Pianificare la durata della sessione utente

Quando si pianifica la distribuzione dell'autenticazione a più fattori, è importante pensare alla frequenza con cui si desidera richiedere agli utenti. Chiedere agli utenti le credenziali spesso sembra una cosa ragionevole da fare, ma può essere controvento. Se gli utenti sono addestrati a immettere le proprie credenziali senza pensare, possono inavvicinatamente fornirle a una richiesta di credenziali dannose. Azure AD sono disponibili più impostazioni che determinano la frequenza con cui è necessario eseguire di nuovo l'autenticazione. Comprendere le esigenze dell'azienda e degli utenti e configurare le impostazioni che offrono il miglior equilibrio per l'ambiente.

È consigliabile usare i dispositivi con token di aggiornamento primario (PRT) per migliorare l'esperienza utente finale e ridurre la durata della sessione con i criteri di frequenza di accesso solo in casi d'uso aziendali specifici.

Per altre informazioni, vedere Ottimizzare le richieste di riautenticazione e comprendere la durata della sessione Azure AD MFA.

Pianificare la registrazione utente

Un passaggio principale in ogni distribuzione di MFA consiste nel registrare gli utenti per l'uso di MFA. I metodi di autenticazione, ad esempio Voice e SMS, consentono la pre-registrazione, mentre altri come l'app Authenticator richiedono l'interazione dell'utente. Gli amministratori devono determinare il modo in cui gli utenti registreranno i propri metodi.

Registrazione combinata per SSPR e Azure AD MFA

È consigliabile usare l'esperienza di registrazione combinata per Azure AD MFA e Azure AD reimpostazione della password self-service . La reimpostazione della password utente consente agli utenti di reimpostare la password in modo sicuro usando gli stessi metodi che usano per l Azure AD MFA. La registrazione combinata è un singolo passaggio per gli utenti finali.

Registrazione con Identity Protection

Azure AD Identity Protection contribuisce sia ai criteri di registrazione sia ai criteri di rilevamento e correzione dei rischi automatizzati Azure AD MFA. È possibile creare criteri per forzare le modifiche delle password in caso di minaccia di identità compromessa o richiedere l'autenticazione a più fattori quando un accesso è considerato rischioso. Se si usa Azure AD Identity Protection, configurare i criteri Azure AD registrazione MFA per richiedere agli utenti di registrarsi al successivo accesso in modo interattivo.

Registrazione senza Identity Protection

Se non si dispone di licenze che consentono Azure AD Identity Protection, agli utenti viene richiesto di eseguire la registrazione alla successiva richiesta dell'autenticazione a più fattori all'accesso. Per richiedere agli utenti di usare l'autenticazione a più fattori, è possibile usare i criteri di accesso condizionale e scegliere come destinazione le applicazioni usate di frequente come i sistemi HR. Se la password di un utente viene compromessa, può essere usata per registrarsi per L'autenticazione a più fattori, assumendo il controllo del proprio account. È quindi consigliabile proteggere il processo di registrazione della sicurezza con criteri di accesso condizionale che richiedono dispositivi e posizioni attendibili. È possibile proteggere ulteriormente il processo richiedendo anche un Pass di accesso temporaneo. Passcode con limite di tempo emesso da un amministratore che soddisfa i requisiti di autenticazione avanzata e può essere usato per eseguire l'onboarded di altri metodi di autenticazione, inclusi quelli senza password.

Aumentare la sicurezza degli utenti registrati

Se gli utenti sono registrati per L'autenticazione a più fattori tramite SMS o chiamate vocali, è possibile spostarli in metodi più sicuri, ad esempio l Microsoft Authenticator app. Microsoft offre ora un'anteprima pubblica delle funzionalità che consente di richiedere agli utenti di configurare l'app Microsoft Authenticator durante l'accesso. È possibile impostare queste richieste in base al gruppo, controllando chi viene richiesto, consentendo alle campagne di destinazione di spostare gli utenti nel metodo più sicuro.

Pianificare scenari di ripristino

Come accennato in precedenza, assicurarsi che gli utenti siano registrati per più di un metodo MFA, in modo che, se non è disponibile, abbia un backup. Se l'utente non ha un metodo di backup disponibile, è possibile:

  • Fornire loro un Pass di accesso temporaneo in modo che possano gestire i propri metodi di autenticazione. È anche possibile fornire un Pass di accesso temporaneo per abilitare l'accesso temporaneo alle risorse.
  • Aggiornare i metodi come amministratore. A tale scopo, selezionare l'utente nel portale di Azure, quindi selezionare Metodi di autenticazione e aggiornare i relativi metodi. Comunicazioni per gli utenti

È fondamentale informare gli utenti sulle modifiche imminenti, sui Azure AD di registrazione dell'autenticazione a più fattori ed eventuali azioni utente necessarie. Microsoft fornisce modelli di comunicazione e documentazione per gli utenti finali per bozzare le comunicazioni. Inviare gli https://myprofile.microsoft.com utenti a per la registrazione selezionando il collegamento Informazioni di sicurezza in tale pagina.

