Configurare il server Azure Multi-Factor Authentication per l'uso con AD FS in Windows ServerConfigure Azure Multi-Factor Authentication Server to work with AD FS in Windows Server

Se l'organizzazione usa Active Directory Federation Services (ADFS), per proteggere le risorse del cloud o locali è possibile configurare il server Azure Multi-Factor Authentication per l'uso con ADFS.If you use Active Directory Federation Services (AD FS) and want to secure cloud or on-premises resources, you can configure Azure Multi-Factor Authentication Server to work with AD FS. Questa configurazione attiva la verifica in due passaggi per gli endpoint di alto valore.This configuration triggers two-step verification for high-value endpoints.

Questo articolo illustra l'uso del server Azure Multi-Factor Authentication con AD FS in Windows Server 2012 R2 o Windows Server 2016.In this article, we discuss using Azure Multi-Factor Authentication Server with AD FS in Windows Server 2012 R2 or Windows Server 2016. Per altre informazioni, vedere Proteggere le risorse del cloud e locali mediante il server Azure Multi-Factor Authentication con AD FS 2.0.For more information, read about how to secure cloud and on-premises resources by using Azure Multi-Factor Authentication Server with AD FS 2.0.

Proteggere AD FS per Windows Server con il server Azure Multi-Factor AuthenticationSecure Windows Server AD FS with Azure Multi-Factor Authentication Server

Quando si installa il server Multi-Factor Authentication sono disponibili le opzioni seguenti:When you install Azure Multi-Factor Authentication Server, you have the following options:

  • Installare il server Azure Multi-Factor Authentication in locale nello stesso server di AD FSInstall Azure Multi-Factor Authentication Server locally on the same server as AD FS
  • Installare l'adapter di Azure Multi-Factor Authentication in locale nel server AD FS e quindi installare il server Multi-Factor Authentication in un altro computerInstall the Azure Multi-Factor Authentication adapter locally on the AD FS server, and then install Multi-Factor Authentication Server on a different computer

Prima di iniziare, tenere presente le seguenti informazioni:Before you begin, be aware of the following information:

  • Non è necessario installare il server Azure Multi-Factor Authentication nel server AD FS.You don't have to install Azure Multi-Factor Authentication Server on your AD FS server. È tuttavia necessario installare l'adapter Multi-Factor Authentication per AD FS in un computer Windows Server 2012 R2 o Windows Server 2016 che esegue AD FS.However, you must install the Multi-Factor Authentication adapter for AD FS on a Windows Server 2012 R2 or Windows Server 2016 that is running AD FS. È possibile installare il server in un computer diverso se si installa separatamente la scheda AD FS nel server federativo AD FS.You can install the server on a different computer if you install the AD FS adapter separately on your AD FS federation server. Vedere le procedure seguenti per informazioni su come installare l'adapter separatamente.See the following procedures to learn how to install the adapter separately.
  • Se l'organizzazione usa metodi di autenticazione tramite app per dispositivi mobili o SMS, le stringhe definite in Impostazioni società contengono un segnaposto <$nome_applicazione$>.If your organization is using text message or mobile app verification methods, the strings defined in Company Settings contain a placeholder, <$application_name$>. Nel server MFA 7.1 è possibile specificare il nome di un'applicazione per sostituire questo segnaposto.In MFA Server v7.1, you can provide an application name that replaces this placeholder. Nella versione 7.0 e in quelle precedenti questo segnaposto non viene sostituito automaticamente quando si usa l'adapter AD FS.In v7.0 or older, this placeholder is not automatically replaced when you use the AD FS adapter. In tali versioni è necessario rimuovere il segnaposto dalle stringhe appropriate per la protezione di AD FS.For those older versions, remove the placeholder from the appropriate strings when you secure AD FS.
  • L'account usato per accedere deve avere diritti utente per la creazione di gruppi di sicurezza nel servizio Active Directory.The account that you use to sign in must have user rights to create security groups in your Active Directory service.
  • L'installazione guidata della scheda ADFS di Multi-Factor Authentication crea un gruppo di sicurezza denominato PhoneFactor Admins nell'istanza di Active DirectoryThe Multi-Factor Authentication AD FS adapter installation wizard creates a security group called PhoneFactor Admins in your instance of Active Directory. e aggiunge l'account del servizio ADFS del servizio federativo a questo gruppo.It then adds the AD FS service account of your federation service to this group. Verificare che il gruppo PhoneFactor Admins sia stato creato nel controller di dominio e che l'account del servizio AD FS sia un membro di questo gruppo.Verify that the PhoneFactor Admins group was created on your domain controller, and that the AD FS service account is a member of this group. Se necessario, aggiungere l'account del servizio AD FS manualmente al gruppo PhoneFactor Admins nel controller di dominio.If necessary, manually add the AD FS service account to the PhoneFactor Admins group on your domain controller.
  • Per informazioni sull'installazione dell'SDK del servizio Web con il portale utenti, vedere l'articolo relativo alla distribuzione del portale utenti per il server Azure Multi-Factor Authentication.For information about installing the Web Service SDK with the user portal, see deploying the user portal for Azure Multi-Factor Authentication Server.

