Condividi tramite


Esercitazione: Proteggere gli eventi di accesso utente con l'autenticazione a più fattori di Microsoft Entra

L'autenticazione a più fattori è un processo in cui a un utente vengono richieste ulteriori forme di identificazione durante un evento di accesso. Ad esempio, il prompt potrebbe essere quello di immettere un codice sul proprio cellulare o di fornire una scansione delle impronte digitali. Richiedendo una seconda forma di identificazione, la sicurezza risulta considerevolmente rafforzata poiché per un potenziale hacker non è facile ottenere o duplicare questo fattore aggiuntivo.

L'autenticazione a più fattori di Microsoft Entra e i criteri di accesso condizionale offrono la flessibilità necessaria per richiedere l'autenticazione a più fattori (MFA) dagli utenti per eventi di accesso specifici.

Importante

Questa esercitazione contiene indicazioni su come un amministratore può abilitare l'autenticazione a più fattori di Microsoft Entra. Per eseguire l'autenticazione a più fattori come utente, vedere Accedere all'account aziendale o dell'istituto di istruzione usando il metodo di verifica in due passaggi.

Se il team IT non ha abilitato l'opzione per usare l'autenticazione a più fattori di Microsoft Entra o se si verificano problemi durante l'accesso, rivolgersi al supporto tecnico per ulteriore assistenza.

In questa esercitazione si apprenderà come:

  • Creare un criterio di accesso condizionale per abilitare l'autenticazione a più fattori di Microsoft Entra per un gruppo di utenti.
  • Configurare le condizioni dei criteri che richiedono l'autenticazione a più fattori.
  • Testare la configurazione e l'uso dell'autenticazione a più fattori come utente.

Prerequisiti

Per completare l'esercitazione, sono necessari i privilegi e le risorse seguenti:

  • Tenant di Microsoft Entra funzionante con licenze Microsoft Entra ID P1 o versioni di valutazione abilitate.

  • Un account con almeno il ruolo Amministratore accesso condizionale. Alcune impostazioni di autenticazione a più fattori possono essere gestite anche da un amministratore dei criteri di autenticazione.

  • Un account non amministratore con una password nota. Per questa esercitazione è stato creato un account di questo tipo, denominato testuser. In questa esercitazione viene testata l'esperienza dell'utente finale per la configurazione e l'uso dell'autenticazione a più fattori di Microsoft Entra.

  • Un gruppo di cui l'utente non amministratore è membro. Per questa esercitazione è stato creato un gruppo di questo tipo, denominato MFA-Test-Group. In questa esercitazione, viene abilitata l'autenticazione a più fattori Microsoft Entra per questo gruppo.

Creare criteri di accesso condizionale

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Il modo consigliato per abilitare e usare l'autenticazione a più fattori di Microsoft Entra è quello di usare i criteri di accesso condizionale. L'accesso condizionale consente di creare e definire criteri che reagiscono agli eventi di accesso e che richiedono azioni aggiuntive prima che a un utente venga concesso l'accesso a un'applicazione o a un servizio.

Diagramma della panoramica del funzionamento dell'accesso condizionale per proteggere il processo di accesso

I criteri di accesso condizionale possono essere applicati a utenti, gruppi e app specifici. L'obiettivo è proteggere l'organizzazione fornendo al tempo stesso i livelli di accesso corretti agli utenti che ne necessitano.

In questa esercitazione, viene creato un criterio di accesso condizionale di base per richiedere l'autenticazione a più fattori quando un utente accede. Un'esercitazione successiva di questa serie mostra come configurare un'autenticazione a più fattori Microsoft Entra usando criteri di accesso condizionale basati sul rischio.

