Esercitazione: Proteggere gli eventi di accesso degli utenti con Azure AD Multi-Factor Authentication

L'autenticazione a più fattori è un processo che richiede all'utente di immettere ulteriori forme di identificazione durante un evento di accesso. La richiesta può prevedere l'immissione di un codice sul telefono cellulare o l'analisi dell'impronta digitale. Quando è necessaria una seconda forma di autenticazione, la sicurezza viene rafforzata, perché questo fattore aggiuntivo non è facile da ottenere o duplicare.

Azure AD Multi-Factor Authentication e i criteri di accesso condizionale offrono la flessibilità per abilitare l'autenticazione a più fattori per gli utenti durante specifici eventi di accesso. Guardare questo video che illustra come configurare e applicare l'autenticazione a più fattori nel tenant (consigliato)

Importante

Questa esercitazione illustra come un amministratore può abilitare Azure AD Multi-Factor Authentication.

Se il team IT non ha abilitato l'opzione per usare Azure AD Multi-Factor Authentication o se si verificano problemi durante l'accesso, rivolgersi al supporto tecnico per ulteriore assistenza.

In questa esercitazione si apprenderà come:

  • Creare un criterio di accesso condizionale per abilitare Azure AD Multi-Factor Authentication per un gruppo di utenti
  • Configurare le condizioni dei criteri che richiedono l'autenticazione a più fattori
  • Testare il processo di autenticazione a più fattori come utente

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

  • Un tenant di Azure AD funzionante con almeno una licenza di valutazione o di Azure AD Premium P1 abilitata.
  • Un account con privilegi di amministratore globale. Alcune impostazioni di Autenticazione a più fattori possono essere gestite anche da un amministratore dei criteri di autenticazione. Per altre informazioni, vedere Authentication Policy Administrator.
  • Un utente non amministratore con una password conosciuta, ad esempio testuser. In questa esercitazione sarà possibile testare l'esperienza di Azure AD Multi-Factor Authentication dell'utente finale usando questo account.
  • Un gruppo di cui l'utente non amministratore è membro, ad esempio, MFA-Test-Group. In questa esercitazione verrà abilitata l'esperienza di Azure AD Multi-Factor Authentication per questo gruppo.

Creare criteri di accesso condizionale

I criteri di accesso condizionale costituiscono il modo consigliato per abilitare e usare Azure AD Multi-Factor Authentication. L'accesso condizionale consente di creare e definire criteri che reagiscono agli eventi di accesso e richiedono azioni aggiuntive prima che a un utente venga concesso l'accesso a un'applicazione o a un servizio.

Diagramma della panoramica del funzionamento dell'accesso condizionale per proteggere il processo di accesso

I criteri di accesso condizionale possono essere granulari e specifici, con l'obiettivo di consentire agli utenti di garantire la produttività ovunque e in qualsiasi momento, ma anche di proteggere l'organizzazione. Questa esercitazione illustra come creare criteri di accesso condizionale di base per richiedere l'autenticazione a più fattori quando un utente accede al portale di Azure. Un'esercitazione successiva di questa serie mostra come configurare Azure AD Multi-Factor Authentication usando criteri di accesso condizionale basati sul rischio.

Prima di tutto, creare un criterio di accesso condizionale e assegnare il gruppo di test degli utenti come segue:

  1. Accedere al portale di Azure usando un account con autorizzazioni di amministratore globale.

  2. Cercare e selezionare Azure Active Directory, quindi scegliere Sicurezza dal menu a sinistra.

  3. Selezionare Accesso condizionale e quindi scegliere + Nuovi criteri.

  4. Immettere un nome per il criterio, ad esempio MFA Pilot.

  5. In Assegnazioni scegliere Utenti e gruppi e quindi il pulsante di opzione Seleziona utenti e gruppi.

  6. Selezionare la casella per Utenti e gruppi e quindi Seleziona per visualizzare gli utenti e i gruppi di Azure AD disponibili.

  7. Cercare e selezionare il gruppo di Azure AD, ad esempio MFA-Test-Group, quindi scegliere Seleziona.

    Selezionare il gruppo di Azure AD da usare con i criteri di accesso condizionale

  8. Per applicare il criterio di accesso condizionale per il gruppo, selezionare Fine.

Configurare le condizioni per l'autenticazione a più fattori

Dopo aver creato il criterio di accesso condizionale e aver assegnato un gruppo di test di utenti, è necessario definire le app cloud o le azioni che attivano il criterio. Le app cloud o le azioni sono gli scenari che dovranno richiedere un'elaborazione aggiuntiva, come richiedere l'autenticazione a più fattori. Ad esempio, è possibile decidere che l'accesso a un'applicazione finanziaria o l'uso di strumenti di gestione richiede una richiesta di verifica aggiuntiva.

