Come eseguire la migrazione delle impostazioni dei criteri di autenticazione a più fattori e reimpostazione della password self-service ai criteri dei metodi di autenticazione per Microsoft Entra ID
È possibile eseguire la migrazione delle impostazioni dei criteri legacy di Microsoft Entra ID che controllano separatamente l'autenticazione a più fattori e la reimpostazione della password self-service (SSPR) alla gestione unificata con i criteri metodi di autenticazione.
È possibile eseguire la migrazione delle impostazioni dei criteri in base alla propria pianificazione e il processo è completamente reversibile. È possibile continuare a usare i criteri MFA e SSPR a livello di tenant, mentre si configurano metodi di autenticazione più precisamente per utenti e gruppi nei criteri metodi di autenticazione. La migrazione viene completata ogni volta che si è pronti a gestire tutti i metodi di autenticazione insieme nei criteri metodi di autenticazione.
Per altre informazioni sul funzionamento di questi criteri durante la migrazione, vedere Gestire i metodi di autenticazione per Microsoft Entra ID.
Operazioni preliminari
Iniziare eseguendo un controllo delle impostazioni dei criteri esistenti per ogni metodo di autenticazione disponibile per gli utenti. Se si esegue il rollback durante la migrazione, potrebbe essere necessario un record delle impostazioni del metodo di autenticazione da ognuno di questi criteri:
- Criteri di MFA
- Criteri di reimpostazione della password self-service (se usati)
- Criteri dei metodi di autenticazione (se usati)
Se non si usa la reimpostazione della password self-service e non si usano ancora i criteri dei metodi di autenticazione, è sufficiente ottenere le impostazioni dai criteri MFA.
Esaminare i criteri di autenticazione a più fattori legacy
Per iniziare, documentare i metodi disponibili nei criteri di autenticazione a più fattori legacy. Accedere all'interfaccia di amministrazione di Microsoft Entra come global Amministrazione istrator. Passare a Identity Users (Utenti>identità>) Tutte le>impostazioni del servizio MFA>per utente per visualizzare le impostazioni. Queste impostazioni sono a livello di tenant, quindi non sono necessarie informazioni sull'utente o sul gruppo.
Per ogni metodo, tenere presente se è abilitato o meno per il tenant. Nella tabella seguente sono elencati i metodi disponibili nei criteri di autenticazione a più fattori legacy e i metodi corrispondenti nei criteri del metodo di autenticazione.
| Criteri di autenticazione a più fattori | Criteri del metodo di autenticazione |
|---|---|
| Chiamata al telefono | Chiamate vocali |
| SMS al telefono | SMS |
| Notifica tramite app per dispositivi mobili | Microsoft Authenticator |
| Codice di verifica dall'app per dispositivi mobili o dal token hardware | Token OATH software di terze parti Token OATH hardware Microsoft Authenticator |
Esaminare i criteri di reimpostazione della password self-service legacy
Per ottenere i metodi di autenticazione disponibili nei criteri di reimpostazione della password self-service legacy, passare a Metodi di autenticazione per la reimpostazione> della password degli utenti>delle identità.> Nella tabella seguente sono elencati i metodi disponibili nei criteri di reimpostazione della password self-service legacy e i metodi corrispondenti nei criteri del metodo di autenticazione.
Registrare gli utenti inclusi nell'ambito della reimpostazione della password self-service (tutti gli utenti, un gruppo specifico o nessun utente) e i metodi di autenticazione che possono usare. Anche se le domande di sicurezza non sono ancora disponibili per la gestione nei criteri metodi di autenticazione, assicurarsi di registrarle per un secondo momento quando sono.
| Metodi di autenticazione reimpostazione della password self-service | Criteri del metodo di autenticazione |
|---|---|
| Notifica dell'app per dispositivi mobili | Microsoft Authenticator |
| Codice app per dispositivi mobili | Microsoft Authenticator Token OATH software |
| OTP Email | |
| Telefono cellulare | Chiamate vocali SMS |
| Telefono ufficio | Chiamate vocali |
| Domande di sicurezza | Non ancora disponibile; domande copy per un uso successivo |
Criteri dei metodi di autenticazione
Per controllare le impostazioni nei criteri metodi di autenticazione, accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator e passare a Criteri di autenticazione>di protezione>. Per impostazione predefinita, un nuovo tenant include tutti i metodi Disattivati , che semplificano la migrazione perché non è necessario unire le impostazioni dei criteri legacy con le impostazioni esistenti.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
- Passare a Metodi di autenticazione di protezione>>
I criteri dei metodi di autenticazione hanno altri metodi che non sono disponibili nei criteri legacy, ad esempio la chiave di sicurezza FIDO2, il pass di accesso temporaneo e l'autenticazione basata su certificati Microsoft Entra. Questi metodi non sono inclusi nell'ambito della migrazione e non è necessario apportare modifiche a tali metodi se sono già stati configurati.
