Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?
Microsoft consiglia metodi di autenticazione senza password come Windows Hello, Passkeys (FIDO2) e l'app Microsoft Authenticator perché offrono l'esperienza di accesso più sicura. Anche se un utente può accedere usando altri metodi comuni, ad esempio un nome utente e una password, le password devono essere sostituite con metodi di autenticazione più sicuri.
L'autenticazione a più fattori di Microsoft Entra aggiunge ulteriore sicurezza rispetto al semplice uso di una password per l'accesso dell'utente. All'utente possono venire richieste altre forme di autenticazione, ad esempio rispondere a una notifica push, immettere un codice da un token software o hardware oppure rispondere a un SMS o a una telefonata.
Per semplificare l'esperienza di onboarding dell'utente e registrarsi sia per la reimpostazione della password self-service che per la reimpostazione della password self-service, è consigliabile abilitare la registrazione combinata delle informazioni di sicurezza. Per assicurare la resilienza, è consigliabile richiedere agli utenti di registrare più metodi di autenticazione. Quando un metodo non è disponibile per un utente durante l'accesso o la reimpostazione della password self-service, sarà possibile scegliere di eseguire l'autenticazione con un altro metodo. Per altre informazioni, vedere Creare una strategia di gestione resiliente del controllo di accesso in Microsoft Entra ID.
Modalità di funzionamento di ogni metodo di autenticazione
Alcuni metodi di autenticazione possono essere usati come fattore principale quando si accede a un'applicazione o a un dispositivo, ad esempio usando una chiave di sicurezza FIDO2 o una password. Altri metodi di autenticazione sono disponibili solo come fattore secondario quando si usa l'autenticazione a più fattori di Microsoft Entra o la reimpostazione della password self-service.
La tabella seguente illustra quando è possibile usare un metodo di autenticazione durante un evento di accesso:
Method | Autenticazione principale | Autenticazione secondaria |
---|---|---|
Windows Hello for Business (Configurare Windows Hello for Business) | Sì | MFA* |
Push di Microsoft Authenticator | No | Autenticazione a più fattori e SSPR |
Microsoft Authenticator senza password | Sì | No* |
Passkey di Microsoft Authenticator (anteprima) | Sì | Autenticazione a più fattori e SSPR |
Authenticator Lite | No | MFA |
Passkey (FIDO2) | Sì | MFA |
Autenticazione basata su certificati | Sì | MFA |
Token hardware OATH (anteprima) | No | Autenticazione a più fattori e SSPR |
Token software OATH | No | Autenticazione a più fattori e SSPR |
Metodi di autenticazione esterni (anteprima) | No | MFA |
Pass di accesso temporaneo | Sì | MFA |
SMS | Sì | Autenticazione a più fattori e SSPR |
Chiamata vocale | No | Autenticazione a più fattori e SSPR |
Password | Sì | No |
* Windows Hello for Business, da solo, non funge da credenziali MFA dettagliate. Ad esempio, una richiesta MFA dalla frequenza di accesso o dalla richiesta SAML contenente forceAuthn=true. Windows Hello for Business può fungere da credenziale MFA dettagliata da usare nell'autenticazione FIDO2. Ciò richiede che gli utenti siano registrati per l'autenticazione FIDO2 per il corretto funzionamento.
* L'accesso senza password può essere usato per l'autenticazione secondaria solo se viene usata l'autenticazione basata su certificati (CBA) per l'autenticazione primaria. Per altre informazioni, vedere Approfondimenti tecnici sull'autenticazione basata su certificati Microsoft Entra.
Tutti questi metodi di autenticazione possono essere configurati nell'interfaccia di amministrazione di Microsoft Entra e usano sempre più spesso l'API REST di Microsoft Graph.
Per altre informazioni sul funzionamento di ogni metodo di autenticazione, vedere gli articoli concettuali seguenti:
- Windows Hello for Business (Configurare Windows Hello for Business)
- App Microsoft Authenticator
- Authenticator Lite
- Passkey (FIDO2)
- Autenticazione basata su certificati
- Token hardware OATH (anteprima)
- Token software OATH
- Metodi di autenticazione esterni (anteprima)
- Pass di accesso temporaneo (TAP)
- Accesso e verifica tramite SMS
- Verifica delle chiamate vocali
- Password
Nota
In Microsoft Entra ID, la password è spesso uno dei metodi di autenticazione principali. Non è possibile disabilitare il metodo di autenticazione con password. Se si usa una password come fattore di autenticazione principale, aumentare la sicurezza degli eventi di accesso tramite l'autenticazione a più fattori di Microsoft Entra ID.
In determinati scenari è possibile usare i metodi di verifica aggiuntiva seguenti:
- Password dell'app: usate per le applicazioni precedenti che non supportano l'autenticazione moderna e possono essere configurate per l'autenticazione a più fattori Microsoft Entra per utente.
- Domande di sicurezza: usate solo per la reimpostazione della password self-service
- Indirizzo di posta elettronica: usato solo per la reimpostazione della password self-service
Metodi utilizzabili e non utilizzabili
Gli amministratori possono visualizzare i metodi di autenticazione utente nell'interfaccia di amministrazione di Microsoft Entra. I metodi utilizzabili vengono elencati per primi, seguiti da metodi non utilizzabili.
Ogni metodo di autenticazione può diventare non utilizzabile per motivi diversi. Ad esempio, un pass di accesso temporaneo può scadere o la chiave di sicurezza FIDO2 potrebbe non riuscire nell'attestazione. Il portale verrà aggiornato per fornire il motivo per cui il metodo non è utilizzabile.
Qui vengono visualizzati anche i metodi di autenticazione non più disponibili a causa di "Richiedi la registrazione dell'autenticazione a più fattori".
Passaggi successivi
Per iniziare, vedere l'esercitazione per la reimpostazione della password self-service e l'autenticazione a più fattori Di Microsoft Entra.
Per altre informazioni sui concetti relativi alla reimpostazione della password self-service, vedere Funzionamento della reimpostazione della password self-service di Microsoft Entra.
Per altre informazioni sui concetti relativi all'autenticazione a più fattori, vedere Funzionamento dell'autenticazione a più fattori di Microsoft Entra.
Altre informazioni sulla configurazione dei metodi di autenticazione tramite l'API REST di Microsoft Graph.
Per esaminare i metodi di autenticazione in uso, vedere Analisi del metodo di autenticazione a più fattori Di Microsoft Entra con PowerShell.