Per questa esercitazione il criterio di accesso condizionale verrà configurato per richiedere l'autenticazione a più fattori quando un utente accede al portale di Azure.

  1. Selezionare Applicazioni cloud o azioni. È possibile scegliere di applicare il criterio di accesso condizionale per Tutte le app cloud o Seleziona le app. Per garantire flessibilità, è anche possibile escludere determinate app dal criterio.

    Per questa esercitazione, nella pagina Includi scegliere il pulsante di opzione Seleziona le app.

  2. Scegliere Seleziona, quindi esplorare l'elenco degli eventi di accesso disponibili che è possibile usare.

    Per questa esercitazione, scegliere Gestione di Microsoft Azure per applicare il criterio agli eventi di accesso al portale di Azure.

  3. Per applicare le app selezionate, scegliere Seleziona e quindi Fine.

    Selezionare l'app di gestione Microsoft Azure da includere nel criterio di accesso condizionale

I controlli di accesso consentono di definire i requisiti per concedere l'accesso a un utente, ad esempio la necessità di un'app client approvata o l'uso di un dispositivo aggiunto ad Azure AD ibrido. In questa esercitazione verranno configurati i controlli di accesso per richiedere l'autenticazione a più fattori durante un evento di accesso al portale di Azure.

  1. In Controlli di accesso scegliere Concedi e quindi assicurarsi che il pulsante di opzione Concedi accesso sia selezionato.
  2. Selezionare la casella Richiedi autenticazione a più fattori e quindi scegliere Seleziona.

È possibile impostare i criteri di accesso condizionale su Solo report per visualizzare il modo in cui la configurazione influirà sugli utenti o su No se non si vuole usare il criterio in questo momento. Poiché questa esercitazione è destinata a un gruppo di utenti di test, ora verrà abilitato il criterio e si procederà al test di Azure AD Multi-Factor Authentication.

  1. Impostare l'interruttore Abilita criterio su .
  2. Per applicare il criterio di accesso condizionale, selezionare Crea.

Testare Azure AD Multi-Factor Authentication

A questo punto, si testerà il funzionamento del criterio di accesso condizionale e di Azure AD Multi-Factor Authentication. Prima di tutto, accedere a una risorsa che non richiede l'autenticazione a più fattori:

  1. Aprire una nuova finestra del browser in modalità InPrivate o anonima e passare a https://account.activedirectory.windowsazure.com
  2. Accedere con l'utente test non amministratore, ad esempio testuser. Non viene visualizzata alcuna richiesta di autenticazione a più fattori.
  3. Chiudere la finestra del browser.

Accedere quindi al portale di Azure. Poiché nel criterio di accesso condizionale il portale di Azure è stato configurato per richiedere una verifica aggiuntiva, verrà visualizzata una richiesta di Azure AD Multi-Factor Authentication.

  1. Aprire una nuova finestra del browser in modalità InPrivate o in incognito e passare a https://portal.azure.com.

  2. Accedere con l'utente test non amministratore, ad esempio testuser. È necessario registrarsi e usare Azure AD Multi-Factor Authentication. Seguire le istruzioni per completare il processo e verificare che sia possibile accedere al portale di Azure.

    Seguire le istruzioni visualizzate nel browser e quindi quelle nella richiesta di autenticazione a più fattori registrata per accedere

  3. Chiudere la finestra del browser.

Pulire le risorse

Se non si intende usare più il criterio di accesso condizionale per abilitare Azure AD Multi-Factor Authentication configurato come parte di questa esercitazione, seguire questa procedura per eliminarlo:

  1. Accedere al portale di Azure.
  2. Cercare e selezionare Azure Active Directory, quindi scegliere Sicurezza dal menu a sinistra.
  3. Selezionare Accesso condizionale e quindi scegliere il criterio creato, ad esempio MFA Pilot
  4. Scegliere Elimina, quindi confermare che si vuole eliminare il criterio.

Passaggi successivi

In questa esercitazione è stata abilitata l'esperienza di Azure AD Multi-Factor Authentication usando i criteri di accesso condizionale per un gruppo selezionato di utenti. Si è appreso come:

  • Creare un criterio di accesso condizionale per abilitare Azure AD Multi-Factor Authentication per un gruppo di utenti di Azure AD
  • Configurare le condizioni dei criteri che richiedono l'autenticazione a più fattori
  • Testare il processo di autenticazione a più fattori come utente