Pianificare la distribuzione dell'autenticazione a più fattori
Prima di avviare la distribuzione dell'autenticazione a più fattori di Microsoft Entra, è necessario prendere decisioni riguardo a diversi aspetti.
Prima di tutto, è consigliabile implementare l'autenticazione a più fattori in più fasi. Iniziare con un piccolo gruppo di utenti pilota per valutare la complessità dell'ambiente e identificare eventuali problemi di configurazione oppure app o dispositivi non supportati. Estendere quindi tale gruppo nel tempo e valutare i risultati di ogni fase finché tutti gli utenti dell'azienda non vengono registrati.
Assicurarsi quindi di definire un piano di comunicazione completo. L'autenticazione a più fattori di Microsoft Entra ha diversi requisiti a livello di interazione utente, tra cui un processo di registrazione. Tenere gli utenti aggiornati su ogni fase del processo. Comunicare loro le operazioni da effettuare, le date importanti e le procedure da seguire per risolvere eventuali problemi. Microsoft mette a disposizione vari modelli per le comunicazioni per facilitare la redazione delle informazioni da comunicare, tra cui poster e modelli di messaggi di posta elettronica.
Criteri di autenticazione a più fattori di Microsoft Entra
L'autenticazione a più fattori di Microsoft Entra si basa su criteri di accesso condizionale. che consistono in istruzioni di tipo IF-THEN. Se (IF) un utente vuole accedere a una risorsa, allora (THEN) deve completare un'azione. Ad esempio, un responsabile retribuzioni deve eseguire l'autenticazione a più fattori per accedere all'apposita applicazione. Altre richieste di accesso comuni che possono richiedere l'autenticazione a più fattori includono:
- L'accesso a un'applicazione cloud specifica.
- L'accesso di un utente a una rete specifica.
- L'accesso di un utente a un'applicazione client specifica.
- La registrazione di un nuovo dispositivo da parte di un utente.
Scelta dei metodi di autenticazione supportati
Quando si attiva l'autenticazione a più fattori di Microsoft Entra, è possibile scegliere i metodi di autenticazione da rendere disponibili. È sempre consigliabile supportare più di un metodo, in modo che gli utenti dispongano di un'opzione di backup nel caso in cui il metodo principale non sia disponibile. È possibile scegliere tra i metodi seguenti:
| Metodo | Descrizione |
|---|---|
| Codice di verifica di un'app per dispositivi mobili | È possibile usare un'app di autenticazione per dispositivi mobili, ad esempio Microsoft Authenticator, per recuperare un codice di verifica OATH da immettere nell'interfaccia di accesso. Il codice viene modificato ogni 30 secondi e l'app funziona anche in caso di connettività limitata. Questo approccio non funziona in Cina sui dispositivi Android. |
| Notifica dell'app per dispositivi mobili | Azure può inviare una notifica push a un'app di autenticazione per dispositivi mobili, ad esempio Microsoft Authenticator. L'utente può selezionare la notifica push e verificare l'accesso. |
| Chiamata telefonica | Azure può chiamare un numero di telefono specificato. L'utente approva quindi l'autenticazione tramite il tastierino. Questo metodo è preferibile per i backup. |
| Chiave di sicurezza FIDO2 | Le chiavi di sicurezza FIDO2 sono un metodo di autenticazione senza password basato su standard e protetto dal phishing. Le chiavi di sicurezza sono in genere dispositivi USB, ma possono anche usare Bluetooth o NFC. |
| Windows Hello for Business (Configurare Windows Hello for Business) | Windows Hello for business sostituisce le password con l'autenticazione a due fattori avanzata sui dispositivi. Questo processo di autenticazione è costituito da un tipo di credenziale utente che è associata a un dispositivo e usa un dato biometrico o un PIN. |
| Token OATH | I token OATH possono essere applicazioni software come l'app Microsoft Authenticator e altre app di autenticazione. Possono anche essere token basati su hardware che i clienti possono acquistare da fornitori diversi. |
Gli amministratori possono abilitare una o più di queste opzioni. Gli utenti possono quindi acconsentire esplicitamente per ogni metodo di autenticazione che desiderano usare.
Selezione di un metodo di autenticazione
È infine necessario decidere in che modo gli utenti registrano i metodi selezionati. L'approccio più semplice consiste nell'usare Microsoft Entra ID Protection. Se l'organizzazione ha una licenza per Identity Protection, è possibile configurare questo servizio in modo da richiedere agli utenti di registrarsi per l'autenticazione a più fattori al successivo accesso.
Si può anche richiedere agli utenti di registrarsi per l'autenticazione a più fattori quando provano a usare un'applicazione o un servizio che richiede questo tipo di autenticazione. È infine possibile imporre la registrazione configurando criteri di accesso condizionale per un gruppo di Azure contenente tutti gli utenti dell'organizzazione. Questo approccio richiede alcune attività manuali per esaminare periodicamente il gruppo ed eventualmente rimuovere utenti registrati. Per alcuni script utili per automatizzare alcuni di questi processi, vedere Pianificare una distribuzione dell'autenticazione a più fattori di Microsoft Entra.