Introduzione al server Azure Multi-Factor AuthenticationGetting started with the Azure Multi-Factor Authentication Server

MFA locale
MFA on-premises

Dopo aver stabilito di usare un server Multi-Factor Authentication locale, è possibile procedere.Now that we have determined to use on-premises Multi-Factor Authentication Server, let’s get going. Questa pagina include una nuova installazione del server che include l'impostazione di Active Directory locale.This page covers a new installation of the server and setting it up with on-premises Active Directory. Se il server MFA è già installato e lo si vuole aggiornare, vedere Upgrade to the latest Azure Multi-Factor Authentication Server (Eseguire l'aggiornamento al server Azure Multi-Factor Authentication più recente).If you already have the MFA server installed and are looking to upgrade, see Upgrade to the latest Azure Multi-Factor Authentication Server. Per informazioni sull'installazione solo del servizio Web, vedere Distribuzione del servizio Web App Mobile di Azure Multi-Factor Authentication Server.If you're looking for information on installing just the web service, see Deploying the Azure Multi-Factor Authentication Server Mobile App Web Service.

Pianificare la distribuzionePlan your deployment

Prima di scaricare il server Azure Multi-Factor Authentication, valutare i propri requisiti in termini di carico e disponibilità elevata.Before you download the Azure Multi-Factor Authentication Server, think about what your load and high availability requirements are. Usare queste informazioni per decidere come e dove eseguire la distribuzione.Use this information to decide how and where to deploy.

Un'indicazione valida per la quantità di memoria necessaria è data dal numero di utenti che in base alle previsioni eseguirà regolarmente l'autenticazione.A good guideline for the amount of memory you need is the number of users you expect to authenticate on a regular basis.

UtentiUsers RAMRAM
1-10.0001-10,000 4 GB4 GB
10.001-50.00010,001-50,000 8 GB8 GB
50.001-100.00050,001-100,000 12 GB12 GB
100.000-200.001100,000-200,001 16 GB16 GB
Oltre 200.001200,001+ 32 GB32 GB

Se è necessario configurare più server per la disponibilità elevata o il bilanciamento del carico,Do you need to set up multiple servers for high availability or load balancing? sono disponibili diversi modi per definire questa configurazione con il server Azure MFA.There are a number of ways to set up this configuration with Azure MFA Server. Il primo server Azure MFA installato diventa il master.When you install your first Azure MFA Server, it becomes the master. Tutti i server aggiuntivi diventano subordinati ed eseguono automaticamente la sincronizzazione degli utenti e della configurazione con il master.Any additional servers become subordinate, and automatically synchronize users and configuration with the master. È quindi possibile configurare un server primario e usare il resto come backup oppure configurare il bilanciamento del carico tra tutti i server.Then, you can configure one primary server and have the rest act as backup, or you can set up load balancing among all the servers.

Quando un server Azure MFA master passa in modalità offline, le richieste di verifica in due passaggi vengono comunque elaborate dai server subordinati.When a master Azure MFA Server goes offline, the subordinate servers can still process two-step verification requests. Finché il master non viene riportato online o non viene alzato di livello un subordinato, tuttavia, non è possibile aggiungere nuovi utenti e gli utenti esistenti non possono aggiornare le proprie impostazioni.However, you can't add new users and existing users can't update their settings until the master is back online or a subordinate gets promoted.

Preparare l'ambientePrepare your environment

Verificare che il server usato per Azure Multi-Factor Authentication soddisfi i requisiti seguenti:Make sure the server that you're using for Azure Multi-Factor Authentication meets the following requirements:

Requisiti del server Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication Server Requirements DescrizioneDescription
HardwareHardware
  • 200 MB di spazio su disco rigido200 MB of hard disk space
  • processore idoneo per x32 o x64x32 or x64 capable processor
  • 1 GB o più di RAM1 GB or greater RAM
  • SoftwareSoftware
  • Windows Server 2016Windows Server 2016
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2008, SP1, SP2Windows Server 2008, SP1, SP2
  • Windows Server 2003 R2Windows Server 2003 R2
  • Windows Server 2003, SP1, SP2Windows Server 2003, SP1, SP2
  • Windows 10Windows 10
  • Windows 8.1, tutte le edizioniWindows 8.1, all editions
  • Windows 8, tutte le edizioniWindows 8, all editions
  • Windows 7, tutte le edizioniWindows 7, all editions
  • Windows Vista, tutte le edizioni, SP1, SP2Windows Vista, all editions, SP1, SP2
  • Microsoft .NET 4.0 FrameworkMicrosoft .NET 4.0 Framework
  • IIS 7.0 o versione successiva se si installa il portale utenti o l'SDK servizi WebIIS 7.0 or greater if installing the user portal or web service SDK
  • Componenti del server Azure MFAAzure MFA Server Components

