Migrazione all'autenticazione a più fattori di Microsoft Entra e all'autenticazione utente di Microsoft Entra

L'autenticazione a più fattori aiuta a proteggere l'infrastruttura e le risorse dai malintenzionati. Server MFA (Microsoft Multi-Factor Authentication Server) non viene più offerto per le nuove distribuzioni. I clienti che usano Server MFA devono passare all'autenticazione a più fattori di Microsoft Entra.

Sono disponibili diverse opzioni per la migrazione da Server MFA a Microsoft Entra ID:

• Bene: spostare solo il servizio MFA su Microsoft Entra ID.
• Ottimo: spostare il servizio MFA e l'autenticazione degli utenti su Microsoft Entra ID, come illustrato in questo articolo.
• Eccellente: spostare tutte le applicazioni, il servizio MFA e l'autenticazione degli utenti su Microsoft Entra ID. Consultare la sezione Spostare le applicazioni in Microsoft Entra ID di questo articolo se si desidera spostare le applicazioni, trattata in questo articolo.

Per selezionare l'opzione di migrazione MFA appropriata per la propria organizzazione, consultare le considerazioni riportate in Migrazione da Server MFA all'autenticazione a più fattori di Microsoft Entra.

Il diagramma seguente illustra il processo di migrazione all'autenticazione a più fattori e al cloud di Microsoft Entra, mantenendo alcune applicazioni in AD FS. Questo processo consente la migrazione iterativa degli utenti da Server MFA all'autenticazione a più fattori di Microsoft Entra in base all'appartenenza a un gruppo.

Ciascun passaggio è illustrato nelle sezioni successive di questo articolo.

Processo per la migrazione a Microsoft Entra ID e l'autenticazione degli utenti

Preparare i gruppi e l'accesso condizionale

I gruppi vengono usati in tre modi per la migrazione MFA.

• Per spostare in maniera iterativa gli utenti all'autenticazione a più fattori di Microsoft Entra tramite l'implementazione a fasi.

  Usare un gruppo creato in Microsoft Entra ID, noto anche come gruppo solo cloud. È possibile usare i gruppi di sicurezza di Microsoft Entra o i gruppi di Microsoft 365 sia per spostare gli utenti a MFA che per i criteri di accesso condizionale.

  Importante

  I gruppi di appartenenza annidati e dinamici non sono supportati per l'implementazione a fasi. Non usare questi tipi di gruppi.

• Criteri di accesso condizionale. Per l'accesso condizionale, è possibile usare Microsoft Entra ID o i gruppi locali.

• Per richiedere l'autenticazione a più fattori di Microsoft Entra per le applicazioni AD FS con le regole attestazioni. Questo passaggio si applica solo se si usano applicazioni con AD FS.

  È necessario usare un gruppo di sicurezza Active Directory locale. Una volta che l'autenticazione a più fattori di Microsoft Entra è configurata come metodo di autenticazione aggiuntivo, è possibile designare gruppi di utenti che usino tale metodo per ogni trust della relying party. Ad esempio, è possibile richiedere l'autenticazione a più fattori di Microsoft Entra per gli utenti già migrati e Server MFA per gli utenti non ancora migrati. Questa strategia è utile sia in fase di test che di migrazione.

Configurare i criteri di accesso condizionale

Se si usa già l'accesso condizionale per richiedere l'MFA agli utenti, non è necessario apportare modifiche ai criteri esistenti. Durante la migrazione all'autenticazione nel cloud, gli utenti inizieranno a usare l'autenticazione a più fattori di Microsoft Entra, come definito dai criteri di accesso condizionale. Non saranno più reindirizzati ad AD FS e al Server MFA.

Se i domini federati hanno il flag federatedIdpMfaBehavior impostato su enforceMfaByFederatedIdp o SupportsMfa impostato su $True (con il flag federatedIdpMfaBehavior che sovrascrive SupportsMfa quando entrambi sono configurati), è probabile che l'MFA venga applicata su AD FS tramite le regole attestazioni. In questo caso, è necessario esaminare le regole attestazioni trust della relying party Microsoft Entra ID e creare criteri di accesso condizionale che garantiscano gli stessi obiettivi di sicurezza.

