Panoramica della registrazione combinata delle informazioni di sicurezza per Azure Active Directory

Prima della registrazione combinata, gli utenti hanno registrato i metodi di autenticazione per Azure AD Multi-Factor Authentication e la reimpostazione della password self-service (SSPR) separatamente. Le persone sono state confuse che sono stati usati metodi simili per Multi-Factor Authentication e SSPR, ma hanno dovuto registrarsi per entrambe le funzionalità. Ora, con la registrazione combinata, gli utenti possono registrarsi una sola volta e ottenere i vantaggi di Multi-Factor Authentication e SSPR. Questo video illustra come abilitare e configurare la reimpostazione della password self-service in Azure AD

Nota

A partire dal 15 agosto 2020, tutti i nuovi tenant di Azure AD verranno abilitati automaticamente per la registrazione combinata.

Dopo il 30 settembre 2022, tutti gli utenti registreranno le informazioni di sicurezza tramite l'esperienza di registrazione combinata.

Questo articolo descrive la registrazione di sicurezza combinata. Per iniziare a usare la registrazione di sicurezza combinata, vedere l'articolo seguente:

My Account showing registered Security info for a user

Prima di abilitare la nuova esperienza, esaminare questa documentazione incentrata sull'amministratore e la documentazione incentrata sull'utente per assicurarsi di comprendere le funzionalità e l'effetto di questa funzionalità. Basare la formazione sulla documentazione dell'utente per preparare gli utenti per la nuova esperienza e contribuire a garantire un'implementazione corretta.

La registrazione combinata delle informazioni di sicurezza di Azure AD è disponibile per Azure US Government, ma non per Azure China 21Vianet.

Importante

Gli utenti abilitati sia per l'anteprima originale che per l'esperienza di registrazione combinata avanzata vedono il nuovo comportamento. Gli utenti abilitati per entrambe le esperienze vedono solo l'esperienza Account personale. L'account personale è allineato all'aspetto della registrazione combinata e offre un'esperienza ottimale per gli utenti. Gli utenti possono visualizzare l'account personale passando a https://myaccount.microsoft.com.

È possibile impostare Richiedi agli utenti di registrarsi quando si accede a per richiedere a tutti gli utenti di registrarsi durante l'accesso, assicurandosi che tutti gli utenti siano protetti.

È possibile che venga visualizzato un messaggio di errore durante il tentativo di accesso all'opzione Informazioni di sicurezza, ad esempio "Non è possibile accedere". Verificare di non disporre di alcun oggetto criteri di configurazione o di gruppo che blocca i cookie di terze parti nel Web browser.

Le pagine account personali vengono localizzate in base alle impostazioni della lingua del computer che accede alla pagina. Microsoft archivia la lingua più recente usata nella cache del browser, quindi i tentativi successivi di accedere alle pagine continuano a essere visualizzati nell'ultima lingua usata. Se si cancella la cache, viene eseguito nuovamente il rendering delle pagine.

Se si vuole forzare una lingua specifica, è possibile aggiungere ?lng=<language> alla fine dell'URL, dove <language> è il codice del linguaggio di cui si vuole eseguire il rendering.

Set up SSPR or other security verification methods

Metodi disponibili nella registrazione combinata

La registrazione combinata supporta i metodi e le azioni di autenticazione seguenti:

Metodo Registrazione Modifica Elimina
Microsoft Authenticator Sì (massimo 5) No
Altre app di autenticazione Sì (massimo 5) No
Token hardware No No
Telefono
Telefono alternativo
Telefono ufficio
E-mail
Domande di sicurezza No
Password dell'app No
Chiavi di sicurezza FIDO2
Modalità gestita solo dalla pagina Informazioni di sicurezza

Nota

Le password dell'app sono disponibili solo per gli utenti che sono stati applicati per Multi-Factor Authentication. Le password delle app non sono disponibili per gli utenti abilitati per Multi-Factor Authentication tramite criteri di accesso condizionale.

Gli utenti possono impostare una delle opzioni seguenti come metodo predefinito di Multi-Factor Authentication:

  • Microsoft Authenticator: notifica push o senza password
  • Authenticator'app o un token hardware : codice
  • Chiamata telefonica
  • SMS

Nota

I numeri di telefono virtuali non sono supportati per le chiamate vocali o i messaggi SMS.