Installare il server Azure Multi-Factor Authentication in locale nel server AD FSInstall Azure Multi-Factor Authentication Server locally on the AD FS server

  1. Scaricare e installare il server Azure Multi-Factor Authentication nel server ADFS.Download and install Azure Multi-Factor Authentication Server on your AD FS server. Per informazioni sull'installazione, vedere Introduzione al server Azure Multi-Factor Authentication.For installation information, read about getting started with Azure Multi-Factor Authentication Server.
  2. Nella console di gestione del server Azure Multi-Factor Authentication fare clic sull'icona AD FS.In the Azure Multi-Factor Authentication Server management console, click the AD FS icon. Selezionare le opzioni Consenti registrazione utente e Consenti agli utenti di selezionare il metodo.Select the options Allow user enrollment and Allow users to select method.
  3. Selezionare eventuali opzioni aggiuntive per l'organizzazione.Select any additional options you'd like to specify for your organization.
  4. Fare clic su Installa scheda ADFS.Click Install AD FS Adapter.

    Cloud
    Cloud

  5. L'eventuale visualizzazione della finestra di Active Directory significa due cose.If the Active Directory window is displayed, that means two things. Il computer è unito a un dominio e la configurazione di Active Directory per proteggere la comunicazione tra la scheda ADFS e il servizio Multi-Factor Authentication è incompleta.Your computer is joined to a domain, and the Active Directory configuration for securing communication between the AD FS adapter and the Multi-Factor Authentication service is incomplete. Fare clic su Avanti per completare automaticamente la configurazione o selezionare la casella di controllo Ignora la configurazione automatica di Active Directory e configura le impostazioni manualmente.Click Next to automatically complete this configuration, or select the Skip automatic Active Directory configuration and configure settings manually check box. Fare clic su Avanti.Click Next.

  6. L'eventuale visualizzazione delle finestre Gruppo locale significa due cose.If the Local Group windows is displayed, that means two things. Il computer non è unito a un dominio e la configurazione del gruppo locale per proteggere la comunicazione tra la scheda ADFS e il servizio Multi-Factor Authentication è incompleta.Your computer is not joined to a domain, and the local group configuration for securing communication between the AD FS adapter and the Multi-Factor Authentication service is incomplete. Fare clic su Avanti per completare automaticamente la configurazione o selezionare la casella di controllo Ignora la configurazione automatica di Gruppo locale e configura le impostazioni manualmente.Click Next to automatically complete this configuration, or select the Skip automatic Local Group configuration and configure settings manually check box. Fare clic su Avanti.Click Next.
  7. Nell'installazione guidata fare clic su Avanti.In the installation wizard, click Next. Il server Azure Multi-Factor Authentication creerà il gruppo PhoneFactor Admins e aggiungerà l'account del servizio AD FS al gruppo PhoneFactor Admins.Azure Multi-Factor Authentication Server creates the PhoneFactor Admins group and adds the AD FS service account to the PhoneFactor Admins group.
    Cloud
    Cloud
  8. Nella pagina Avvia programma di installazione fare clic su Avanti.On the Launch Installer page, click Next.
  9. Nel programma di installazione dell'adapter AD FS di Multi-Factor Authentication fare clic su Avanti.In the Multi-Factor Authentication AD FS adapter installer, click Next.
  10. Al termine dell'installazione, fare clic su Chiudi .Click Close when the installation is finished.
  11. Dopo aver installato l'adapter è necessario registrarlo con AD FS.When the adapter has been installed, you must register it with AD FS. Aprire Windows PowerShell ed eseguire il comando seguente:Open Windows PowerShell and run the following command:
    C:\Program Files\Multi-Factor Authentication Server\Register-MultiFactorAuthenticationAdfsAdapter.ps1
    Cloud
    C:\Program Files\Multi-Factor Authentication Server\Register-MultiFactorAuthenticationAdfsAdapter.ps1
    Cloud
  12. Modificare i criteri di autenticazione globali in ADFS per usare la scheda appena registrata.To use your newly registered adapter, edit the global authentication policy in AD FS. Nella console di gestione di AD FS, passare al nodo Criteri di autenticazione .In the AD FS management console, go to the Authentication Policies node. Nella sezione Multi-factor Authentication fare clic sul collegamento Modifica accanto alla sezione Impostazioni globali.In the Multi-factor Authentication section, click the Edit link next to the Global Settings section. Nella finestra di dialogo Modifica criteri di autenticazione globali selezionare Multi-Factor Authentication come metodo di autenticazione aggiuntivo e fare clic su OK.In the Edit Global Authentication Policy window, select Multi-Factor Authentication as an additional authentication method, and then click OK. L'adapter viene registrata come WindowsAzureMultiFactorAuthentication.The adapter is registered as WindowsAzureMultiFactorAuthentication. È necessario riavviare il servizio ADFS per rendere effettiva la registrazione.Restart the AD FS service for the registration to take effect.

