Nicola FerriniAbilitare il passwordless sign-in per Azure AD e per Microsoft 365 / Office 365 utilizzando gli SMS
Per semplificare e proteggere l’accesso ad applicazioni e servizi, Azure Active Directory (Azure AD) offre più opzioni di autenticazione. L’autenticazione basata su SMS consente agli utenti di accedere senza fornire o addirittura conoscere il nome utente e la password.
In diversi articoli ho già scritto di come Azure AD sia il nuovo security boundary e quanto siano poco sicure la password. La gestione delle password è sempre stata critica sia per gli utenti e che per gli amministratori di sistema e spesso è causa di accessi da parte di malintenzionati o di persone non autorizzate per via della semplicità delle password utilizzate oppure della disattenzione degli utenti, che magari le scrivono da qualche parte per non dimenticarle (sempre ammesso e non concesso che ne usino diverse per ogni servizio e non usino sempre la stessa).
Accedere senza password (passwordless sign in) è una delle funzionalità che ultimamente Microsoft sta promuovendo maggiormente. I concetti di base sull’autenticazione passwordless sono ben descritti nell’articolo What is passwordless? e ho già avuto anche modo di parlarne in alcune POWERCON quest’anno. Qui di seguito il link alle mie sessioni:
- #POWERCON2020 – Evento online dell’11 dicembre – Nicola Ferrini – Azure Active Directory come Security Boundary
- #POWERCON2020 – Evento online del 27 Marzo – Nicola Ferrini – Go Passwordless – Sicurezza delle autenticazioni degli utenti
Oggi vi voglio invece segnalare una nuova funzionalità di accesso ad Azure AD che è in preview da circa una settimana: l’accesso tramite SMS.
Dopo aver creato l’account e aver inserito il suo numero di telefono, l’utente potrà autenticarsi ad Azure AD utilizzando il suo numero come username e un codice monouso ricevuto tramite SMS come password! Facilissimo!
Per utilizzare la funzionalità di Azure AD SMS Sign-in è necessario che all’utente venga assegnata una di queste licenze:
- Azure AD Premium P1 o P2
- Microsoft 365 (M365) F1 o F3
- Enterprise Mobility + Security (EMS) E3 o E5
- Microsoft 365 (M365) E3 o E5
Abilitazione del metodo di autenticazione basato su SMS
Per abilitare e usare l’autenticazione basata su SMS è necessario eseguire tre passaggi principali:
- Abilitare l’SMS come metodo di autenticazione.
- Selezionare gli utenti o i gruppi che possono usare il metodo di autenticazione basato su SMS.
- Assegnare un numero di telefono per ogni account utente. Questa operazione può essere fatta da un amministratore nel portale di Azure AD o dall’utente nel portale personale https://myaccount.microsoft.com/?ref=MeControl
Accedete al portale di Azure Active Directory come amministratore globale, selezionate dal menù di navigazione Azure AD Security e successivamente Authentication methods.
Figura 1: Selezione del metodo di autenticazione da Azure AD Security
Cliccate sul nodo Policies e selezionate Text message (preview). Scegliete di abilitare la funzionalità cliccando su Yes e scegliete per quali utenti di Azure AD abilitarla. Nel mio caso l’ho abilitata per tutti gli utenti. Fare clic su Save per completare l’abilitazione.
Figura 2: Abilitazione del metodo di autenticazione basato su SMS
Figura 3: É possibile abilitare la funzionalità di autenticazione tramite SMS per tutti gli utenti o solo per un gruppo di utenti di Azure AD
Impostare un numero di telefono per gli account utente
Prima che gli utenti possano effettuare l’accesso ad Azure AD utilizzando il numero di telefono e l’SMS (SMS Sign-in) dovranno avere almeno un numero di telefono associato al proprio profilo. I numeri di telefono possono essere impostati direttamente dai global admins, authentication admins, o privileged authentication admins oppure possono essere aggiunti in autonomia dagli utenti utilizzando il portale personale https://myaccount.microsoft.com/?ref=MeControl
NOTA: Fate riferimento alla pagina https://docs.microsoft.com/it-it/azure/active-directory/roles/permissions-reference per un elenco dei ruoli amministrativi che è possibile utilizzare in Azure AD.
