Autenticazione pass-through di Azure Active Directory: blocco smart

Panoramica

Azure AD consente di proteggersi dagli attacchi di forza bruta alle password e impedisce il blocco delle applicazioni Office 365 e SaaS degli utenti originali. Questa funzionalità, denominata blocco smart, è supportata quando si usa l'autenticazione pass-through come metodo di accesso. Il blocco smart è abilitato per impostazione predefinita per tutti i tenant e protegge costantemente gli account utente. Non è necessario attivarlo.

Il blocco smart tiene traccia dei tentativi di accesso non riusciti e dopo una determinata soglia di blocco, avvia la durata del blocco. Eventuali tentativi di accesso da un utente malintenzionato durante la durata del blocco vengono rifiutati. Se l'attacco continua, i tentativi successivi di accesso al termine della durata del blocco non riescono e la durata del blocco viene prolungata.

Nota

Il valore predefinito della Soglia di blocco è 10 tentativi non riusciti, mentre la Durata del blocco predefinita è 60 secondi.

Il blocco smart consente di distinguere anche tra l'accesso effettuato da utenti originali e da utenti malintenzionati e nella maggior parte dei casi blocca solo gli utenti malintenzionati. Questa funzionalità impedisce agli utenti malintenzionati di bloccare gli utenti veri. Per distinguere tra utenti malintenzionati e utenti veri vengono analizzati il comportamento di accesso, i dispositivi e i browser degli utenti oltre ad altri segnali. Gli algoritmi vengono migliorati costantemente.

Poiché l'autenticazione pass-through inoltra le richieste di convalida della password in Active Directory (AD) locale, è necessario impedire ai pirati informatici di bloccare gli account di AD degli utenti. Poiché l'utente dispone di propri criteri di blocco degli account di AD, in particolare Soglia di blocchi dell'account e ** Reimposta blocco account dopo**, è necessario configurare in modo appropriato i valori di durata del blocco e la soglia di blocco di Azure AD per filtrare gli attacchi nel cloud, prima che raggiungano AD locale.

Nota

La funzionalità Smart Lockout è gratuita e attiva per impostazione predefinita per tutti i clienti. Tuttavia, la modifica dei valori relativi alla soglia di blocco e alla durata del blocco di Azure AD tramite l'API Graph di Azure AD sono funzionalità di Azure AD Premium P2.

Per garantire che gli account di AD locali degli utenti siano protetti, è necessario assicurarsi che:

  1. La Soglia di blocco di Azure AD sia inferiore alla soglia di blocco dell'account di AD. È consigliabile impostare i valori in modo che è la soglia di blocco dell'account di AD sia almeno di due o tre volte superiore alla soglia di blocco di Azure AD.
  2. La durata del blocco di Azure AD, rappresentata in secondi, è maggiore rispetto al valore di Reimposta blocco account dopo di AD, rappresentato in minuti.

Verificare i criteri di blocco degli account di AD

Usare le istruzioni seguenti per verificare i criteri di blocco degli account di AD:

  1. Aprire lo strumento Gestione criteri di gruppo.
  2. Modificare i criteri di gruppo applicati a tutti gli utenti, ad esempio il Criterio dominio predefinito.
  3. Passare a Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criterio di blocco account.
  4. Verificare i valori di Soglia di blocchi dell'account e Reimposta blocco account dopo.

Criteri di blocco degli account di AD

Usare l'API Graph per gestire i valori di blocco smart del tenant

Importante

La modifica dei valori relativi alla soglia di blocco e alla durata del blocco di Azure AD tramite l'API Graph di Azure AD sono funzionalità di Azure AD Premium P2. L'utente deve anche essere Amministratore globale del tenant.

È possibile usare Graph explorer per leggere, impostare e aggiornare i valori di blocco smart per Azure AD. Ma è anche possibile eseguire queste operazioni a livello di programmazione.

