Panoramica della registrazione combinata delle informazioni di sicurezza per Azure Active Directory
Prima della registrazione combinata, gli utenti hanno registrato i metodi di autenticazione per Azure AD Multi-Factor Authentication e la reimpostazione della password self-service (SSPR) separatamente. Persone sono stati confusi che i metodi simili sono stati usati per l'autenticazione a più fattori e la reimpostazione della reimpostazione della password, ma hanno dovuto registrare entrambe le funzionalità. Ora, con la registrazione combinata, gli utenti possono registrare una sola volta e ottenere i vantaggi dell'autenticazione a più fattori e della reimpostazione della password di accesso. È consigliabile questo video su Come abilitare e configurare la reimpostazione della password in Azure AD
Nota
A partire dal 1° ottobre 2022, inizieremo a abilitare la registrazione combinata per tutti gli utenti nei tenant di Azure AD creati prima del 15 agosto 2020. I tenant creati dopo questa data sono abilitati con la registrazione combinata.
Questo articolo descrive la registrazione combinata della sicurezza. Per iniziare a usare la registrazione combinata della sicurezza, vedere l'articolo seguente:
Prima di abilitare la nuova esperienza, esaminare questa documentazione incentrata sull'amministratore e la documentazione incentrata sull'utente per assicurarsi di comprendere la funzionalità e l'effetto di questa funzionalità. Basare il training sulla documentazione dell'utente per preparare gli utenti alla nuova esperienza e aiutare a garantire un'implementazione riuscita.
La registrazione combinata delle informazioni sulla sicurezza di Azure AD è disponibile per Azure US Government ma non per Azure China 21Vianet.
Importante
Gli utenti abilitati per l'anteprima originale e l'esperienza di registrazione combinata avanzata visualizzano il nuovo comportamento. Gli utenti abilitati per entrambe le esperienze visualizzano solo l'esperienza account personale. L'account personale è allineato all'aspetto e all'aspetto della registrazione combinata e offre un'esperienza semplice per gli utenti. Gli utenti possono visualizzare l'account personale passando a https://myaccount.microsoft.com.
È possibile impostare Richiedi agli utenti di registrarsi quando si accede a Sì per richiedere a tutti gli utenti di registrare quando si esegue l'accesso, assicurandosi che tutti gli utenti siano protetti.
È possibile che venga visualizzato un messaggio di errore durante il tentativo di accesso all'opzione Informazioni di sicurezza, ad esempio "Non è possibile accedere". Verificare che non si disponga di alcun oggetto criteri di configurazione o gruppo che blocca i cookie di terze parti nel Web browser.
Le pagine account personali vengono localizzate in base alle impostazioni della lingua del computer che accede alla pagina. Microsoft archivia la lingua più recente usata nella cache del browser, quindi i tentativi successivi di accedere alle pagine continuano a eseguire il rendering nell'ultima lingua usata. Se si cancella la cache, le pagine vengono ricreate.
Se si vuole forzare una lingua specifica, è possibile aggiungere ?lng=<language> alla fine dell'URL, dove <language> è il codice del linguaggio che si vuole eseguire il rendering.
Metodi disponibili nella registrazione combinata
La registrazione combinata supporta i metodi e le azioni di autenticazione nella tabella seguente.
| Metodo | Registrazione | Modifica | Elimina |
|---|---|---|---|
| Microsoft Authenticator | Sì (massimo 5) | No | Sì |
| Altra app di autenticazione | Sì (massimo 5) | No | Sì |
| Token hardware | No | No | Sì |
| Telefono | Sì | Sì | Sì |
| Telefono alternativo | Sì | Sì | Sì |
| Telefono ufficio* | Sì | Sì | Sì |
| Sì | Sì | Sì | |
| Domande di sicurezza | Sì | No | Sì |
| Password dell'app* | Sì | No | Sì |
| Chiavi di sicurezza FIDO2* | Sì | No | Sì |
Nota
Il telefono alternativo può essere registrato solo in modalità di gestione nella pagina Informazioni di sicurezza e richiede l'abilitazione delle chiamate vocali nei criteri Metodi di autenticazione.
Il telefono di Office può essere registrato solo in modalità Di interruzione se la proprietà Business phone è stata impostata. Il telefono di Office può essere aggiunto dagli utenti in modalità gestita dalle informazioni di sicurezza senza questo requisito.
Le password delle app sono disponibili solo per gli utenti che sono stati applicati per mFA per utente. Le password dell'app non sono disponibili per gli utenti abilitati per Azure AD Multi-Factor Authentication tramite criteri di accesso condizionale.
Le chiavi di sicurezza FIDO2 possono essere aggiunte solo in modalità di gestione solo nella pagina Informazioni di sicurezza .
Gli utenti possono impostare una delle opzioni seguenti come metodo di autenticazione a più fattori predefinito.
- Microsoft Authenticator : notifica push o senza password
- Autenticazione dell'app o del token hardware - codice
- Chiamata telefonica
- SMS
Nota
I numeri di telefono virtuali non sono supportati per chiamate vocali o messaggi SMS.
Le app di autenticazione di terze parti non forniscono notifiche push. Man mano che continuiamo ad aggiungere altri metodi di autenticazione ad Azure AD, questi metodi diventano disponibili nella registrazione combinata.
Modalità di registrazione combinata
Esistono due modalità di registrazione combinata: interruzione e gestione.
