Introduzione al server Azure Multi-Factor Authentication

MFA locale

Dopo aver stabilito di usare un server Multi-Factor Authentication locale, è possibile procedere. Questa pagina include una nuova installazione del server che include l'impostazione di Active Directory locale. Se il server MFA è già installato e lo si vuole aggiornare, vedere Upgrade to the latest Azure Multi-Factor Authentication Server (Eseguire l'aggiornamento al server Azure Multi-Factor Authentication più recente). Per informazioni sull'installazione solo del servizio Web, vedere Distribuzione del servizio Web App Mobile di Azure Multi-Factor Authentication Server.

Pianificare la distribuzione

Prima di scaricare il server Azure Multi-Factor Authentication, valutare i propri requisiti in termini di carico e disponibilità elevata. Usare queste informazioni per decidere come e dove eseguire la distribuzione.

Un'indicazione valida per la quantità di memoria necessaria è data dal numero di utenti che in base alle previsioni eseguirà regolarmente l'autenticazione.

Utenti RAM
1-10.000 4 GB
10.001-50.000 8 GB
50.001-100.000 12 GB
100.000-200.001 16 GB
Oltre 200.001 32 GB

Se è necessario configurare più server per la disponibilità elevata o il bilanciamento del carico, sono disponibili diversi modi per definire questa configurazione con il server Azure MFA. Il primo server Azure MFA installato diventa il master. Tutti i server aggiuntivi diventano subordinati ed eseguono automaticamente la sincronizzazione degli utenti e della configurazione con il master. È quindi possibile configurare un server primario e usare il resto come backup oppure configurare il bilanciamento del carico tra tutti i server.

Quando un server Azure MFA master passa in modalità offline, le richieste di verifica in due passaggi vengono comunque elaborate dai server subordinati. Finché il master non viene riportato online o non viene alzato di livello un subordinato, tuttavia, non è possibile aggiungere nuovi utenti e gli utenti esistenti non possono aggiornare le proprie impostazioni.

Preparare l'ambiente

Verificare che il server usato per Azure Multi-Factor Authentication soddisfi i requisiti seguenti:

Requisiti del server Azure Multi-Factor Authentication Descrizione
Hardware
  • 200 MB di spazio su disco rigido
  • processore idoneo per x32 o x64
  • 1 GB o più di RAM
  • Software
  • Windows Server 2008 o versione successiva se l'host è un sistema operativo server
  • Windows 7 o versione successiva se l'host è un sistema operativo client
  • Microsoft .NET 4.0 Framework
  • IIS 7.0 o versione successiva se si installa il portale utenti o l'SDK servizi Web
  • Requisiti del firewall del server Azure Multi-Factor Authentication

    Ogni server Multi-Factor Authentication deve essere in grado di comunicare sulla porta 443 in uscita negli indirizzi seguenti:

    Se i firewall in uscita sono limitati sulla porta 443, sarà necessario aprire gli intervalli di indirizzi IP seguenti:

    Subnet IP Netmask Intervallo IP
    134.170.116.0/25 255.255.255.128 134.170.116.1 – 134.170.116.126
    134.170.165.0/25 255.255.255.128 134.170.165.1 – 134.170.165.126
    70.37.154.128/25 255.255.255.128 70.37.154.129 – 70.37.154.254

    Se non si usa la funzionalità di conferma dell'evento e gli utenti non usano app per dispositivi mobili per la verifica da dispositivi nella rete aziendale, sono necessari solo gli intervalli seguenti:

    Subnet IP Netmask Intervallo IP
    134.170.116.72/29 255.255.255.248 134.170.116.72 – 134.170.116.79
    134.170.165.72/29 255.255.255.248 134.170.165.72 – 134.170.165.79
    70.37.154.200/29 255.255.255.248 70.37.154.201 – 70.37.154.206

    Scaricare il server Azure Multi-Factor Authentication

    Esistono due modi diversi per scaricare il server Azure Multi-Factor Authentication. Entrambi vengono eseguiti con il portale di Azure. Il primo prevede la gestione diretta del provider di Multi-Factor Authentication, il secondo l'uso delle impostazioni del servizio. La seconda opzione richiede un provider Multi-Factor Authentication o una licenza Azure MFA, Azure AD Premium o Enterprise Mobility Suite.