Prima di tutto, creare un criterio di accesso condizionale e assegnare il gruppo di test degli utenti come segue:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

  2. Passare a Protezione>Accesso condizionale, selezionare + Nuovo criterioe quindi selezionare Crea nuovo criterio.

    Screenshot della pagina Accesso condizionale, in cui si seleziona

  3. Immettere un nome per il criterio, ad esempio MFA Pilot.

  4. In Assegnazioni, selezionare il valore corrente in Utenti o identità del carico di lavoro.

    Screenshot della pagina Accesso condizionale, in cui si seleziona il valore corrente in

  5. In A cosa si applica questo criterio?, verificare che l'opzione Utenti e gruppi sia selezionata.

  6. In Includi, scegliere Selezionare utenti e gruppie quindi selezionare Utenti e gruppi.

    Screenshot della pagina per la creazione di un nuovo criterio, in cui si selezionano le opzioni per specificare utenti e gruppi.

    Poiché nessuno è ancora stato assegnato, l'elenco di utenti e gruppi, illustrato nel passaggio successivo, viene aperto automaticamente.

  7. Cercare e selezionare il gruppo Microsoft Entra, ad esempio MFA-Test-Group, quindi scegliere Selezionare.

    Screenshot dell'elenco di utenti e gruppi, con risultati filtrati in base alle lettere MFA e al

È stato selezionato il gruppo a cui applicare i criteri. Nella sezione successiva vengono configurate le condizioni in base alle quali applicare i criteri.

Configurare le condizioni per l'autenticazione a più fattori

Ora che il criterio di accesso condizionale è stato creato e che è stato assegnato un gruppo di utenti di prova, è necessario definire le app o le azioni del cloud che attivano il criterio. Queste app o azioni cloud sono gli scenari che decidono di richiedere un'elaborazione aggiuntiva, ad esempio la richiesta di autenticazione a più fattori. Ad esempio, è possibile decidere che l'accesso a un'applicazione finanziaria o l'uso di strumenti di gestione richieda un'ulteriore richiesta di autenticazione.

Configurare le app che richiedono l'autenticazione a più fattori

Per questa esercitazione, configurare i criteri di accesso condizionale per richiedere l'autenticazione a più fattori quando un utente accede.

  1. Selezionare il valore corrente in App cloud o azionie quindi in Selezionare i criteri applicati a verificare che sia selezionata App cloud.

  2. In Includi scegliere Seleziona risorse.

    Poiché non sono ancora state selezionate app, l'elenco di app (mostrato nel passaggio successivo) viene aperto automaticamente.

    Suggerimento

    È possibile scegliere di applicare i criteri di accesso condizionale a Tutte le risorse (in precedenza "Tutte le app cloud") o Selezionare le risorse. Per garantire flessibilità, è anche possibile escludere determinate app dal criterio.

  3. Esplorare l'elenco degli eventi di accesso disponibili che è possibile usare. Per questa esercitazione selezionare API Gestione dei servizi di Windows Azure in modo che i criteri si applichino agli eventi di accesso. Quindi, scegli Seleziona.

    Screenshot della pagina Accesso condizionale, in cui si seleziona l'app, l'API Gestione dei servizi di Windows Azure, a cui verranno applicati i nuovi criteri.

Configurare l'autenticazione a più fattori per l'accesso

Successivamente, verranno configurati i controlli di accesso. I controlli di accesso consentono di definire i requisiti per l'accesso a un utente. Potrebbero essere necessari per usare un'app client approvata o un dispositivo aggiunto in modalità ibrida a Microsoft Entra ID.

In questa esercitazione si configurano i controlli di accesso per richiedere l'autenticazione a più fattori durante un evento di accesso.

  1. In Controlli di accesso, selezionare il valore corrente in Concedi e quindi selezionare Concedi accesso.

    Screenshot della pagina Accesso condizionale, in cui si seleziona

  2. Selezionare Richiedi autenticazione a più fattori e quindi scegliere Seleziona.

    Screenshot delle opzioni per concedere l'accesso, in cui si seleziona

Attivare il criterio

I criteri di accesso condizionale possono essere impostati su Solo report se si vuole vedere in che modo la configurazione influisce sugli utenti o Disattivata se non si vuole usare il criterio in questo momento. Poiché per questa esercitazione è previsto un gruppo di test di utenti, è necessario abilitare il criterio e quindi testare l'autenticazione a più fattori di Microsoft Entra.

