Condividi tramite

Protezione delle risorse cloud con l'autenticazione a più fattori Microsoft Entra e AD FS

  • Articolo

Se l'organizzazione è federata con Microsoft Entra ID, usare l'autenticazione a più fattori Microsoft Entra o Active Directory Federation Services (AD FS) per proteggere le risorse a cui si accede tramite Microsoft Entra ID. Utilizzare le procedure seguenti per proteggere le risorse di Microsoft Entra con l'autenticazione a più fattori Microsoft o Active Directory Federation Services.

Nota

Impostare l'impostazione del dominio federatedIdpMfaBehavior su enforceMfaByFederatedIdp (scelta consigliata) o SupportsMFA su $True. L'impostazione federatedIdpMfaBehavior sostituisce SupportsMFA quando entrambe sono impostate.

Proteggere le risorse di Microsoft Entra con AD FS

Per proteggere la tua risorsa cloud, configura una regola di attestazione in modo che Active Directory Federation Services trasmetta l'attestazione multipleauthn quando un utente esegue correttamente la verifica in due passaggi. Questa attestazione viene passata a Microsoft Entra ID. Seguire questa procedura per eseguire i passaggi seguenti:

  1. Aprire Gestione AD FS.

  2. Nella colonna di sinistra, seleziona Relying Party Trusts.

  3. Fare clic con il tasto destro su Microsoft Office 365 Identity Platform e selezionare Modifica regole di attestazione.

    Console ADFS - Trust per il Relying Party

  4. In Regole di Trasformazione del Rilascio, selezionare Aggiungi Regola.

    Modifica delle regole di trasformazione di rilascio

  5. Nella Procedura guidata per aggiungere una regola di trasformazione delle attestazioni, selezionare Pass Through o Filtrare un'attestazione in ingresso dall'elenco a discesa e selezionare Avanti.

    Lo screenshot mostra la procedura guidata di aggiunta di regola di trasformazione delle attestazioni, dove si seleziona un modello di regola di attestazione.

  6. Dai un nome alla tua regola.

  7. Selezionare Riferimenti ai metodi di autenticazione come tipo di richiesta in ingresso.

  8. Selezionare e scorrere tutti i valori di attestazione.

    Lo screenshot mostra la procedura guidata per l'aggiunta di regole di trasformazione delle attestazioni, dove si seleziona

  9. Selezionare Fine. Chiudere la console di gestione di AD FS.

Indirizzi IP attendibili per gli utenti federati

Gli indirizzi IP attendibili consentono agli amministratori di ignorare la verifica in due passaggi per indirizzi IP specifici o per gli utenti federati che hanno richieste provenienti dall'interno della propria intranet. Le sezioni seguenti descrivono come configurare il bypass usando indirizzi IP attendibili. A tale scopo, è possibile configurare AD FS per usare un pass-through o filtrare un modello di attestazione in ingresso con il tipo di attestazione Inside Corporate Network.

Questo esempio utilizza Microsoft 365 per i Relying Party Trusts.

Configurare le regole delle attestazioni di AD FS

La prima cosa da fare è configurare le attestazioni AD FS. Creare due regole di attestazione, una per il tipo di attestazione Inside Corporate Network e un'altra per mantenere gli utenti collegati.

  1. Aprire Gestione AD FS.

  2. Nella colonna di sinistra, seleziona Relying Party Trusts.

  3. Selezionare con il pulsante destro del mouse su Microsoft Office 365 Identity Platform e selezionare Modifica regole di attestazione...

    Console ADFS - Modifica Regole di Reclamo

  4. In Regole di trasformazione del rilascio, selezionare Aggiungi regola.

    Aggiungere una regola di attestazione

  5. Nella procedura guidata per aggiungere una regola di trasformazione delle attestazioni, selezionare Pass Through o Filtra un'attestazione in ingresso dal menu a discesa e selezionare Avanti.

    Lo screenshot mostra la procedura guidata per la creazione della regola di trasformazione delle attestazioni, dove si seleziona l'opzione Trasmetti o Filtra un'attestazione in ingresso.

  6. Nella casella accanto al nome della regola di dichiarazione, assegnare un nome alla regola. Ad esempio: InsideCorpNet.

  7. Dal menu a discesa, accanto al tipo di richiesta in ingresso, selezionare All'interno della rete aziendale.

    aggiunta di dichiarazioni all'interno della rete aziendale

  8. Selezionare Fine.

  9. In Regole di Trasformazione per l'Emissione, selezionare Aggiungi Regola.

  10. Nella Procedura guidata per aggiungere la regola di trasformazione delle attestazioni selezionare Invia attestazioni usando una regola personalizzata dall'elenco a discesa e selezionare Avanti.

  11. Nella casella sotto il nome della regola di attestazione, immettere Mantieni gli utenti connessi.

  12. Nella casella Regola personalizzata immettere:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Creare un'attestazione personalizzata per mantenere gli utenti connessi

  13. Selezionare Fine.

  14. Selezionare Applica.

  15. Selezionare Ok.

  16. Chiudi la Gestione di AD FS.

Configurare gli IP attendibili per l'autenticazione multifattore di Microsoft Entra con utenti federati.

Ora che le attestazioni sono in vigore, è possibile configurare indirizzi IP attendibili.

  1. Accedi al centro di amministrazione di Microsoft Entra almeno come Amministratore dei Criteri di Autenticazione.

  2. Passare a Accesso Condizionale>Posizioni denominate.

  3. Nel pannello Accesso Condizionale - Posizioni nominate, selezionare Configura gli indirizzi IP attendibili MFA

    Microsoft Entra Accesso Condizionale posizioni nominate Configurazione IP attendibili MFA

  4. Nella pagina Impostazioni servizio, in indirizzi IP attendibiliselezionare Ignora autenticazione a più fattori per le richieste di utenti federati nella rete Intranet.

  5. Selezionare Salva.

Questo è tutto! A questo punto, gli utenti federati di Microsoft 365 devono usare l'autenticazione a più fattori solo quando un'attestazione proviene dall'esterno della intranet aziendale.