    Il server Azure MFA è costituito da tre componenti Web:There are three web components that make up Azure MFA Server:

    • SDK servizio Web: consente la comunicazione con gli altri componenti ed è installato nel server Azure MFA.Web Service SDK - Enables communication with the other components and is installed on the Azure MFA application server
    • Portale utenti: sito Web IIS che consente agli utenti di registrarsi in Azure Multi-Factor Authentication (MFA) e gestire i relativi account.User Portal - An IIS web site that allows users to enroll in Azure Multi-Factor Authentication (MFA) and maintain their accounts.
    • Servizio Web per app per dispositivi mobili: consente di usare un'app per dispositivi mobili come Microsoft Authenticator per la verifica in due passaggi.Mobile App Web Service - Enables using a mobile app like the Microsoft Authenticator app for two-step verification.

    Tutti e tre i componenti possono essere installati nello stesso server se questo è connesso a Internet.All three components can be installed on the same server if the server is internet-facing. Se si separano i componenti, l'SDK servizio Web viene installato nel server Azure MFA, mentre il portale utenti e il servizio Web per app per dispositivi mobili vengono installati in un server con connessione Internet.If breaking up the components, the Web Service SDK is installed on the Azure MFA application server and the User Portal and Mobile App Web Service are installed on an internet-facing server.

    Requisiti del firewall del server Azure Multi-Factor AuthenticationAzure Multi-Factor Authentication Server firewall requirements

    Ogni server Multi-Factor Authentication deve essere in grado di comunicare sulla porta 443 in uscita negli indirizzi seguenti:Each MFA server must be able to communicate on port 443 outbound to the following addresses:

    Se i firewall in uscita sono limitati sulla porta 443, sarà necessario aprire gli intervalli di indirizzi IP seguenti:If outbound firewalls are restricted on port 443, open the following IP address ranges:

    Subnet IPIP Subnet NetmaskNetmask Intervallo IPIP Range
    134.170.116.0/25134.170.116.0/25 255.255.255.128255.255.255.128 134.170.116.1 – 134.170.116.126134.170.116.1 – 134.170.116.126
    134.170.165.0/25134.170.165.0/25 255.255.255.128255.255.255.128 134.170.165.1 – 134.170.165.126134.170.165.1 – 134.170.165.126
    70.37.154.128/2570.37.154.128/25 255.255.255.128255.255.255.128 70.37.154.129 – 70.37.154.25470.37.154.129 – 70.37.154.254

    Se non si usa la funzionalità di conferma dell'evento e gli utenti non usano app per dispositivi mobili per la verifica da dispositivi nella rete aziendale, sono necessari solo gli intervalli seguenti:If you aren't using the Event Confirmation feature, and your users aren't using mobile apps to verify from devices on the corporate network, you only need the following ranges:

    Subnet IPIP Subnet NetmaskNetmask Intervallo IPIP Range
    134.170.116.72/29134.170.116.72/29 255.255.255.248255.255.255.248 134.170.116.72 – 134.170.116.79134.170.116.72 – 134.170.116.79
    134.170.165.72/29134.170.165.72/29 255.255.255.248255.255.255.248 134.170.165.72 – 134.170.165.79134.170.165.72 – 134.170.165.79
    70.37.154.200/2970.37.154.200/29 255.255.255.248255.255.255.248 70.37.154.201 – 70.37.154.20670.37.154.201 – 70.37.154.206

    Scaricare il server MFA - Anteprima pubblicaDownload the MFA Server - Public preview

    Seguire questi passaggi per scaricare il server Azure Multi-Factor Authentication dal portale di Azure:Follow these steps to download the Azure Multi-Factor Authentication Server from the Azure portal:

    1. Accedere al portale di Azure come amministratore.Sign in to the Azure portal as an administrator.
    2. Selezionare Active Directory > Multi-Factor Authentication.Select Active Directory > Multi-Factor Authentication.
    3. Selezionare Impostazioni server.Select Server settings.
    4. Selezionare Scarica e seguire le istruzioni nella pagina di download per salvare il programma di installazione.Select Download and follow the instructions on the download page to save the installer.

