Introduzione ad Azure Multi-Factor Authentication nel cloud

Questo articolo illustra come iniziare a usare Azure Multi-Factor Authentication nel cloud.

Nota

La documentazione seguente fornisce informazioni su come abilitare gli utenti tramite il portale di Azure classico. Per informazioni su come configurare Azure Multi-Factor Authentication per gli utenti di Office 365, vedere Configurare Multi-Factor Authentication per Office 365.

MFA nel cloud

Prerequisito

Iscriversi per ottenere una sottoscrizione di Azure : se non si ha già una sottoscrizione ad Azure, è necessario iscriversi. Se si è appena iniziato a usare il servizio Azure MFA, è possibile usare una sottoscrizione di valutazione

Abilitare Azure Multi-Factor Authentication

Se gli utenti hanno licenze che comprendono Azure Multi-Factor Authentication, non è necessario eseguire operazioni per attivare Azure MFA. È possibile iniziare a richiedere la verifica in due passaggi per i singoli utenti. Le licenze che abilitano Azure MFA sono le seguenti:

  • Azure Multi-Factor Authentication
  • Azure Active Directory Premium
  • Enterprise Mobility + Security

Se nessuna di queste tre licenze è disponibile oppure se le licenze disponibili non bastano per tutti gli utenti, è sufficiente eseguire un passaggio aggiuntivo e creare un provider di Multi-Factor Authentication nella directory.

Attivare la verifica in due passaggi per gli utenti

Per iniziare a richiedere la verifica in due passaggi per un utente, cambiare lo stato dell'utente da disabilitato ad abilitato. Per altre informazioni sugli stati utente, vedere Stati utente in Azure Multi-Factor Authentication

Per abilitare MFA per gli utenti, seguire questa procedura.

Per attivare la modalità Multi-Factor Authentication

  1. Accedere al portale di Azure classico come amministratore.
  2. A sinistra fare clic su Active Directory.
  3. In Directory selezionare la directory relativa all'utente da abilitare. Fare clic su Directory
  4. Nella parte superiore fare clic su Utenti.
  5. Nella parte inferiore della pagina fare clic su Gestisci Multi-Factor Auth. Si apre una nuova scheda del browser. Fare clic su Directory
  6. Trovare l'utente da abilitare per la verifica in due passaggi. Potrebbe essere necessario modificare la visualizzazione nella parte superiore. Assicurarsi che lo stato sia disabilitato Abilitare l'utente
  7. Selezionare la casella accanto al nome.
  8. A destra fare clic su Abilita. Attivare l'utente
  9. Fare clic su Abilita Multi-Factor Auth. Attivare l'utente
  10. Si noti che lo stato dell'utente è cambiato da disabilitato in abilitato. Attivare gli utenti

È consigliabile inviare una notifica tramite posta elettronica agli utenti dopo averli abilitati. Al successivo tentativo di accesso, agli utenti verrà chiesto di registrare il proprio account per la verifica in due passaggi. Una volta che iniziano a usare la verifica in due passaggi, devono anche impostare le password delle app per evitare il blocco delle app non basate su browser.

Usare PowerShell per automatizzare l'attivazione della verifica in due passaggi

Per modificare lo stato usando Azure AD PowerShell, seguire questa procedura. È possibile modificare $st.State in modo che corrisponda a uno degli stati seguenti:

  • Attivato
  • Enforced
  • Disabled
Importante

Non è consigliabile spostare gli utenti direttamente dallo stato di disabilitazione a quello di applicazione. Le app non basate su browser smettono di funzionare poiché l'utente non ha effettuato la registrazione a MFA e non ha ottenuto una password delle app. Se sono presenti app non basate su browser e sono necessarie password delle app, è consigliabile passare da uno stato disabilitato a uno stato abilitato. In questo modo gli utenti possono registrarsi e ottenere le password delle app. Dopo questa operazione è possibile spostarli nello stato di applicazione.

PowerShell può essere un'opzione utile per abilitare gli utenti in blocco. Attualmente non è disponibile una funzionalità di abilitazione in blocco nel portale di Azure ed è necessario selezionare ogni utente singolarmente. Questa attività può risultare piuttosto dispersiva se il numero di utenti è elevato. È possibile scorrere a ciclo continuo un elenco di utenti e abilitarli creando uno script PowerShell con il codice seguente.


$st = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
$st.RelyingParty = "*"
$st.State = "Enabled"
$sta = @($st)
Set-MsolUser -UserPrincipalName "bsimon@contoso.com" -StrongAuthenticationRequirements $sta

Di seguito è fornito un esempio:

$users = @("bsimon@contoso.com", "jsmith@contoso.com", "ljacobson@contoso.com")
foreach ($user in $users)
{
   $st = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
   $st.RelyingParty = "*"
   $st.State = "Enabled"
   $sta = @($st)
   Set-MsolUser -UserPrincipalName $user -StrongAuthenticationRequirements $sta
}

Per altre informazioni, vedere Stati utente in Azure Multi-Factor Authentication

Passaggi successivi

Dopo avere configurato Azure Multi-Factor Authentication nel cloud, è possibile configurare e impostare la distribuzione. Per altri dettagli, vedere Configurazione di Azure Multi-Factor Authentication.