Procedure consigliate sulla sicurezza per usare Azure Multi-Factor Authentication con account Azure ADSecurity Best Practices for using Azure Multi-Factor Authentication with Azure AD accounts

La scelta preferita per migliorare il processo di autenticazione nella maggior parte delle organizzazioni è la verifica in due passaggi.Two-step verification is the preferred choice for most organizations that want to enhance their authentication process. Azure Multi-Factor Authentication (MFA) consente alle aziende di soddisfare i requisiti di sicurezza e conformità, offrendo un'esperienza di accesso semplice per gli utenti.Azure Multi-Factor Authentication (MFA) helps companies meet their security and compliance requirements while providing a simple sign-in experience for their users. Questo articolo illustra alcuni consigli che è consigliabile considerare quando si pianifica l'adozione di Azure MFA.This article covers some tips that you should consider when planning for the adoption of Azure MFA.

Distribuire Azure MFA nel cloudDeploy Azure MFA in the cloud

Esistono due modi per abilitare Azure MFA per tutti gli utenti.There are two ways to enable Azure MFA for all your users.

  • Acquistare licenze per ogni utente (Azure MFA, Azure AD Premium o Enterprise Mobility + Security)Buy licenses for each user (Either Azure MFA, Azure AD Premium, or Enterprise Mobility + Security)
  • Creare un provider di Multi-Factor Authentication scegliendo di pagare in base al numero di utenti o di autenticazioniCreate a Multi-Factor Auth Provider and pay per-user or per-authentication

LicenzeLicenses

EMS

Se si dispone di licenze Azure AD Premium o Enterprise Mobility + Security, si può già usare Azure MFA.If you have Azure AD Premium or Enterprise Mobility + Security licenses, you already have Azure MFA. L'organizzazione non ha l'esigenza di avere elementi aggiuntivi per estendere la funzionalità di verifica in due passaggi a tutti gli utenti.Your organization doesn't need anything additional to extend the two-step verification capability to all users. È sufficiente assegnare una licenza a un utente e quindi è possibile attivare l'autenticazione MFA.You only need to assign a license to a user, and then you can turn on MFA.

Quando si configura l'autenticazione Multi-Factor Authentication, tenere in considerazione le raccomandazioni seguenti:When setting up Multi-Factor Authentication, consider the following tips:

  • Non creare un provider di Multi-Factor Authentication in base al numero di autenticazioni.Do not create a per-authentication Multi-Factor Auth Provider. Questo perché si rischia di pagare per richieste di verifica provenienti da utenti che dispongono già di licenze.If you do, you could end up paying for verification requests from users that already have licenses.
  • Se non si dispone di licenze sufficienti per tutti gli utenti, è possibile creare un provider di Multi-Factor Authentication in base al numero di utenti per coprire il resto dell'organizzazione.If you don't have enough licenses for all your users, you can create a per-user Multi-Factor Auth Provider to cover the rest of your organization.
  • Azure AD Connect è un requisito solo se si sincronizza l'ambiente Active Directory locale con una directory di Azure AD.Azure AD Connect is only required if you are synchronizing your on-premises Active Directory environment with an Azure AD directory. Se si usa una directory di Azure AD non sincronizzata con un'istanza locale di Active Directory, Azure AD Connect non è necessario.If you use an Azure AD directory that is not synchronized with an on-premises instance of Active Directory, you do not need Azure AD Connect.

Provider di Multi-Factor AuthenticationMulti-Factor Auth Provider

Provider di Multi-Factor Authentication

Se non si dispone di licenze che includono Azure MFA, è possibile creare un provider di autenticazione MFA.If you don't have licenses that include Azure MFA, then you can create an MFA Auth Provider.