Se necessario, configurare i criteri di accesso condizionale prima di avviare l'implementazione a fasi. Per ulteriori informazioni, vedi le seguenti risorse:

• Pianificare una distribuzione dell'accesso condizionale
• Criteri comuni di accesso condizionale

Preparare AD FS

Se non si dispone di applicazioni in AD FS che richiedono l'autenticazione a più fattori, è possibile ignorare questa sezione e passare alla sezione Preparare implementazione a fasi.

Aggiornamento di AD FS server farm a 2019, FBL 4

In AD FS 2019 Microsoft ha rilasciato nuove funzionalità per specificare metodi di autenticazione aggiuntivi per una relying party, come un'applicazione. È possibile specificare un metodo di autenticazione aggiuntivo usando l'appartenenza al gruppo per determinare il provider di autenticazione. Specificando un metodo di autenticazione aggiuntivo, è possibile passare all'autenticazione a più fattori di Microsoft Entra mantenendo intatta l'altra autenticazione durante la transizione.

Per altre informazioni vedere Aggiornamento ad AD FS in Windows Server 2016 usando un database WID. L'articolo illustra sia l'aggiornamento della farm ad AD FS 2019 che l'aggiornamento di FBL a 4.

Configurare le regole delle attestazioni per richiamare l'autenticazione a più fattori di Microsoft Entra

Ora che l'autenticazione a più fattori Microsoft Entra è un metodo di autenticazione aggiuntivo, è possibile assegnare gruppi di utenti per l'uso dell'autenticazione a più fattori di Microsoft Entra configurando le regole delle attestazioni, note anche come trust della relying party. Usando i gruppi, è possibile controllare quale provider di autenticazione viene chiamato globalmente o dall'applicazione. Ad esempio, è possibile chiamare l'autenticazione a più fattori Microsoft Entra per gli utenti registrati per informazioni di sicurezza combinate o per i relativi numeri di telefono migrati, mentre si chiama MFA Server per gli utenti i cui numeri di telefono non sono stati migrati.

Regole di backup

Prima di configurare nuove regole attestazione, eseguire il backup. È necessario ripristinare le regole attestazione come parte dei passaggi di pulizia.

A seconda della configurazione, potrebbe anche essere necessario copiare la regola esistente e aggiungere le nuove regole create per la migrazione.

Per visualizzare le regole globali, eseguire:

Get-AdfsAdditionalAuthenticationRule

Per visualizzare i trust della relying party, eseguire il comando seguente e sostituire RPTrustName con il relativo nome della regola attestazione:

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules

Criteri di controllo di accesso

Per eseguire la transizione dai criteri di controllo di accesso a regole di autenticazione aggiuntive, eseguire questo comando per ognuno dei trust relying party usando il provider di autenticazione del server MFA:

Set-AdfsRelyingPartyTrust -**TargetName AppA -AccessControlPolicyName $Null**

Questo comando sposta la logica dal criterio di Controllo di accesso corrente in Regole di autenticazione aggiuntive.

Configurare il gruppo e trovare il SID

È necessario disporre di un gruppo specifico in cui si inserisce gli utenti per i quali si vuole richiamare l'autenticazione a più fattori Microsoft Entra. Sarà necessario trovare l'identificatore di sicurezza (SID) per tale gruppo. Per trovare il SID del gruppo, seguire il comando seguente e sostituire GroupName con il nome del gruppo:

Get-ADGroup GroupName

Impostazione delle regole attestazione per richiamare l'autenticazione a più fattori di Microsoft Entra

I cmdlet di PowerShell di Microsoft Graph seguenti richiamano l'autenticazione a più fattori di Microsoft Entra per gli utenti del gruppo quando non sono connessi alla rete aziendale. Sostituire "YourGroupSid" con il SID trovato eseguendo il cmdlet precedente.

