Pianificazione dell'autenticazione a più fattori obbligatoria per Azure e altri portali di amministrazione
Microsoft si impegna a fornire ai clienti il massimo livello di sicurezza. Una delle misure di sicurezza più efficaci disponibili è l'autenticazione a più fattori (MFA). Ricerche da parte di Microsoft mostrano che l'autenticazione a più fattori può bloccare più del 99,2% degli attacchi di compromissione degli account.
Per questo motivo, a partire dal 2024, verrà applicata l'autenticazione a più fattori obbligatoria (MFA) per tutti i tentativi di accesso di Azure. Per altre informazioni su questo requisito, vedere il post di blog. Questo argomento illustra le applicazioni e gli account interessati, il modo in cui l'applicazione viene implementata nei tenant e altre domande e risposte comuni.
Non ci sono modifiche per gli utenti se l'organizzazione applica già MFA per loro o se accedono con metodi più efficaci, ad esempio passwordless o passkey (FIDO2). Per verificare che l'autenticazione a più fattori sia abilitata, vedere Come verificare che gli utenti siano configurati per l'autenticazione a più fattori obbligatoria.
Ambito di applicazione
L'ambito dell'applicazione include le applicazioni che prevedono l'applicazione dell'autenticazione a più fattori, quando è prevista l'applicazione e quali account hanno un requisito obbligatorio per l'autenticazione a più fattori.
Applicazioni
| Nome dell'applicazione | ID app | Fase di imposizione |
|---|---|---|
| Portale di Azure | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Seconda metà del 2024 |
| Interfaccia di amministrazione di Microsoft Entra | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Seconda metà del 2024 |
| Interfaccia di amministrazione di Microsoft Intune | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Seconda metà del 2024 |
| Interfaccia di amministrazione di Microsoft 365 | 00000006-0000-0ff1-ce00-000000000000 | Inizio 2025 |
| Interfaccia della riga di comando di Azure (Azure CLI) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | Inizio 2025 |
| Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | Inizio 2025 |
| App per dispositivi mobili di Azure | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | Inizio 2025 |
| Strumenti per Infrastruttura come codice (IaC) | Usare gli ID dell'interfaccia della riga di comando di Azure o di Azure PowerShell | Inizio 2025 |
Account
Tutti gli utenti che accedono alle applicazioni elencate in precedenza per eseguire qualsiasi operazione di creazione, lettura, aggiornamento o eliminazione (CRUD) devono completare l'autenticazione a più fattori all'inizio dell'applicazione. Gli utenti non devono usare l'autenticazione a più fattori se accedono ad altre applicazioni, siti Web o servizi ospitati in Azure. Ogni applicazione, sito Web o proprietario del servizio elencato in precedenza controlla i requisiti di autenticazione per gli utenti.
Dopo l'avvio dell'imposizione, è necessario anche accedere con autenticazione a più fattori o account di accesso di emergenza. È consigliabile aggiornare questi account per usare passkey (FIDO2) o configurare l'autenticazione basata su certificati per MFA. Entrambi i metodi soddisfano il requisito MFA.
Le identità del carico di lavoro, ad esempio le identità gestite e le entità servizio, non sono interessate da una fase di questa imposizione dell'autenticazione a più fattori. Se le identità utente vengono usate per accedere come account del servizio per eseguire l'automazione (inclusi script o altre attività automatizzate), tali identità utente devono accedere con l’autenticazione a più fattori dopo l'inizio dell'imposizione. Le identità utente non sono consigliate per l'automazione. È consigliabile eseguire la migrazione di tali identità utente alle identità dei carichi di lavoro.
Eseguire la migrazione degli account del servizio basati sull'utente alle identità del carico di lavoro
È consigliabile che i clienti rilevino gli account utente usati come account del servizio che iniziano a eseguirne la migrazione alle identità del carico di lavoro. La migrazione richiede spesso l'aggiornamento di script e processi di automazione per usare le identità del carico di lavoro.
Vedere Come verificare che gli utenti siano configurati per l'autenticazione a più fattori obbligatoria per identificare tutti gli account utente, inclusi gli account utente usati come account di servizio, che accedono alle applicazioni.