Quando si crea il provider di autenticazione, è necessario selezionare una directory e considerare quanto segue:When creating the Auth Provider, you need to select a directory and consider the following details:

  • Non è necessaria una directory di Azure AD per creare un provider Multi-Factor Authentication, ma con una è possibile ottenere più funzionalità.You do not need an Azure AD directory to create a Multi-Factor Auth Provider, but you get more functionality with one. Le seguenti funzionalità vengono abilitate associando il provider di Multi-Factor Authentication a una directory di Azure AD:The following features are enabled when you associate the Auth Provider with an Azure AD directory:
    • Estendere la verifica in due passaggi a tutti gli utentiExtend two-step verification to all your users
    • Offrire funzionalità aggiuntive agli amministratori globali, ad esempio il portale di gestione, messaggi di saluto personalizzati e report.Offer your global administrators additional features, such as the management portal, custom greetings, and reports.
  • Se si esegue la sincronizzazione dell'ambiente Active Directory locale con una directory di Azure AD, sono necessarie le funzionalità DirSync o AAD Sync. Se si usa una directory di Azure AD non sincronizzata con un'istanza locale di Active Directory, non sono necessarie le funzionalità DirSync o AAD Sync.If you synchronize your on-premises Active Directory environment with an Azure AD directory, you need DirSync or AAD Sync. If you use an Azure AD directory that is not synchronized with an on-premises instance of Active Directory, you do not need DirSync or AAD Sync.
  • Scegliere il modello di consumo più adatto alle esigenze aziendali.Choose the consumption model that best suits your business. Dopo aver selezionato il modello non sarà possibile modificarlo.Once you select the usage model, you can’t change it. I due modelli sono:The two models are:
    • Per autenticazione: viene applicato un addebito per ogni verifica.Per authentication: charges you for each verification. Usare questo modello per usare la verifica in due passaggi per qualsiasi utente che accede a una determinata app, non per utenti specifici.Use this model if you want two-step verification for anyone that accesses a certain app, not for specific users.
    • Per utente abilitato: viene applicato un addebito per ogni utente che viene abilitato per Azure MFA.Per enabled user: charges you for each user that you enable for Azure MFA. Usare questo modello se non tutti gli utenti dispongono di licenze Azure AD Premium o Enterprise Mobility Suite.Use this model if you have some users with Azure AD Premium or Enterprise Mobility Suite licenses, and some without.

SupportoSupportability

Poiché la maggior parte degli utenti è abituata a usare le password solo per l'autenticazione, è importante che l'azienda renda consapevoli tutti gli utenti in merito a questo processo.Since most users are accustomed to using only passwords to authenticate, it is important that your company brings awareness to all users regarding this process. Questa consapevolezza può ridurre la probabilità che gli utenti contattino l'help desk per problemi di lieve entità riguardanti MFA.This awareness can reduce the likelihood that users call your help desk for minor issues related to MFA. Esistono tuttavia alcuni scenari in cui è necessario disabilitare temporaneamente MFA.However, there are some scenarios where temporarily disabling MFA is necessary. Per sapere come gestire questi scenari, usare le linee guida seguenti:Use the following guidelines to understand how to handle those scenarios:

  • Preparare il personale di supporto tecnico a gestire gli scenari in cui l'utente non è in grado di accedere perché l'app per dispositivi mobili o il telefono non ricevono una notifica o una chiamata telefonica.Train your technical support staff to handle scenarios where the user can't sign in because the mobile app or phone is not receiving a notification or phone call. Il supporto tecnico può abilitare un'opzione di bypass monouso per consentire all'utente di autenticarsi una sola volta "ignorando" la verifica in due passaggi.Technical support can enable a one-time bypass to allow a user to authenticate a single time by "bypassing" two-step verification. Il bypass è temporaneo e scade dopo un numero di secondi specificato.The bypass is temporary and expires after a specified number of seconds.
  • La funzionalità per gli indirizzi IP attendibili in Azure MFA può essere considerata come un modo per ridurre al minimo la verifica in due passaggi.Consider the Trusted IPs capability in Azure MFA as a way to minimize two-step verification. Questa funzionalità consente agli amministratori di un tenant gestito o federato di ignorare la verifica in due passaggi per gli utenti che accedono dalla rete Intranet locale dell'azienda.With this feature, administrators of a managed or federated tenant can bypass two-step verification for users that are signing in from the company’s local intranet. Le funzionalità sono disponibili per i tenant di Azure AD che dispongono di licenze Azure AD Premium, Enterprise Mobility Suite o Azure Multi-Factor Authentication.The features are available for Azure AD tenants that have Azure AD Premium, Enterprise Mobility Suite, or Azure Multi-Factor Authentication licenses.

