Quando usare un provider di autenticazione a più fattori Microsoft Entra
Importante
A partire dal 1 ° settembre 2018 non sarà più possibile creare nuovi provider di autenticazione. I provider di autenticazione esistenti possono continuare a essere usati e aggiornati, ma la migrazione non è più possibile. L'autenticazione a più fattori continuerà a essere disponibile come funzionalità nelle licenze Microsoft Entra ID P1 o P2.
La verifica in due passaggi è disponibile per impostazione predefinita per gli Amministrazione istratori globali che hanno l'ID Microsoft Entra e gli utenti di Microsoft 365. Tuttavia, se si desidera sfruttare le funzionalità avanzate, è consigliabile acquistare la versione completa dell'autenticazione a più fattori Di Microsoft Entra.
Un provider di autenticazione a più fattori Microsoft Entra viene usato per sfruttare le funzionalità fornite dall'autenticazione a più fattori Di Microsoft Entra per gli utenti che non dispongono di licenze.
Avvertenze relative ad Azure MFA SDK
Si noti che l'SDK è stato deprecato e continuerà a funzionare solo fino al 14 novembre 2018. Dopo tale periodo, le chiamate all'SDK avranno esito negativo.
Che cos'è un provider MFA?
Esistono due tipi di provider di autenticazione, la cui differenza consiste nella modalità di addebito per la sottoscrizione di Azure. L'opzione in base al numero di autenticazioni calcola il numero di autenticazioni eseguite sul tenant in un mese. Questa opzione è preferibile se alcuni account eseguono l'autenticazione solo occasionalmente. L'opzione per utente calcola il numero di account idonei per l'esecuzione dell'autenticazione a più fattori, ovvero tutti gli account in Microsoft Entra ID e tutti gli account abilitati nel server MFA. Questa opzione è ottimale se alcuni utenti dispongono di licenze, ma è necessario estendere l'autenticazione a più utenti oltre i limiti di licenza.
Gestire il provider MFA
Non è possibile modificare il modello di utilizzo (per utente abilitato o per autenticazione) dopo la creazione di un provider MFA.
Se è stato acquistato un numero sufficiente di licenze per tutti gli utenti che sono abilitati per l'autenticazione a più fattori, è possibile eliminare completamente il provider di MFA.
Se il provider MFA non è collegato a un tenant di Microsoft Entra o si collega il nuovo provider MFA a un tenant Microsoft Entra diverso, le impostazioni utente e le opzioni di configurazione non vengono trasferite. Inoltre, i server Azure MFA esistenti devono essere riattivati usando le credenziali di attivazione generate tramite il provider di MFA.
Rimozione di un provider di autenticazione
Attenzione
Non viene visualizzata alcuna conferma durante l'eliminazione di un provider di autenticazione. La selezione di Elimina è un processo permanente.
I provider di autenticazione sono disponibili nell'interfaccia di amministrazione di Microsoft Entra. Accedere come almeno un Amministrazione istrator dei criteri di autenticazione. Passare a Protezione>provider di autenticazione>a più fattori. Fare clic sui provider elencati per visualizzare i dettagli e le configurazioni associati a tale provider.
Prima di rimuovere un provider di autenticazione, prendere nota di tutte le impostazioni personalizzate configurate nel provider. Decidere quali impostazioni è necessario eseguire la migrazione alle impostazioni MFA generali dal provider e completare la migrazione di tali impostazioni.
I server Azure MFA collegati ai provider dovranno essere riattivati usando le credenziali generate in Impostazioni server. Prima di riattivare, è necessario eliminare i file seguenti dalla directory nei server Azure MFA nell'ambiente \Program Files\Multi-Factor Authentication Server\Data\ :
- caCert
- cert
- groupCACert
- groupKey
- groupName
- licenseKey
- pkey
Dopo aver verificato la migrazione di tutte le impostazioni, passare a Provider e selezionare i puntini di sospensione ... e selezionare Elimina.
Avviso
L'eliminazione di un provider di autenticazione eliminerà tutte le informazioni di creazione di report associate a tale provider. È possibile salvare i report attività prima di eliminare il provider.
Nota
Gli utenti con versioni precedenti dell'app Microsoft Authenticator e del server Azure MFA potrebbero dover registrare nuovamente l'app.