Le app di autenticazione di terze parti non forniscono notifiche push. Man mano che si continua ad aggiungere altri metodi di autenticazione ad Azure AD, questi metodi diventano disponibili nella registrazione combinata.

Modalità di registrazione combinate

Esistono due modalità di registrazione combinata: interrupt e gestione.

  • La modalità interrupt è un'esperienza simile alla procedura guidata, presentata agli utenti quando registrano o aggiornano le informazioni di sicurezza all'accesso.
  • La modalità di gestione fa parte del profilo utente e consente agli utenti di gestire le informazioni di sicurezza.

Per entrambe le modalità, gli utenti che hanno precedentemente registrato un metodo che può essere usato per Multi-Factor Authentication devono eseguire Multi-Factor Authentication prima di poter accedere alle informazioni di sicurezza. Gli utenti devono confermare le informazioni prima di continuare a usare i metodi registrati in precedenza.

Modalità interrupt

La registrazione combinata è conforme sia ai criteri Multi-Factor Authentication che alla reimpostazione della password self-service, se entrambi sono abilitati per il tenant. Questi criteri controllano se un utente viene interrotto per la registrazione durante l'accesso e quali metodi sono disponibili per la registrazione. Se è abilitato solo un criterio di reimpostazione della password self-service, gli utenti potranno ignorare l'interruzione della registrazione e completarla in un secondo momento.

Di seguito sono riportati alcuni scenari di esempio in cui agli utenti potrebbe essere richiesto di registrare o aggiornare le informazioni di sicurezza:

  • Registrazione di Multi-Factor Authentication applicata tramite Identity Protection: Agli utenti viene chiesto di registrarsi durante l'accesso. Registrano i metodi di Multi-Factor Authentication e la reimpostazione della password self-service (se l'utente è abilitato per la reimpostazione della password self-service).
  • Registrazione di Multi-Factor Authentication applicata tramite Multi-Factor Authentication per utente: Agli utenti viene chiesto di registrarsi durante l'accesso. Registrano i metodi di Multi-Factor Authentication e la reimpostazione della password self-service (se l'utente è abilitato per la reimpostazione della password self-service).
  • Registrazione di Multi-Factor Authentication applicata tramite l'accesso condizionale o altri criteri: Agli utenti viene chiesto di registrarsi quando usano una risorsa che richiede Multi-Factor Authentication. Registrano i metodi di Multi-Factor Authentication e la reimpostazione della password self-service (se l'utente è abilitato per la reimpostazione della password self-service).
  • Registrazione della reimpostazione della password self-service applicata: Agli utenti viene chiesto di registrarsi durante l'accesso. Registrano solo i metodi di reimpostazione della password self-service.
  • Aggiornamento della reimpostazione della password self-service applicato: Gli utenti devono esaminare le informazioni di sicurezza a un intervallo impostato dall'amministratore. Gli utenti visualizzano le informazioni e possono confermare le informazioni correnti o apportare modifiche, se necessario.

Quando viene applicata la registrazione, gli utenti visualizzano il numero minimo di metodi necessari per essere conformi sia ai criteri Multi-Factor Authentication che alla reimpostazione della password self-service, dalla maggior parte al meno sicuro. Gli utenti che passano attraverso la registrazione combinata in cui viene applicata sia la registrazione MFA che la reimpostazione della password self-service e il criterio di reimpostazione della password self-service richiede due metodi per registrare un metodo MFA come primo metodo e può selezionare un altro metodo specifico MFA o SSPR come secondo metodo registrato (ad esempio, posta elettronica, domande di sicurezza e così via)

Si consideri lo scenario di esempio seguente:

  • Un utente è abilitato per la reimpostazione della password self-service. Il criterio SSPR richiede due metodi per reimpostare e ha abilitato Authenticator'app, la posta elettronica e il telefono.
  • Quando l'utente sceglie di registrarsi, sono necessari due metodi:
    • L'utente viene visualizzato Authenticator'app e il telefono per impostazione predefinita.
    • L'utente può scegliere di registrare la posta elettronica invece di Authenticator'app o telefono.

Il diagramma di flusso seguente descrive quali metodi vengono visualizzati a un utente quando vengono interrotti per la registrazione durante l'accesso:

Combined security info flowchart

Se sia abilitata l'autenticazione a più fattori che la reimpostazione della password self-service, è consigliabile applicare la registrazione di Multi-Factor Authentication.