Se sono stati abilitati altri metodi nei criteri Metodi di autenticazione, annotare gli utenti e i gruppi che possono o non possono usare tali metodi. Prendere nota dei parametri di configurazione che regolano la modalità di utilizzo del metodo. Ad esempio, è possibile configurare Microsoft Authenticator per fornire la posizione nelle notifiche push. Creare un record di cui gli utenti e i gruppi sono abilitati per parametri di configurazione simili associati a ogni metodo.
Avviare la migrazione
Dopo aver acquisito i metodi di autenticazione disponibili dai criteri attualmente in uso, è possibile avviare la migrazione. Aprire i criteri Metodi di autenticazione, selezionare Gestisci migrazione e selezionare Migrazione in corso.
È consigliabile impostare questa opzione prima di apportare modifiche perché applicherà i nuovi criteri sia agli scenari di accesso che di reimpostazione della password.
Il passaggio successivo consiste nell'aggiornare i criteri metodi di autenticazione in modo che corrispondano al controllo. È consigliabile esaminare ogni metodo uno alla volta. Se il tenant usa solo i criteri di autenticazione a più fattori legacy e non usa la reimpostazione della password self-service, l'aggiornamento è semplice. È possibile abilitare ogni metodo per tutti gli utenti e corrispondere esattamente ai criteri esistenti.
Se il tenant usa sia MFA che SSPR, è necessario prendere in considerazione ogni metodo:
- Se il metodo è abilitato in entrambi i criteri legacy, abilitarlo per tutti gli utenti nel criterio Metodi di autenticazione.
- Se il metodo è disattivato in entrambi i criteri legacy, lasciarlo disattivato per tutti gli utenti nel criterio Metodi di autenticazione.
- Se il metodo è abilitato solo in un criterio, è necessario decidere se deve essere disponibile o meno in tutte le situazioni.
Dove corrispondono i criteri, è possibile trovare facilmente la corrispondenza con lo stato corrente. In caso di mancata corrispondenza, è necessario decidere se abilitare o disabilitare completamente il metodo. Si supponga, ad esempio, che La notifica tramite l'app per dispositivi mobili sia abilitata per consentire le notifiche push per MFA. Nei criteri di reimpostazione della password self-service legacy il metodo di notifica dell'app per dispositivi mobili non è abilitato. In tal caso, i criteri legacy consentono le notifiche push per MFA ma non la reimpostazione della password self-service.
Nei criteri dei metodi di autenticazione è quindi necessario scegliere se abilitare Microsoft Authenticator sia per la reimpostazione della password self-service che per l'autenticazione a più fattori o disabilitarla (è consigliabile abilitare Microsoft Authenticator).
Si noti che nei criteri Metodi di autenticazione è possibile abilitare i metodi per i gruppi di utenti oltre a tutti gli utenti ed è anche possibile escludere gruppi di utenti dalla possibilità di usare un metodo specifico. Ciò significa che si ha molta flessibilità per controllare quali utenti possono usare i metodi. Ad esempio, è possibile abilitare Microsoft Authenticator per tutti gli utenti e limitare sms e chiamate vocali a 1 gruppo di 20 utenti che necessitano di tali metodi.
Man mano che si aggiorna ogni metodo nei criteri metodi di autenticazione, alcuni metodi dispongono di parametri configurabili che consentono di controllare il modo in cui è possibile usare tale metodo. Ad esempio, se si abilitano le chiamate vocali come metodo di autenticazione, è possibile scegliere di consentire sia il telefono dell'ufficio che i telefoni cellulari o solo i dispositivi mobili. Eseguire il processo per configurare ogni metodo di autenticazione dal controllo.
Non è necessario che corrisponda ai criteri esistenti. È un'ottima opportunità esaminare i metodi abilitati e scegliere un nuovo criterio che ottimizza la sicurezza e l'usabilità per il tenant. Si noti solo che la disabilitazione dei metodi per gli utenti che già li usano potrebbe richiedere agli utenti di registrare nuovi metodi di autenticazione e impedire loro di usare metodi precedentemente registrati.
Le sezioni successive illustrano linee guida specifiche per la migrazione per ogni metodo.