      Download del server MFA

    5. Tenere aperta questa pagina, perché sarà necessaria dopo l'esecuzione del programma di installazione.Keep this page open as we will refer to it after running the installer.

    Scaricare il server MFADownload the MFA Server

    Seguire questi passaggi per scaricare il server Azure Multi-Factor Authentication dal portale pfweb:Follow these steps to download the Azure Multi-Factor Authentication Server from the pfweb portal:

    1. Accedere al portale di Azure come amministratore.Sign in to the Azure portal as an administrator.
    2. A sinistra, selezionare Active Directory.On the left, select Active Directory
    3. Selezionare Utenti e gruppiSelect Users and groups
    4. Selezionare Tutti gli utentiSelect All users
    5. Selezionare Multi-Factor AuthenticationSelect Multi-Factor Authentication
    6. Nella sezione Multi-Factor Authentication selezionare Impostazioni servizio.Under multi-factor authentication section, select service settings

      Pagina Impostazioni servizio

    7. Nella parte inferiore della schermata della pagina Impostazioni servizio, fare clic su Vai al portale.On the services settings page, at the bottom of the screen click Go to the portal. Viene aperta una nuova pagina.A new page opens.

    8. Fare clic su Download.Select Downloads.
    9. Fare clic sul collegamento di download e salvare il programma di installazione.Click the Download link and save the installer.

      Download del server MFA

    10. Tenere aperta questa pagina, perché sarà necessaria dopo l'esecuzione del programma di installazione.Keep this page open as we will refer to it after running the installer.

    Installare e configurare il server MFAInstall and configure the MFA Server

    Dopo averlo scaricato, è possibile installare e configurare il server.Now that you have downloaded the server you can install and configure it. Assicurarsi che il server in cui viene installato soddisfi i requisiti elencati nella sezione relativa alla pianificazione.Be sure that the server you are installing it on meets requirements listed in the planning section.

    1. Fare doppio clic sul file eseguibile.Double-click the executable.
    2. Nella schermata di selezione della cartella di installazione, assicurarsi che la cartella sia corretta e fare clic su Avanti.On the Select Installation Folder screen, make sure that the folder is correct and click Next.
    3. Al termine dell'installazione, fare clic su Fine.Once the installation is complete, click Finish. Viene avviata la configurazione guidata.The configuration wizard launches.
    4. Nella schermata iniziale della configurazione guidata selezionare Non utilizzare la Configurazione guidata autenticazione e fare clic su Avanti.On the configuration wizard welcome screen, check Skip using the Authentication Configuration Wizard and click Next. La procedura guidata viene chiusa e viene avviato il server.The wizard closes and the server starts.

      Cloud

    5. Tornare alla pagina da cui è stato scaricato il server e fare clic sul pulsante Genera credenziali di attivazione.Back on the page that you downloaded the server from, click the Generate Activation Credentials button. Copiare queste informazioni nel server Azure MFA nelle apposite caselle e fare clic su Attiva.Copy this information into the Azure MFA Server in the boxes provided and click Activate.

    Inviare agli utenti un messaggio di posta elettronicaSend users an email

    Per semplificare l'implementazione, consentire al server MFA di comunicare con gli utenti.To ease rollout, allow MFA Server to communicate with your users. Il server MFA potrà inviare un messaggio di posta elettronica per informare gli utenti che sono stati registrati per la verifica in due passaggi.MFA Server can send an email to inform them that they have been enrolled for two-step verification.

    Il messaggio di posta elettronica viene determinato dalla configurazione degli utenti per la verifica in due passaggi.The email you send should be determined by how you configure your users for two-step verification. Ad esempio, se è possibile importare i numeri di telefono dalla directory aziendale, il messaggio di posta elettronica deve includere i numeri di telefono predefiniti in modo che gli utenti sappiano cosa aspettarsi.For example, if you are able to import phone numbers from the company directory, the email should include the default phone numbers so that users know what to expect. Se i numeri di telefono non vengono importati o è previsto che gli utenti usino l'app per dispositivi mobili, inviare un messaggio di posta elettronica per invitarli a completare la registrazione dell'account.If you do not import phone numbers, or your users are going to use the mobile app, send them an email that directs them to complete their account enrollment. Includere nel messaggio un collegamento ipertestuale al portale utenti di Azure Multi-Factor Authentication.Include a hyperlink to the Azure Multi-Factor Authentication User Portal in the email.

