Passo dopo passo: configurazione dell'autenticazione a più fattori (MFA) in Azure AD

Passo dopo passo: configurazione dell'autenticazione a più fattori (MFA) in Azure AD

02/01/2024

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nella configurazione e nell'implementazione della Multi-Factor Authentication (MFA) in Azure Active Directory (ora Microsoft Entra ID). L'AMF è un livello di sicurezza essenziale che richiede agli utenti di fornire due o più forme di verifica per dimostrare la propria identità prima di ottenere l'accesso, riducendo significativamente il rischio di compromissione dell'account [1].

Introduzione

Nel panorama odierno delle minacce informatiche, le password da sole non sono più sufficienti per proteggere gli account degli utenti. Attacchi di phishing, spraying di password e furto di credenziali sono tattiche comuni utilizzate dagli aggressori. La Multi-Factor Authentication (MFA) aggiunge un livello critico di sicurezza richiedendo agli utenti di fornire qualcosa che conoscono (password), qualcosa che hanno (telefono, token hardware) o qualcosa che sono (impronta digitale, riconoscimento facciale). L'implementazione dell'MFA è una delle misure di sicurezza più efficaci che un'organizzazione può adottare per proteggere le proprie risorse in Microsoft Entra ID e nei servizi associati [2].

Questa guida illustra i passaggi per la configurazione dell'autenticazione a più fattori in Azure AD, concentrandosi su diversi metodi di implementazione, dalle configurazioni di base all'uso dei criteri di accesso condizionale per un controllo più granulare. Verranno fornite istruzioni dettagliate, configurazioni di esempio e metodi di convalida per garantire che il lettore possa applicare efficacemente l'MFA nel proprio ambiente.

Perché l'AMF è fondamentale?

  • Riduzione del rischio: riduce drasticamente la probabilità di compromissione dell'account, anche in caso di furto delle password.
  • Conformità: molti standard e normative di sicurezza richiedono l'implementazione dell'MFA per proteggere i dati sensibili.
  • Protezione dal phishing: Aggiunge una barriera contro gli attacchi di phishing, poiché l'aggressore avrebbe bisogno non solo della password, ma anche del secondo fattore.
  • Flessibilità: Azure AD offre molteplici opzioni di secondo fattore come l'app Microsoft Authenticator, SMS, telefonate e token hardware, consentendo agli utenti di scegliere il metodo più conveniente e sicuro.

Prerequisiti

Per configurare MFA in Azure AD, avrai bisogno dei seguenti elementi:

  1. Licenza: una licenza che include funzionalità MFA di Azure AD. Può trattarsi di Azure AD Free (con impostazioni predefinite di sicurezza), Azure AD Premium P1 o P2 (per accesso condizionale) o licenze Microsoft 365 che includono Azure AD Premium [3].
  2. Accesso amministrativo: un account con autorizzazioni di amministratore globale o amministratore dell'autenticazione nel portale di Azure (portal.azure.com) o nell'interfaccia di amministrazione di Microsoft Entra (entra.microsoft.com).
  3. Dispositivi di prova: almeno un account utente di prova e un dispositivo (smartphone) per configurare e convalidare l'MFA.
  4. Conti di accesso di emergenza: è buona pratica creare e proteggere conti break-glass esenti dall'AMF per evitare blocchi in caso di problemi con il sistema AMF [4].

Passo dopo passo: configurazione dell'autenticazione a più fattori (MFA) in Azure AD

Esistono alcuni modi per abilitare l'AMF in Azure AD. Tratteremo i due più comuni: Impostazioni predefinite di sicurezza (per configurazioni rapide e di base) e Criteri di accesso condizionato (per un controllo granulare).

Opzione 1: abilita l'MFA utilizzando le impostazioni predefinite di sicurezza (consigliato per le piccole e medie imprese)

Le impostazioni predefinite di sicurezza forniscono un set di base di criteri di sicurezza consigliati da Microsoft, inclusa la richiesta di MFA per tutti gli utenti e gli amministratori. È un modo semplice ed efficace per aumentare rapidamente la sicurezza.

  1. Accedi all'interfaccia di amministrazione di Microsoft Entra: https://entra.microsoft.com.
  2. Nel riquadro di navigazione a sinistra, vai su Protezione > Panoramica sulla sicurezza.
  3. Nella sezione Abilita impostazioni predefinite di sicurezza, fare clic su Gestisci impostazioni predefinite di sicurezza.
  4. Nel riquadro Impostazioni predefinite di sicurezza, impostare l'opzione Abilita impostazioni predefinite di sicurezza su .
  5. Fare clic su Salva.

