Esplorare i metodi di autenticazione di Microsoft Entra ID
Si supponga di essere un ingegnere della sicurezza di Contoso, una società di tecnologie sanitarie di medie dimensioni. Nel corso dell'ultimo anno, il team ha risposto a tre eventi imprevisti distinti che coinvolgono credenziali utente compromesse, ciascuno tracciato agli attacchi di phishing o alle campagne di inserimento delle credenziali. Il responsabile chiede di valutare la strategia di autenticazione corrente di Contoso e consigliare un percorso per eliminare le violazioni correlate alle password. A tale scopo, è necessario comprendere l'intero spettro dei metodi di autenticazione disponibili in Microsoft Entra ID e come vengono confrontati in termini di sicurezza e esperienza utente.
Scenario dei metodi di autenticazione
Microsoft Entra ID supporta un'ampia gamma di metodi di autenticazione, dagli approcci basati su password legacy alle alternative moderne senza password. Questi metodi rientrano in categorie in base a ciò che l'utente presenta per dimostrare la propria identità:
- Qualcosa che sai: Password e PIN
- Elementi disponibili: un dispositivo registrato, una chiave di sicurezza o un'app di autenticazione
- Qualcosa di cui si è: biometria, ad esempio un'impronta digitale o un riconoscimento facciale
L'autenticazione basata su password, in cui un utente fornisce un nome utente e una password, rimane il metodo più distribuito, ma anche il più vulnerabile. Le password possono essere sottoposte a phishing, indovinate o rubate tramite violazioni dei dati. Per le organizzazioni come Contoso, le password rappresentano un rischio inaccettabile.
I moderni metodi senza password eliminano completamente la password. Invece di digitare una password, gli utenti eseguono l'autenticazione usando una combinazione di possesso del dispositivo e un PIN biometrico. I metodi come le chiavi di sicurezza FIDO2, Windows Hello for Business e passkey sono resistenti al phishing in modo nativo perché non viene trasmesso alcun segreto condivisibile durante l'accesso. L'accesso senza password di Microsoft Authenticator è un miglioramento significativo delle password, ma richiede criteri di accesso condizionale che applicano i dispositivi gestiti per ottenere lo stesso livello di resistenza al phishing.
Autenticazione a più fattori come ponte
Per le organizzazioni che non possono passare immediatamente a senza password, l'autenticazione a più fattori (MFA) fornisce un livello di sicurezza intermedio critico. L'autenticazione a più fattori richiede agli utenti di verificare la propria identità usando due o più fattori di categorie diverse, ad esempio qualcosa che conoscono (una password) combinati con qualcosa che hanno (un telefono registrato).
Microsoft Entra ID supporta diversi metodi di autenticazione a più fattori:
| metodo | Tipo | Livello di sicurezza |
|---|---|---|
| Notifica push di Microsoft Authenticator | Basato su app | Alto |
| Codice TOTP di Microsoft Authenticator | Basato su app | Alto |
| Token hardware TOTP OATH | Componenti fisici | Alto |
| Passcode monouso SMS | Telefono | Basso medio |
| Verifica delle chiamate vocali | Telefono | Basso medio |
Annotazioni
Le chiavi di sicurezza FIDO2 e le passkey in Microsoft Authenticator sono metodi senza password e resistenti al phishing, che sostituiscono completamente la password invece di fungere da secondo fattore dietro a uno. Vengono visualizzati nella gerarchia di sicurezza nella sezione successiva.
Importante
La verifica tramite SMS e chiamata vocale sono considerati metodi di autenticazione a più fattori legacy. Sono vulnerabili agli attacchi di scambio SIM. Microsoft consiglia di eseguire la migrazione degli utenti da questi metodi verso alternative basate su app o basate su hardware.
L'unità successiva sull'autenticazione a più fattori illustra come configurare e imporre questi metodi nella popolazione degli utenti.
Livello di autenticazione e gerarchia di sicurezza
Non tutti i metodi MFA offrono lo stesso livello di protezione. Microsoft Entra ID introduce il concetto di livello di autenticazione, che consente di specificare il metodo MFA minimo accettabile necessario per accedere a una determinata risorsa tramite i criteri di accesso condizionale.
La gerarchia di sicurezza, dalla minima alla più sicura, è:
- Solo password (nessuna autenticazione a più fattori)
- Password + SMS o chiamata vocale
- Password e app Microsoft Authenticator
- Accesso senza password (Windows Hello for Business, chiavi di sicurezza FIDO2, passkey in Microsoft Authenticator, autenticazione basata su certificati)
Per le risorse sensibili, ad esempio i portali amministrativi o i sistemi finanziari, i criteri di attendibilità dell'autenticazione consentono di richiedere l'autenticazione a più fattori resistente al phishing. La forza predefinita di resistenza al phishing di Microsoft Entra ID copre quattro famiglie di metodi: Windows Hello for Business, chiavi di sicurezza FIDO2, passkey in Microsoft Authenticator e autenticazione basata su certificati (CBA). Questa distinzione è fondamentale quando si progettano criteri di accesso per gli account con privilegi di Contoso.
Suggerimento
I criteri di attendibilità dell'autenticazione vengono applicati per ogni applicazione. È possibile richiedere l'autenticazione a più fattori resistente al phishing per i sistemi più sensibili, consentendo al contempo l'autenticazione a più fattori standard per applicazioni a basso rischio, bilanciando la sicurezza con l'esperienza utente. Questa granularità per risorsa è l'espressione tecnica del principio "verifica esplicito" di Zero Trust: ogni richiesta di accesso viene valutata in base al livello di autenticazione richiesto per tale risorsa specifica, non a livello di organizzazione generale.
Architettura di autenticazione di Microsoft Entra ID
Quando un utente esegue l'accesso, la richiesta passa attraverso Microsoft Identity Platform, il motore di autenticazione nativo del cloud dietro Microsoft Entra ID. La piattaforma valuta le credenziali dell'utente, applica i criteri di accesso condizionale e rilascia i token al termine dell'autenticazione.
Per i dispositivi aggiunti all'ID Microsoft Entra, viene generato un token di aggiornamento primario (PRT) dopo il primo accesso riuscito. Il PRT (Primary Refresh Token) consente l'accesso Single Sign-On (SSO) tra app e servizi senza richiedere nuovamente l'autenticazione, un vantaggio significativo per l'esperienza dell'utente che integra i miglioramenti della sicurezza derivanti da metodi di autenticazione più efficaci.
La comprensione di questa architettura consente di prevedere in che modo le modifiche ai criteri di autenticazione influiscono su utenti e applicazioni nell'organizzazione. Importante, gli stessi criteri di autenticazione che regolano l'accesso a Microsoft 365 e la gestione di Azure si applicano anche ai servizi basati sull'intelligenza artificiale come Azure AI Foundry e Microsoft Copilot per Microsoft 365, rendendo l'autenticazione avanzata la prima linea di difesa per gli investimenti di intelligenza artificiale di Contoso. Con questa base, è possibile approfondire la configurazione dell'autenticazione a più fattori nell'unità successiva.