Protezione delle risorse cloud con Azure Multi-Factor Authentication e AD FSSecuring cloud resources with Azure Multi-Factor Authentication and AD FS

Se l'organizzazione è federata con Azure Active Directory, usare Azure Multi-Factor Authentication o Active Directory Federation Services (AD FS) per proteggere le risorse accessibili da Azure AD.If your organization is federated with Azure Active Directory, use Azure Multi-Factor Authentication or Active Directory Federation Services (AD FS) to secure resources that are accessed by Azure AD. Usare le procedure seguenti per proteggere le risorse di Azure Active Directory con Azure Multi-Factor Authentication o Active Directory Federation Services.Use the following procedures to secure Azure Active Directory resources with either Azure Multi-Factor Authentication or Active Directory Federation Services.

Proteggere le risorse Azure AD con ADFSSecure Azure AD resources using AD FS

Per proteggere le risorse cloud, configurare una regola attestazioni in modo che Active Directory Federation Services generi l'attestazione multipleauthn quando un utente esegue correttamente la verifica in due passaggi.To secure your cloud resource, set up a claims rule so that Active Directory Federation Services emits the multipleauthn claim when a user performs two-step verification successfully. Questa attestazione viene passata ad Azure AD.This claim is passed on to Azure AD. Seguire questa procedura per eseguire i passaggi:Follow this procedure to walk through the steps:

  1. Aprire il componente di gestione di ADFS.Open AD FS Management.
  2. A sinistra selezionare Attendibilità componente.On the left, select Relying Party Trusts.
  3. Fare clic con il pulsante destro del mouse su Piattaforma delle identità di Microsoft Office 365 e selezionare Modifica regole attestazione.Right-click on Microsoft Office 365 Identity Platform and select Edit Claim Rules.

    Cloud

  4. In Regole di trasformazione rilascio fare clic su Aggiungi regola.On Issuance Transform Rules, click Add Rule.

    Cloud

  5. Nell'Aggiunta guidata regole attestazione di trasformazione selezionare Applicare la funzione di pass-through o di filtro a un'attestazione in ingresso dall'elenco a discesa e fare clic su Avanti.On the Add Transform Claim Rule Wizard, select Pass Through or Filter an Incoming Claim from the drop-down and click Next.

    Cloud

  6. Assegnare un nome alla regola.Give your rule a name.

  7. Selezionare Riferimenti dei metodi di autenticazione come Tipo di attestazione in ingresso.Select Authentication Methods References as the Incoming claim type.
  8. Selezionare Pass-through di tutti i valori attestazione.Select Pass through all claim values. Aggiunta guidata regole attestazione di trasformazioneAdd Transform Claim Rule Wizard
  9. Fare clic su Fine.Click Finish. Chiudere la console di gestione di ADFS.Close the AD FS Management console.

Indirizzi IP attendibili per utenti federatiTrusted IPs for federated users

Gli indirizzi IP attendibili consentono agli amministratori di ignorare la verifica in due passaggi per specifici indirizzi IP o utenti federati con richieste provenienti dalla propria rete Intranet.Trusted IPs allow administrators to by-pass two-step verification for specific IP addresses, or for federated users that have requests originating from within their own intranet. Le sezioni seguenti descrivono come configurare gli indirizzi IP attendibili di Azure Multi-Factor Authentication con utenti federati e ignorare la verifica in due passaggi quando una richiesta proviene da una Intranet di utenti federati.The following sections describe how to configure Azure Multi-Factor Authentication Trusted IPs with federated users and by-pass two-step verification when a request originates from within a federated users intranet. Questo avviene configurando ADFS in modo da applicare la funzione di pass-through o filtro a un modello di attestazione in ingresso con il tipo di attestazione All'interno della rete aziendale.This is achieved by configuring AD FS to use a pass-through or filter an incoming claim template with the Inside Corporate Network claim type.

Questo esempio usa Office 365 per l'attendibilità del componente.This example uses Office 365 for our Relying Party Trusts.

