Creare resilienza con la gestione delle credenziali
Quando le credenziali vengono presentate a Microsoft Entra ID in una richiesta di token, possono essere disponibili più dipendenze per la convalida. Il primo fattore di autenticazione si basa sull'autenticazione di Microsoft Entra e, in alcuni casi, su dipendenza esterna (diversa da Entra ID), come ad esempio sull'infrastruttura locale. Per altre informazioni sulle architetture di autenticazione ibrida, vedere Creare resilienza nell'infrastruttura ibrida.
La strategia delle credenziali più sicura e resiliente consiste nell'usare l'autenticazione senza password. Le chiavi di sicurezza di Windows Hello for Business e Passkey (FIDO 2.0) hanno meno dipendenze rispetto ad altri metodi MFA. Per i clienti utenti macOS è possibile abilitare le credenziali della piattaforma per macOS. Quando si implementano questi metodi, gli utenti sono in grado di eseguire l'autenticazione a più fattori avanzata e resistente al phishing.
Suggerimento
Per un approfondimento della serie di video sulla distribuzione di questi metodi di autenticazione, vedere Autenticazione resistente al phishing in Microsoft Entra ID
Se si implementa un secondo fattore, le dipendenze per il secondo fattore vengono aggiunte alle dipendenze del primo. Ad esempio, se il primo fattore è tramite Autenticazione pass-through (PTA) e il secondo fattore è tramite SMS, le dipendenze sono le seguenti.
- Servizi di autenticazione di Microsoft Entra
- Servizio di autenticazione a più fattori di Microsoft Entra
- Infrastruttura locale
- Gestore telefonico
- Dispositivo dell'utente (non indicato in figura)
La strategia delle credenziali deve considerare le dipendenze di ogni tipo di autenticazione e i metodi di provisioning che evitano il singolo punto di errore.
Poiché i metodi di autenticazione hanno dipendenze diverse, si consiglia di abilitare gli utenti a registrarsi con il maggior numero possibile di opzioni di secondo fattore. Assicurarsi di includere i secondi fattori con dipendenze diverse, se possibile. Ad esempio, la chiamata vocale e l'SMS come secondo fattore condividono le stesse dipendenze ed essendo le uniche opzioni non riduce gli eventi rischiosi.
Per i secondi fattori, l'app Microsoft Authenticator o altre app di autenticazione, che usano passcode monouso basati sul tempo (TOTP) o token hardware OAuth, hanno il minor numero di dipendenze e perciò sono più resilienti.
Dettagli aggiuntivi sulle dipendenze esterne (non Entra)
| Metodo di autenticazione | Dipendenza esterna (non Entra) | Ulteriori informazioni |
|---|---|---|
| Autenticazione basata su certificati (CBA) | Nella maggior parte dei casi , a seconda della configurazione, CBA richiederà un controllo di revoca. In questo modo viene aggiunta una dipendenza esterna dal punto di distribuzione CRL (CDP) | Informazioni sul processo di revoca dei certificati |
| Autenticazione pass-through | PTA usa agenti locali per elaborare l'autenticazione della password. | Come funziona l'Autenticazione pass-through di Microsoft Entra? |
| Federazione | I server federativi devono essere online e disponibili per elaborare il tentativo di autenticazione | Distribuzione di AD FS a disponibilità elevata tra aree geografiche in Azure con Gestione traffico di Azure |
| Metodi di autenticazione esterni (EAM) | EAM fornisce un percorso per i clienti che usano provider di autenticazione a più fattori esterni. | Gestire un metodo di autenticazione esterno in Microsoft Entra ID (anteprima) |
In che modo più credenziali migliorano la resilienza?
Il provisioning di più tipi di credenziali offre agli utenti opzioni che supportano le preferenze e i vincoli ambientali. Di conseguenza, l'autenticazione interattiva, in cui agli utenti viene richiesta l'autenticazione a più fattori, sarà più resiliente a specifiche dipendenze non disponibili al momento della richiesta. È possibile ottimizzare le richieste di riautenticazione per l'autenticazione a più fattori.
Oltre alla resilienza dei singoli utenti descritta in precedenza, le aziende devono pianificare le emergenze per le interruzioni su larga scala, ad esempio errori operativi che introducono una configurazione errata, una calamità naturale o un'interruzione delle risorse a livello aziendale di un servizio federativo locale (soprattutto se usato per l'autenticazione a più fattori).
Come implementare credenziali resilienti?
- Implementare le Credenziali senza password. Preferire metodi resistenti al phishing, ad esempio Windows Hello for Business, Passkey (sia le chiavi di accesso Passkey Authenticator che le chiavi di sicurezza FIDO2) e l'autenticazione basata su certificati (CBA) per aumentare la sicurezza riducendo al contempo le dipendenze.
- Distribuire l'app Microsoft Authenticator come secondo fattore.
- Eseguire la migrazione dalla federazione all'autenticazione cloud per rimuovere la dipendenza dal provider di identità federato.
- Attivare la sincronizzazione dell'hash delle password per gli account ibridi sincronizzati da Windows Server Active Directory. Questa opzione può essere abilitata insieme ai servizi federativi, ad esempio Active Directory Federation Services (AD FS) e fornisce un fallback nel caso in cui il servizio federativo dia esito negativo.
- Analizzare l'utilizzo dei Metodi di autenticazione a più fattori per migliorare l'esperienza utente.
- Progettare una strategia di controllo degli accessi resiliente
Passaggi successivi
Risorse di resilienza per amministratori e architetti
- Creare resilienza con gli stati del dispositivo
- Creare resilienza usando la Valutazione continua dell'accesso (CAE)
- Creare resilienza nell'autenticazione utente esterno
- Creare resilienza nell'autenticazione ibrida
- Creare resilienza nell'accesso alle applicazioni con Application Proxy