Per altre informazioni su come eseguire la migrazione da account del servizio basati sull'utente alle identità del carico di lavoro per l'autenticazione con queste applicazioni, vedere:
- Accedere ad Azure con un'identità gestita usando l'interfaccia della riga di comando di Azure
- Accedere ad Azure con un'entità servizio usando l'interfaccia della riga di comando di Azure
- Accedere ad Azure PowerShell in modo non interattivo per scenari di automazione include indicazioni per i casi d'uso di identità gestite e entità servizio
Alcuni clienti applicano criteri di accesso condizionale agli account del servizio basati sull'utente. È possibile recuperare la licenza basata sull'utente e aggiungere una licenza delle identità del carico di lavoro per applicare l'accesso condizionale per le identità del carico di lavoro.
Implementazione
Questo requisito per l'autenticazione a più fattori all'accesso viene implementato per i portali di amministrazione. I log di accesso di Microsoft Entra ID vengono visualizzati come origine del requisito dell’autenticazione a più fattori.
L'autenticazione a più fattori obbligatoria per i portali di amministrazione non è configurabile. Viene implementato separatamente da tutti i criteri di accesso configurati nel tenant.
Ad esempio, se l'organizzazione ha scelto di mantenere le impostazioni predefinite per la sicurezza di Microsoft e le impostazioni predefinite per la sicurezza sono attualmente abilitate, gli utenti non visualizzano modifiche perché l'autenticazione a più fattori è già necessaria per la gestione di Azure. Se il tenant usa criteri di accesso condizionale in Microsoft Entra e si dispone già di un criterio di accesso condizionale tramite cui gli utenti accedono ad Azure con l’autenticazione a più fattori, gli utenti non visualizzano alcuna modifica. Analogamente, tutti i criteri di accesso condizionale restrittivi destinati ad Azure e richiedono un'autenticazione più avanzata, ad esempio l’autenticazione a più fattori resistente al phishing, continuano a essere applicati. Gli utenti non visualizzano modifiche.
Fasi di tutela
L'applicazione dell'autenticazione a più fattori viene eseguita in due fasi:
Fase 1: a partire dalla seconda metà del 2024, l'autenticazione a più fattori sarà necessaria per accedere al portale di Azure, all'interfaccia di amministrazione di Microsoft Entra, e all'interfaccia di amministrazione di Microsoft Intune. L'applicazione verrà implementata gradualmente in tutti i tenant in tutto il mondo. Questa fase non influirà su altri client di Azure, ad esempio l'interfaccia della riga di comando di Azure, Azure PowerShell, l'app per dispositivi mobili di Azure e gli strumenti IaC.
Fase 2: a partire dall'inizio del 2025, inizierà l'applicazione graduale dell'autenticazione a più fattori per l'accesso all'interfaccia della riga di comando di Azure, ad Azure PowerShell, all’app per dispositivi mobili di Azure e agli strumenti IaC. Alcuni clienti possono usare un account utente in Microsoft Entra ID come account del servizio. È consigliabile eseguire la migrazione di questi account di servizio basati sull'utente per proteggere gli account del servizio basati sul cloud con identità dei carichi di lavoro.
Canali di notifica
Microsoft informerà tutti gli amministratori globali di Microsoft Entra tramite i canali seguenti:
Posta elettronica: gli amministratori globali che hanno configurato un indirizzo di posta elettronica verranno informati tramite posta elettronica dell'applicazione dell'autenticazione a più fattori imminente e le azioni necessarie per essere preparati.
Integrità dei servizi notifica: gli amministratori globali ricevono una notifica sull'integrità del servizio tramite il portale di Azure, con l'ID di rilevamento 4V20-VX0. Questa notifica contiene le stesse informazioni del messaggio di email. Gli amministratori globali possono anche sottoscrivere per ricevere notifiche sull'integrità dei servizi tramite email.
Notifica del portale: una notifica viene visualizzata nella portale di Azure, nell'interfaccia di amministrazione di Microsoft Entra e nell'interfaccia di amministrazione di Microsoft Intune quando accedono. La notifica del portale è collegata a questo argomento per altre informazioni sull'imposizione dell'autenticazione a più fattori obbligatoria.
Centro messaggi di Microsoft 365: viene visualizzato un messaggio nel Centro messaggi di Microsoft 365 con ID messaggio: MC862873. Questo messaggio contiene le stesse informazioni della notifica di integrità del messaggio di posta elettronica e del servizio.