  1. In Abilita criterio selezionare .

    Screenshot del controllo che si trova nella parte inferiore della pagina Web in cui si specifica se il criterio è abilitato.

  2. Per applicare il criterio di accesso condizionale, selezionare Crea.

Testare l'autenticazione a più fattori di Microsoft Entra

Verranno ora visualizzati i criteri di accesso condizionale e l'autenticazione a più fattori Microsoft Entra in azione.

Per prima cosa, accedere a una risorsa che non richiede l'autenticazione a più fattori:

  1. Aprire una nuova finestra del browser in modalità InPrivate o in incognito e passare a https://account.activedirectory.windowsazure.com.

    L'uso di una modalità privata per il browser impedisce alle credenziali esistenti di influire su questo evento di accesso.

  2. Accedere con l'utente test non amministratore, ad esempio testuser. Assicurarsi di includere @ e il nome di dominio per l'account utente.

    Se si tratta della prima istanza di accesso con questo account, viene richiesto di modificare la password. Non viene tuttavia richiesto di configurare o usare l'autenticazione a più fattori.

  3. Chiudere la finestra del browser.

I criteri di accesso condizionale sono stati configurati per richiedere l'autenticazione aggiuntiva per l'accesso. A causa di questa configurazione, viene richiesto di usare l'autenticazione a più fattori Microsoft Entra o di configurare un metodo se non è ancora stato fatto. Testare questo nuovo requisito accedendo all'interfaccia di amministrazione di Microsoft Entra:

  1. Aprire una nuova finestra del browser in modalità InPrivate o in incognito e accedere all'Interfaccia di amministrazione di Microsoft Entra.

  2. Accedere con l'utente test non amministratore, ad esempio testuser. Assicurarsi di includere @ e il nome di dominio per l'account utente.

    È necessario registrarsi e usare l'autenticazione a più fattori Microsoft Entra.

    Prompt che indica

  3. Selezionare Avanti per avviare il processo.

    È possibile scegliere di configurare un telefono di autenticazione, un telefono di un ufficio o un'app per dispositivi mobili per l'autenticazione. L'autenticazione del telefono supporta sms e telefonate, il telefono dell'ufficio supporta le chiamate ai numeri che dispongono di un'estensione e l'app per dispositivi mobili supporta l'uso di un'app per dispositivi mobili per ricevere notifiche per l'autenticazione o per generare codici di autenticazione.

    Prompt che indica

  4. Completare le istruzioni visualizzate nella schermata per configurare il metodo di autenticazione a più fattori selezionato.

  5. Chiudere la finestra del browser e accedere di nuovo all'Interfaccia di amministrazione di Microsoft Entra per testare il metodo di autenticazione configurato. Ad esempio, se è stata configurata un'app per dispositivi mobili per l'autenticazione, verrà visualizzato un prompt simile al seguente.

    Per accedere, seguire le istruzioni nel browser e quindi la richiesta sul dispositivo registrato per l'autenticazione a più fattori.

  6. Chiudere la finestra del browser.

Pulire le risorse

Se non si vogliono più usare i criteri di accesso condizionale configurati come parte di questa esercitazione, eliminare i criteri attenendosi alla procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

  2. Passare a Protezione>Accesso condizionale e quindi selezionare i criteri creati, ad esempio MFA Pilot.

  3. Selezionare Elimina e quindi confermare di voler eliminare il criterio.

    Per eliminare i criteri di accesso condizionale aperti, selezionare Elimina, che si trova sotto il nome del criterio.

Passaggi successivi

In questa esercitazione è stata abilitata l'esperienza di autenticazione a più fattori di Microsoft Entra usando i criteri di accesso condizionale per un gruppo selezionato di utenti. Contenuto del modulo:

  • Creare un criterio di accesso condizionale per abilitare l'autenticazione a più fattori di Microsoft Entra per un gruppo di utenti di Microsoft Entra.
  • Configurare le condizioni dei criteri che richiedono l'autenticazione a più fattori.
  • Testare la configurazione e l'uso dell'autenticazione a più fattori come utente.