Abilitare l'autenticazione a più fattori in Azure Active Directory B2C

Prima di iniziare, usare il selettore Scegli un tipo di criterio per scegliere il tipo di criterio che si sta configurando. Azure Active Directory B2C offre due metodi per definire il modo in cui gli utenti interagiscono con le applicazioni: tramite flussi utente predefiniti o tramite criteri personalizzati completamente configurabili. I passaggi necessari in questo articolo sono diversi per ogni metodo.

Azure Active Directory B2C (Azure AD B2C) si integra direttamente con l'autenticazione a più fattori Di Microsoft Entra, in modo da poter aggiungere un secondo livello di sicurezza alle esperienze di iscrizione e accesso nelle applicazioni. È possibile abilitare l'autenticazione a più fattori senza scrivere una singola riga di codice. Se sono già stati creati flussi utente di iscrizione e accesso, è comunque possibile abilitare l'autenticazione a più fattori.

Questa funzionalità consente alle applicazioni di gestire scenari come:

  • Non è necessaria l'autenticazione a più fattori per accedere a un'applicazione, ma è necessario accedervi. Ad esempio, l'utente può accedere a un'applicazione di assicurazione auto con un account locale o di social networking, ma deve verificare il numero di telefono prima di accedere all'applicazione di assicurazione casa registrata nella stessa directory.
  • Non è necessaria l'autenticazione a più fattori per accedere a un'applicazione in generale, ma è necessaria per accedere alle parti sensibili al suo interno. Ad esempio, l'utente può accedere a un'applicazione bancaria con un account locale o di social networking e controllare il saldo del conto, ma deve verificare il numero di telefono prima di effettuare un bonifico.

Prerequisiti

Metodi di verifica

Con gli utenti dell'accesso condizionale possono essere richieste o meno richieste di autenticazione a più fattori in base alle decisioni di configurazione che è possibile prendere come amministratore. I metodi dell'autenticazione a più fattori sono:

  • Email : durante l'accesso, all'utente viene inviato un messaggio di posta elettronica di verifica contenente una password monouso (OTP). L'utente fornisce il codice OTP inviato nel messaggio di posta elettronica.
  • SMS o telefonata : durante la prima iscrizione o accesso, all'utente viene chiesto di fornire e verificare un numero di telefono. Durante gli accessi successivi, all'utente viene richiesto di selezionare l'opzione Invia codice o Chiama MFA telefono. A seconda della scelta dell'utente, viene inviato un SMS o viene effettuata una telefonata al numero di telefono verificato per identificare l'utente. L'utente fornisce il codice OTP inviato tramite SMS o approva la telefonata.
  • Telefono solo chiamata : funziona nello stesso modo dell'opzione SMS o telefonata, ma viene effettuata solo una telefonata.
  • Solo SMS: funziona nello stesso modo dell'opzione SMS o telefonata, ma viene inviato solo un SMS.
  • App Authenticator - TOTP: l'utente deve installare un'app di autenticazione che supporta la verifica della password monouso (TOTP) basata sul tempo, ad esempio l'app Microsoft Authenticator, in un dispositivo di cui è proprietario. Durante la prima iscrizione o l'accesso, l'utente analizza un codice a matrice o immette un codice manualmente usando l'app di autenticazione. Durante gli accessi successivi, l'utente digita il codice TOTP visualizzato nell'app di autenticazione. Vedere come configurare l'app Microsoft Authenticator.

Importante

App di autenticazione: TOTP offre una sicurezza più avanzata rispetto a SMS/Telefono e la posta elettronica è la meno sicura. L'autenticazione a più fattori basata su SMS/Telefono comporta addebiti separati rispetto al normale modello di determinazione prezzi di Azure AD B2C.

Impostare l'autenticazione a più fattori

  1. Accedi al portale di Azure.

  2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.

  3. Nel menu a sinistra selezionare Azure AD B2C. In alternativa, selezionare Tutti i servizi e quindi cercare e selezionare Azure AD B2C.

  4. Selezionare Flussi utente.

  5. Selezionare il flusso utente per il quale si vuole abilitare l'autenticazione a più fattori. Ad esempio, B2C_1_signinsignup.

