NinjaOne MFA: Autenticazione a più (2) fattori

Argomento

Questo articolo spiega come impostare l'autenticazione a più fattori (MFA) per i vostri utenti in NinjaOne.

Ambiente

Piattaforma NinjaOne

Descrizione

L'autenticazione a più fattori fornisce un ulteriore livello di sicurezza per il vostro account NinjaOne. Richiede diverse forme di verifica prima di concedere l'accesso a specifiche funzionalità, aree di prodotto o azioni amministrative. È richiesta a tutti gli utenti di NinjaOne sia al momento dell'accesso che durante l'esecuzione di azioni amministrative. NinjaOne supporta l'autenticazione basata sul testo (SMS) e sul tempo e le chiavi di sicurezza.

Al momento non supportiamo i numeri di cellulare cileni (+56) per gli SMS MFA. È necessario impostare un metodo MFA alternativo.

Indice

Selezionate una categoria per saperne di più:

Impostazione dell'MFA primario per l'utente NinjaOne
Cambiare il metodo di autenticazione
Configurare il tempo di inattività amministrativa globale
Risorse aggiuntive

Impostazione dell'MFA primario per l'utente NinjaOne

NinjaOne chiederà a tutti gli utenti di abilitare l'MFA al primo accesso dopo aver effettuato l'accesso a NinjaOne tramite l'invito all'account inviato via e-mail. Una volta inserite le credenziali di accesso a NinjaOne per la prima volta, il sistema chiederà di impostare un metodo MFA primario.

È necessario scegliere se utilizzare l'autenticazione basata sul tempo, sugli SMS o sulle chiavi di sicurezza hardware come metodo MFA primario e proseguire con le fasi di configurazione richieste.

Figura 1: Selezionare il metodo MFA preferito al primo accesso

Per conoscere l'autenticazione a tempo, consultare la sezione seguente di questo articolo, intitolata Impostazione di un'app Authenticator per l'MFA primario.
Per conoscere l'autenticazione basata su SMS, consultare la sezione di questo articolo intitolata Impostazione di SMS per MFA primario.
Per informazioni sull'autenticazione con chiave di sicurezza basata su hardware, consultare la sezione di questo articolo intitolata Aggiunta di chiavi basate su hardware o di un metodo di autenticazione primario aggiuntivo.

Configurare l'app di autenticazione per l’MFA

Per impostare un'app autenticatore per l'MFA primario, eseguire i seguenti passaggi:

Scaricare un'app di autenticazione su un endpoint facilmente accessibile, come un computer locale o un dispositivo mobile. Qualsiasi applicazione TOTP (Time-Based One-Time Password) che supporti la scansione di codici QR e generi pin a sei cifre può funzionare. NinjaOne ha testato e confermato che le seguenti applicazioni funzionano e sono supportate:
- Google
- Password Apple (per iOS 18)
- Authy
- 2-Factor Authentication
Sono supportati anche plug-in per browser o applicazioni desktop per l'autenticazione a tempo.
Selezionare "App Authenticator" dal menu a discesa Seleziona metodo MFA. Quindi, scansionare il codice a barre con il dispositivo su cui è stata scaricata l'app Authenticator o inserire manualmente il codice elencato sotto il codice a barre per configurare l'MFA.

Figura 2: Codice QR dell'app Authenticator

Salvare il codice elencato sotto il codice a barre in questa schermata. Potrà essere utilizzato per configurare l'MFA basata sul tempo su un altro dispositivo nel caso in cui tu non abbia più accesso al dispositivo in uso.

Per impostare i codici, utilizzare il codice QR o il numero nell'app Authenticator.
La maggior parte delle app di autenticazione fornisce un codice per alcuni secondi e poi si aggiorna per fornire un altro codice. Immettere il primo codice fornito nel campo Codice di autenticazione 1 e attendere che venga visualizzato il secondo codice. Immettere il secondo codice nel campo Codice di autenticazione 2.
Fare clic su Accedi per completare la procedura di configurazione.

Configurare l'SMS per l’MFA principale

Per un elenco dei numeri di telefono utilizzati da NinjaOne per l'invio di messaggi SMS, consultare la sezione Numeri di telefono SMS di NinjaOne. Se NinjaOne ha disabilitato gli SMS nel vostro ambiente, l'opzione non sarà disponibile.

Non appena l'utente seleziona l' SMS come metodo di autenticazione principale, invieremo un messaggio SMS al numero di telefono attualmente associato al suo account utente. Inserire il codice nel campo di testo disponibile e fare clic su Accedi per completare la configurazione.

Se l'utente non ha accesso al numero di telefono impostato, è possibile aggiornarlo nella pagina di configurazione dell'account NinjaOne o facendo clic su Cambia telefono nella maschera di configurazione MFA. Verrà richiesto di inserire il numero di telefono corretto e di inviare un codice a questo numero.