Dopo l'imposizione, viene visualizzato un banner nell'autenticazione a più fattori Di Microsoft Entra:
Metodi di autenticazione esterni e provider di identità
Il supporto per le soluzioni MFA esterne è disponibile in anteprima con metodi di autenticazione esterni e può essere usato per soddisfare i requisiti di autenticazione a più fattori. L'anteprima dei controlli personalizzati per l'accesso condizionale legacy non soddisfa i requisiti di autenticazione a più fattori. È consigliabile eseguire la migrazione all'anteprima dei metodi di autenticazione esterna per usare una soluzione esterna con Microsoft Entra ID.
Se si usa un provider di identità federato (IdP), ad esempio Active Directory Federation Services e il provider MFA è integrato direttamente con questo IdP federato, il provider di identità federato deve essere configurato per inviare un'attestazione per l’autenticazione a più fattori.
Richiedere più tempo per prepararsi all'applicazione
Alcuni clienti potrebbero avere bisogno di più tempo per prepararsi al requisito dell’autenticazione a più fattori. Microsoft consente ai clienti con ambienti complessi o barriere tecniche di posticipare l'imposizione per i tenant fino al 15 marzo 2025.
Tra il 15 agosto 2024 e il 15 ottobre 2024, gli amministratori globali possono passare al portale di Azure per posticipare la data di inizio dell'imposizione per il tenant al 15 marzo 2025. Gli amministratori globali devono avere accesso con privilegi elevati prima di posticipare la data di inizio dell'applicazione dell'autenticazione a più fattori in questa pagina.
Gli amministratori globali devono eseguire questa azione per ogni tenant in cui desiderano posticipare la data di inizio dell'imposizione.
Posticipando la data di inizio dell'imposizione, si assume un rischio aggiuntivo perché gli account che accedono servizi Microsoft come il portale di Azure sono obiettivi estremamente importanti per gli attori delle minacce. È consigliabile configurare ora l'autenticazione a più fattori per proteggere le risorse cloud.
Domande frequenti
Domanda: se il tenant viene usato solo per i test, è necessaria l'autenticazione a più fattori?
Risposta: sì, ogni tenant di Azure richiederà l'autenticazione a più fattori, non ci sono eccezioni.
Domanda: In che modo questo requisito influisce sul interfaccia di amministrazione di Microsoft 365?
Risposta: L'autenticazione a più fattori obbligatoria verrà implementata nei interfaccia di amministrazione di Microsoft 365 a partire dall'inizio del 2025. Altre informazioni sul requisito obbligatorio dell'autenticazione a più fattori per il interfaccia di amministrazione di Microsoft 365 nel post di blog Annuncio dell'autenticazione a più fattori obbligatoria per il interfaccia di amministrazione di Microsoft 365.
Domanda: l'autenticazione a più fattori è obbligatoria per tutti gli utenti o solo gli amministratori?
Risposta: tutti gli utenti che accedono a una qualsiasi delle applicazioni elencate in precedenza sono tenuti a completare l'autenticazione a più fattori, indipendentemente dai ruoli di amministratore attivati o idonei, o da eventuali esclusioni utente abilitate per loro.
Domanda: Se si sceglie l'opzione Per rimanere connessi, è necessario completare l'autenticazione a più fattori?
Risposta: Sì, anche se si sceglie Resta connesso, è necessario completare l'autenticazione a più fattori prima di poter accedere a queste applicazioni.
Domanda: l'imposizione si applicherà agli account guest B2B?
Risposta: sì, l'autenticazione a più fattori deve essere rispettata dal tenant delle risorse partner o dal tenant principale dell'utente se è configurata correttamente per inviare attestazioni di autenticazione a più fattori al tenant della risorsa usando l'accesso tra tenant.
Domanda: come è possibile conformarsi se applichiamo l'autenticazione a più fattori utilizzando un altro provider di identità o un'altra soluzione di autenticazione a più fattori, e non utilizziamo quella di Microsoft Entra?
Risposta: La soluzione del provider di identità deve essere configurata correttamente per inviare l'attestazione multipleauthn all'ID Microsoft Entra. Per altre informazioni, vedere Riferimento per provider di metodi esterni per l'autenticazione a più fattori di Microsoft Entra..
