Quali metodi di autenticazione e verifica sono disponibili in Azure Active Directory?

Microsoft consiglia metodi di autenticazione senza password, ad esempio Windows Hello, chiavi di sicurezza FIDO2 e l'app Microsoft Authenticator perché offrono l'esperienza di accesso più sicura. Anche se un utente può accedere usando altri metodi comuni, ad esempio un nome utente e una password, le password devono essere sostituite con metodi di autenticazione più sicuri.

Illustrazione dei punti di forza e dei metodi di autenticazione preferiti in Azure AD.

Azure AD Multi-Factor Authentication (MFA) aggiunge ulteriore sicurezza rispetto al semplice uso di una password per l'accesso dell'utente. All'utente possono venire richieste altre forme di autenticazione, ad esempio rispondere a una notifica push, immettere un codice da un token software o hardware oppure rispondere a un SMS o a una telefonata.

Per semplificare l'esperienza di imbarco dell'utente e registrare sia per la reimpostazione della password self-service che per la reimpostazione della password self-service, è consigliabile abilitare la registrazione combinata delle informazioni di sicurezza. Per assicurare la resilienza, è consigliabile richiedere agli utenti di registrare più metodi di autenticazione. Quando un metodo non è disponibile per un utente durante l'accesso o la reimpostazione della password self-service, sarà possibile scegliere di eseguire l'autenticazione con un altro metodo. Per altre informazioni, vedere Creare una strategia di gestione del controllo degli accessi resiliente in Azure AD.

Ecco un video creato per aiutarti a scegliere il metodo di autenticazione migliore per mantenere sicura l'organizzazione.

Affidabilità e sicurezza dei metodi di autenticazione

Quando si distribuiscono funzionalità come Azure AD Multi-Factor Authentication all'interno dell'organizzazione, esaminare i metodi di autenticazione disponibili. Scegliere i metodi che soddisfano o superano i requisiti in termini di sicurezza, usabilità e disponibilità. Quando possibile, usare i metodi di autenticazione con il massimo livello di sicurezza.

La tabella seguente illustra alcune considerazioni sulla sicurezza per i metodi di autenticazione disponibili. La disponibilità si riferisce alla possibilità per l'utente di usare il metodo di autenticazione e non alla disponibilità del servizio in Azure AD:

Metodo di autenticazione Sicurezza Usabilità Disponibilità
Windows Hello for Business Alto Alto Alto
App Microsoft Authenticator Alto Alto Alto
Chiave di sicurezza FIDO2 Alto Alto Alto
Autenticazione basata su certificati (anteprima) Alto Alto Alto
Token hardware OATH (anteprima) Livello medio Livello medio Alto
Token software OATH Livello medio Livello medio Alto
SMS Medio Alto Medio
Chiamata vocale Livello medio Livello medio Livello medio
Password Basso Alto Alto

Per informazioni più recenti sulla sicurezza, vedere i post di blog:

Suggerimento

Per assicurare flessibilità e usabilità, è consigliabile usare l'app Microsoft Authenticator. Questo metodo di autenticazione offre la migliore esperienza utente e più modalità, ad esempio senza password, notifiche push MFA e codici OATH.

Modalità di funzionamento di ogni metodo di autenticazione

Alcuni metodi di autenticazione possono essere usati come fattore primario quando si accede a un'applicazione o un dispositivo, ad esempio usando una chiave di sicurezza FIDO2 o una password. Altri metodi di autenticazione sono disponibili solo come fattore secondario quando si usa Azure AD Multi-Factor Authentication o la reimpostazione della password self-service.

La tabella seguente illustra quando è possibile usare un metodo di autenticazione durante un evento di accesso:

Metodo Autenticazione primaria Autenticazione secondaria
Windows Hello for Business MFA*
App Microsoft Authenticator Autenticazione a più fattori e SSPR
Chiave di sicurezza FIDO2 MFA
Autenticazione basata su certificati (anteprima) No
Token hardware OATH (anteprima) No Autenticazione a più fattori e SSPR
Token software OATH No Autenticazione a più fattori e SSPR
SMS Autenticazione a più fattori e SSPR
Chiamata vocale No Autenticazione a più fattori e SSPR
Password

* Windows Hello for Business, per sé, non funge da credenziali MFA dettagliate. Ad esempio, una richiesta MFA dalla frequenza di accesso o dalla richiesta SAML contenente forceAuthn=true. Windows Hello for Business può fungere da credenziale MFA dettagliata usata nell'autenticazione FIDO2. Ciò richiede che gli utenti siano abilitati per il corretto funzionamento dell'autenticazione FIDO2.

Tutti questi metodi di autenticazione possono essere configurati nella portale di Azure e sempre più usando l'API REST di Microsoft Graph.

Per altre informazioni sul funzionamento di ogni metodo di autenticazione, vedere gli articoli concettuali seguenti:

Nota

In Azure AD la password è spesso uno dei metodi di autenticazione principali. Non è possibile disabilitare il metodo di autenticazione con password. Se si usa una password come fattore di autenticazione principale, aumentare la sicurezza degli eventi di accesso tramite Azure AD Multi-Factor Authentication.

In determinati scenari è possibile usare i metodi di verifica aggiuntiva seguenti:

  • Password dell'app : usata per le applicazioni precedenti che non supportano l'autenticazione moderna e possono essere configurate per ogni utente Azure AD Multi-Factor Authentication.
  • Domande di sicurezza : usate solo per la reimpostazione della password self-service
  • indirizzo Email : usato solo per la reimpostazione della password self-service

Passaggi successivi

Per iniziare, vedere l'esercitazione sulla reimpostazione della password self-service e Azure AD Multi-Factor Authentication.

Per altre informazioni sui concetti di reimpostazione della password self-service, vedere Come funziona la reimpostazione della password self-service di Azure AD.

Per altre informazioni sui concetti relativi all'autenticazione a più fattori, vedere Funzionamento di Azure AD Multi-Factor Authentication.

Altre informazioni sulla configurazione dei metodi di autenticazione tramite l'API REST di Microsoft Graph.

Per esaminare i metodi di autenticazione in uso, vedere Analisi del metodo di autenticazione a più fattori di Azure AD con PowerShell.