Figura 3: Impostazione MFA via SMS → Inserire il codice di verifica o cambiare telefono

Se una richiesta indica che il prefisso telefonico del paese in cui risiedi non è supportato per gli SMS inviati per l’MFA, seleziona un’opzione alternativa di MFA. L'impostazione dell'MFA include restrizioni, per cui gli utenti non possono registrare l'MFA via SMS se hanno un numero di telefono con un prefisso nazionale che NinjaOne non può supportare. Per un elenco completo di queste restrizioni, consultare la sezione Numeri di telefono SMS NinjaOne.

Aggiunta di chiavi basate su hardware o di un ulteriore metodo di autenticazione primario

Si consiglia di impostare un'opzione MFA di backup secondaria per tenere conto di potenziali problemi di compatibilità o di implementazione che potrebbero verificarsi con la chiave hardware. Ad esempio, la chiave di sicurezza basata sull'hardware non funzionerà se l'utente sostituisce il proprio portatile e tenta di utilizzare lo stesso account NinjaOne.

Selezionare "Chiave di sicurezza basata su hardware" dal menu a discesa Seleziona metodo MFA.
Inserire un identificativo univoco nel campo Nome chiave di sicurezza.

Figura 4: Impostazione MFA della chiave di sicurezza basata su hardware → Nome della chiave di sicurezza

Fare clic su Accedi.
L'opzione predefinita per l' impronta digitale può essere visualizzata se il dispositivo è compatibile. Se il dispositivo non dispone di un lettore di impronte digitali o se si preferisce utilizzare un metodo alternativo, selezionare PIN o Usa un altro dispositivo. Altrimenti, seguire le indicazioni sullo schermo.

Figura 5: Impostazione MFA con chiave di sicurezza basata su hardware → Selezionare il tipo di chiave di sicurezza

Se è stato configurato un sito web con marchio, è necessario impostare la chiave di sicurezza U2F (Universal Second Factor) separatamente per questa istanza. Questo perché parte della configurazione della chiave di sicurezza riguarda l'URL, che varia se il sito è personalizzato o meno. Puoi aggiungere la tua chiave di sicurezza U2F al sito personalizzato accedendo ad esso e seguendo gli stessi passaggi. Per saperne di più sui siti web di marca, consultare NinjaOne Platform: Personalizzazione: Personalizzazione di NinjaOne con il proprio dominio e marchio.

Cambiare il metodo di autenticazione

Se un utente non riesce ad accedere a causa di errori con l'MFA, è possibile modificare il metodo di autenticazione nella console NinjaOne. Per farlo, eseguire le seguenti operazioni:

Andare in Amministrazione → Account → Tutti gli utenti.
Selezionare la casella di controllo per il tecnico o l'utente finale, quindi fare clic su Azioni.
Selezionare Cambia autenticazione e poi selezionare l'opzione applicabile dalla finestra di dialogo.

Figura 6: Ripristino dell'MFA per un tecnico o un utente finale in NinjaOne

Al successivo accesso, all'utente verrà richiesto di selezionare un nuovo metodo MFA.

La console NinjaOne disconnette l'utente da tutte le sessioni aperte quando:

Durante la configurazione dell'auto-MFA.
Durante il ripristino della password.
Durante la configurazione dell'e-mail.
Durante la configurazione del numero di telefono.

Configurare il tempo di inattività amministrativa globale

Il tempo di inattività degli account amministratore globale si riferisce all'intervallo di tempo che deve trascorrere prima che a un utente venga richiesto di autenticarsi nuovamente con il proprio metodo MFA quando tenta di eseguire un'attività amministrativa, incluso l'avvio di connessioni remote ai dispositivi. Il tempo di inattività determina la frequenza con cui ai tecnici viene richiesta una nuova autenticazione.

Ad esempio, se si imposta il tempo di inattività amministrativa globale a 5 minuti e un utente accede (e quindi autentica il proprio MFA) alle 09:00 UTC, il sistema gli chiederà di autenticare nuovamente il proprio MFA alle 09:05 UTC. Tuttavia, se l'utente tenta di eseguire un'azione amministrativa alle 0904 UTC, non dovrà ripetere l'autenticazione MFA.

Il tempo di inattività amministrativa globale si applica a tutti gli utenti dell'ambiente NinjaOne e l'amministratore di sistema può configurarlo seguendo i seguenti passaggi:

Andare in Amministrazione → Account → Impostazioni di sicurezza.
Fare clic su Modifica nel widget del tempo di inattività amministrativa globale MFA.

Figura 7: Modifica del tempo di inattività amministrativa globale MFA

Selezionare il tempo di inattività preferito dal menu a discesa e fare clic su Salva.

Risorse aggiuntive

Per un elenco delle domande più frequenti sull'MFA in NinjaOne, consultare la pagina: Autenticazione a più fattori: domande frequenti.