Procedure consigliate per una distribuzione localeBest Practices for an on-premises deployment

Se la società ha deciso di sfruttare la propria infrastruttura per abilitare MFA, è necessario distribuire un server Azure Multi-Factor Authentication locale.If your company decided to leverage its own infrastructure to enable MFA, then you need to deploy an Azure Multi-Factor Authentication Server on-premises. I componenti del server MFA sono illustrati nel diagramma seguente:The MFA Server components are shown in the following diagram:

Componenti predefiniti di un server MFA: console, motore di sincronizzazione, portale di gestione, servizio cloud *Non installato per impostazione predefinita **Installato ma non abilitato per impostazione predefinitaDefault MFA Server components: console, sync engine, management portal, cloud service *Not installed by default **Installed but not enabled by default

Il server Azure Multi-Factor Authentication può proteggere le risorse del cloud e locali usando la federazione.Azure Multi-Factor Authentication Server can secure cloud resources and on-premises resources by using federation. È necessario avere AD FS federato con un tenant di Azure AD.You must have AD FS and have it federated with your Azure AD tenant. Quando si configura il server Multi-Factor Authentication, tenere in considerazione quanto segue:When setting up Multi-Factor Authentication Server, consider the following details:

  • Se non si proteggono le risorse di Azure AD tramite Active Directory Federation Services (AD FS), il primo passaggio di autenticazione viene eseguito in locale tramite AD FS.If you are securing Azure AD resources using Active Directory Federation Services (AD FS), then the first verification step is performed on-premises using AD FS. Il secondo passaggio viene eseguito in locale rispettando l'attestazione.The second step is performed on-premises by honoring the claim.
  • Non è necessario scaricare e installare il server Multi-Factor Authentication nel server federativo AD FS.You don't have to install the Azure Multi-Factor Authentication Server your AD FS federation server. È tuttavia necessario installare l'adapter Multi-Factor Authentication per AD FS in un computer Windows Server 2012 R2 che esegue AD FS.However, the Multi-Factor Authentication Adapter for AD FS must be installed on a Windows Server 2012 R2 running AD FS. È possibile installare il server in un computer diverso, purché sia una versione supportata, e installare separatamente l'adapter AD FS nel server federativo di AD FS.You can install the server on a different computer, as long as it is a supported version, and install the AD FS adapter separately on your AD FS federation server.
  • L'installazione guidata dell'adapter AD FS di Multi-Factor Authentication crea un gruppo di sicurezza denominato PhoneFactor Admins in Active Directory e quindi aggiunge l'account del servizio AD FS a questo gruppo.The Multi-Factor Authentication AD FS Adapter installation wizard creates a security group called PhoneFactor Admins in your Active Directory, and then adds your AD FS service account to this group. Verificare che il gruppo PhoneFactor Admins sia stato creato nel controller di dominio e che l'account del servizio AD FS sia un membro di questo gruppo.Verify that the PhoneFactor Admins group was created on your domain controller, and that the AD FS service account is a member of this group. Se necessario, aggiungere l'account del servizio ADFS manualmente al gruppo PhoneFactor Admins sul controller di dominio.If necessary, add the AD FS service account to the PhoneFactor Admins group on your domain controller manually.