    Il contenuto del messaggio di posta elettronica varia a seconda del metodo di verifica impostato per l'utente (telefonata, SMS o app per dispositivi mobili).The content of the email also varies depending on the method of verification that has been set for the user (phone call, SMS, or mobile app). Se, ad esempio, l'utente deve usare un PIN quando esegue l'autenticazione, il messaggio di posta elettronica indicherà quale PIN iniziale è stato impostato.For example, if the user is required to use a PIN when they authenticate, the email tells them what their initial PIN has been set to. Agli utenti viene richiesto di modificare il PIN nel corso della prima verifica.Users are required to change their PIN during their first verification.

    Configurare l'indirizzo di posta elettronica e i modelli di messaggio di posta elettronicaConfigure email and email templates

    Fare clic sull'icona del messaggio di posta elettronica a sinistra per configurare le impostazioni per l'invio dei messaggi di posta elettronica.Click the email icon on the left to set up the settings for sending these emails. In questa pagina è possibile immettere le informazioni SMTP del server di posta elettronica e inviare un messaggio selezionando la casella di controllo Invia messaggi agli utenti.This page is where you can enter the SMTP information of your mail server and send email by checking the Send emails to users check box.

    Configurazione della posta elettronica per il server MFA

    Nella scheda Contenuto messaggio è possibile visualizzare i modelli di messaggio di posta elettronica disponibili per la selezione.On the Email Content tab, you can see the email templates that are available to choose from. A seconda della modalità di configurazione scelta per l'esecuzione della verifica in due passaggi, è possibile scegliere il modello che meglio si adatta alle proprie esigenze.Depending on how you have configured your users to perform two-step verification, choose the template that best suits you.

    Modelli di posta elettronica per il server MFA

    Importare gli utenti da Active DirectoryImport users from Active Directory

    Ora che il server è installato, è possibile aggiungere gli utenti.Now that the server is installed you will want to add users. È possibile scegliere di crearli manualmente, importare gli utenti da Active Directory o configurare la sincronizzazione automatica con Active Directory.You can choose to create them manually, import users from Active Directory, or configure automated synchronization with Active Directory.

    Importazione manuale da Active DirectoryManual import from Active Directory

    1. Nel server Azure MFA, a sinistra, selezionare Utenti.In the Azure MFA Server, on the left, select Users.
    2. Nella parte inferiore, selezionare Importa da Active Directory.At the bottom, select Import from Active Directory.
    3. A questo punto è possibile eseguire la ricerca di singoli utenti o effettuare una ricerca delle unità organizzative con utenti all'interno di Active Directory.Now you can either search for individual users or search the AD directory for OUs with users in them. In questo caso, viene specificata l'unità organizzativa utenti.In this case, we specify the users OU.
    4. Selezionare tutti gli utenti a destra e fare clic su Importa.Highlight all the users on the right and click Import. Verrà visualizzata una finestra popup che informa che tutte le operazioni sono state eseguite correttamente.You should receive a pop-up telling you that you were successful. Chiudere la finestra di importazione.Close the import window.

      Importazione di utenti nel server MFA

    Sincronizzazione automatica con Active DirectoryAutomated synchronization with Active Directory

    1. Nel server Azure MFA selezionare Integrazione directory sulla sinistra.In the Azure MFA Server, on the left, select Directory Integration.
    2. Passare alla scheda Sincronizzazione.Navigate to the Synchronization tab.
    3. Nella parte inferiore scegliere Aggiungi.At the bottom, choose Add
    4. Nella casella Aggiungi elemento di sincronizzazione visualizzata scegliere il dominio, OU oppure gruppo di sicurezza, le impostazioni, le impostazioni predefinite del metodo e le impostazioni predefinite della lingua per questa attività di sincronizzazione. Quindi fare clic su Aggiungi.In the Add Synchronization Item box that appears choose the Domain, OU or security group, Settings, Method Defaults, and Language Defaults for this synchronization task and click Add.
    5. Selezionare la casella Abilita sincronizzazione con Active Directory e scegliere un intervallo di sincronizzazione compreso tra un minuto e 24 ore.Check the box labeled Enable synchronization with Active Directory and choose a Synchronization interval between one minute and 24 hours.

