Applicare l'autenticazione a più fattori Microsoft Entra con le applicazioni legacy usando le password dell'app

Alcune app non basate su browser precedenti, come Office 2010 o versioni precedenti e Apple Mail prima di iOS 11, non comprendono pause o interruzioni nel processo di autenticazione. Un utente di Microsoft Entra multifactor authentication (Autenticazione a più fattori Microsoft Entra) che tenta di accedere a una di queste app non basate su browser meno recenti non può eseguire correttamente l'autenticazione. Per usare queste applicazioni in modo sicuro con l'autenticazione a più fattori di Microsoft Entra applicata per gli account utente, è possibile usare le password dell'app. Queste password dell'app hanno sostituito la password tradizionale per consentire a un'app di ignorare l'autenticazione a più fattori e funzionare correttamente.

L'autenticazione moderna è supportata per i client di Microsoft Office 2013 e versioni successive. I client di Office 2013, tra cui Outlook, supportano protocolli di autenticazione moderni e possono funzionare con la verifica in due passaggi. Dopo l'applicazione dell'autenticazione a più fattori Microsoft Entra, le password dell'app non sono necessarie per il client.

Questo articolo illustra come usare le password dell'app per le applicazioni legacy che non supportano richieste di autenticazione a più fattori.

Nota

Le password dell'app non funzionano per gli account necessari per usare l'autenticazione moderna.

Panoramica e considerazioni

Quando viene applicato un account utente per l'autenticazione a più fattori Di Microsoft Entra, la richiesta di accesso regolare viene interrotta da una richiesta di verifica aggiuntiva. Alcune applicazioni meno recenti non conoscono questa interruzione nel processo di accesso, quindi l'autenticazione non riesce. Per mantenere la sicurezza degli account utente e lasciare applicata l'autenticazione a più fattori Microsoft Entra, è possibile usare le password dell'app anziché il normale nome utente e la password dell'utente. Quando una password dell'app usata durante l'accesso non è richiesta di verifica aggiuntiva, quindi l'autenticazione ha esito positivo.

Le password dell'app vengono generate automaticamente, non specificate dall'utente. Questa password generata automaticamente rende più difficile per un utente malintenzionato indovinare, quindi è più sicuro. Gli utenti non devono tenere traccia delle password o immetterle ogni volta che le password dell'app vengono immesse una sola volta per ogni applicazione.

Quando si usano le password dell'app, si applicano le considerazioni seguenti:

• È previsto un limite di 40 password per utente.
• Le applicazioni che memorizzano nella cache le password e le usano in scenari locali possono non riuscire perché la password dell'app non è nota all'esterno dell'account aziendale o dell'istituto di istruzione. Un esempio di questo scenario è rappresentato dai messaggi di posta elettronica di Exchange in locale, mentre la posta archiviata si trova nel cloud. In questo scenario non funziona la stessa password.
• Dopo che l'autenticazione a più fattori Di Microsoft Entra viene applicata all'account di un utente, le password dell'app possono essere usate con la maggior parte dei client non browser come Outlook e Microsoft Skype for Business. Tuttavia, le azioni amministrative non possono essere eseguite usando le password dell'app tramite applicazioni non basate su browser, ad esempio Windows PowerShell. Tali azioni non possono essere eseguite anche se l'utente dispone di un account amministrativo.
  • Per eseguire script di PowerShell, creare un account del servizio con una password complessa e non applicare l'account per la verifica in due passaggi.
• Se si sospetta che un account utente sia compromesso e revoca/reimposta la password dell'account, è necessario aggiornare anche le password dell'app. Le password dell'app non vengono revocate automaticamente quando una password dell'account utente viene revocata/reimpostata. L'utente deve eliminare le password dell'app esistenti e crearne di nuove.
  • Per altre informazioni, vedere Creare ed eliminare password dell'app dalla pagina Verifica aggiuntiva di sicurezza.

Avviso

Le password delle app non funzionano in ambienti ibridi in cui i client comunicano con endpoint di individuazione automatica sia locali sia cloud. Le password del dominio sono necessarie per l'autenticazione locale. Le password dell'app sono necessarie per l'autenticazione con il cloud.

Nomi delle password dell'app

Per le password dell'app è consigliabile usare nomi che riflettano il dispositivo in cui vengono usate. Se si usa un portatile con app non basate su browser come Outlook, Word ed Excel, creare una sola password dell'app denominata Portatile per queste app. Creare un'altra password dell'app denominata Desktop per le stesse applicazioni eseguite nel computer desktop.

È consigliabile creare una password dell'app per dispositivo anziché una password dell'app per applicazione.

