Autenticazione pass-through di Azure Active Directory: blocco smartAzure Active Directory Pass-through Authentication: Smart Lockout

PanoramicaOverview

Azure Active Directory (Azure AD) consente di proteggersi dagli attacchi di forza bruta alle password e impedisce il blocco delle applicazioni Office 365 e SaaS degli utenti originali.Azure Active Directory (Azure AD) protects against brute-force password attacks and prevents genuine users from being locked out of their Office 365 and SaaS applications. Questa funzionalità, denominata blocco smart, è supportata quando si usa l'autenticazione pass-through come metodo di accesso.This capability, called Smart Lockout, is supported when you use Pass-through Authentication as your sign-in method. La funzionalità per il blocco smart è abilitata per impostazione predefinita per tutti i tenant e protegge continuamente gli account utente.Smart Lockout is enabled by default for all tenants, and it continuously protects your user accounts.

Il blocco smart tiene traccia dei tentativi di accesso non riusciti.Smart Lockout keeps track of failed sign-in attempts. Dopo una determinata soglia di blocco, viene avviata una durata di blocco.After a certain lockout threshold, it starts a lockout duration. Il blocco smart rifiuta eventuali tentativi di accesso da parte di un utente malintenzionato durante la durata del blocco.Smart Lockout rejects any attempts to sign in from the attacker during the lockout duration. Se l'attacco continua, i tentativi successivi di accesso al termine della durata del blocco non riescono e la durata del blocco viene prolungata.If the attack continues, subsequent failed sign-in attempts after the lockout duration ends result in longer lockout durations.

Nota

La soglia di blocco predefinita corrisponde a 10 tentativi non riusciti.The default lockout threshold is 10 failed attempts. La durata di blocco predefinita è di 60 secondi.The default lockout duration is 60 seconds.

Il blocco smart consente di distinguere anche tra l'accesso effettuato da utenti originali e accessi da utenti malintenzionati.Smart Lockout also distinguishes between sign-ins from genuine users and sign-ins from attackers. Nella maggior parte dei casi vengono bloccati solo gli utenti malintenzionati.In most cases, it locks out only the attackers. Questa funzionalità impedisce agli utenti malintenzionati di bloccare gli utenti veri.This functionality prevents attackers from maliciously locking out genuine users. Il blocco smart usa il comportamento di accesso precedente, i dispositivi e i browser degli utenti e altri segnali per distinguere tra utenti originali e utenti malintenzionati.Smart Lockout uses past sign-in behavior, the users’ devices and browsers, and other signals to distinguish between genuine users and attackers. Gli algoritmi vengono migliorati costantemente.The algorithms are constantly improved.

L'autenticazione pass-through inoltra le richieste di convalida della password all'istanza locale di Active Directory, quindi è necessario impedire ai pirati informatici di bloccare gli account Active Directory degli utenti.Pass-through Authentication forwards password validation requests to on-premises Active Directory, so you need to prevent attackers from locking out your users’ Active Directory accounts. Active Directory offre criteri di blocco degli account specifici, in particolare i criteri Soglia di blocchi dell'account e Reimposta contatore blocco account dopo.Active Directory has its own account lockout policies, specifically, Account lockout threshold and Reset account lockout counter after policies. Configurare la soglia di blocco di Azure AD e i valori della durata di blocco in modo appropriato per escludere tramite filtro gli attacchi sul cloud prima che raggiungano l'istanza locale di Active Directory.Configure the Azure AD lockout threshold and lockout duration values appropriately to filter out attacks in the cloud before they reach on-premises Active Directory.

Nota

La funzionalità Smart Lockout è gratuita e attiva per impostazione predefinita per tutti i clienti.The Smart Lockout feature is free and is on by default for all customers. Se tuttavia si vuole modificare la soglia di blocco di Azure AD e i valori della durata di blocco usando l'API Graph, il tenant deve avere almeno una licenza di Azure AD Premium P2.But if you want to modify the Azure AD lockout threshold and lockout duration values by using Graph API, your tenant needs to have at least one Azure AD Premium P2 license. Non è necessaria una licenza di Azure AD Premium P2 per ogni utente per ottenere la funzionalità Smart Lockout con l'autenticazione pass-through.You don't need an Azure AD Premium P2 license per user to get the Smart Lockout feature with Pass-through Authentication.