  6. Selezionare Proprietà.

  7. Nella sezione Autenticazione a più fattori selezionare il tipo di metodo desiderato. Quindi, in Applicazione MFA selezionare un'opzione:

    • Disattivata : l'autenticazione a più fattori non viene mai applicata durante l'accesso e agli utenti non viene richiesto di eseguire la registrazione in MFA durante l'iscrizione o l'accesso.

    • Always On : l'autenticazione a più fattori è sempre necessaria, indipendentemente dalla configurazione dell'accesso condizionale. Durante l'iscrizione, agli utenti viene richiesto di eseguire la registrazione in MFA. Durante l'accesso, se gli utenti non sono già registrati in MFA, viene richiesto di eseguire la registrazione.

    • Condizionale : durante l'iscrizione e l'accesso, agli utenti viene richiesto di eseguire la registrazione in MFA (sia nuovi utenti che utenti esistenti che non sono registrati in MFA). Durante l'accesso, l'autenticazione a più fattori viene applicata solo quando è richiesta una valutazione dei criteri di accesso condizionale attiva:

      • Se il risultato è una richiesta di autenticazione a più fattori senza rischi, viene applicata l'autenticazione a più fattori. Se l'utente non è già registrato in MFA, viene richiesto di eseguire la registrazione.
      • Se il risultato è una richiesta di autenticazione a più fattori a causa del rischio e l'utente non è registrato in MFA, l'accesso viene bloccato.

    Nota

    • Con la disponibilità generale dell'accesso condizionale in Azure AD B2C, agli utenti viene ora richiesto di eseguire la registrazione in un metodo MFA durante l'iscrizione. Tutti i flussi utente di iscrizione creati prima della disponibilità generale non riflettono automaticamente questo nuovo comportamento, ma è possibile includere il comportamento creando nuovi flussi utente.
    • Se si seleziona Condizionale, sarà necessario aggiungere anche l'accesso condizionale ai flussi utente e specificare le app a cui applicare i criteri.
    • L'autenticazione a più fattori è disabilitata per impostazione predefinita per i flussi utente di iscrizione. È possibile abilitare l'autenticazione a più fattori nei flussi utente con iscrizione telefonica, ma poiché un numero di telefono viene usato come identificatore primario, il passcode monouso tramite posta elettronica è l'unica opzione disponibile per il secondo fattore di autenticazione.
  8. Seleziona Salva. L'autenticazione a più fattori è ora abilitata per questo flusso utente.

È possibile usare Esegui ora per verificare l'esperienza. Confermare lo scenario seguente:

Un account cliente viene creato nel tenant prima che si verifichi il passaggio di autenticazione a più fattori. Durante il passaggio, all'utente viene richiesto di fornire un numero di telefono e di verificarlo. Se la verifica ha esito positivo, il numero di telefono viene associato all'account per un utilizzo successivo. Anche se il cliente annulla o esce, al cliente può essere chiesto di verificare di nuovo un numero di telefono durante l'accesso successivo con l'autenticazione a più fattori abilitata.

Per abilitare l'autenticazione a più fattori, ottenere il pacchetto di avvio dei criteri personalizzato da GitHub come indicato di seguito:

  • Scaricare il file ZIP o clonare il repository da https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpacke quindi aggiornare i file XML nel pacchetto iniziale SocialAndLocalAccountsWithMFA con il nome del tenant di Azure AD B2C. SocialAndLocalAccountsWithMFA abilita le opzioni di accesso di social network e locali e le opzioni di autenticazione a più fattori, ad eccezione dell'opzione Authenticator app - TOTP.
  • Per supportare l'opzione Authenticator app - TOTP MFA, scaricare i file di criteri personalizzati da https://github.com/azure-ad-b2c/samples/tree/master/policies/totpe quindi aggiornare i file XML con il nome del tenant di Azure AD B2C. Assicurarsi di includere TrustFrameworkExtensions.xmli file , TrustFrameworkLocalization.xmle TrustFrameworkBase.xml XML dal pacchetto iniziale SocialAndLocalAccounts .
  • Aggiornare [layout di pagina] alla versione 2.1.14. Per altre informazioni, vedere Selezionare un layout di pagina.