Configurare le regole attestazioni di ADFSConfigure the AD FS claims rules

Per prima cosa è necessario configurare le attestazioni ADFS.The first thing we need to do is to configure the AD FS claims. Creare due regole attestazioni, una per il tipo di attestazione All'interno della rete aziendale e un'altra per mantenere gli utenti connessi.Create two claims rules, one for the Inside Corporate Network claim type and an additional one for keeping our users signed in.

  1. Aprire il componente di gestione di ADFS.Open AD FS Management.
  2. A sinistra selezionare Attendibilità componente.On the left, select Relying Party Trusts.
  3. Fare clic con il pulsante destro del mouse su Piattaforma delle identità di Microsoft Office 365 e selezionare Modifica regole attestazione... CloudRight-click on Microsoft Office 365 Identity Platform and select Edit Claim Rules… Cloud
  4. In Regole di trasformazione rilascio fare clic su Aggiungi regola. CloudOn Issuance Transform Rules, click Add Rule. Cloud
  5. Nell'Aggiunta guidata regole attestazione di trasformazione selezionare Applicare la funzione di pass-through o di filtro a un'attestazione in ingresso dall'elenco a discesa e fare clic su Avanti.On the Add Transform Claim Rule Wizard, select Pass Through or Filter an Incoming Claim from the drop-down and click Next. CloudCloud
  6. Nella casella Nome regola attestazione assegnare un nome alla regola.In the box next to Claim rule name, give your rule a name. Ad esempio: InternoReteAziend.For example: InsideCorpNet.
  7. Nell'elenco a discesa accanto a Tipo di attestazione in ingresso selezionare All'interno della rete aziendale.From the drop-down, next to Incoming claim type, select Inside Corporate Network. CloudCloud
  8. Fare clic su Fine.Click Finish.
  9. In Regole di trasformazione rilascio fare clic su Aggiungi regola.On Issuance Transform Rules, click Add Rule.
  10. Nell'Aggiunta guidata regole attestazione di trasformazione selezionare Inviare attestazioni mediante una regola personalizzata dall'elenco a discesa e fare clic su Avanti.On the Add Transform Claim Rule Wizard, select Send Claims Using a Custom Rule from the drop-down and click Next.
  11. Nella casella sotto a Nome regola attestazione: specificare di mantenere gli utenti connessi.In the box under Claim rule name: enter Keep Users Signed In.
  12. Nella casella Regola personalizzata immettere:In the Custom rule box, enter:

    c:[Type == "http://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);
    

    Cloud

  13. Fare clic su Fine.Click Finish.
  14. Fare clic su Apply.Click Apply.
  15. Fare clic su OK.Click Ok.
  16. Chiudere Gestione ADFS.Close AD FS Management.

Configurare gli indirizzi IP attendibili di Azure Multi-Factor Authentication con utenti federatiConfigure Azure Multi-Factor Authentication Trusted IPs with Federated Users

Ora che le attestazioni sono configurate, è possibile procedere alla configurazione degli indirizzi IP attendibili.Now that the claims are in place, we can configure trusted IPs.

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Selezionare Azure Active Directory > Accesso condizionale > Posizioni specifiche.Select Azure Active Directory > Conditional access > Named locations.
  3. Dal pannello Accesso condizionale - Posizioni specifiche selezionare Configura indirizzi IP attendibili MFAFrom the Conditional access - Named locations blade, select Configure MFA trusted IPs

    Azure AD, Accesso condizionale, Posizioni specifiche, Configura indirizzi IP attendibili MFA

  4. In Indirizzi IP attendibili nella pagina Impostazioni servizio selezionare Ignora l'autenticazione a più fattori per le richieste provenienti da utenti federati nella Intranet.On the Service Settings page, under trusted IPs, select Skip multi-factor-authentication for requests from federated users on my intranet.

  5. Fare clic su save.Click save.

La procedura è terminata.That’s it! A questo punto, gli utenti federati di Office 365 dovrebbero usare solo MFA quando una richiesta proviene dall'esterno della Intranet aziendale.At this point, federated Office 365 users should only have to use MFA when a claim originates from outside the corporate intranet.