    Importante

    Queste due opzioni sembrano simili, ma è importante sapere quale usare. Se gli utenti hanno licenze che includono MFA (Azure MFA, Azure AD Premium o Enterprise Mobility + Security), non creare un provider Multi-Factor Authentication per ottenere il download del server. Usare invece l'opzione 2 per scaricare il server dalla pagina delle impostazioni del servizio.

    Opzione 1: Scaricare il server Azure Multi-Factor Authentication dal portale di Azure classico

    Usare questa opzione di download se si ha già un provider Multi-Factor Authentication perché viene eseguito il pagamento per MFA per utente abilitato o per autenticazione.

    1. Accedere al portale di Azure classico come amministratore.
    2. A sinistra, selezionare Active Directory.
    3. Nella pagina Active Directory fare clic su Provider di Autenticazione a più fattori Provider di Autenticazione a più fattori
    4. Nella parte inferiore fare clic su Gestisci. Viene aperta una nuova pagina.
    5. Fare clic su Download.
    6. Fare clic sul collegamento Scarica. Scaricare
    7. Salvare il download.

    Opzione 2: Scaricare il server Azure Multi-Factor Authentication dalle impostazioni del servizio

    Usare questa opzione di download se si hanno licenze Enterprise Mobility Suite, Azure AD Premium o Enterprise Cloud Suite.

    1. Accedere al portale di Azure classico come amministratore.
    2. A sinistra, selezionare Active Directory.
    3. Fare doppio clic sull'istanza di Azure AD.
    4. Nella parte superiore fare clic su Configura
    5. Scorrere verso il basso fino alla sezione Multi-Factor Authentication, selezionare Gestisci impostazioni del servizio.
    6. Nella parte inferiore della schermata della pagina Impostazioni servizio, fare clic su Vai al portale. Viene aperta una nuova pagina. Scaricare
    7. Fare clic su Download
    8. Fare clic sul collegamento Scarica. Scaricare
    9. Salvare il download.

    Installare e configurare il server Azure Multi-Factor Authentication

    Dopo averlo scaricato, è possibile installare e configurare il server. Assicurarsi che il server in cui viene installato soddisfi i requisiti elencati nella sezione relativa alla pianificazione.

    Questi passaggi consentono di eseguire un'installazione rapida con la configurazione guidata. Se non viene visualizzata la procedura guidata o si vuole eseguirla di nuovo, è possibile selezionarla dal menu Strumenti nel server.

    1. Fare doppio clic sul file eseguibile.
    2. Nella schermata di selezione della cartella di installazione, assicurarsi che la cartella sia corretta e fare clic su Avanti.
    3. Al termine dell'installazione, fare clic su Fine. Viene avviata la configurazione guidata.
    4. Nella schermata iniziale della configurazione guidata selezionare Non utilizzare la Configurazione guidata autenticazione e fare clic su Avanti. La procedura guidata viene chiusa e viene avviato il server. Cloud
    5. Tornare nella pagina da cui è stato scaricato il server, scegliere il pulsante relativo alla generazione delle credenziali di attivazione . Copiare queste informazioni nel server Azure MFA nelle apposite caselle e fare clic su Attiva.

    Importare gli utenti da Active Directory

    Ora che il server è stato installato e configurato, è possibile importare rapidamente gli utenti nel server Azure MFA.