Password dell'app Single Sign-On o federate

Microsoft Entra ID supporta la federazione o l'accesso Single Sign-On (SSO), con Active Directory locale Domain Services (AD DS). Se l'organizzazione è federata con Microsoft Entra ID e si usa l'autenticazione a più fattori Microsoft Entra, si applicano le considerazioni seguenti sulle password dell'app:

Nota

I punti seguenti si applicano solo ai clienti federati (SSO).

• Le password dell'app vengono verificate dall'ID Microsoft Entra e pertanto ignorano la federazione. La federazione viene usata attivamente solo durante l'impostazione delle password dell'app.
• Per gli utenti federati (SSO) non viene contattato il provider di identità (IdP), a differenza del flusso passivo. Le password dell'app vengono archiviate nell'account aziendale o dell'istituto di istruzione. Se un utente lascia l'azienda, le sue informazioni passano all'account aziendale o dell'istituto di istruzione tramite DirSync in tempo reale. La disabilitazione/eliminazione dell'account può richiedere fino a tre ore per la sincronizzazione, che può ritardare la disabilitazione/eliminazione della password dell'app in Microsoft Entra ID.
• Le impostazioni locali di Controllo di accesso client non vengono rispettate dalla funzionalità password dell'app.
• Nessuna funzionalità di registrazione o controllo dell'autenticazione locale è disponibile con la funzionalità password dell'app.

Alcune architetture avanzate richiedono una combinazione di credenziali per l'autenticazione a più fattori con i client. Queste credenziali possono includere nome utente e password dell'account aziendale o dell'istituto di istruzione, oltre alle password dell'app. I requisiti dipendono dal modo in cui viene eseguita l'autenticazione. Per i client che si autenticano in un'infrastruttura locale, sono necessari un nome utente e una password dell'account aziendale o dell'istituto di formazione. Per i client che eseguono l'autenticazione con Microsoft Entra ID, è necessaria una password dell'app.

Ad esempio, si supponga di disporre dell'architettura seguente:

• L'istanza locale di Active Directory è federata con Microsoft Entra ID.
• Si usa Exchange Online.
• Si usa Skype for Business in locale.
• Si usa l'autenticazione a più fattori Di Microsoft Entra.

In questo scenario usare le credenziali seguenti:

• Per accedere a Skype for Business, usare il nome utente e la password dell'account aziendale o dell'istituto di istruzione.
• Per accedere alla rubrica da un client Outlook che si connette a Exchange Online, usare una password dell'app.

Consentire agli utenti di creare password dell'app

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Per impostazione predefinita, gli utenti non possono creare password dell'app. La funzionalità password dell'app deve essere abilitata prima che gli utenti possano usarle. Per consentire agli utenti di creare password per le app, l'amministratore deve completare i passaggi seguenti:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.

2. Passare a Percorsi denominati per l'accesso>condizionale.

3. Fare clic su "Configura indirizzi IP attendibili MFA" nella barra nella parte superiore dell'accesso condizionale | Finestra Percorsi denominati .

4. Nella pagina Autenticazione a più fattori selezionare l'opzione Consenti agli utenti di creare password dell'app per accedere alle app non basate su browser.

   

Nota

Quando disabiliti la possibilità per gli utenti di creare password per le app, le password delle app esistenti continuano a funzionare. Tuttavia, gli utenti non possono gestire o eliminare le password esistenti dell'app dopo aver disabilitato questa funzionalità.

Quando si disabilita la possibilità di creare password dell'app, è anche consigliabile creare criteri di accesso condizionale per disabilitare l'uso dell'autenticazione legacy. Questo approccio impedisce il funzionamento delle password delle app esistenti e forza l'uso dei metodi di autenticazione moderni.

Creare una password di app

Quando gli utenti completano la registrazione iniziale per l'autenticazione a più fattori Microsoft Entra, è possibile creare password dell'app alla fine del processo di registrazione.

Gli utenti possono creare password delle app anche dopo la registrazione. Per altre informazioni e procedure dettagliate per gli utenti, vedere la risorsa seguente:

• Creare password dell'app dalla pagina Informazioni di sicurezza

Passaggi successivi

• Per altre informazioni su come consentire agli utenti di registrarsi rapidamente per l'autenticazione a più fattori Di Microsoft Entra, vedere Panoramica della registrazione combinata delle informazioni di sicurezza.
• Per altre informazioni sugli stati utente abilitati e applicati per l'autenticazione a più fattori Microsoft Entra, vedere Abilitare l'autenticazione a più fattori Microsoft Entra per utente per proteggere gli eventi di accesso