Passcode monouso tramite posta elettronica
Esistono due controlli per il passcode monouso della posta elettronica:
La destinazione tramite include ed exclude nella sezione Enable and target della configurazione viene usata per abilitare OTP di posta elettronica per i membri di un tenant da usare nella reimpostazione della password.
È disponibile un controllo OTP per consentire agli utenti esterni di usare il controllo OTP di posta elettronica nella sezione Configura che controlla l'uso di OTP di posta elettronica per l'accesso da parte degli utenti B2B. Il metodo di autenticazione non può essere disabilitato se questo controllo è abilitato.
Microsoft Authenticator
Se la notifica tramite app per dispositivi mobili è abilitata nei criteri di autenticazione a più fattori legacy, abilitare Microsoft Authenticator per tutti gli utenti nei criteri Metodi di autenticazione. Impostare la modalità di autenticazione su Any per consentire le notifiche push o l'autenticazione senza password.
Se il codice di verifica dall'app per dispositivi mobili o dal token hardware è abilitato nei criteri MFA legacy, impostare Consenti l'uso di Microsoft Authenticator OTP su Sì.
CHIAMATE VOCALI e SMS
I criteri di autenticazione a più fattori legacy hanno controlli separati per le chiamate SMS e Telefono. Ma c'è anche un controllo telefono cellulare che consente telefoni cellulari sia per GLI SMS che per le chiamate vocali. E un altro controllo per il telefono di Office abilita un telefono dell'ufficio solo per la chiamata vocale.
I criteri metodi di autenticazione hanno controlli per le chiamate SMS e vocali, che corrispondono ai criteri di autenticazione a più fattori legacy. Se il tenant usa la reimpostazione della password self-service e il telefono cellulare è abilitato, è necessario abilitare sia le chiamate SMS che vocali nei criteri Metodi di autenticazione. Se il tenant usa la reimpostazione della password self-service e il telefono di Office è abilitato, è necessario abilitare le chiamate vocali nei criteri Metodi di autenticazione e assicurarsi che l'opzione Telefono di Office sia abilitata.
Nota
L'opzione Usa per l'accesso è abilitata per impostazione predefinita nelle impostazioni SMS . Questa opzione abilita l'accesso TRAMITE SMS. Se l'accesso TRAMITE SMS è abilitato per gli utenti, questi verranno ignorati dalla sincronizzazione tra tenant. Se si usa la sincronizzazione tra tenant o non si vuole abilitare l'accesso TRAMITE SMS, disabilitare l'accesso TRAMITE SMS per gli utenti di destinazione.
Token OATH
I controlli token OATH nei criteri legacy MFA e SSPR erano controlli singoli che abilitavano l'uso di tre diversi tipi di token OATH: l'app Microsoft Authenticator, le app del generatore di codice OATH toTP software di terze parti e i token OATH hardware.
I criteri metodi di autenticazione hanno un controllo granulare con controlli separati per ogni tipo di token OATH. L'uso di OTP da Microsoft Authenticator è controllato dal controllo Allow use of Microsoft Authenticator OTP nella sezione Microsoft Authenticator del criterio. Le app di terze parti sono controllate dalla sezione Token OATH del software di terze parti del criterio. I token OATH hardware sono controllati dalla sezione Token OATH hardware dei criteri.
Domande di sicurezza
Presto sarà disponibile un controllo per le domande di sicurezza. Se si usano domande di sicurezza e non si vuole disabilitarle, assicurarsi di mantenerle abilitate nei criteri di reimpostazione della password self-service legacy fino a quando il nuovo controllo non è disponibile. È possibile completare la migrazione come descritto nella sezione successiva con domande di sicurezza abilitate.
Completare la migrazione
Dopo aver aggiornato i criteri dei metodi di autenticazione, esaminare i criteri MFA legacy e reimpostazione della password self-service e rimuovere ogni metodo di autenticazione uno alla volta. Testare e convalidare le modifiche per ogni metodo.
Quando si determina che MFA e reimpostazione della password self-service funzionano come previsto e non sono più necessari i criteri legacy di autenticazione a più fattori e reimpostazione della password self-service, è possibile modificare il processo di migrazione in Migrazione completata. In questa modalità, Microsoft Entra-only segue i criteri dei metodi di autenticazione. Non è possibile apportare modifiche ai criteri legacy se è impostato Migration Complete , ad eccezione delle domande di sicurezza nei criteri di reimpostazione della password self-service. Se è necessario tornare ai criteri legacy per qualche motivo, è possibile tornare allo stato di migrazione in corso in qualsiasi momento.