Cloud
Cloud

A questo punto, il server Multi-Factor Authentication è configurato per essere un provider di autenticazione aggiuntivo per l'uso con AD FS.At this point, Multi-Factor Authentication Server is set up to be an additional authentication provider to use with AD FS.

Installare un'istanza autonoma dell'adapter AD FS usando l'SDK del servizio WebInstall a standalone instance of the AD FS adapter by using the Web Service SDK

  1. Installare l'SDK del servizio Web nel server che esegue il server Multi-Factor Authentication.Install the Web Service SDK on the server that is running Multi-Factor Authentication Server.
  2. Copiare i file seguenti dalla directory \Programmi\Multi-Factor Authentication Server al server in cui si prevede di installare l'adapter AD FS:Copy the following files from the \Program Files\Multi-Factor Authentication Server directory to the server on which you plan to install the AD FS adapter:
    • MultiFactorAuthenticationAdfsAdapterSetup64.msiMultiFactorAuthenticationAdfsAdapterSetup64.msi
    • Register-MultiFactorAuthenticationAdfsAdapter.ps1Register-MultiFactorAuthenticationAdfsAdapter.ps1
    • Unregister-MultiFactorAuthenticationAdfsAdapter.ps1Unregister-MultiFactorAuthenticationAdfsAdapter.ps1
    • MultiFactorAuthenticationAdfsAdapter.configMultiFactorAuthenticationAdfsAdapter.config
  3. Eseguire il file di installazione MultiFactorAuthenticationAdfsAdapterSetup64.msi.Run the MultiFactorAuthenticationAdfsAdapterSetup64.msi installation file.
  4. Nel programma di installazione della scheda ADFS di Multi-Factor Authentication fare clic su Avanti per eseguire l'installazione.In the Multi-Factor Authentication AD FS adapter installer, click Next to start the installation.
  5. Al termine dell'installazione, fare clic su Chiudi .Click Close when the installation is finished.

Modificare il file MultiFactorAuthenticationAdfsAdapter.configEdit the MultiFactorAuthenticationAdfsAdapter.config file

Per modificare il file MultiFactorAuthenticationAdfsAdapter.config, seguire questa procedura:Follow these steps to edit the MultiFactorAuthenticationAdfsAdapter.config file:

  1. Impostare il nodo UseWebServiceSdk su true.Set the UseWebServiceSdk node to true.
  2. Impostare il valore di WebServiceSdkUrl sull'URL dell'SDK del servizio Web Multi-Factor Authentication.Set the value for WebServiceSdkUrl to the URL of the Multi-Factor Authentication Web Service SDK. Ad esempio: https://contoso.com/<certificatename>/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx, dove certificatename è il nome del certificato.For example: https://contoso.com/<certificatename>/MultiFactorAuthWebServiceSdk/PfWsSdk.asmx, Where certificatename is the name of your certificate.
  3. Modificare lo script Register-MultiFactorAuthenticationAdfsAdapter.ps1 aggiungendo alla fine del comando Register-AdfsAuthenticationProvider -ConfigurationFilePath &lt;path&gt;, dove <path> è il percorso completo del file MultiFactorAuthenticationAdfsAdapter.config.Edit the Register-MultiFactorAuthenticationAdfsAdapter.ps1 script by adding -ConfigurationFilePath &lt;path&gt; to the end of the Register-AdfsAuthenticationProvider command, where <path> is the full path to the MultiFactorAuthenticationAdfsAdapter.config file.

