Condividi tramite

Che cos'è l'autenticazione di Microsoft Entra?

  • Articolo

Una delle funzionalità principali di una piattaforma di gestione delle identità consiste nel verificare o autenticare, le credenziali quando un utente accede a un dispositivo, a un'applicazione o a un servizio. In Microsoft Entra ID l'autenticazione prevede più che solo la verifica di un nome utente e di una password. Per migliorare la sicurezza e ridurre la necessità di assistenza all'help desk, l'autenticazione di Microsoft Entra include i componenti seguenti:

  • Reimpostazione password in modalità self-service
  • Autenticazione a più fattori Microsoft Entra
  • Integrazione ibrida per restituire le modifiche alle password nell'ambiente locale.
  • Integrazione ibrida per applicare i criteri di protezione delle password per un ambiente locale
  • Autenticazione senza password

Per altre informazioni su questi componenti di autenticazione, vedere il breve video.

Migliorare l'esperienza dell'utente finale

Microsoft Entra ID consente di proteggere l'identità di un utente e semplificare l'esperienza di accesso. Funzionalità come la reimpostazione della password self-service consentono agli utenti di aggiornare o modificare le password usando un Web browser da qualsiasi dispositivo. Questa funzionalità è particolarmente utile quando l'utente ha dimenticato la password o il proprio account è bloccato. Senza attendere che un helpdesk o un amministratore fornisca supporto, un utente può sbloccarsi e continuare a lavorare.

L'autenticazione a più fattori Microsoft Entra consente agli utenti di scegliere una forma aggiuntiva di autenticazione durante l'accesso, ad esempio una telefonata o una notifica di app per dispositivi mobili. Questa capacità riduce il requisito per una singola forma fissa di autenticazione secondaria, ad esempio un token hardware. Se l'utente non ha attualmente una forma di autenticazione aggiuntiva, può scegliere un metodo diverso e continuare a funzionare.

metodi di autenticazione in uso nella schermata di accesso

L'autenticazione senza password elimina la necessità per l'utente di creare e ricordare una password sicura. Funzionalità come Windows Hello for Business o chiavi di sicurezza FIDO2 consentono agli utenti di accedere a un dispositivo o a un'applicazione senza password. Questa capacità può ridurre la complessità della gestione delle password in ambienti diversi.

Reimpostazione automatica della password

La reimpostazione della password self-service consente agli utenti di modificare o reimpostare la password, senza coinvolgimento dell'amministratore o dell'help desk. Se l'account di un utente è bloccato o dimentica la password, può seguire le istruzioni per sbloccarsi e tornare al lavoro. Questa capacità riduce le chiamate all'help desk e la perdita di produttività quando un utente non riesce ad accedere al dispositivo o a un'applicazione.

La reimpostazione della password in modalità self-service funziona negli scenari seguenti:

  • modifica della password: quando un utente conosce la password, ma vuole modificarla in qualcosa di nuovo.
  • Reimpostazione password: quando un utente non riesce ad accedere, ad esempio quando ha dimenticato la password e vuole reimpostare la password.
  • sblocco dell'account: quando un utente non riesce ad accedere perché il proprio account è bloccato e vuole sbloccare il proprio account.

Quando un utente aggiorna o reimposta la password usando la reimpostazione della password self-service, tale password può anche essere riscritta in un ambiente Active Directory locale. Il writeback delle password garantisce che un utente possa usare immediatamente le credenziali aggiornate con dispositivi e applicazioni locali.

Autenticazione multifattoriale Microsoft Entra

L'autenticazione a più fattori è un processo in cui un utente viene richiesto durante il processo di accesso per un'ulteriore forma di identificazione, ad esempio per immettere un codice sul cellulare o per fornire un'analisi delle impronte digitali.

Se si usa solo una password per autenticare un utente, lascia un vettore non sicuro per l'attacco. Se la password è debole o è stata esposta altrove, è davvero l'utente che accede con il nome utente e la password o è un utente malintenzionato? Quando è necessaria una seconda forma di autenticazione, la sicurezza viene aumentata perché questo fattore aggiuntivo non è facile per un utente malintenzionato ottenere o duplicare.

immagine concettuale delle diverse forme di autenticazione a più fattori

L'autenticazione a più fattori Di Microsoft Entra funziona richiedendo due o più dei metodi di autenticazione seguenti:

  • Qualcosa che sai, in genere una password.
  • Qualcosa che hai, come un dispositivo attendibile che non è facilmente duplicabile, come un telefono o una chiave hardware.
  • Qualcosa che sei - biometria come un'impronta digitale o un riconoscimento facciale.

Gli utenti possono registrarsi sia per la reimpostazione della password self-service che per l'autenticazione a più fattori di Microsoft Entra in un unico passaggio per semplificare l'esperienza di onboarding. Gli amministratori possono definire quali forme di autenticazione secondaria possono essere usate. L'autenticazione a più fattori di Microsoft Entra può essere richiesta anche quando gli utenti eseguono una reimpostazione self-service della password per proteggere ulteriormente tale processo.

Protezione password

Per impostazione predefinita, Microsoft Entra ID blocca password vulnerabili, ad esempio Password1. Un elenco globale di password vietate, che include password vulnerabili note, viene aggiornato automaticamente e applicato. Se un utente di Microsoft Entra tenta di impostare la password su una di queste password deboli, riceve una notifica per scegliere una password più sicura.

Per aumentare la sicurezza, è possibile definire criteri di protezione password personalizzati. Questi criteri possono usare filtri per bloccare qualsiasi variante di una password contenente un nome, ad esempio Contoso o una località come Londra, ad esempio.

Per la sicurezza ibrida, è possibile integrare la protezione password di Microsoft Entra con un ambiente Active Directory locale. Un componente installato nell'ambiente locale riceve l'elenco globale delle password escluse e i criteri di protezione password personalizzati da Microsoft Entra ID e i controller di dominio li usano per elaborare gli eventi di modifica delle password. Questo approccio ibrido garantisce che, indipendentemente dal modo o dalla posizione in cui un utente modifica le credenziali, venga applicato l'uso di password complesse.

Autenticazione senza password

L'obiettivo finale per molti ambienti è rimuovere l'uso delle password come parte degli eventi di accesso. Le funzionalità come la protezione password di Azure o l'autenticazione a più fattori di Microsoft Entra consentono di migliorare la sicurezza, ma un nome utente e una password rimangono una forma debole di autenticazione che può essere esposta o con attacco di forza bruta.

Sicurezza contro comodità nel processo di autenticazione che porta a un sistema senza password

Quando si accede con un metodo senza password, le credenziali vengono fornite usando metodi come la biometria con Windows Hello for Business o una chiave di sicurezza FIDO2. Questi metodi di autenticazione non possono essere facilmente duplicati da un utente malintenzionato.

Microsoft Entra ID consente di eseguire l'autenticazione nativa usando metodi senza password per semplificare l'esperienza di accesso per gli utenti e ridurre il rischio di attacchi.

Passaggi successivi

Per iniziare, vedere l'esercitazione per la reimpostazione della password self-service (SSPR) e l'autenticazione a più fattori di Microsoft Entra.

Per ulteriori informazioni sui concetti di reimpostazione della password self-service, vedere come funziona la reimpostazione della password self-service di Microsoft Entra.

Per altre informazioni sui concetti relativi all'autenticazione a più fattori, vedere funzionamento dell'autenticazione a più fattori di Microsoft Entra.