Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?

Microsoft consiglia i metodi di autenticazione senza password, come Windows Hello, le chiavi di sicurezza FIDO2 e l'app Microsoft Authenticator perché offrono l'esperienza di accesso più sicura. Anche se un utente può accedere usando altri metodi comuni, ad esempio un nome utente e una password, le password devono essere sostituite con metodi di autenticazione più sicuri.

Illustration of the strengths and preferred authentication methods in Microsoft Entra ID.

L'autenticazione a più fattori di Microsoft Entra aggiunge ulteriore sicurezza rispetto al semplice uso di una password per l'accesso dell'utente. All'utente possono venire richieste altre forme di autenticazione, ad esempio rispondere a una notifica push, immettere un codice da un token software o hardware oppure rispondere a un SMS o a una telefonata.

Per semplificare l'esperienza di onboarding dell'utente e registrarsi sia per la reimpostazione della password self-service che per la reimpostazione della password self-service, è consigliabile abilitare la registrazione combinata delle informazioni di sicurezza. Per assicurare la resilienza, è consigliabile richiedere agli utenti di registrare più metodi di autenticazione. Quando un metodo non è disponibile per un utente durante l'accesso o la reimpostazione della password self-service, sarà possibile scegliere di eseguire l'autenticazione con un altro metodo. Per altre informazioni, vedere Creare una strategia di gestione resiliente del controllo di accesso in Microsoft Entra ID.

Ecco un video creato per aiutarti a scegliere il metodo di autenticazione migliore per proteggere l'organizzazione.

Affidabilità e sicurezza dei metodi di autenticazione

Quando si distribuiscono funzionalità come l'autenticazione a più fattori (MFA) di Microsoft Entra all'interno dell'organizzazione, esaminare i metodi di autenticazione disponibili. Scegliere i metodi che soddisfano o superano i requisiti in termini di sicurezza, usabilità e disponibilità. Quando possibile, usare i metodi di autenticazione con il massimo livello di sicurezza.

La tabella seguente illustra alcune considerazioni sulla sicurezza per i metodi di autenticazione disponibili. La disponibilità si riferisce alla possibilità per l'utente di usare il metodo di autenticazione e non alla disponibilità del servizio in Microsoft Entra ID:

Metodo di autenticazione Sicurezza Usabilità Disponibilità
Windows Hello for Business (Configurare Windows Hello for Business) Alta Alta Alta
Microsoft Authenticator Elevato Alta Alta
Authenticator Lite Elevato Alta Alta
Chiave di sicurezza FIDO2 Alta Alta Alta
Autenticazione basata su certificati Elevato Alta Alta
Token hardware OATH (anteprima) Medio Medio Alta
Token software OATH Medio Medio Alta
Pass di accesso temporaneo Medio Elevato Alta
SMS Medio Alto Medio
Chiamata vocale Medio Medio Medio
Password Ridotto Elevato Alta

Per informazioni aggiornate sulla sicurezza, vedere i post di blog seguenti:

Suggerimento

Per assicurare flessibilità e usabilità, è consigliabile usare l'app Microsoft Authenticator. Questo metodo di autenticazione offre la migliore esperienza utente e più modalità, ad esempio senza password, notifiche push MFA e codici OATH.

Modalità di funzionamento di ogni metodo di autenticazione

Alcuni metodi di autenticazione possono essere usati come fattore principale quando si accede a un'applicazione o a un dispositivo, ad esempio usando una chiave di sicurezza FIDO2 o una password. Altri metodi di autenticazione sono disponibili solo come fattore secondario quando si usa l'autenticazione a più fattori di Microsoft Entra o la reimpostazione della password self-service.

La tabella seguente illustra quando è possibile usare un metodo di autenticazione durante un evento di accesso:

Method Autenticazione principale Autenticazione secondaria
Windows Hello for Business (Configurare Windows Hello for Business) MFA*
Microsoft Authenticator (push) No Autenticazione a più fattori e SSPR
Microsoft Authenticator (senza password) No*
Authenticator Lite No MFA
Chiave di sicurezza FIDO2 MFA
Autenticazione basata su certificati MFA
Token hardware OATH (anteprima) No Autenticazione a più fattori e SSPR
Token software OATH No Autenticazione a più fattori e SSPR
Pass di accesso temporaneo MFA
SMS Autenticazione a più fattori e SSPR
Chiamata vocale No Autenticazione a più fattori e SSPR
Password No

* Windows Hello for Business, da solo, non funge da credenziali MFA dettagliate. Ad esempio, una richiesta MFA dalla frequenza di accesso o dalla richiesta SAML contenente forceAuthn=true. Windows Hello for Business può fungere da credenziale MFA dettagliata da usare nell'autenticazione FIDO2. Ciò richiede che gli utenti siano abilitati per il corretto funzionamento dell'autenticazione FIDO2.

* L'accesso senza password può essere usato per l'autenticazione secondaria solo se viene usata l'autenticazione basata su certificati (CBA) per l'autenticazione primaria. Per altre informazioni, vedere Approfondimenti tecnici sull'autenticazione basata su certificati Microsoft Entra.

Tutti questi metodi di autenticazione possono essere configurati nell'interfaccia di amministrazione di Microsoft Entra e usano sempre più spesso l'API REST di Microsoft Graph.

Per altre informazioni sul funzionamento di ogni metodo di autenticazione, vedere gli articoli concettuali seguenti:

Nota

In Microsoft Entra ID, la password è spesso uno dei metodi di autenticazione principali. Non è possibile disabilitare il metodo di autenticazione con password. Se si usa una password come fattore di autenticazione principale, aumentare la sicurezza degli eventi di accesso tramite l'autenticazione a più fattori di Microsoft Entra ID.

In determinati scenari è possibile usare i metodi di verifica aggiuntiva seguenti:

  • Password dell'app: usate per le applicazioni precedenti che non supportano l'autenticazione moderna e possono essere configurate per l'autenticazione a più fattori Microsoft Entra per utente.
  • Domande di sicurezza: usate solo per la reimpostazione della password self-service
  • Indirizzo di posta elettronica: usato solo per la reimpostazione della password self-service

Metodi utilizzabili e non utilizzabili

Amministrazione istrator può visualizzare i metodi di autenticazione utente nell'interfaccia di amministrazione di Microsoft Entra. I metodi utilizzabili vengono elencati per primi, seguiti da metodi non utilizzabili.

Ogni metodo di autenticazione può diventare non utilizzabile per motivi diversi. Ad esempio, un pass di accesso temporaneo può scadere o la chiave di sicurezza FIDO2 potrebbe non riuscire nell'attestazione. Il portale verrà aggiornato per fornire il motivo per cui il metodo non è utilizzabile.

Qui vengono visualizzati anche i metodi di autenticazione non più disponibili a causa di "Richiedi la registrazione dell'autenticazione a più fattori".

Screenshot of non-usable authentication methods.

Passaggi successivi

Per iniziare, vedere l'esercitazione per la reimpostazione della password self-service e l'autenticazione a più fattori Di Microsoft Entra.

Per altre informazioni sui concetti relativi alla reimpostazione della password self-service, vedere Funzionamento della reimpostazione della password self-service di Microsoft Entra.

Per altre informazioni sui concetti relativi all'autenticazione a più fattori, vedere Funzionamento dell'autenticazione a più fattori di Microsoft Entra.

Altre informazioni sulla configurazione dei metodi di autenticazione tramite l'API REST di Microsoft Graph.

Per esaminare i metodi di autenticazione in uso, vedere Analisi del metodo di autenticazione a più fattori Di Microsoft Entra con PowerShell.