Blocco intelligente di Azure Active DirectoryAzure Active Directory smart lockout

La funzione di blocco intelligente sfrutta l'intelligenza del cloud per bloccare gli attori malintenzionati che tentano di indovinare le password degli utenti o usano metodi di forza bruta per ottenere l'accesso.Smart lockout uses cloud intelligence to lock out bad actors who are trying to guess your users’ passwords or use brute-force methods to get in. Questa intelligenza è in grado di riconoscere i tentativi di accesso eseguiti da utenti validi e di gestirli in modo diverso da quelli di utenti malintenzionati e di altre origini sconosciute.That intelligence can recognize sign-ins coming from valid users and treat them differently than ones of attackers and other unknown sources. La funzione di blocco intelligente blocca gli utenti malintenzionati e al tempo stesso consente a quelli validi di accedere ai propri account senza effetti negativi sulla produttività.Smart lockout locks out the attackers, while letting your users continue to access their accounts and be productive.

Per impostazione predefinita, dopo dieci tentativi non riusciti la funzione di blocco intelligente blocca l'account da nuovi tentativi di accesso per un minuto.By default, smart lockout locks the account from sign-in attempts for one minute after ten failed attempts. Dopo ogni successivo tentativo di accesso non riuscito, l'account viene nuovamente bloccato prima per un minuto e quindi per intervalli più lunghi.The account locks again after each subsequent failed sign-in attempt, for one minute at first and longer in subsequent attempts.

Il blocco intelligente è sempre attivo per tutti i clienti di Azure AD con le impostazioni predefinite che offrono la giusta combinazione di sicurezza e usabilità.Smart lockout is always on for all Azure AD customers with these default settings that offer the right mix of security and usability. Per personalizzare le impostazioni del blocco intelligente con valori specifici per un'organizzazione, è necessario disporre di licenze Azure AD Basic o superiori per i propri utenti.Customization of the smart lockout settings, with values specific to your organization, requires Azure AD Basic or higher licenses for your users.

Il blocco intelligente può essere integrato con distribuzioni ibride, tramite la sincronizzazione degli hash delle password o l'autenticazione pass-through, per impedire il blocco degli account locali di Active Directory da parte di utenti malintenzionati.Smart lockout can be integrated with hybrid deployments, using password hash sync or pass-through authentication to protect on-premises Active Directory accounts from being locked out by attackers. Impostando opportuni criteri di blocco intelligente in Azure AD, è possibile filtrare gli attacchi prima che raggiungano l'istanza locale di Active Directory.By setting smart lockout policies in Azure AD appropriately, attacks can be filtered out before they reach on-premises Active Directory.

Quando si usa l'autenticazione pass-through, è necessario verificare quanto segue:When using pass-through authentication, you need to make sure that:

  • La soglia di blocco di Azure AD è inferiore alla soglia di blocco dell'account Active Directory.The Azure AD lockout threshold is less than the Active Directory account lockout threshold. Configurare i valori in modo che la soglia di blocco dell'account Active Directory sia almeno due o tre volte superiore rispetto alla soglia di blocco di Azure AD.Set the values so that the Active Directory account lockout threshold is at least two or three times longer than the Azure AD lockout threshold.
  • La durata del blocco di Azure AD in secondi è superiore al tempo in minuti definito per la reimpostazione del contatore dei blocchi di account in Active Directory.The Azure AD lockout duration in seconds is longer than the Active Directory reset account lockout counter after duration minutes.

Importante

Attualmente un amministratore non può sbloccare gli account cloud degli utenti se questi sono stati bloccati dalla funzionalità di blocco smart.Currently an administrator can't unlock the users' cloud accounts if they have been locked out by the Smart Lockout capability. L'amministratore deve attendere la scadenza della durata del blocco.The administrator must wait for the lockout duration to expire.

Verificare i criteri di blocco degli account localiVerify on-premises account lockout policy

Per verificare i criteri di blocco degli account di Active Directory, usare le istruzioni seguenti:Use the following instructions to verify your on-premises Active Directory account lockout policy:

  1. Aprire lo strumento Gestione criteri di gruppo.Open the Group Policy Management tool.
  2. Modificare i criteri di gruppo che includono i criteri di blocco degli account dell'organizzazione, ad esempio i criteri di dominio predefiniti.Edit the group policy that includes your organization's account lockout policy, for example, the Default Domain Policy.
  3. Passare a Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criteri account > Criterio di blocco account.Browse to Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Account Lockout Policy.
  4. Verificare i valori di Soglia di blocchi dell'account e Reimposta contatore blocco account dopo.Verify your Account lockout threshold and Reset account lockout counter after values.

Modificare i criteri di blocco degli account locali di Active Directory tramite un oggetto Criteri di gruppo

Gestire i valori del blocco intelligente di Azure ADManage Azure AD smart lockout values

In base alle esigenze dell'organizzazione, può essere necessario personalizzare i valori del blocco intelligente.Based on your organizational requirements, smart lockout values may need to be customized. Per personalizzare le impostazioni del blocco intelligente con valori specifici per un'organizzazione, è necessario disporre di licenze Azure AD Basic o superiori per i propri utenti.Customization of the smart lockout settings, with values specific to your organization, requires Azure AD Basic or higher licenses for your users.

Per verificare o modificare i valori del blocco intelligente per l'organizzazione, seguire questa procedura:To check or modify the smart lockout values for your organization, use the following steps:

  1. Accedere al portale di Azure, fare clic su Azure Active Directory e quindi su Metodi di autenticazione.Sign in to the Azure portal, and click on Azure Active Directory, then Authentication Methods.
  2. Impostare il valore di Soglia di blocco, in base al numero di accessi non riusciti consentiti per un account prima che venga applicato il primo blocco.Set the Lockout threshold, based on how many failed sign-ins are allowed on an account before its first lockout. Il valore predefinito è 10.The default is 10.
  3. Impostare il valore di Durata del blocco in secondi sulla durata in secondi di ogni blocco.Set the Lockout duration in seconds, to the length in seconds of each lockout. Il valore predefinito è 60 secondi (1 minuto).The default is 60 seconds (one minute).

Nota

Se anche il primo accesso dopo un blocco non riesce, l'account viene bloccato nuovamente.If the first sign-in after a lockout also fails, the account locks out again. Se un account viene bloccato più volte, la durata del blocco aumenta.If an account locks repeatedly, the lockout duration increases.

Personalizzare i criteri di blocco intelligente di Azure Active Directory nel portale di Azure

Passaggi successiviNext steps

Leggere le informazioni su come escludere le password non valide tramite Azure ADFind out how to ban bad passwords in your organization using Azure AD.

Configurare la reimpostazione di password self-service per consentire agli utenti di sbloccare i relativi accountConfigure self-service password reset to allow users to unlock their own accounts.