Nota: una volta abilitate, le impostazioni predefinite di sicurezza richiederanno a tutti gli utenti di configurare MFA al successivo accesso. Verrà chiesto loro di registrare l'app Microsoft Authenticator. Le impostazioni predefinite di sicurezza sono ideali per le organizzazioni che non dispongono dim Licenze Azure AD Premium P1 o P2 e necessitano di un'implementazione MFA rapida e standardizzata. Non è possibile utilizzare contemporaneamente l'accesso condizionale e le impostazioni predefinite di sicurezza; uno disabilita l'altro.

Opzione 2: abilitare l'MFA utilizzando criteri di accesso condizionale (consigliato per il controllo granulare e le aziende più grandi)

Le policy di accesso condizionato (CA) consentono di definire condizioni specifiche in base alle quali sarà richiesta l'MFA, offrendo molta più flessibilità rispetto alle impostazioni predefinite di sicurezza. Questa opzione richiede una licenza Azure AD Premium P1 o P2.

2.1. Crea un gruppo di utenti di prova

È consigliabile testare i criteri di accesso condizionale su un piccolo gruppo di utenti prima di distribuirli all'intera organizzazione.

  1. Nell'interfaccia di amministrazione di Microsoft Login, vai a Identità > Gruppi > Tutti i gruppi.
  2. Fare clic su Nuovo gruppo.
  3. Inserisci i dettagli:
    • Tipo di gruppo: Sicurezza
    • Nome gruppo: MFA_Users_Test
    • I ruoli di Azure AD possono essere assegnati al gruppo: No
    • Tipo di abbonamento: assegnato
  4. Aggiungi utenti di prova come membri e fai clic su Crea.

2.2. Creare una policy di accesso condizionato per richiedere l'AMF

  1. Nell'interfaccia di amministrazione di Microsoft Login, vai a Protezione > Accesso condizionale.
  2. Fare clic su Nuova policy > Crea nuova policy.
  3. Nome: "Richiedi MFA per tutti gli utenti" (o "Richiedi MFA per gruppo di test" se in fase di test).
  4. Responsabilità:
    • Utenti o carichi di lavoro identità: seleziona Tutti gli utenti (o il gruppo MFA_Users_Test per il test).
    • Elimina: è fondamentale eliminare qui i tuoi account di accesso di emergenza per evitare di essere bloccati. Aggiungi anche eventuali account di servizio che non possono utilizzare l'AMF.
  5. Risorse o azioni cloud: seleziona Tutte le applicazioni cloud.
  6. Condizioni (facoltativo, per ulteriore granularità):
    • È possibile configurare le condizioni in base alla posizione, ai dispositivi, alle applicazioni client, ecc. Ad esempio, richiedere MFA solo per l'accesso dall'esterno della rete aziendale.
  7. Concessione:
    • Seleziona Concedi accesso.
    • Seleziona Richiedi autenticazione a più fattori.
    • Fare clic su Seleziona.
  8. Sessione (facoltativo):
    • È possibile configurare il controllo della frequenza di accesso o la persistenza della sessione.
  9. Abilita criterio: impostare su Solo report per testare l'impatto prima dell'applicazione oppure su On per applicarlo immediatamente.
  10. Fare clic su Crea.

2.3. Configurare i metodi di autenticazione

È importante definire quali metodi MFA sono disponibili per gli utenti.

  1. Nell'interfaccia di amministrazione di Microsoft Login, vai a Protezione > Metodi di autenticazione > Criteri.
  2. Qui puoi abilitare o disabilitare metodi come Microsoft Authenticator, SMS, Chiamata vocale, ecc. Si consiglia di abilitare Microsoft Authenticator e SMS come metodi principali.
  3. Configurare le opzioni per ciascun metodo, come la modalità di registrazione dell'autenticatore (nessuna password o notifica push).

Convalida e test

Dopo aver configurato l'MFA, è essenziale verificare che funzioni come previsto.

1. Testare l'accesso di un utente

  1. Apri una finestra del browser in modalità in incognito/privata.
  2. Passare a un'applicazione coperta dalla politica MFA (ad esempio: "portal.office.com").
  3. Accedi con l'account di un utente incluso nella policy MFA.
  4. All'utente dovrebbe essere chiesto di configurare MFA (se questo è il primo accesso dopo l'abilitazione) o di fornire il secondo fattore (ad esempio approvare la notifica in Microsoft Authenticator, inserire il codice SMS).

