Protezione delle risorse cloud con Azure Multi-Factor Authentication e AD FS

Se l'organizzazione è federata con Azure Active Directory, usare Azure Multi-Factor Authentication o Active Directory Federation Services (AD FS) per proteggere le risorse accessibili da Azure AD. Usare le procedure seguenti per proteggere le risorse di Azure Active Directory con Azure Multi-Factor Authentication o Active Directory Federation Services.

Proteggere le risorse Azure AD con ADFS

Per proteggere le risorse cloud, configurare una regola attestazioni in modo che Active Directory Federation Services generi l'attestazione multipleauthn quando un utente esegue correttamente la verifica in due passaggi. Questa attestazione viene passata ad Azure AD. Seguire questa procedura per eseguire i passaggi:

  1. Aprire il componente di gestione di ADFS.
  2. A sinistra selezionare Attendibilità componente.
  3. Fare clic con il pulsante destro del mouse su Piattaforma delle identità di Microsoft Office 365 e selezionare Modifica regole attestazione.

    Cloud

  4. In Regole di trasformazione rilascio fare clic su Aggiungi regola.

    Cloud

  5. Nell'Aggiunta guidata regole attestazione di trasformazione selezionare Applicare la funzione di pass-through o di filtro a un'attestazione in ingresso dall'elenco a discesa e fare clic su Avanti.

    Cloud

  6. Assegnare un nome alla regola.

  7. Selezionare Riferimenti dei metodi di autenticazione come Tipo di attestazione in ingresso.
  8. Selezionare Pass-through di tutti i valori attestazione. Aggiunta guidata regole attestazione di trasformazione
  9. Fare clic su Fine. Chiudere la console di gestione di ADFS.

Indirizzi IP attendibili per utenti federati

Gli indirizzi IP attendibili consentono agli amministratori di ignorare la verifica in due passaggi per specifici indirizzi IP o utenti federati con richieste provenienti dalla propria rete Intranet. Le sezioni seguenti descrivono come configurare gli indirizzi IP attendibili di Azure Multi-Factor Authentication con utenti federati e ignorare la verifica in due passaggi quando una richiesta proviene da una Intranet di utenti federati. Questo avviene configurando ADFS in modo da applicare la funzione di pass-through o filtro a un modello di attestazione in ingresso con il tipo di attestazione All'interno della rete aziendale.

Questo esempio usa Office 365 per l'attendibilità del componente.

Configurare le regole attestazioni di ADFS

Per prima cosa è necessario configurare le attestazioni ADFS. Creare due regole attestazioni, una per il tipo di attestazione All'interno della rete aziendale e un'altra per mantenere gli utenti connessi.

  1. Aprire il componente di gestione di ADFS.
  2. A sinistra selezionare Attendibilità componente.
  3. Fare clic con il pulsante destro del mouse su Piattaforma delle identità di Microsoft Office 365 e selezionare Modifica regole attestazione... Cloud
  4. In Regole di trasformazione rilascio fare clic su Aggiungi regola. Cloud
  5. Nell'Aggiunta guidata regole attestazione di trasformazione selezionare Applicare la funzione di pass-through o di filtro a un'attestazione in ingresso dall'elenco a discesa e fare clic su Avanti. Cloud
  6. Nella casella Nome regola attestazione assegnare un nome alla regola. Ad esempio: InternoReteAziend.
  7. Nell'elenco a discesa accanto a Tipo di attestazione in ingresso selezionare All'interno della rete aziendale. Cloud
  8. Fare clic su Fine.
  9. In Regole di trasformazione rilascio fare clic su Aggiungi regola.
  10. Nell'Aggiunta guidata regole attestazione di trasformazione selezionare Inviare attestazioni mediante una regola personalizzata dall'elenco a discesa e fare clic su Avanti.
  11. Nella casella sotto a Nome regola attestazione: specificare di mantenere gli utenti connessi.
  12. Nella casella Regola personalizzata immettere:

    c:[Type == "http://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);
    

    Cloud

  13. Fare clic su Fine.
  14. Fare clic su Apply.
  15. Fare clic su OK.
  16. Chiudere Gestione ADFS.

Configurare gli indirizzi IP attendibili di Azure Multi-Factor Authentication con utenti federati

Ora che le attestazioni sono configurate, è possibile procedere alla configurazione degli indirizzi IP attendibili.

  1. Accedere al portale di Azure classico.
  2. A sinistra fare clic su Active Directory.
  3. In Directory selezionare la directory in cui impostare gli indirizzi IP attendibili.
  4. Nella directory selezionata fare clic su Configura.
  5. Nella sezione Multi-Factor Authentication fare clic su Gestisci impostazioni del servizio.
  6. Nella pagina Impostazioni servizio selezionare Ignora l'autenticazione a più fattori per le richieste provenienti da utenti federati nella Intranet in Indirizzi IP attendibili.

    Cloud

  7. Fare clic su save.

  8. Dopo che gli aggiornamenti sono stati applicati, fare clic su Chiudi.

La procedura è terminata. A questo punto, gli utenti federati di Office 365 dovrebbero usare solo MFA quando una richiesta proviene dall'esterno della Intranet aziendale.