    1. Nel server Azure MFA, a sinistra, selezionare Utenti.
    2. Nella parte inferiore, selezionare Importa da Active Directory.
    3. A questo punto è possibile eseguire la ricerca di singoli utenti o effettuare una ricerca delle unità organizzative con utenti all'interno di Active Directory. In questo caso, viene specificata l'unità organizzativa utenti.
    4. Selezionare tutti gli utenti a destra e fare clic su Importa. Verrà visualizzata una finestra popup che informa che tutte le operazioni sono state eseguite correttamente. Chiudere la finestra di importazione. Cloud

    Inviare agli utenti un messaggio di posta elettronica

    Dopo aver importato gli utenti nel server di MFA, inviare un messaggio di posta elettronica per informarli che sono stati registrati per la verifica in due passaggi.

    Il messaggio di posta elettronica inviato deve essere determinato dalla configurazione degli utenti per la verifica in due passaggi. Ad esempio, se è stata completata l'importazione dei numeri di telefono dalla directory aziendale, il messaggio di posta elettronica deve includere i numeri di telefono predefiniti in modo che gli utenti sappiano cosa aspettarsi. Se i numeri di telefono non sono stati importati o è previsto che gli utenti usino l'app per dispositivi mobili, inviare un messaggio di posta elettronica per invitarli a completare la registrazione dell'account. Includere nel messaggio un collegamento ipertestuale al portale utenti di Azure Multi-Factor Authentication.

    Il contenuto del messaggio di posta elettronica varia a seconda del metodo di verifica impostato per l'utente (telefonata, SMS o app per dispositivi mobili). Se, ad esempio, l'utente deve usare un PIN quando esegue l'autenticazione, il messaggio di posta elettronica indicherà quale PIN iniziale è stato impostato. Agli utenti viene richiesto di modificare il PIN nel corso della prima verifica.

    Configurare l'indirizzo di posta elettronica e i modelli di messaggio di posta elettronica

    Fare clic sull'icona del messaggio di posta elettronica a sinistra per configurare le impostazioni per l'invio dei messaggi di posta elettronica. In questa pagina è possibile immettere le informazioni SMTP del server di posta elettronica e inviare un messaggio selezionando la casella di controllo Invia messaggi agli utenti.

    Impostazioni di posta elettronica

    Nella scheda Contenuto messaggio è possibile visualizzare i modelli di messaggio di posta elettronica disponibili per la selezione. A seconda della modalità di configurazione scelta per l'esecuzione della verifica in due passaggi, è possibile scegliere il modello che meglio si adatta alle proprie esigenze.

    Modelli di posta elettronica

    Come gestire i dati utente tramite il server Multi-Factor Authentication

    Quando si usa il server Multi-Factor Authentication (MFA) locale, i dati di un utente vengono archiviati nel server locale. Nel cloud non vengono archiviati dati utente persistenti. Quando l'utente esegue una verifica in due passaggi, Azure MFA Server invia i dati al servizio cloud Azure MFA per eseguire la verifica. Quando queste richieste di autenticazione vengono inviate al servizio cloud, i campi seguenti vengono inviati nella richiesta e dei log, in modo che siano disponibili nei report di autenticazione/utilizzo del cliente. Alcuni campi sono facoltativi e possono essere abilitati o disabilitati nel server Multi-Factor Authentication. La comunicazione dal server MFA al servizio cloud MFA usa SSL/TLS sulla porta 443 in uscita. Questi campi sono:

    • ID univoco: nome utente o ID interno del MFA
    • Nome e cognome (facoltativo)
    • Indirizzo di posta elettronica (facoltativo)
    • Numero di telefono: quando si esegue una chiamata vocale o l'autenticazione tramite SMS
    • Token del dispositivo: quando si esegue l'autenticazione con l'app per dispositivi mobili
    • Modalità di autenticazione
    • Risultato dell'autenticazione
    • Nome del server MFA
    • IP del server MFA
    • IP client: se disponibile

    Oltre a questi campi, il risultato della verifica (esito positivo/rifiuto) e il motivo di eventuali rifiuti vengono archiviati insieme ai dati di autenticazione e sono disponibili nei report di autenticazione/utilizzo.

    Passaggi successivi