Metodi di autenticazione in Microsoft Entra ID - App Microsoft Authenticator
L'app Microsoft Authenticator offre un altro livello di sicurezza per l'account Microsoft Entra aziendale o dell'istituto di istruzione o per l'account Microsoft ed è disponibile per Android e iOS. Con l'app Microsoft Authenticator, gli utenti possono eseguire l'autenticazione senza password durante l'accesso o un'altra opzione di verifica durante la reimpostazione della password self-service o gli eventi di autenticazione a più fattori.
È ora possibile applicare passkey per l'autenticazione utente. Gli utenti possono quindi ricevere una notifica tramite l'app per dispositivi mobili per approvare o negare l'app Authenticator per generare un codice di verifica OATH. Questo codice può quindi essere immesso in un'interfaccia di accesso. Se si abilitano sia una notifica che un codice di verifica, gli utenti che registrano l'app Authenticator possono usare entrambi i metodi per verificare la propria identità usando passkey.
Nota
In preparazione del supporto passkey in Microsoft Authenticator, gli utenti possono vedere Authenticator come provider passkey nei dispositivi iOS e Android. Per altre informazioni, vedere Accesso Passkey (anteprima).
Per usare l'app Authenticator in un prompt di accesso anziché una combinazione di nome utente e password, vedere Abilitare l'accesso senza password con Microsoft Authenticator.
Nota
- Gli utenti non possono registrare l'app per dispositivi mobili quando abilitano la reimpostazione della password self-service. Possono invece registrarla all'indirizzo https://aka.ms/mfasetup o come parte della registrazione delle informazioni di sicurezza combinate alla pagina https://aka.ms/setupsecurityinfo.
- L'app Authenticator potrebbe non essere supportata nelle versioni beta di iOS e Android. Inoltre, a partire dal 20 ottobre 2023, l'app Authenticator in Android non supporta più verison precedenti del Portale aziendale Android. Gli utenti Android con versioni Portale aziendale precedenti alla 2111 (5.0.5333.0) non possono registrare nuovamente o registrare nuove istanze di Authenticator fino a quando non aggiornano l'applicazione Portale aziendale a una versione più recente.
Accesso passkey (anteprima)
Authenticator è una soluzione passkey gratuita che consente agli utenti di eseguire autenticazioni resistenti al phishing senza password dai propri telefoni. Alcuni vantaggi principali dell'uso di passkey nell'app Authenticator:
- I passkey possono essere distribuiti facilmente su larga scala. I passkey sono quindi disponibili nel telefono di un utente per scenari di gestione dei dispositivi mobili (MDM) e bring your own device (BYOD).
- Le passkey in Authenticator non sono più costose e viaggiano con l'utente ovunque si trovino.
- Le passkey in Authenticator sono associate al dispositivo, che garantisce che la passkey non lasci il dispositivo in cui è stato creato.
- Gli utenti restano aggiornati con l'innovazione passkey più recente in base agli standard WebAuthn aperti.
- Le aziende possono eseguire il layer di altre funzionalità oltre ai flussi di autenticazione, ad esempio la conformità FIPS 140.
Passkey associato al dispositivo
I passkey nell'app Authenticator sono associati al dispositivo per assicurarsi che non lascino mai il dispositivo in cui sono stati creati. In un dispositivo iOS Authenticator usa l'enclave sicura per creare la passkey. In Android viene creata la passkey nell'elemento secure nei dispositivi che lo supportano o viene eseguito il fallback all'ambiente di esecuzione attendibile (T edizione Enterprise).
Funzionamento dell'attestazione passkey con Authenticator
Per il momento, i passkey in Authenticator non vengono annullati. Il supporto dell'attestazione per le passkey in Authenticator è pianificato per una versione futura.
Eseguire il backup e il ripristino di passkey in Authenticator
I passkey in Authenticator non vengono sottoposti a backup e non possono essere ripristinati in un nuovo dispositivo. Per creare passkey in un nuovo dispositivo, usare la passkey in un dispositivo precedente o usare un altro metodo di autenticazione per ricreare la passkey.
Accesso senza password
Invece di visualizzare una richiesta di password dopo aver immesso un nome utente, gli utenti che abilitano l'accesso tramite telefono dall'app Authenticator visualizzano un messaggio per immettere un numero nell'app. Quando viene selezionato il numero corretto, il processo di accesso è completo.
Questo metodo di autenticazione fornisce un livello elevato di sicurezza e rimuove la necessità dell'utente di fornire una password all'accesso.
Per iniziare a usare l'accesso senza password, vedere Abilitare l'accesso senza password con Microsoft Authenticator.
Notifica tramite app per dispositivi mobili
L'app Authenticator consente di impedire l'accesso non autorizzato agli account e di arrestare le transazioni illecite eseguendo il push di una notifica allo smartphone o al tablet dell'utente. Gli utenti visualizzano la notifica e, se legittima, selezionano Verifica. Altrimenti possono selezionare Nega.
Nota
A partire da agosto 2023, gli accessi anomali non generano notifiche, in modo analogo a come gli accessi da posizioni non note non generano notifiche. Per approvare un accesso anomalo, gli utenti possono aprire Microsoft Authenticator o Authenticator Lite in un'app complementare pertinente come Outlook. Possono quindi trascinare verso il basso per aggiornare o toccare Aggiorna e approvare la richiesta.