Per garantire che gli account Active Directory locali degli utenti siano protetti, è necessario assicurarsi che:To ensure that your users’ on-premises Active Directory accounts are well protected, you need to ensure that:

  • La soglia di blocco di Azure AD è inferiore alla soglia di blocco dell'account Active Directory.The Azure AD lockout threshold is less than the Active Directory account lockout threshold. Configurare i valori in modo che la soglia di blocco dell'account Active Directory sia almeno due o tre volte superiore rispetto alla soglia di blocco di Azure AD.Set the values so that the Active Directory account lockout threshold is at least two or three times longer than the Azure AD lockout threshold.
  • La durata di blocco di Azure AD, rappresentata in secondi, è superiore alla reimpostazione del contatore di blocco dell'account Active Directory dopo la durata specificata, rappresentata in minuti.The Azure AD lockout duration (represented in seconds) is longer than the Active Directory reset account lockout counter after duration (represented in minutes).

Importante

Attualmente un amministratore non può sbloccare gli account cloud degli utenti se questi sono stati bloccati dalla funzionalità di blocco smart.Currently an administrator can't unlock the users' cloud accounts if they have been locked out by the Smart Lockout capability. L'amministratore deve attendere la scadenza della durata del blocco.The administrator must wait for the lockout duration to expire.

Verificare i criteri di blocco dell'account Active DirectoryVerify your Active Directory account lockout policies

Usare le istruzioni seguenti per verificare i criteri di blocco dell'account Active Directory:Use the following instructions to verify your Active Directory account lockout policies:

  1. Aprire lo strumento Gestione criteri di gruppo.Open the Group Policy Management tool.
  2. Modificare i criteri di gruppo applicati a tutti gli utenti, ad esempio il Criterio dominio predefinito.Edit the group policy that's applied to all users, for example, the Default Domain Policy.
  3. Passare a Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Criteri account > Criterio di blocco account.Browse to Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Account Lockout Policy.
  4. Verificare i valori di Soglia di blocchi dell'account e Reimposta contatore blocco account dopo.Verify your Account lockout threshold and Reset account lockout counter after values.

Criteri di blocco dell'account Active Directory

Usare l'API Graph per gestire i valori di blocco smart del tenant (necessaria una licenza Premium)Use the Graph API to manage your tenant’s Smart Lockout values (requires a Premium license)

Importante

La modifica della soglia di blocco e dei valori della durata di blocco di Azure AD tramite l'API Graph è una funzionalità di Azure AD Premium P2.Modifying the Azure AD lockout threshold and lockout duration values by using Graph API is an Azure AD Premium P2 feature. L'utente deve anche essere amministratore globale del tenant.It also needs you to be a global administrator on your tenant.

È possibile usare Graph explorer per leggere, impostare e aggiornare i valori di blocco smart per Azure AD.You can use Graph Explorer to read, set, and update the Azure AD Smart Lockout values. È anche possibile eseguire queste operazioni a livello di codice.You can also do these operations programmatically.

Visualizzare i valori di blocco smartView Smart Lockout values

Seguire questa procedura per visualizzare i valori di blocco smart del tenant:Follow these steps to view your tenant’s Smart Lockout values:

  1. Accedere a Graph explorer come amministratore globale del tenant.Sign in to Graph Explorer as a global administrator of your tenant. Se richiesto, concedere l'accesso per le autorizzazioni richieste.If you're prompted, grant access for the requested permissions.
  2. Selezionare Autorizzazioni di modifica e quindi selezionare l'autorizzazione Directory.ReadWrite.All.Select Modify permissions, and then select the Directory.ReadWrite.All permission.
  3. Configurare la richiesta dell'API Graph nel modo seguente: impostare la versione su BETA, il tipo di richiesta su GET e l'URL su https://graph.microsoft.com/beta/<your-tenant-domain>/settings.Configure the Graph API request as follows: Set the version to BETA, the request type to GET, and the URL to https://graph.microsoft.com/beta/<your-tenant-domain>/settings.
  4. Selezionare Esegui query per visualizzare i valori di blocco smart del tenant.Select Run Query to see your tenant's Smart Lockout values. Se i valori del tenant non sono stati mai impostati, viene visualizzato un insieme vuoto.If you haven't set your tenant's values before, you see an empty set.