Se i criteri di reimpostazione della password self-service richiedono agli utenti di esaminare le informazioni di sicurezza a intervalli regolari, gli utenti vengono interrotti durante l'accesso e visualizzati tutti i metodi registrati. Possono confermare le informazioni correnti se sono aggiornate o possono apportare modifiche se necessario. Gli utenti devono eseguire l'autenticazione a più fattori durante l'accesso a questa pagina.

Modalità di gestione

Gli utenti possono accedere alla modalità di gestione passando a https://aka.ms/mysecurityinfo o selezionando Informazioni di sicurezza da Account personale. Da qui, gli utenti possono aggiungere metodi, eliminare o modificare i metodi esistenti, modificare il metodo predefinito e altro ancora.

Scenari di utilizzo chiave

Configurare le informazioni di sicurezza durante l'accesso

Un amministratore ha imposto la registrazione.

Un utente non ha configurato tutte le informazioni di sicurezza necessarie e passa al portale di Azure. Dopo che l'utente immette il nome utente e la password, all'utente viene richiesto di configurare le informazioni di sicurezza. L'utente segue quindi i passaggi illustrati nella procedura guidata per configurare le informazioni di sicurezza necessarie. Se le impostazioni lo consentono, l'utente può scegliere di configurare metodi diversi da quelli visualizzati per impostazione predefinita. Dopo aver completato la procedura guidata, gli utenti esaminano i metodi configurati e il relativo metodo predefinito per Multi-Factor Authentication. Per completare il processo di configurazione, l'utente conferma le informazioni e continua con il portale di Azure.

Configurare le informazioni di sicurezza da Account personale

Un amministratore non ha applicato la registrazione.

Un utente che non ha ancora configurato tutte le informazioni di sicurezza necessarie passa a https://myaccount.microsoft.com. L'utente seleziona Informazioni di sicurezza nel riquadro sinistro. Da qui, l'utente sceglie di aggiungere un metodo, seleziona uno dei metodi disponibili e segue i passaggi per configurare tale metodo. Al termine, l'utente visualizza il metodo configurato nella pagina Informazioni di sicurezza.

Eliminare le informazioni di sicurezza dall'account personale

Un utente che ha configurato in precedenza almeno un metodo passa a https://aka.ms/mysecurityinfo. L'utente sceglie di eliminare uno dei metodi registrati in precedenza. Al termine, l'utente non vede più tale metodo nella pagina Informazioni di sicurezza.

Modificare il metodo predefinito da Account personale

Un utente che ha configurato in precedenza almeno un metodo che può essere usato per Multi-Factor Authentication passa a https://aka.ms/mysecurityinfo. L'utente modifica il metodo predefinito corrente in un metodo predefinito diverso. Al termine, l'utente visualizza il nuovo metodo predefinito nella pagina Informazioni di sicurezza.

Cambia directory

Potrebbe essere necessario cambiare la directory per modificare le informazioni di registrazione di sicurezza per un tenant di terze parti, ad esempio un utente B2B. Inoltre, gli utenti che accedono a un tenant di risorse possono essere confusi quando modificano le impostazioni nel tenant principale, ma non vedono le modifiche riflesse nel tenant delle risorse.

Ad esempio, un utente imposta Microsoft Authenticator notifica push dell'app come autenticazione primaria per l'accesso al tenant home e include anche SMS/Testo come un'altra opzione. Questo utente è configurato anche con l'opzione SMS/testo in un tenant di risorse. Se questo utente rimuove SMS/testo come una delle opzioni di autenticazione nel tenant principale, si confonde quando l'accesso al tenant della risorsa chiede di rispondere a SMS/SMS.

Per cambiare la directory nella portale di Azure, fare clic sul nome dell'account utente nell'angolo in alto a destra e fare clic su Cambia directory.

External users can switch directory.

Passaggi successivi

Per iniziare, vedere le esercitazioni per abilitare la reimpostazione della password self-service e abilitare Azure AD Multi-Factor Authentication.

Informazioni su come abilitare la registrazione combinata nel tenant o forzare gli utenti a registrare nuovamente i metodi di autenticazione.

È anche possibile esaminare i metodi disponibili per Azure AD Multi-Factor Authentication e la reimpostazione della password self-service.