Portale per gli utentiUser Portal

Il portale per gli utenti consente funzionalità self-service e fornisce un set completo di funzionalità di amministrazione utenti.The user portal allows self-service capabilities and provides a full set of user administration capabilities. Viene eseguito in un sito web di Internet Information Server (IIS).It runs in an Internet Information Server (IIS) web site. Per configurare questo componente, usare le linee guida seguenti:Use the following guidelines to configure this component:

  • Usare IIS 6 o versione successivaUse IIS 6 or greater
  • Installare e registrare ASP.NET v2.0.507207Install and register ASP.NET v2.0.507207
  • Assicurarsi che il server possa essere distribuito in una rete perimetraleEnsure that this server can be deployed in a perimeter network

Password dell'appApp Passwords

Se l'organizzazione è federata e usa SSO con Azure AD e si prevede di usare Azure MFA, tenere presente i dettagli di seguito:If your organization is federated for SSO with Azure AD and you are going to be using Azure MFA, then be aware of the following details:

  • La password dell'app viene verificata da Azure AD e di conseguenza ignora la federazione.The app password is verified by Azure AD and therefore bypasses federation. La federazione viene usata solo quando si configura la password dell'app.Federation is only used when setting up app passwords.
  • Per gli utenti federati (SSO) le password vengono archiviate nell'ID dell'organizzazione. Se l'utente lascia l'azienda, tali informazioni devono essere trasmesse nell'ID organizzazione tramite DirSync.For federated (SSO) users, passwords are stored in the organizational id. If the user leaves the company, that info has to flow to organizational id using DirSync. La disabilitazione o l'eliminazione dell'account può richiedere fino a 3 ore per la sincronizzazione, ritardando la disabilitazione o l'eliminazione delle password dell'app in Azure AD.Account disable/deletion may take up to three hours to sync, which delays disable/deletion of app passwords in Azure AD.
  • Le impostazioni locali di Controllo dell'accesso Client non vengono rispettate dalla password dell'app.On-premises Client Access Control settings are not honored by App Password.
  • Per le password dell'app non è disponibile alcuna funzionalità di registrazione o controllo dell'autenticazione in locale.No on-premises authentication logging/auditing capability is available for app passwords.
  • Alcune architetture avanzate possono richiedere una combinazione di nome utente e password dell'organizzazione e password dell'app quando si usa la verifica in due passaggi con i client, a seconda della posizione in cui viene eseguita l'autenticazione.Certain advanced architectural designs may require using a combination of organizational username and passwords and app passwords when using two-step verification with clients, depending on where they authenticate. Per i client che si autenticano con un'infrastruttura locale, verranno usati un nome utente e una password dell'organizzazione.For clients that authenticate against an on-premises infrastructure, you would use an organizational username and password. Per i client che eseguono l'autenticazione con AD Azure, verrà usata la password dell'app.For clients that authenticate against Azure AD, you would use the app password.
  • Per impostazione predefinita, gli utenti non possono creare password dell'app.By default, users cannot create app passwords. Se si desidera consentire agli utenti di creare password dell'app, selezionare l'opzione Consentire agli utenti di creare password dell'app per accedere alle applicazioni non basate su browser.If you need to allow users to create app passwords, select the Allow users to create app passwords to sign into non-browser applications option.

Considerazione aggiuntiveAdditional Considerations

Usare questo elenco per leggere alcune considerazioni e procedure consigliate aggiuntive per ogni componente che viene distribuito in locale:Use this list for additional considerations and guidance for each component that is deployed on-premises:

Passaggi successiviNext steps

Anche se questo articolo evidenzia alcune procedure consigliate per Azure MFA, sono disponibili anche altre risorse che è possibile usare quando si pianifica la distribuzione di MFA.While this article highlights some best practices for Azure MFA, there are other resources that you can also use while planning your MFA deployment. L'elenco seguente include alcuni articoli importanti che possono risultare utili durante questo processo:The list below has some key articles that can assist you during this process: