Introduzione al server Azure Multi-Factor Authentication

  • Articolo

Getting started with MFA Server on-premises

Questa pagina include una nuova installazione del server che include l'impostazione di Active Directory locale. Se il server MFA è già installato e lo si vuole aggiornare, vedere Upgrade to the latest Azure Multi-Factor Authentication Server (Eseguire l'aggiornamento al server Azure Multi-Factor Authentication più recente). Per informazioni sull'installazione solo del servizio Web, vedere Distribuzione del servizio Web App Mobile di Azure Multi-Factor Authentication Server.

Importante

Nel settembre 2022 Microsoft ha annunciato la deprecazione del server Azure Multi-Factor Authentication. A partire dal 30 settembre 2024, le distribuzioni del server Azure Multi-Factor Authentication non serviceranno più le richieste di autenticazione a più fattori, che potrebbero causare errori di autenticazione per l'organizzazione. Per garantire servizi di autenticazione ininterrotti e rimanere in uno stato supportato, le organizzazioni devono eseguire la migrazione dei dati di autenticazione degli utenti al servizio di autenticazione a più fattori Microsoft Entra basato sul cloud usando l'utilità di migrazione più recente inclusa nell'aggiornamento più recente del server Azure Multi-Factor Authentication. Per altre informazioni, vedere Migrazione del server Azure Multi-Factor Authentication.

Per iniziare a usare l'autenticazione a più fattori basata sul cloud, vedere Esercitazione: Proteggere gli eventi di accesso utente con l'autenticazione a più fattori di Azure.

Pianificazione della distribuzione

Prima di scaricare il server Azure Multi-Factor Authentication, valutare i propri requisiti in termini di carico e disponibilità elevata. Usare queste informazioni per decidere come e dove eseguire la distribuzione.

Una buona linea guida per la quantità di memoria necessaria è il numero di utenti che si prevede di eseguire regolarmente l'autenticazione.

Utenti RAM
1-10.000 4 GB
10.001-50.000 8 GB
50.001-100.000 12 GB
100.000-200.001 16 GB
Oltre 200.001 32 GB

Se è necessario configurare più server per la disponibilità elevata o il bilanciamento del carico, Esistono molti modi per configurare questa configurazione con il server Azure Multi-Factor Authentication. Quando si installa il primo server Azure Multi-Factor Authentication, diventa il master. Tutti gli altri server diventano subordinati e sincronizzano automaticamente gli utenti e la configurazione con il master. È quindi possibile configurare un server primario e usare il resto come backup oppure configurare il bilanciamento del carico tra tutti i server.

Quando un server Azure Multi-Factor Authentication master diventa offline, i server subordinati possono comunque elaborare richieste di verifica in due passaggi. Finché il master non viene riportato online o non viene alzato di livello un subordinato, tuttavia, non è possibile aggiungere nuovi utenti e gli utenti esistenti non possono aggiornare le proprie impostazioni.

Predisporre l'ambiente

Assicurarsi che il server usato per l'autenticazione a più fattori di Azure soddisfi i requisiti seguenti.

Requisiti del server Azure Multi-Factor Authentication Descrizione
Hardware
  • 200 MB di spazio su disco rigido
  • processore idoneo per x32 o x64
  • 1 GB o più di RAM
    		•
    Software
  • Windows Server 20221
  • Windows Server 20191
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008/R2 (solo con ESU )
  • Windows 10
  • Windows 8.1, tutte le edizioni
  • Windows 8, tutte le edizioni
  • Windows 7, tutte le edizioni (solo con ESU )
  • Microsoft .NET 4.0 Framework
  • IIS 7.0 o versione successiva se si installa il portale utenti o l'SDK servizi Web
    		•
    Autorizzazioni Account di amministratore del dominio o dell'organizzazione per la registrazione con Active Directory

    1Se il server Azure Multi-Factor Authentication non riesce ad attivarsi in una macchina virtuale di Azure che esegue Windows Server 2019 o versione successiva, provare a usare una versione precedente di Windows Server.

    Componenti del server Azure Multi-Factor Authentication

    Esistono tre componenti Web che costituiscono il server Azure Multi-Factor Authentication:

    • Web Service SDK : consente la comunicazione con gli altri componenti e viene installato nel server applicazioni di autenticazione a più fattori Microsoft Entra
    • Portale utenti: sito Web IIS che consente agli utenti di eseguire la registrazione nell'autenticazione a più fattori di Azure e di gestire i propri account.
    • Servizio Web per app per dispositivi mobili: consente di usare un'app per dispositivi mobili come Microsoft Authenticator per la verifica in due passaggi.

    Tutti e tre i componenti possono essere installati nello stesso server se questo è connesso a Internet. Se si suddivideno i componenti, l'SDK del servizio Web viene installato nel server applicazioni di autenticazione a più fattori Microsoft Entra e nel portale utenti e nel servizio Web app per dispositivi mobili vengono installati in un server con connessione Internet.

    Requisiti del firewall del server Azure Multi-Factor Authentication

    Ogni server Multi-Factor Authentication deve essere in grado di comunicare sulla porta 443 in uscita negli indirizzi seguenti:

    Se i firewall in uscita sono limitati sulla porta 443, sarà necessario aprire gli intervalli di indirizzi IP seguenti:

    Subnet IP Netmask Intervallo IP
    134.170.116.0/25 255.255.255.128 134.170.116.1 – 134.170.116.126
    134.170.165.0/25 255.255.255.128 134.170.165.1 – 134.170.165.126
    70.37.154.128/25 255.255.255.128 70.37.154.129 – 70.37.154.254
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    Se non si usa la funzionalità di conferma dell'evento e gli utenti non usano app per dispositivi mobili per la verifica da dispositivi nella rete aziendale, sono necessari solo gli intervalli seguenti:

    Subnet IP Netmask Intervallo IP
    134.170.116.72/29 255.255.255.248 134.170.116.72 – 134.170.116.79
    134.170.165.72/29 255.255.255.248 134.170.165.72 – 134.170.165.79
    70.37.154.200/29 255.255.255.248 70.37.154.201 – 70.37.154.206
    52.251.8.48/28 255.255.255.240 52.251.8.48 - 52.251.8.63
    52.247.73.160/28 255.255.255.240 52.247.73.160 - 52.247.73.175
    52.159.5.240/28 255.255.255.240 52.159.5.240 - 52.159.5.255
    52.159.7.16/28 255.255.255.240 52.159.7.16 - 52.159.7.31
    52.250.84.176/28 255.255.255.240 52.250.84.176 - 52.250.84.191
    52.250.85.96/28 255.255.255.240 52.250.85.96 - 52.250.85.111

    Scaricare il server MFA

    Suggerimento

    I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

    Seguire questa procedura per scaricare il server Azure Multi-Factor Authentication:

    Importante

    Nel settembre 2022 Microsoft ha annunciato la deprecazione del server Azure Multi-Factor Authentication. A partire dal 30 settembre 2024, le distribuzioni del server Azure Multi-Factor Authentication non serviceranno più le richieste di autenticazione a più fattori, che potrebbero causare errori di autenticazione per l'organizzazione. Per garantire servizi di autenticazione ininterrotti e rimanere in uno stato supportato, le organizzazioni devono eseguire la migrazione dei dati di autenticazione degli utenti al servizio di autenticazione a più fattori Microsoft Entra basato sul cloud usando l'utilità di migrazione più recente inclusa nell'aggiornamento più recente del server Azure Multi-Factor Authentication. Per altre informazioni, vedere Migrazione del server Azure Multi-Factor Authentication.

    Per iniziare a usare l'autenticazione a più fattori basata sul cloud, vedere Esercitazione: Proteggere gli eventi di accesso utente con l'autenticazione a più fattori di Azure.

    I clienti esistenti che hanno attivato il server MFA prima del 1° luglio 2019 possono scaricare la versione più recente, gli aggiornamenti futuri e generare le credenziali di attivazione come di consueto. I passaggi seguenti funzionano solo se si è un cliente del server MFA esistente.