Assicurarsi di rivedere Come scegliere provider di autenticazione aggiuntivi nel 2019.

Impostare la regola attestazioni globale

Eseguire il comando seguente e sostituire RPTrustName con il nome della regola attestazioni del trust della relying party:

(Get-AdfsRelyingPartyTrust -Name "RPTrustName").AdditionalAuthenticationRules

Il comando restituisce le regole di autenticazione aggiuntive correnti per il trust della relying party.
È necessario aggiungere le regole seguenti alle regole attestazioni correnti:

c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

Nell'esempio seguente si suppone che le regole attestazioni correnti siano configurate per richiedere l'autenticazione a più fattori quando gli utenti si connettono dall'esterno della rete. Questo esempio include le regole aggiuntive che è necessario aggiungere.

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type == 
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"https://schemas.microsoft.com/claims/multipleauthn" );
 c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

Impostare la regola attestazioni in base all'applicazione

Questo esempio modifica le regole attestazioni in un trust della relying party specifico (applicazione). Include le regole aggiuntive che è necessario aggiungere.

Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules 'c:[type == 
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = 
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = 
"https://schemas.microsoft.com/claims/multipleauthn" );
c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == 
"YourGroupSID"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders", 
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", 
Value=="YourGroupSid"]) => issue(Type = 
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value = 
"AzureMfaServerAuthentication");'

Configurare l'autenticazione a più fattori di Microsoft Entra come provider di autenticazione in AD FS

Per configurare l'autenticazione a più fattori di Microsoft Entra per AD FS, è necessario configurare ogni server AD FS. Se nella farm sono presenti più server AD FS, è possibile configurarli da remoto usando PowerShell di Microsoft Graph.

Per istruzioni dettagliate su questo processo, vedere Configurare i server AD FS.

Dopo aver configurato i server, è possibile aggiungere l'autenticazione a più fattori di Microsoft Entra come metodo di autenticazione aggiuntivo.

Preparare l'implementazione a fasi

Ora è possibile abilitare l'implementazione a fasi. L'implementazione a fasi consente di spostare in modo iterativo gli utenti alla PHS o alla PTA durante la migrazione delle impostazioni MFA locali.

• Assicurarsi di rivedere gli scenari supportati.
• In primo luogo, è necessario eseguire le operazioni preliminari per la PHS o per la PTA. Si consiglia la PHS.
• Poi si eseguiranno le operazioni preliminari per l'accesso SSO semplificato.
• Abilitare l'implementazione a fasi dell'autenticazione cloud per il metodo di autenticazione selezionato.
• Aggiungere i gruppi creati per l'implementazione a fasi. Si ricordi che gli utenti vengono aggiunti ai gruppi in modo iterativo, i gruppi non possono essere annidati nè essere di appartenenza dinamica.

Registrare gli utenti per l'autenticazione a più fattori di Microsoft Entra

Questa sezione illustra come gli utenti possono registrarsi per la sicurezza combinata (MFA e reimpostazione della password self-service) e come eseguire la migrazione delle impostazioni MFA. Si può usare Microsoft Authenticator in modalità senza password. Può anche essere usato come secondo fattore per la MFA con entrambi i metodi di registrazione.

Registrarsi per la registrazione di sicurezza combinata (scelta consigliata)

Si consiglia che gli utenti si registrino per informazioni di sicurezza combinata, un'unica posizione dove registrare i metodi di autenticazione e i dispositivi sia per la MFA che per la reimpostazione della password self-service.

Microsoft fornisce modelli di comunicazione che è possibile fornire agli utenti per assisterli nel processo di registrazione combinata. Tra questi si trovano modelli per e-mail, poster, cartoncini e vari altri asset. Gli utenti registrano le proprie informazioni in https://aka.ms/mysecurityinfo, da cui passano alla schermata di registrazione di sicurezza combinata.