Configurare l'SDK del servizio Web con un nome utente e una passwordConfigure the Web Service SDK with a username and password

Per configurare l'SDK del servizio Web è possibile procedere in due modi: usando un nome utente e una password oppure un certificato client.There are two options for configuring the Web Service SDK. Per la prima opzione, seguire questa procedura.The first is with a username and password, the second is with a client certificate. Per la seconda opzione, vedere più avanti.Follow these steps for the first option, or skip ahead for the second.

  1. Impostare il valore di WebServiceSdkUsername su un account membro del gruppo di sicurezza PhoneFactor Admins.Set the value for WebServiceSdkUsername to an account that is a member of the PhoneFactor Admins security group. Usare il formato <dominio>\<nome utente>.Use the <domain>\<user name> format.
  2. Impostare il valore di WebServiceSdkPassword sulla password dell'account appropriato.Set the value for WebServiceSdkPassword to the appropriate account password.

Configurare l'SDK del servizio Web con un certificato clientConfigure the Web Service SDK with a client certificate

Se si preferisce non usare un nome utente e una password, seguire questa procedura per configurare l'SDK del servizio Web con un certificato client.If you don't want to use a username and password, follow these steps to configure the Web Service SDK with a client certificate.

  1. Ottenere un certificato client da un'autorità di certificazione per il server che esegue l'SDK del servizio Web.Obtain a client certificate from a certificate authority for the server that is running the Web Service SDK. Informazioni su come ottenere certificati client.Learn how to obtain client certificates.
  2. Importare il certificato client nell'archivio certificati personali del computer locale nel server che esegue l'SDK del servizio Web.Import the client certificate to the local computer personal certificate store on the server that is running the Web Service SDK. Verificare che il certificato pubblico dell'autorità di certificazione si trovi nell'archivio dei certificati radice attendibili.Make sure that the certificate authority's public certificate is in Trusted Root Certificates certificate store.
  3. Esportare le chiavi pubbliche e private del certificato client in un file PFX.Export the public and private keys of the client certificate to a .pfx file.
  4. Esportare la chiave pubblica con codifica Base64 in un file CER.Export the public key in Base64 format to a .cer file.
  5. In Server Manager, verificare che sia installata la funzionalità Autenticazione mapping certificati client IIS in Server Web (IIS)\Server Web\Sicurezza.In Server Manager, verify that the Web Server (IIS)\Web Server\Security\IIS Client Certificate Mapping Authentication feature is installed. Se non è installata, selezionare Aggiungi ruoli e funzionalità per aggiungerla.If it is not installed, select Add Roles and Features to add this feature.
  6. In Gestione IIS fare doppio clic sull' editor di configurazione nel sito Web che contiene la directory virtuale dell'SDK del servizio Web.In IIS Manager, double-click Configuration Editor in the website that contains the Web Service SDK virtual directory. È importante selezionare il sito Web, non la directory virtuale.It is important to select the website, not the virtual directory.
  7. Passare alla sezione system.webServer/security/authentication/iisClientCertificateMappingAuthentication .Go to the system.webServer/security/authentication/iisClientCertificateMappingAuthentication section.
  8. Impostare enabled su true.Set enabled to true.
  9. Impostare oneToOneCertificateMappingsEnabled su true.Set oneToOneCertificateMappingsEnabled to true.
  10. Fare clic sul pulsante ... accanto a oneToOneMappings e sul collegamento Aggiungi.Click the ... button next to oneToOneMappings, and then click the Add link.
  11. Aprire il file CER con codifica Base64 esportato in precedenza.Open the Base64 .cer file you exported earlier. Rimuovere -----BEGIN CERTIFICATE-----, -----END CERTIFICATE----- e tutte le interruzioni di riga.Remove -----BEGIN CERTIFICATE-----, -----END CERTIFICATE-----, and any line breaks. Copiare la stringa risultante.Copy the resulting string.
  12. Impostare certificate sulla stringa copiata nel passaggio precedente.Set certificate to the string copied in the preceding step.
  13. Impostare enabled su true.Set enabled to true.
  14. Impostare userName su un account membro del gruppo di sicurezza PhoneFactor Admins.Set userName to an account that is a member of the PhoneFactor Admins security group. Usare il formato <dominio>\<nome utente>.Use the <domain>\<user name> format.
  15. Impostare la password su quella dell'account appropriato e quindi chiudere l'editor di configurazione.Set the password to the appropriate account password, and then close Configuration Editor.
  16. Fare clic sul collegamento Apply (Applica).Click the Apply link.
  17. Nella directory virtuale dell'SDK del servizio Web fare doppio clic su Autenticazione.In the Web Service SDK virtual directory, double-click Authentication.
  18. Verificare che Rappresentazione ASP.NET e Autenticazione di base siano entrambe abilitate e che tutti gli altri elementi siano disabilitati.Verify that ASP.NET Impersonation and Basic Authentication are set to Enabled, and that all other items are set to Disabled.
  19. Nella directory virtuale dell'SDK del servizio Web fare doppio clic su Impostazioni SSL.In the Web Service SDK virtual directory, double-click SSL Settings.
  20. Impostare Certificati client su Accetta e fare clic su Applica.Set Client Certificates to Accept, and then click Apply.
  21. Copiare il file PFX esportato in precedenza nel server che esegue la scheda AD FS.Copy the .pfx file you exported earlier to the server that is running the AD FS adapter.
  22. Importare il file PFX nell'archivio certificati personali del computer locale.Import the .pfx file to the local computer personal certificate store.
  23. Fare clic con il pulsante destro del mouse e selezionare Gestisci chiavi private, quindi concedere l'accesso in lettura all'account usato per accedere al servizio AD FS.Right-click and select Manage Private Keys, and then grant read access to the account you used to sign in to the AD FS service.
  24. Aprire il certificato client e copiare l'identificazione personale dalla scheda Dettagli .Open the client certificate and copy the thumbprint from the Details tab.
  25. Nel file MultiFactorAuthenticationAdfsAdapter.config impostare WebServiceSdkCertificateThumbprint sulla stringa copiata nel passaggio precedente.In the MultiFactorAuthenticationAdfsAdapter.config file, set WebServiceSdkCertificateThumbprint to the string copied in the previous step.

