Condividi tramite

Protezione delle risorse cloud con l'autenticazione a più fattori Microsoft Entra e AD FS

  • Articolo

Se l'organizzazione è federata con Microsoft Entra ID, usare l'autenticazione a più fattori Microsoft Entra o Active Directory Federation Services (AD FS) per proteggere le risorse a cui si accede tramite Microsoft Entra ID. Utilizzare le procedure seguenti per proteggere le risorse di Microsoft Entra con l'autenticazione a più fattori Microsoft o Active Directory Federation Services.

Nota

Impostare l'impostazione del dominio federatedIdpMfaBehavior su enforceMfaByFederatedIdp (scelta consigliata) o SupportsMFA su $True. L'impostazione federatedIdpMfaBehavior sostituisce SupportsMFA quando entrambe sono impostate.

Proteggere le risorse di Microsoft Entra con AD FS

Per proteggere la tua risorsa cloud, configura una regola di attestazione in modo che Active Directory Federation Services trasmetta l'attestazione multipleauthn quando un utente esegue correttamente la verifica in due passaggi. Questa attestazione viene passata a Microsoft Entra ID. Seguire questa procedura per eseguire i passaggi seguenti:

  1. Aprire Gestione AD FS.

  2. Nella colonna di sinistra, seleziona Relying Party Trusts.

  3. Fare clic con il tasto destro su Microsoft Office 365 Identity Platform e selezionare Modifica regole di attestazione.

    Console ADFS - Trust del Relying Party

  4. In Regole di Trasformazione del Rilascio, selezionare Aggiungi Regola.

    modifica delle regole di trasformazione rilascio

  5. Nella Procedura guidata per aggiungere una regola di trasformazione delle attestazioni, selezionare Pass Through o Filtrare un'attestazione in ingresso dall'elenco a discesa e selezionare Avanti.

    Screenshot mostra la procedura guidata di aggiunta regola di trasformazione delle attestazioni dove si seleziona un modello di regola di attestazione.

  6. Dai un nome alla tua regola.

  7. Selezionare Metodi di autenticazione riferimenti come tipo di richiesta in ingresso.

  8. Selezionare e scorrere tutti i valori di attestazione.

    Lo screenshot mostra la procedura guidata per l'aggiunta di regole di trasformazione delle attestazioni, dove si seleziona

  9. Selezionare Fine. Chiudere la console di gestione di AD FS.

Indirizzi IP attendibili per gli utenti federati

Gli indirizzi IP attendibili consentono agli amministratori di ignorare la verifica in due passaggi per indirizzi IP specifici o per gli utenti federati che hanno richieste provenienti dall'interno della propria intranet. Le sezioni seguenti descrivono come configurare il bypass usando indirizzi IP attendibili. A tale scopo, è possibile configurare AD FS per usare un pass-through o filtrare un modello di attestazione in ingresso con il tipo di attestazione Inside Corporate Network.

Questo esempio usa Microsoft 365 per i trust della parte affidataria.

Configurare le regole delle attestazioni di AD FS

La prima cosa da fare è configurare le attestazioni AD FS. Creare due regole di attestazione, una per il tipo di attestazione Inside Corporate Network e un'altra per mantenere gli utenti collegati.

  1. Aprire Gestione AD FS.

  2. A sinistra selezionare Relying Party Trusts.

  3. Selezionare con il pulsante destro del mouse su Microsoft Office 365 Identity Platform e selezionare Modifica regole di attestazione...

    Console ADFS - Modifica Regole di Attestazione

  4. In Regole di trasformazione del rilascio, selezionare Aggiungi regola.

    Aggiungere una regola per attestazione

  5. Nella Procedura guidata Aggiungi regola attestazione trasformazione, selezionare Pass Through o Filtrare un'attestazione in ingresso dall'elenco a discesa e selezionare Avanti.

    Screenshot mostra la Creazione guidata della regola di trasformazione delle attestazioni, in cui si seleziona Trasmetti o Filtra un'attestazione in ingresso.

  6. Nella casella accanto al nome della regola di attestazione, assegnare un nome alla regola. Ad esempio: InsideCorpNet.

  7. Dal menu a tendina, accanto al tipo di attestazione in ingresso, selezionare All'interno della rete aziendale.

    aggiunta di dichiarazioni all'interno della rete aziendale

  8. Selezionare Fine.

  9. Nelle regole di trasformazione di emissione, selezionare Aggiungi regola.

  10. Nella Procedura guidata Aggiungi regola attestazione trasformazione selezionare Invia attestazioni usando una regola personalizzata dall'elenco a discesa e selezionare Avanti.

  11. Nella casella sotto il nome della regola di attestazione, immettere Mantieni gli utenti connessi.

  12. Nella casella Regola personalizzata immettere:

        c:[Type == "https://schemas.microsoft.com/2014/03/psso"]
        => issue(claim = c);

    Creare un'attestazione personalizzata per mantenere gli utenti connessi

  13. Selezionare Fine.

  14. Selezionare Applica.

  15. Selezionare Ok.

  16. Chiudi la Gestione di AD FS.

Configurare l'autenticazione multifattore di Microsoft Entra per gli indirizzi IP attendibili con utenti federati

Dopo aver configurato le attestazioni, è possibile configurare indirizzi IP attendibili.

  1. Accedere al centro di amministrazione di Microsoft Entra come almeno un Amministratore dei Criteri di Autenticazione .

  2. Passare a Accesso Condizionale>Posizioni denominate.

  3. Nel pannello Accesso Condizionale - Posizioni nominate, selezionare Configura gli indirizzi IP attendibili MFA

    posizioni denominate di Microsoft Entra Accesso Condizionale Configura IP attendibili MFA

  4. Nella pagina Impostazioni servizio, in indirizzi IP attendibiliselezionare Ignora autenticazione a più fattori per le richieste di utenti federati nella rete Intranet.

  5. Selezionare Salva.

Questo è tutto! A questo punto, gli utenti federati di Microsoft 365 devono usare l'autenticazione a più fattori solo quando un'attestazione proviene dall'esterno della intranet aziendale.