Si consiglia di proteggere il processo di registrazione di sicurezza con l'accesso condizionale che richiede la registrazione da un dispositivo o una posizione attendibile. Per informazioni sul rilevamento degli stati di registrazione, vedere Attività del metodo di autenticazione per Microsoft Entra ID.

Eseguire la migrazione delle impostazioni MFA dal server MFA

È possibile usare l'utilità di migrazione server MFA per sincronizzare le impostazioni MFA registrate per gli utenti dal server MFA a Microsoft Entra ID. È possibile sincronizzare numeri di telefono, token hardware e registrazioni dei dispositivi, ad esempio le impostazioni dell'app Microsoft Authenticator.

Aggiungere utenti ai gruppi appropriati

• Se si creano nuovi criteri di accesso condizionale, aggiungere utenti appropriati a tali gruppi.
• Se si creano gruppi di sicurezza locali per regole delle attestazioni, aggiungere gli utenti appropriati a tali gruppi.
• Solo dopo aver aggiunto utenti alle regole di accesso condizionale appropriate, aggiungere utenti al gruppo creato per l'implementazione a fasi. Al termine, inizieranno a usare il metodo di autenticazione di Azure selezionato (PHS o PTA) e l'autenticazione a più fattori di Microsoft Entra quando viene loro richiesto di eseguirla.

Non è consigliato riutilizzare i gruppi usati per la sicurezza. Se si usa un gruppo di sicurezza per proteggere un gruppo di app di alto valore con criteri di accesso condizionale, usare solo il gruppo a tale scopo.

Monitoraggio

Per monitorare la distribuzione sono disponibili molte cartelle di lavoro di Monitoraggio di Azure e report di Utilizzo e informazioni dettagliate. Questi report sono disponibili in Microsoft Entra ID, nel riquadro di spostamento in Monitoraggio.

Monitoraggio dell'implementazione a fasi

Nella sezione Cartelle di lavoro selezionare Modelli pubblici. Nella sezione Autenticazione ibrida selezionare la cartella di lavoro Gruppi, utenti e accessi nell'implementazione a fasi.

È possibile usare questa cartella di lavoro per monitorare le attività seguenti:

• Utenti e gruppi aggiunti all'implementazione a fasi.
• Utenti e gruppi rimossi dall'implementazione a fasi.
• Errori di accesso per gli utenti nell'implementazione a fasi e i motivi degli errori.

Monitoraggio della registrazione dell'autenticazione a più fattori di Microsoft Entra

È possibile monitorare la registrazione dell'autenticazione a più fattori di Microsoft Entra usando il report su utilizzo e informazioni dettagliate sui metodi di autenticazione. Questo report è disponibile in Microsoft Entra ID. Selezionare Monitoraggio, quindi Utilizzo e informazioni dettagliate.

In Utilizzo e informazioni dettagliate selezionare Metodi di autenticazione.

Informazioni dettagliate sulla registrazione dell'autenticazione a più fattori di Microsoft Entra sono disponibili nella scheda Registrazione. È possibile eseguire il drill-down per visualizzare un elenco di utenti registrati selezionando il collegamento ipertestuale Utenti registrati per l'autenticazione a più fattori di Azure.

Monitoraggio dell'integrità dell'accesso all'app

Monitorare le applicazioni spostate in Microsoft Entra ID con la cartella di lavoro Integrità dell'accesso all'app o il report sull'utilizzo dell'attività dell'applicazione.

• Cartella di lavoro Integrità dell'accesso all'app. Per indicazioni dettagliate sull'uso di questa cartella di lavoro, vedere Monitoraggio dell'integrità dell'accesso all'applicazione per la resilienza .
• Report sull'utilizzo dell'attività dell'applicazione Microsoft Entra. È possibile usare il report per vedere gli accessi riusciti e non riusciti per le singole applicazioni e per eseguire il drill down sull'attività di accesso per un'applicazione specifica e visualizzarla.