Infine, per registrare la scheda, eseguire lo script \Program Files\Multi-Factor Authentication Server\Register-MultiFactorAuthenticationAdfsAdapter.ps1 in PowerShell.Finally, to register the adapter, run the \Program Files\Multi-Factor Authentication Server\Register-MultiFactorAuthenticationAdfsAdapter.ps1 script in PowerShell. L'adapter viene registrata come WindowsAzureMultiFactorAuthentication.The adapter is registered as WindowsAzureMultiFactorAuthentication. È necessario riavviare il servizio ADFS per rendere effettiva la registrazione.Restart the AD FS service for the registration to take effect.

Proteggere le risorse Azure AD con ADFSSecure Azure AD resources using AD FS

Per proteggere le risorse cloud, configurare una regola attestazioni in modo che Active Directory Federation Services generi l'attestazione multipleauthn quando un utente esegue correttamente la verifica in due passaggi.To secure your cloud resource, set up a claims rule so that Active Directory Federation Services emits the multipleauthn claim when a user performs two-step verification successfully. Questa attestazione viene passata ad Azure AD.This claim is passed on to Azure AD. Seguire questa procedura per eseguire i passaggi:Follow this procedure to walk through the steps:

  1. Aprire il componente di gestione di ADFS.Open AD FS Management.
  2. A sinistra selezionare Attendibilità componente.On the left, select Relying Party Trusts.
  3. Fare clic con il pulsante destro del mouse su Piattaforma delle identità di Microsoft Office 365 e selezionare Modifica regole attestazione...Right-click on Microsoft Office 365 Identity Platform and select Edit Claim Rules…

    Cloud

  4. In Regole di trasformazione rilascio fare clic su Aggiungi regola.On Issuance Transform Rules, click Add Rule.

    Cloud

  5. Nell'Aggiunta guidata regole attestazione di trasformazione selezionare Applicare la funzione di pass-through o di filtro a un'attestazione in ingresso dall'elenco a discesa e fare clic su Avanti.On the Add Transform Claim Rule Wizard, select Pass Through or Filter an Incoming Claim from the drop-down and click Next.

    Cloud

  6. Assegnare un nome alla regola.Give your rule a name.

  7. Selezionare Riferimenti dei metodi di autenticazione come Tipo di attestazione in ingresso.Select Authentication Methods References as the Incoming claim type.
  8. Selezionare Pass-through di tutti i valori attestazione.Select Pass through all claim values. Aggiunta guidata regole attestazione di trasformazioneAdd Transform Claim Rule Wizard
  9. Fare clic su Fine.Click Finish. Chiudere la console di gestione di ADFS.Close the AD FS Management console.

Per la risoluzione dei problemi, vedere Domande frequenti su Azure Multi-Factor AuthenticationFor troubleshooting help, see the Azure Multi-Factor Authentication FAQs