    Come gestire i dati utente tramite il server Multi-Factor AuthenticationHow the Azure Multi-Factor Authentication Server handles user data

    Quando si usa il server Multi-Factor Authentication (MFA) locale, i dati di un utente vengono archiviati nel server locale.When you use the Multi-Factor Authentication (MFA) Server on-premises, a user’s data is stored in the on-premises servers. Nel cloud non vengono archiviati dati utente persistenti.No persistent user data is stored in the cloud. Quando l'utente esegue una verifica in due passaggi, Azure MFA Server invia i dati al servizio cloud Azure MFA per eseguire la verifica.When the user performs a two-step verification, the MFA Server sends data to the Azure MFA cloud service to perform the verification. Quando queste richieste di autenticazione vengono inviate al servizio cloud, i campi seguenti vengono inviati nella richiesta e dei log, in modo che siano disponibili nei report di autenticazione/utilizzo del cliente.When these authentication requests are sent to the cloud service, the following fields are sent in the request and logs so that they are available in the customer's authentication/usage reports. Alcuni campi sono facoltativi e possono essere abilitati o disabilitati nel server Multi-Factor Authentication.Some of the fields are optional so they can be enabled or disabled within the Multi-Factor Authentication Server. La comunicazione dal server MFA al servizio cloud MFA usa SSL/TLS sulla porta 443 in uscita.The communication from the MFA Server to the MFA cloud service uses SSL/TLS over port 443 outbound. Questi campi sono:These fields are:

    • ID univoco: nome utente o ID interno del MFAUnique ID - either username or internal MFA server ID
    • Nome e cognome (facoltativo)First and last name (optional)
    • Indirizzo di posta elettronica (facoltativo)Email address (optional)
    • Numero di telefono: quando si esegue una chiamata vocale o l'autenticazione tramite SMSPhone number - when doing a voice call or SMS authentication
    • Token del dispositivo: quando si esegue l'autenticazione con l'app per dispositivi mobiliDevice token - when doing mobile app authentication
    • Modalità di autenticazioneAuthentication mode
    • Risultato dell'autenticazioneAuthentication result
    • Nome del server MFAMFA Server name
    • IP del server MFAMFA Server IP
    • IP client: se disponibileClient IP – if available

    Oltre a questi campi, il risultato della verifica (esito positivo/rifiuto) e il motivo di eventuali rifiuti vengono archiviati insieme ai dati di autenticazione e sono disponibili nei report di autenticazione/utilizzo.In addition to the fields above, the verification result (success/denial) and reason for any denials is also stored with the authentication data and available through the authentication/usage reports.

    Eseguire il backup e il ripristino del server Azure MFABack up and restore Azure MFA Server

    In qualsiasi sistema è importante assicurarsi di avere a disposizione un backup valido.Making sure that you have a good backup is an important step to take with any system.

    Per eseguire il backup del server Azure MFA, occorre avere una copia della cartella C:\Program Files\Multi-Factor Authentication Server\Data e del file PhoneFactor.pfdata.To back up Azure MFA Server, ensure that you have a copy of the C:\Program Files\Multi-Factor Authentication Server\Data folder including the PhoneFactor.pfdata file.

    In caso di ripristino, seguire questa procedura:In case a restore is needed complete the following steps:

    1. Reinstallare il server Azure MFA in un nuovo server.Reinstall Azure MFA Server on a new server.
    2. Attivare il nuovo server Azure MFA.Activate the new Azure MFA Server.
    3. Arrestare il servizio MultiFactorAuth.Stop the MultiFactorAuth service.
    4. Sovrascrivere il file PhoneFactor.pfdata con la copia di backup.Overwrite the PhoneFactor.pfdata with the backed up copy.
    5. Avviare il servizio MultiFactorAuth.Start the MultiFactorAuth service.

    Il nuovo server è ora operativo con i dati utente e la configurazione di backup originali.The new server is now up and running with the original backed-up configuration and user data.

    Passaggi successiviNext steps