In Cina, il metodo Di notifica tramite app per dispositivi mobili nei dispositivi Android non funziona perché google play services (incluse le notifiche push) viene bloccato nell'area. Tuttavia, le notifiche iOS funzionano. Per i dispositivi Android, è necessario rendere disponibili metodi di autenticazione alternativi per tali utenti.
Codice di verifica dall'app per dispositivi mobili
L'app Authenticator può essere usata come token software per generare un codice di verifica OATH. Dopo aver inserito il nome utente e la password, si immette il codice inviato dall'app Authenticator nell'interfaccia di accesso. Il codice di verifica offre una seconda forma di autenticazione.
Nota
I codici di verifica OATH generati da Authenticator non sono supportati per l'autenticazione basata su certificati.
Gli utenti possono avere una combinazione di fino a cinque token hardware OATH o applicazioni di autenticazione, ad esempio l'app Authenticator, configurate per l'uso in qualsiasi momento.
Conforme a FIPS 140 per l'autenticazione di Microsoft Entra
Coerentemente con le linee guida descritte in NIST SP 800-63B, gli autenticatori usati dalle agenzie governative degli Stati Uniti devono usare la crittografia convalidata FIPS 140. Queste linee guida aiutano le agenzie governative statunitensi a soddisfare i requisiti dell'ordine esecutivo (EO) 14028. Inoltre, queste linee guida aiutano altri settori regolamentati come le organizzazioni sanitarie che lavorano con prescrizioni elettroniche per sostanze controllate (EPCS) soddisfano i requisiti normativi.
FIPS 140 è uno standard del governo degli Stati Uniti che definisce i requisiti minimi di sicurezza per i moduli crittografici nei prodotti e nei sistemi informatici. Il CMVP (Cryptographic Module Validation Program) gestisce i test rispetto allo standard FIPS 140.
Microsoft Authenticator per iOS
A partire dalla versione 6.6.8, Microsoft Authenticator per iOS usa il modulo Apple CoreCrypto nativo per la crittografia convalidata FIPS nei dispositivi conformi ad Apple iOS FIPS 140. Tutte le autenticazioni di Microsoft Entra che usano passkey con associazione a dispositivo resistente al phishing, autenticazione a più fattori (MFA), accesso tramite telefono senza password (PSI) e passcode monouso basati sul tempo (TOTP) usano la crittografia FIPS.
Per altre informazioni sui moduli di crittografia convalidati FIPS 140 usati e conformi ai dispositivi iOS, vedere Certificazioni di sicurezza di Apple iOS.
Nota
Nei nuovi aggiornamenti della versione precedente di questo articolo: Microsoft Authenticator non è ancora conforme a FIPS 140 in Android. Microsoft Authenticator in Android è attualmente in attesa di certificazione di conformità FIPS per supportare i clienti che potrebbero richiedere la crittografia convalidata FIPS.
Determinazione del tipo di registrazione di Microsoft Authenticator nelle informazioni di sicurezza
Gli utenti possono accedere alle informazioni di sicurezza personali (vedere gli URL nella sezione successiva) o selezionando Informazioni di sicurezza da MyAccount per gestire e aggiungere altre registrazioni di Microsoft Authenticator. Le icone specifiche vengono usate per distinguere se la registrazione di Microsoft Authenticator è l'accesso tramite telefono senza password o MFA.
| Tipo di registrazione dell'autenticatore | Icon |
|---|---|
| Microsoft Authenticator: accesso tramite telefono senza password |  |
| Microsoft Authenticator: (notifica/codice) |  |
Collegamenti a MySecurityInfo
| Cloud | MySecurityInfo URL |
|---|---|
| Azure commercial (include GCC) | https://aka.ms/MySecurityInfo |
| Azure per il governo degli Stati Uniti (include GCC High e DoD) | https://aka.ms/MySecurityInfo-us |
Aggiornamenti a Authenticator
Microsoft aggiorna continuamente Authenticator per mantenere un livello elevato di sicurezza. Per garantire che gli utenti ottengano la migliore esperienza possibile, è consigliabile aggiornare continuamente l'app Authenticator. Nel caso di aggiornamenti della sicurezza critici, le versioni delle app non aggiornate potrebbero smettere di funzionare e potrebbero impedire agli utenti di completare le proprie autenticazioni. Se un utente usa una versione dell'app non supportata, verrà richiesto di eseguire l'aggiornamento alla versione più recente prima di poter procedere con le autenticazioni.
Microsoft ritirerà periodicamente anche le versioni precedenti dell'app Authenticator per mantenere una barra di sicurezza elevata per l'organizzazione. Se il dispositivo di un utente non supporta le versioni moderne dell'app Microsoft Authenticator, non può firmare con l'app. È consigliabile che questi utenti usino un codice di verifica OATH nell'app Microsoft Authenticator per completare l'autenticazione a due fattori.
Passaggi successivi
Per iniziare a usare passkey, vedere Abilitare passkeys in Microsoft Authenticator sign in (preview).
Per altre informazioni sull'accesso senza password, vedere Abilitare l'accesso senza password con Microsoft Authenticator.
Altre informazioni sulla configurazione dei metodi di autenticazione tramite l'API REST di Microsoft Graph.