Pulire le attività

Dopo aver spostato tutti gli utenti nell'autenticazione cloud di Microsoft Entra e nell'autenticazione a più fattori di Microsoft Entra, è possibile procedere al ritiro del server MFA. Prima di rimuovere il server, è consigliabile esaminare i log del server MFA per assicurarsi che nessun utente o applicazione lo usi.

Convertire i domini all'autenticazione gestita

È ora necessario convertire i domini federati in Microsoft Entra ID in gestiti e rimuovere la configurazione dell'implementazione a fasi. Grazie alla conversione, i nuovi utenti possono usare l'autenticazione cloud senza essere aggiunti ai gruppi di migrazione.

Ripristinare le regole attestazioni in AD FS e rimuovere il provider di autenticazione del server MFA

Seguire la procedura descritta in Configurare le regole attestazioni per richiamare l'autenticazione a più fattori di Microsoft Entra per ripristinare le regole attestazioni e rimuovere eventuali regole attestazioni AzureMFAServerAuthentication.

Ad esempio, rimuovere la sezione seguente dalle regole:

c:[Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value ==
"**YourGroupSID**"] => issue(Type = "https://schemas.microsoft.com/claims/authnmethodsproviders",
Value = "AzureMfaAuthentication");
not exists([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="YourGroupSid"]) => issue(Type =
"https://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaServerAuthentication");'

Disabilitare il server MFA come provider di autenticazione in AD FS

Questa modifica garantisce che solo l'autenticazione a più fattori di Microsoft Entra venga usata come provider di autenticazione.

1. Aprire la console di gestione di AD FS.
2. In Servizi fare clic con il pulsante destro del mouse su Metodi di autenticazione, quindi selezionare Modifica metodi di autenticazione a più fattori.
3. Deselezionare la casella di controllo Server Microsoft Azure Multi-Factor Authentication.

Ritirare il server MFA

Seguire il processo di ritiro del server aziendale per rimuovere i server MFA dall'ambiente in uso.

Prima di ritirare il server MFA, è opportuno fare alcune considerazioni, ad esempio:

• Prima di rimuovere il server, è consigliabile esaminare i log del server MFA per assicurarsi che nessun utente o applicazione lo usi.
• Disinstallare il server Multi-Factor Authentication dal Pannello di controllo nel server.
• Facoltativamente, pulire i log e le directory di dati non eliminati eseguendone prima il backup.
• Disinstallare Web Server SDK per l'autenticazione a più fattori, se applicabile, inclusi eventuali file rimasti in inetpub\wwwroot\MultiFactorAuthWebServiceSdk e/o nelle directory MultiFactorAuth.
• Per le versioni precedenti alla versione 8.0.x del server MFA, potrebbe anche essere necessario rimuovere il servizio Web app di Windows Phone per l'autenticazione a più fattori.

Spostare l’autenticazione dell'applicazione a Microsoft Entra ID

Se si esegue la migrazione dell'autenticazione utente e dell'autenticazione delle applicazioni con MFA, sarà possibile rimuovere porzioni significative dell'infrastruttura locale, riducendo costi e rischi. Se si sposta tutta l'autenticazione delle applicazioni, è possibile ignorare la fase Preparare AD FS e semplificare la migrazione MFA.

Il processo di spostamento dell'autenticazione delle applicazioni è illustrato nel diagramma seguente.

Se non è possibile spostare tutte le applicazioni prima della migrazione, spostarne il maggior numero possibile prima di iniziare. Per altre informazioni sulla migrazione di applicazioni ad Azure, vedere Risorse per la migrazione di applicazioni a Microsoft Entra ID.

Passaggi successivi

• Eseguire la migrazione dal server MFA Microsoft all'autenticazione a più fattori di Microsoft Entra (Panoramica)
• Eseguire la migrazione di applicazioni da Windows Active Directory a Microsoft Entra ID
• Pianificare la strategia di autenticazione cloud