Registrare un utente in TOTP con un'app di autenticazione (per gli utenti finali)

Quando un'applicazione Azure AD B2C abilita MFA usando l'opzione TOTP, gli utenti finali devono usare un'app di autenticazione per generare codici TOTP. Gli utenti possono usare l'app Microsoft Authenticator o qualsiasi altra app di autenticazione che supporta la verifica TOTP. Un amministratore di sistema di Azure AD B2C deve consigliare agli utenti finali di configurare l'app Microsoft Authenticator seguendo questa procedura:

  1. Scaricare e installare l'app Microsoft Authenticator nel dispositivo mobile Android o iOS.
  2. Aprire l'applicazione che richiede di usare TOTP per MFA, ad esempio App Web Contoso, quindi accedere o iscriversi immettendo le informazioni necessarie.
  3. Se viene chiesto di registrare l'account analizzando un codice a matrice usando un'app di autenticazione, aprire l'app Microsoft Authenticator nel telefono e nell'angolo in alto a destra selezionare l'icona del menu a 3 punti (per Android) o + l'icona del menu (per IOS).
  4. Selezionare + Aggiungi account.
  5. Selezionare Altro account (Google, Facebook e così via) e quindi analizzare il codice a matrice visualizzato nell'applicazione (ad esempio, App Web Contoso) per registrare l'account. Se non è possibile analizzare il codice a matrice, è possibile aggiungere l'account manualmente:
    1. Nell'app Microsoft Authenticator sul telefono selezionare O IMMETTERE MANUALMENTE IL CODICE.
    2. Nell'applicazione(ad esempio, App Web Contoso) selezionare Ancora problemi? Verranno visualizzati il nome dell'account e il segreto.
    3. Immettere il nome dell'account e il segreto nell'app Microsoft Authenticator e quindi selezionare FINE.
  6. Nell'applicazione (ad esempio, App Web Contoso) selezionare Continua.
  7. In Immettere il codice immettere il codice visualizzato nell'app Microsoft Authenticator.
  8. Selezionare Verifica.
  9. Durante l'accesso successivo all'applicazione, digitare il codice visualizzato nell'app Microsoft Authenticator.

Informazioni sui token software OATH

Eliminare la registrazione dell'autenticatore TOTP di un utente (per gli amministratori di sistema)

In Azure AD B2C è possibile eliminare la registrazione dell'app di autenticazione TOTP di un utente. L'utente dovrà quindi registrare nuovamente l'account per usare di nuovo l'autenticazione TOTP. Per eliminare la registrazione TOTP di un utente, è possibile usare il portale di Azure o l'API Microsoft Graph.

Nota

  • L'eliminazione della registrazione dell'app di autenticazione TOTP di un utente da Azure AD B2C non rimuove l'account dell'utente nell'app di autenticazione TOTP. L'amministratore di sistema deve indirizzare l'utente a eliminare manualmente il proprio account dall'app di autenticazione TOTP prima di riprovare a eseguire la registrazione.
  • Se l'utente elimina accidentalmente il proprio account dall'app di autenticazione TOTP, deve inviare una notifica a un amministratore di sistema o a un proprietario dell'app che può eliminare la registrazione dell'autenticatore TOTP dell'utente da Azure AD B2C in modo che l'utente possa ripetere la registrazione.

Eliminare la registrazione dell'app di autenticazione TOTP usando il portale di Azure

  1. Accedi al portale di Azure.
  2. Se si ha accesso a più tenant, selezionare l'icona Impostazioni nel menu in alto per passare al tenant di Azure AD B2C dal menu Directory e sottoscrizioni.
  3. Nel menu a sinistra selezionare Utenti.
  4. Cercare e selezionare l'utente per cui si vuole eliminare la registrazione dell'app di autenticazione TOTP.
  5. Nel menu a sinistra selezionare Metodi di autenticazione.
  6. In Metodi di autenticazione utilizzabili trovare Token OATH software e quindi selezionare il menu con i puntini di sospensione accanto. Se questa interfaccia non viene visualizzata, selezionare l'opzione "Passare alla nuova esperienza dei metodi di autenticazione utente! Fare clic qui per usarlo ora" per passare alla nuova esperienza dei metodi di autenticazione.
  7. Selezionare Elimina e quindi scegliere per confermare.

User authentication methods

Eliminare la registrazione dell'app di autenticazione TOTP usando l'API Microsoft Graph

Informazioni su come eliminare il metodo di autenticazione del token OATH software di un utente usando l'API Microsoft Graph.

Passaggi successivi