Leggere i valori di blocco smart

Seguire questa procedura per leggere i valori di blocco smart del tenant:

  1. Accedere a Graph explorer come amministratore globale del tenant. Se richiesto, concedere l'accesso per le autorizzazioni richieste.
  2. Fare clic su "Autorizzazioni di modifica" e selezionare l'autorizzazione "Directory.ReadWrite.All".
  3. Configurare la richiesta dell'API Graph nel modo seguente: impostare la versione su "BETA", il tipo di richiesta su "GET" e l'URL su https://graph.microsoft.com/beta/<your-tenant-domain>/settings.
  4. Fare clic su "Esegui query" per visualizzare i valori di blocco smart del tenant. Se i valori del tenant non sono stati mai impostati, viene visualizzato un insieme vuoto.

Impostare i valori di blocco smart

Attenersi alla procedura seguente per impostare i valori di blocco smart del tenant. Eseguire questa procedura solo la prima volta.

  1. Accedere a Graph explorer come amministratore globale del tenant. Se richiesto, concedere l'accesso per le autorizzazioni richieste.
  2. Fare clic su "Autorizzazioni di modifica" e selezionare l'autorizzazione "Directory.ReadWrite.All".
  3. Configurare la richiesta dell'API Graph nel modo seguente: impostare la versione su "BETA", il tipo di richiesta su "POST" e l'URL su https://graph.microsoft.com/beta/<your-tenant-domain>/settings.
  4. Copiare e incollare la richiesta JSON seguente nel campo "Corpo della richiesta". Modificare i valori di blocco smart in base alle necessità e usare un GUID casuale per templateId.
  5. Fare clic su "Esegui query" per impostare i valori di blocco smart del tenant.
{
  "templateId": "5cf42378-d67d-4f36-ba46-e8b86229381d",
  "values": [
    {
      "name": "LockoutDurationInSeconds",
      "value": "300"
    },
    {
      "name": "LockoutThreshold",
      "value": "5"
    },
    {
      "name" : "BannedPasswordList",
      "value": ""
    },
    {
      "name" : "EnableBannedPasswordCheck",
      "value": "false"
    }
  ]
}
Nota

Se l'utente non li sta usando, è possibile lasciare i valori di BannedPasswordList e EnableBannedPasswordCheck i vuoto ("") e "false" rispettivamente.

Verificare di aver impostato i valori di blocco smart del tenant correttamente tramite questa procedura.

Aggiornare i valori di blocco smart

Seguire questa procedura per aggiornare i valori di blocco smart del tenant, se questi sono già stati impostati in precedenza:

  1. Accedere a Graph explorer come amministratore globale del tenant. Se richiesto, concedere l'accesso per le autorizzazioni richieste.
  2. Fare clic su "Autorizzazioni di modifica" e selezionare l'autorizzazione "Directory.ReadWrite.All".
  3. Seguire questa procedura per leggere i valori di blocco smart del tenant. Copia il valore id , ovvero un GUID dell'elemento con "displayName" come "PasswordRuleSettings".
  4. Configurare la richiesta dell'API Graph nel modo seguente: impostare la versione su "BETA", il tipo di richiesta su "PATCH" e l'URL su https://graph.microsoft.com/beta/<your-tenant-domain>/settings/<id>. Usare il GUID dal passaggio 3 per <id>.
  5. Copiare e incollare la richiesta JSON seguente nel campo "Corpo della richiesta". Modificare i valori di blocco smart in base alle necessità.
  6. Fare clic su "Esegui query" per aggiornare i valori di blocco smart del tenant.
{
  "values": [
    {
      "name": "LockoutDurationInSeconds",
      "value": "30"
    },
    {
      "name": "LockoutThreshold",
      "value": "4"
    },
    {
      "name" : "BannedPasswordList",
      "value": ""
    },
    {
      "name" : "EnableBannedPasswordCheck",
      "value": "false"
    }
  ]
}

Verificare di aver aggiornato i valori di blocco smart del tenant correttamente tramite questa procedura.

Passaggi successivi

  • UserVoice: per l'invio di richieste di nuove funzionalità.