Impostare i valori di blocco smartSet Smart Lockout values

Attenersi alla procedura seguente per impostare i valori di blocco smart del tenant. Questa procedura è necessaria solo la prima volta:Follow these steps to set your tenant’s Smart Lockout values (required for the first time only):

  1. Accedere a Graph explorer come amministratore globale del tenant.Sign in to Graph Explorer as a global administrator of your tenant. Se richiesto, concedere l'accesso per le autorizzazioni richieste.If you're prompted, grant access for the requested permissions.
  2. Selezionare Autorizzazioni di modifica e quindi selezionare l'autorizzazione Directory.ReadWrite.All.Select Modify permissions, and then select the Directory.ReadWrite.All permission.
  3. Configurare la richiesta dell'API Graph nel modo seguente: impostare la versione su BETA, il tipo di richiesta su POST e l'URL su https://graph.microsoft.com/beta/<your-tenant-domain>/settings.Configure the Graph API request as follows: Set the version to BETA, the request type to POST, and the URL to https://graph.microsoft.com/beta/<your-tenant-domain>/settings.
  4. Copiare e incollare la richiesta JSON seguente nel campo Corpo della richiesta.Copy and paste the following JSON request into the Request Body field.
  5. Selezionare Esegui query per impostare i valori di blocco smart del tenant.Select Run Query to set your tenant's Smart Lockout values.
{
  "templateId": "5cf42378-d67d-4f36-ba46-e8b86229381d",
  "values": [
    {
      "name": "LockoutDurationInSeconds",
      "value": "300"
    },
    {
      "name": "LockoutThreshold",
      "value": "5"
    },
    {
      "name" : "BannedPasswordList",
      "value": ""
    },
    {
      "name" : "EnableBannedPasswordCheck",
      "value": "false"
    }
  ]
}

Nota

Se non si usano questi valori, è possibile lasciare i valori BannedPasswordList e EnableBannedPasswordCheck impostati su vuoto ("") e false rispettivamente.If you don't use them, you can leave the BannedPasswordList and EnableBannedPasswordCheck values as empty ("") and false respectively.

Verificare di aver impostato i valori di blocco smart del tenant correttamente tramite la procedura illustrata in Visualizzare i valori di blocco smart.Verify that you have set your tenant's Smart Lockout values correctly by using the steps in View Smart Lockout values.

Aggiornare i valori di blocco smartUpdate Smart Lockout values

Seguire questa procedura per aggiornare i valori di blocco smart del tenant, se sono stati impostati in precedenza:Follow these steps to update your tenant’s Smart Lockout values (if you set them before):

  1. Accedere a Graph explorer come amministratore globale del tenant.Sign in to Graph Explorer as a global administrator of your tenant. Se richiesto, concedere l'accesso per le autorizzazioni richieste.If you're prompted, grant access for the requested permissions.
  2. Selezionare Autorizzazioni di modifica e quindi selezionare l'autorizzazione Directory.ReadWrite.All.Select Modify permissions, and then select the Directory.ReadWrite.All permission.
  3. Seguire questa procedura per visualizzare i valori di blocco smart del tenant.Follow these steps to view your tenant's Smart Lockout values. Copiare il valore id (un GUID) dell'elemento con displayName come PasswordRuleSettings.Copy the id value (a GUID) of the item with displayName as PasswordRuleSettings.
  4. Configurare la richiesta dell'API Graph nel modo seguente: impostare la versione su BETA, il tipo di richiesta su PATCH e l'URL su https://graph.microsoft.com/beta/<your-tenant-domain>/settings/<id>.Configure the Graph API request as follows: Set the version to BETA, the request type to PATCH, and the URL to https://graph.microsoft.com/beta/<your-tenant-domain>/settings/<id>. Usare il GUID dal Passaggio 3 per <id>.Use the GUID from step 3 for <id>.
  5. Copiare e incollare la richiesta JSON seguente nel campo Corpo della richiesta.Copy and paste the following JSON request into the Request Body field. Modificare i valori di blocco smart in base alle necessità.Change the Smart Lockout values as appropriate.
  6. Selezionare Esegui query per aggiornare i valori del blocco smart del tenant.Select Run Query to update your tenant's Smart Lockout values.
{
  "values": [
    {
      "name": "LockoutDurationInSeconds",
      "value": "30"
    },
    {
      "name": "LockoutThreshold",
      "value": "4"
    },
    {
      "name" : "BannedPasswordList",
      "value": ""
    },
    {
      "name" : "EnableBannedPasswordCheck",
      "value": "false"
    }
  ]
}

Verificare di aver aggiornato i valori di blocco smart del tenant correttamente tramite la procedura illustrata in Visualizzare i valori di blocco smart.Verify that you have updated your tenant's Smart Lockout values correctly by using the steps in View Smart Lockout values.

Passaggi successiviNext steps

UserVoice: usare il forum di Azure Active Directory per inviare richieste per nuove funzionalità.UserVoice: Use the Azure Active Directory Forum to file new feature requests.