Dal portale Azure AD Admin center selezionate l’utente e successivamente cliccate su Authentication methods. Se per l’utente è già stato inserito un numero di telefono sarà sufficiente abilitare la funzionalità facendo click su Enable, come mostrato nella figura sotto.
NOTA: Se un utente è già registrato per Azure AD Multi-Factor Authentication e/o la reimpostazione della password self-service (SSPR), dispone già di un numero di telefono associato al proprio account. Questo numero di telefono NON è automaticamente disponibile per l’uso con l’accesso basato su SMS e deve essere abilitato, come viene mostrato nella foto sotto.
Figura 4: Abilitazione della funzionalità di Azure AD SMS Sign-in per un utente con un numero di telefono già inserito
Se invece all’utente non è stato ancora aggiunto il numero di telefono, è possibile cliccare sul bottone +Add authentication method e inserirlo direttamente dal portale, come mostrato nella figura sotto. Il pulsante +Add authentication method appare solo se passate alla nuova modalità di esperienza di autenticazione cliccando sul banner di colore rosa.
Figura 5: Aggiunta del numero di telefono come nuovo metodo di autenticazione
NOTA: Quando un numero di telefono viene impostato per l’SMS Sign-in, potrà essere utilizzato anche con Azure AD multi-factor authentication e la reimpostazione della password self-service.
Dopo aver aggiunto il numero di telefono viene visualizzato un segno di spunta blu che indica l’abilitazione dell’SMS sign-in
Figura 6: Abilitazione di Azure AD SMS sign-in effettuata
Abilitazione del numero di telefono effettuata da parte dell’utente
Come già detto, l’utente può accedere al portale personale https://myaccount.microsoft.com/?ref=MeControl e abilitare il proprio numero di telefono per l’Azure AD SMS Sign-In. Nelle figure sotto sono mostrati i pochi passaggi necessari:
Figura 7: Modifica delle informazioni di sicurezza dell’utente e abilitazione del numero da utilizzare per ricevere gli SMS
Figura 8: Banner con il suggerimento per l’abilitazione del numero come Username
Figura 9: Abilitazione del numero da utilizzare come Username
Figura 10: Abilitazione del Phone Sign-In completata
Verifica dell’accesso
Per verificare l’accesso tramite SMS Sign-in potete collegarvi al portale https://www.office.com e nella richiesta di accesso inserite il numero di telefono associato all’utente. A questo punto verrà inviato un SMS al numero di telefono fornito e per completare il processo di accesso sarà necessario immettere il codice a 6 cifre ricevuto. Nelle figure sotto sono mostrati tutti i passaggi.
Figura 11: Inserimento del numero di telefono al posto della username
Figura 12: Richiesta di inserimento del codice monouso ricevuto tramite SMS
Figura 13: Codice monouso ricevuto tramite SMS
Figura 14: Accesso al portale di Microsoft365 completato
Limitazioni
Attualmente la funzionalità di Azure AD SMS Sign-In, che è ancora in Preview, presenta le seguenti limitazioni:
- L’autenticazione basata su SMS non è compatibile con Azure AD Multi-Factor Authentication.
- Ad eccezione di Microsoft Teams, l’autenticazione basata su SMS non è compatibile con le applicazioni di Office native, cioè quelle rilasciate per macOS e Linux e che sfruttano i nuovi processori.
Qui sotto è mostrato infatti il messaggio di errore che ho ricevuto quando mi sono autenticato sul mio account, dove è abilitata la Azure AD Multi-Factor Authentication
Figura 15: L’autenticazione basata su SMS non è attualmente (durante la preview) compatibile con Azure AD Multi-Factor Authentication.
Conclusioni
L’Azure AD SMS Sign-in è una soluzione rapida, comoda, passwordless e assolutamente sicura per permettere l’accesso ad Azure AD, a Microsoft 365 e a tutte le applicazioni che usano Azure AD per l’ autenticazione. Conoscete gli altri metodi per l’autenticazione passwordless disponibili in Azure AD? Visitate la pagina https://docs.microsoft.com/it-it/azure/active-directory/authentication/concept-authentication-passwordless