Pianificare l'integrazione con i sistemi locali

Le applicazioni che eseguono l'autenticazione direttamente con Azure AD e hanno l'autenticazione moderna (WS-Fed, SAML, OAuth, OpenID Connessione) possono usare i criteri di accesso condizionale. Alcune applicazioni legacy e locali non eseguono l'autenticazione direttamente Azure AD e richiedono passaggi aggiuntivi per usare Azure AD MFA. È possibile integrarli usando il proxy Azure AD applicazione o i servizi criteri di rete.

Eseguire l'integrazione AD FS risorse

È consigliabile eseguire la migrazione di applicazioni protette con Active Directory Federation Services (AD FS) a Azure AD. Tuttavia, se non si è pronti per eseguire la migrazione a Azure AD, è possibile usare l'adapter MFA di Azure con AD FS 2016 o versione più recente. Se l'organizzazione è federata con Azure AD, è possibile configurare Azure AD MFA come provider di autenticazione con AD FS risorse sia in locale che nel cloud.

Client RADIUS e Azure AD MFA

Per le applicazioni che usano l'autenticazione RADIUS, è consigliabile spostare le applicazioni client in protocolli moderni, ad esempio SAML, Open ID Connessione o OAuth Azure AD. Se l'applicazione non può essere aggiornata, è possibile distribuire Server dei criteri di rete con l'estensione Azure MFA. L'estensione server dei criteri di rete funge da scheda tra le applicazioni basate su RADIUS e Azure AD MFA per fornire un secondo fattore di autenticazione.

Integrazioni comuni

Molti fornitori supportano ora l'autenticazione SAML per le applicazioni. Quando possibile, è consigliabile eseguire la federazione di queste applicazioni con Azure AD e l'applicazione dell'autenticazione a più fattori tramite l'accesso condizionale. Se il fornitore non supporta l'autenticazione moderna, è possibile usare l'estensione Server dei criteri di rete. Le integrazioni client RADIUS comuni includono applicazioni come Desktop remoto gateway e server VPN.

Altri possono includere:

  • Citrix Gateway

    Citrix Gateway supporta l'integrazione delle estensioni RADIUS e NPS e un'integrazione SAML.

  • Cisco VPN

    • La VPN Cisco supporta l'autenticazione RADIUS e SAML per l'accesso SSO.
    • Passando dall'autenticazione RADIUS a SAML, è possibile integrare la VPN Cisco senza distribuire l'estensione NPS.
  • Tutte le VPN

Distribuire Azure AD MFA

Il piano di implementazione di MFA deve includere una distribuzione pilota seguita da cicli di distribuzione che rientrano nella capacità di supporto. Per iniziare l'implementazione, applicare i criteri di accesso condizionale a un piccolo gruppo di utenti pilota. Dopo aver valutato l'effetto sugli utenti pilota, i processi usati e i comportamenti di registrazione, è possibile aggiungere altri gruppi ai criteri o aggiungere altri utenti ai gruppi esistenti.

Seguire la procedura descritta di seguito:

  1. Soddisfare i prerequisiti necessari
  2. Configurare i metodi di autenticazione scelti
  3. Configurare i criteri di accesso condizionale
  4. Configurare le impostazioni di durata della sessione
  5. Configurare i Azure AD di registrazione MFA

Gestire Azure AD MFA

In questa sezione vengono fornite informazioni sulla creazione di report e sulla risoluzione dei Azure AD MFA.

Creazione di report e monitoraggio

Azure AD report che forniscono informazioni tecniche e aziendali, seguire lo stato di avanzamento della distribuzione e verificare se gli utenti hanno esito positivo all'accesso con MFA. Fare in modo che i proprietari di applicazioni aziendali e tecniche asserino la proprietà di questi report in base ai requisiti dell'organizzazione.

È possibile monitorare la registrazione e l'utilizzo dei metodi di autenticazione nell'organizzazione usando il dashboard attività Metodi di autenticazione. Ciò consente di comprendere quali metodi vengono registrati e come vengono usati.

Report di accesso per esaminare gli eventi MFA

I Azure AD di accesso includono i dettagli di autenticazione per gli eventi quando a un utente viene richiesta l'autenticazione a più fattori e se sono in uso criteri di accesso condizionale. È anche possibile usare PowerShell per la creazione di report sugli utenti registrati per MFA.

L'estensione NPS e AD FS log possono essere visualizzati dal report Attività > MFA > di sicurezza.

Per altre informazioni e altri report MFA, vedere Esaminare Azure AD eventi di Multi-Factor Authentication.

Risolvere i Azure AD MFA

Vedere Risoluzione dei Azure AD MFA per i problemi comuni.

Passaggi successivi

Distribuire altre funzionalità di identità