    1. Accedere all'interfaccia di amministrazione di Microsoft Entra come global Amministrazione istrator.

    2. Passare a Protezione>delle impostazioni del server di autenticazione>a più fattori.

    3. Selezionare Scarica e seguire le istruzioni nella pagina di download per salvare il programma di installazione.

      Download MFA Server

    4. Tenere aperta questa pagina, perché sarà necessaria dopo l'esecuzione del programma di installazione.

    Installare e configurare il server MFA

    Dopo averlo scaricato, è possibile installare e configurare il server. Assicurarsi che il server in cui viene installato soddisfi i requisiti elencati nella sezione relativa alla pianificazione.

    1. Fare doppio clic sul file eseguibile.
    2. Nella schermata di selezione della cartella di installazione, assicurarsi che la cartella sia corretta e fare clic su Avanti. Vengono installate le librerie seguenti:
    3. Al termine dell'installazione, selezionare Fine. Viene avviata la configurazione guidata.
    4. Tornare alla pagina da cui è stato scaricato il server e fare clic sul pulsante Genera credenziali di attivazione. Copiare queste informazioni nel server Azure Multi-Factor Authentication nelle caselle fornite e fare clic su Attiva.

    Nota

    Solo gli amministratori globali sono in grado di generare le credenziali di attivazione nell'interfaccia di amministrazione di Microsoft Entra.

    Inviare agli utenti un messaggio di posta elettronica

    Per semplificare l'implementazione, consentire al server MFA di comunicare con gli utenti. Il server MFA potrà inviare un messaggio di posta elettronica per informare gli utenti che sono stati registrati per la verifica in due passaggi.

    Il messaggio di posta elettronica viene determinato dalla configurazione degli utenti per la verifica in due passaggi. Ad esempio, se è possibile importare i numeri di telefono dalla directory aziendale, il messaggio di posta elettronica deve includere i numeri di telefono predefiniti in modo che gli utenti sappiano cosa aspettarsi. Se i numeri di telefono non vengono importati o è previsto che gli utenti usino l'app per dispositivi mobili, inviare un messaggio di posta elettronica per invitarli a completare la registrazione dell'account. Includere un collegamento ipertestuale al portale utenti di autenticazione a più fattori di Azure nel messaggio di posta elettronica.

    Il contenuto del messaggio di posta elettronica varia a seconda del metodo di verifica impostato per l'utente (telefonata, SMS o app per dispositivi mobili). Se, ad esempio, l'utente deve usare un PIN quando esegue l'autenticazione, il messaggio di posta elettronica indicherà quale PIN iniziale è stato impostato. Agli utenti viene richiesto di modificare il PIN nel corso della prima verifica.

    Configurare l'indirizzo di posta elettronica e i modelli di messaggio di posta elettronica

    Fare clic sull'icona del messaggio di posta elettronica a sinistra per configurare le impostazioni per l'invio dei messaggi di posta elettronica. In questa pagina è possibile immettere le informazioni SMTP del server di posta elettronica e inviare un messaggio selezionando la casella di controllo Invia messaggi agli utenti.

    MFA Server Email configuration

    Nella scheda Contenuto messaggio è possibile visualizzare i modelli di messaggio di posta elettronica disponibili per la selezione. A seconda della modalità di configurazione scelta per l'esecuzione della verifica in due passaggi, è possibile scegliere il modello che meglio si adatta alle proprie esigenze.

    MFA Server Email templates in the console

    Importare gli utenti da Active Directory

    Ora che il server è installato, è possibile aggiungere gli utenti. È possibile scegliere di crearli manualmente, importare gli utenti da Active Directory o configurare la sincronizzazione automatica con Active Directory.

    Importazione manuale da Active Directory

    1. Nel server Azure Multi-Factor Authentication a sinistra selezionare Utenti.

    2. Nella parte inferiore, selezionare Importa da Active Directory.

    3. A questo punto è possibile eseguire la ricerca di singoli utenti o effettuare una ricerca delle unità organizzative con utenti all'interno di Active Directory. In questo caso, viene specificata l'unità organizzativa utenti.

    4. Selezionare tutti gli utenti a destra e fare clic su Importa. Verrà visualizzata una finestra popup che informa che tutte le operazioni sono state eseguite correttamente. Chiudere la finestra di importazione.