2. Controlla lo stato di registrazione dell'MFA

  1. Nell'interfaccia di amministrazione di Microsoft Login, vai a Identità > Utenti > Tutti gli utenti.
  2. Fare clic su un utente e quindi su Metodi di autenticazione.
  3. Controllare i metodi di autenticazione registrati per l'utente. Ciò confermerà che l'utente ha configurato correttamente l'MFA.

3. Utilizza la modalità Solo rapporto (per l'accesso condizionato)

Se hai configurato i criteri di accesso condizionale in modalità Solo report, puoi verificare i risultati senza imposizione.

  1. Nell'interfaccia di amministrazione di Microsoft Login, vai a Protezione > Accesso condizionale.
  2. Fai clic sulla policy creata e vai alla scheda Solo report.
  3. Analizzare i risultati per vedere quali utenti e applicazioni sarebbero interessati dalla policy e se sarebbe necessaria l'AMF.

Suggerimenti e best practice per la sicurezza

  • Richiedi MFA per gli amministratori: richiedi sempre MFA per gli account amministrativi, indipendentemente da altri criteri. Questi account sono gli obiettivi principali degli attacchi.
  • Formazione degli utenti: formazione degli utenti sull'importanza dell'MFA e su come configurarla e utilizzarla correttamente. Spiegare come identificare e segnalare i tentativi di phishing MFA.
  • Microsoft Authenticator: promuovi l'uso dell'app Microsoft Authenticator con le notifiche push, poiché è considerato uno dei metodi più sicuri e facili da utilizzare, oltre ad essere resistente ad alcuni tipi di attacchi di phishing.
  • Criteri granulari di accesso condizionato: utilizza l'accesso condizionale per definire quando è necessaria l'MFA (ad esempio all'esterno della rete aziendale, per applicazioni ad alto rischio, per utenti con ruoli privilegiati).
  • Revisione periodica: rivedi regolarmente le policy MFA e i metodi di autenticazione registrati dall'utente per garantire che rimangano efficaci e sicuri.
  • Account di emergenza: mantieni un processo rigoroso per gli account di accesso di emergenza, inclusa l'archiviazione sicura delle credenziali e il controllo regolare del loro utilizzo.

Risoluzione dei problemi comuni

  • L'utente non è in grado di configurare MFA: verificare che l'utente disponga di una licenza appropriata e che i metodi di autenticazione desiderati siano abilitati. Guidare l'utente a seguire attentamente le istruzioni di registrazione.
  • Utente bloccato dopo aver abilitato MFA: controlla se l'utente è stato escluso da un criterio di accesso condizionale o se c'è un problema con il metodo MFA configurato. Se necessario, utilizzare gli account di accesso di emergenza.
  • MFA non è richiesta: verificare che i criteri di accesso condizionale siano abilitati e assegnati agli utenti e alle applicazioni corretti. Se si utilizzano le impostazioni predefinite di sicurezza, assicurarsi che non vi siano criteri di accesso condizionale in conflitto.
  • Problemi con l'app di autenticazione: controlla la connettività di rete del tuo dispositivo mobile e se le notifiche sono abilitate per l'app. Prova a rimuovere e aggiungere nuovamente l'account nell'app.

Conclusione

L’autenticazione a più fattori è un pilastro fondamentale della moderna sicurezza dell’identità. La configurazione dell'autenticazione a più fattori in Azure AD, in particolare tramite criteri di accesso condizionale, fornisce una solida difesa contro l'accesso non autorizzato. Seguendo le linee guida contenute in questo articolo, la tua organizzazione sarà meglio attrezzata per proteggere le identità degli utenti e le risorse critiche, mitigando i rischi e rafforzando il tuo livello di sicurezza generale. Ricorda, la sicurezza è un processo continuo che richiede costanti adattamenti e miglioramenti.

Riferimenti:

[1]Microsoft Learn. Che cos'è l'autenticazione a più fattori?. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-howitworks [2]Microsoft Learn. Pianificare una distribuzione dell'autenticazione a più fattori di Microsoft Entra. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/identity/authentication/howto-mfa-getstarted [3]Microsoft Learn. Licenza per l'autenticazione a più fattori di Microsoft Entra. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/identity/authentication/concept-mfa-licensing [4]Microsoft Learn. Crea account di accesso di emergenza su Microsoft Entra ID. Disponibile all'indirizzo: https://learn.microsoft.com/pt-br/entra/identity/role-based-access-control/security-emergency-access-accounts