Domanda: la fase 1 o la fase 2 dell'autenticazione a più fattori obbligatoria influirà sulla possibilità di eseguire la sincronizzazione con Microsoft Entra Connect o Microsoft Entra Cloud Sync?
Risposta: No. L'account del servizio di sincronizzazione non è interessato dal requisito obbligatorio dell'autenticazione a più fattori. Solo le applicazioni elencate in precedenza richiedono l'autenticazione a più fattori per l'accesso.
Domanda: Sarà possibile scegliere di rifiutare esplicitamente?
Non c'è modo di rifiutare esplicitamente. Questo movimento di sicurezza è fondamentale per tutta la sicurezza e la sicurezza della piattaforma Azure e viene ripetuto tra i fornitori di servizi cloud. Ad esempio, vedere Secure by Design: AWS per migliorare i requisiti di MFA nel 2024.
È disponibile un'opzione per posticipare la data di inizio dell'imposizione per i clienti. Tra il 15 agosto 2024 e il 15 ottobre 2024, gli amministratori globali possono passare al portale di Azure per posticipare la data di inizio dell'imposizione per il tenant al 15 marzo 2025. Gli amministratori globali devono avere accesso con privilegi elevati prima di posticipare la data di inizio dell'applicazione dell'autenticazione a più fattori in questa pagina. Devono eseguire questa azione per ogni tenant che necessita di posticipazione.
Domanda: è possibile testare l'autenticazione a più fattori prima che Azure applichi i criteri per assicurarsi che non ci siano problemi?
Risposta: sì, è possibile testare l'autenticazione a più fattori tramite il processo di configurazione manuale per l'autenticazione a più fattori. È consigliabile configurare e testare questa operazione. Se si usa l'accesso condizionale per applicare l'autenticazione a più fattori, è possibile usare i modelli di accesso condizionale per testare i criteri. Per altre informazioni, vedere Richiedere l'autenticazione a più fattori per gli amministratori che accedono ai portali di amministrazione Microsoft. Se si esegue un'edizione gratuita di Microsoft Entra ID, è possibile abilitare le impostazioni predefinite per la sicurezza.
Domanda: cosa fare se l'autenticazione a più fattori è già abilitata?
Risposta: i clienti che richiedono già l'autenticazione a più fattori per gli utenti che accedono alle applicazioni elencate in precedenza non visualizzano alcuna modifica. Se è necessaria solo l'autenticazione a più fattori per un sottoinsieme di utenti, tutti gli utenti che non usano già l’autenticazione a più fattori dovranno ora usare l'autenticazione a più fattori quando accedono alle applicazioni.
Domanda: come è possibile esaminare l'attività dell'autenticazione a più fattori in Microsoft Entra ID?
Risposta: Per esaminare i dettagli su quando viene richiesto a un utente di accedere con MFA, usare il report sugli accessi a Microsoft Entra. Per altre informazioni, vedere Dettagli dell'evento di accesso dell'autenticazione a più fattori di Microsoft Entra.
Domanda: cosa accade nelle situazioni di emergenza?
Risposta: è consigliabile aggiornare questi account per usare la passkey (FIDO2) o configurare l’autenticazione basata su certificati per l’autenticazione a più fattori. Entrambi i metodi soddisfano il requisito MFA.
Domanda: cosa accade se non si riceve un messaggio email sull'abilitazione dell'autenticazione a più fattori prima dell'applicazione e quindi viene bloccato. Come risolvere il problema?
Risposta: Gli utenti non devono essere bloccati, ma possono ricevere un messaggio che richiede di abilitare l'autenticazione a più fattori dopo l'avvio dell'imposizione per il tenant. Se l'utente è bloccato, potrebbero verificarsi altri problemi. Per altre informazioni, vedere L’account è stato bloccato.
Contenuto correlato
Per altre informazioni su come configurare e distribuire MFA, vedere gli argomenti seguenti:
- Come verificare che gli utenti siano configurati per l'autenticazione a più fattori obbligatoria
- Esercitazione: Proteggere gli eventi di accesso utente con l'autenticazione a più fattori Microsoft Entra
- Proteggere gli eventi di accesso utente con l'autenticazione a più fattori di Microsoft Entra
- Pianificare una distribuzione dell'autenticazione a più fattori di Microsoft Entra
- Metodi MFA resistenti al phishing
- Autenticazione a più fattori Microsoft Entra
- Metodi di autenticazione