      MFA Server user import from Active Directory

    Sincronizzazione automatica con Active Directory

    1. Nel server Azure Multi-Factor Authentication a sinistra selezionare Integrazione directory.
    2. Passare alla scheda Sincronizzazione.
    3. Nella parte inferiore scegliere Aggiungi.
    4. Nella casella Aggiungi elemento di sincronizzazione visualizzata scegliere il dominio, OU oppure gruppo di sicurezza, le impostazioni, le impostazioni predefinite del metodo e le impostazioni predefinite della lingua per questa attività di sincronizzazione. Quindi fare clic su Aggiungi.
    5. Selezionare la casella Abilita sincronizzazione con Active Directory e scegliere un intervallo di sincronizzazione compreso tra un minuto e 24 ore.

    Come gestire i dati utente tramite il server Multi-Factor Authentication

    Quando si usa il server Multi-Factor Authentication locale, i dati di un utente vengono archiviati nei server locali. Nel cloud non vengono archiviati dati utente persistenti. Quando l'utente esegue una verifica in due passaggi, il server MFA invia i dati al servizio cloud di autenticazione a più fattori Microsoft Entra per eseguire la verifica. Quando queste richieste di autenticazione vengono inviate al servizio cloud, i campi seguenti vengono inviati nella richiesta e dei log, in modo che siano disponibili nei report di autenticazione/utilizzo del cliente. Alcuni campi sono facoltativi e possono essere abilitati o disabilitati nel server Multi-Factor Authentication. La comunicazione dal server MFA al servizio cloud MFA usa SSL/TLS sulla porta 443 in uscita. Questi campi sono:

    • ID univoco: nome utente o ID interno del MFA
    • Nome e cognome (facoltativo)
    • Indirizzo di posta elettronica (facoltativo)
    • Numero di telefono: quando si esegue una chiamata vocale o l'autenticazione tramite SMS
    • Token del dispositivo: quando si esegue l'autenticazione con l'app per dispositivi mobili
    • Modalità di autenticazione
    • Risultato dell'autenticazione
    • Nome del server MFA
    • IP del server MFA
    • IP client: se disponibile

    Oltre a questi campi, il risultato della verifica (esito positivo/rifiuto) e il motivo di eventuali rifiuti vengono archiviati insieme ai dati di autenticazione e sono disponibili nei report di autenticazione/utilizzo.

    Importante

    A partire da marzo 2019, le opzioni di chiamata telefonica non saranno disponibili per gli utenti del server MFA nei tenant Microsoft Entra gratuiti/di valutazione. Questa modifica non ha alcun effetto sui messaggi SMS. Telefono chiamata continuerà a essere disponibile per gli utenti nei tenant di Microsoft Entra a pagamento. Questa modifica influisce solo sui tenant Microsoft Entra gratuiti/di valutazione.

    Eseguire il backup e il ripristino del server Azure Multi-Factor Authentication

    In qualsiasi sistema è importante assicurarsi di avere a disposizione un backup valido.

    Per eseguire il backup del server Azure Multi-Factor Authentication, assicurarsi di disporre di una copia della cartella C:\Programmi\Multi-Factor Authentication Server\Data, incluso il file Telefono Factor.pfdata.

    In caso di ripristino, seguire questa procedura:

    1. Reinstallare il server Azure Multi-Factor Authentication in un nuovo server.
    2. Attivare il nuovo server Azure Multi-Factor Authentication.
    3. Arrestare il servizio MultiFactorAuth.
    4. Sovrascrivere il file PhoneFactor.pfdata con la copia di backup.
    5. Avviare il servizio MultiFactorAuth.

    Il nuovo server è ora operativo con i dati utente e la configurazione di backup originali.

    Gestione dei protocolli TLS/SSL e dei pacchetti di crittografia

    Dopo avere eseguito l'aggiornamento o avere installato il server MFA 8.x o versione successiva, è consigliabile disabilitare o rimuovere i pacchetti di crittografia meno recenti e meno sicuri, a meno che non siano richiesti dall'organizzazione. Altre informazioni sul completamento di questa attività sono disponibili nell'articolo Gestione dei protocolli SSL/TLS e dei pacchetti di crittografia per AD FS.

    Passaggi successivi