- La modalità di interruzione è un'esperienza simile alla procedura guidata, presentata agli utenti quando registrano o aggiornano le informazioni di sicurezza all'accesso.
- La modalità di gestione fa parte del profilo utente e consente agli utenti di gestire le informazioni di sicurezza.
Per entrambe le modalità, gli utenti che in precedenza hanno registrato un metodo che può essere usato per Azure AD Multi-Factor Authentication devono eseguire l'autenticazione a più fattori prima di poter accedere alle informazioni di sicurezza. Gli utenti devono confermare le informazioni prima di continuare a usare i metodi registrati in precedenza.
Modalità di interruzione
La registrazione combinata rispetta sia l'autenticazione a più fattori che i criteri di reimpostazione della reimpostazione della password, se entrambi sono abilitati per il tenant. Questi criteri controllano se un utente viene interrotto per la registrazione durante l'accesso e quali metodi sono disponibili per la registrazione. Se solo un criterio di reimpostazione della reimpostazione della password è abilitato, gli utenti potranno ignorare (indefinitamente) l'interruzione della registrazione e completarla in un secondo momento.
Di seguito sono riportati scenari di esempio in cui gli utenti potrebbero essere richiesti di registrare o aggiornare le informazioni di sicurezza:
- Registrazione dell'autenticazione a più fattori applicata tramite Identity Protection: Gli utenti vengono invitati a registrare durante l'accesso. Registrano i metodi di autenticazione a più fattori e i metodi SSPR (se l'utente è abilitato per la reimpostazione della password self-service).
- Registrazione dell'autenticazione a più fattori applicata tramite l'autenticazione a più fattori per utente: Gli utenti vengono invitati a registrare durante l'accesso. Registrano i metodi di autenticazione a più fattori e i metodi SSPR (se l'utente è abilitato per la reimpostazione della password self-service).
- Registrazione dell'autenticazione a più fattori applicata tramite l'accesso condizionale o altri criteri: Gli utenti vengono invitati a registrare quando usano una risorsa che richiede l'autenticazione a più fattori. Registrano i metodi di autenticazione a più fattori e i metodi SSPR (se l'utente è abilitato per la reimpostazione della password self-service).
- La registrazione della reimpostazione Gli utenti vengono invitati a registrare durante l'accesso. Registrano solo metodi SSPR.
- Aggiornamento della reimpostazione Gli utenti devono esaminare le informazioni di sicurezza a intervalli impostati dall'amministratore. Gli utenti vengono visualizzate le informazioni e possono confermare le informazioni correnti o apportare modifiche se necessario.
Quando viene applicata la registrazione, gli utenti vengono visualizzati il numero minimo di metodi necessari per essere conformi ai criteri di autenticazione a più fattori e alla reimpostazione della reimpostazione della password, dalla maggior parte al minimo sicuro. Gli utenti che passano attraverso la registrazione combinata in cui vengono applicate sia la registrazione MFA che la registrazione SSPR e i criteri SSPR richiedono innanzitutto due metodi per registrare un metodo MFA come primo metodo e può selezionare un altro metodo specifico MFA o SSPR come secondo metodo registrato (ad esempio posta elettronica, domande di sicurezza e così via)
Si consideri lo scenario di esempio seguente:
- Un utente è abilitato per la reimpostazione della password self-service. Il criterio SSPR richiede due metodi per reimpostare e ha abilitato l'app Microsoft Authenticator, la posta elettronica e il telefono.
- Quando l'utente sceglie di registrare, sono necessari due metodi:
- L'utente viene visualizzato l'app Microsoft Authenticator e il telefono per impostazione predefinita.
- L'utente può scegliere di registrare la posta elettronica anziché l'app Authenticator o il telefono.
Quando si configura Microsoft Authenticator, l'utente può fare clic su Per configurare un metodo diverso per registrare altri metodi di autenticazione. L'elenco dei metodi disponibili è determinato dai criteri dei metodi di autenticazione per il tenant.
Il diagramma di flusso seguente descrive i metodi visualizzati a un utente quando viene interrotta la registrazione durante l'accesso:
Se è abilitata sia l'autenticazione a più fattori che la reimpostazione della reimpostazione della password, è consigliabile applicare la registrazione dell'autenticazione a più fattori.
Se i criteri di reimpostazione della password di accesso richiedono agli utenti di esaminare le informazioni di sicurezza a intervalli regolari, gli utenti vengono interrotti durante l'accesso e visualizzati tutti i metodi registrati. Possono confermare le informazioni correnti se sono aggiornate oppure possono apportare modifiche se necessario. Gli utenti devono eseguire l'autenticazione a più fattori per accedere a questa pagina.
Modalità di gestione
Gli utenti possono accedere alla https://aka.ms/mysecurityinfo modalità di gestione passando o selezionando Informazioni di sicurezza dall'account personale. Da qui, gli utenti possono aggiungere metodi, eliminare o modificare i metodi esistenti, modificare il metodo predefinito e altro ancora.
Scenari di utilizzo chiave
Configurare le informazioni di sicurezza durante l'accesso
Un amministratore ha applicato la registrazione.
Un utente non ha configurato tutte le informazioni di sicurezza necessarie e passa alla portale di Azure. Dopo aver immesso il nome utente e la password, viene richiesto all'utente di configurare le informazioni di sicurezza. L'utente segue quindi i passaggi illustrati nella procedura guidata per configurare le informazioni di sicurezza necessarie. Se le impostazioni lo consentono, l'utente può scegliere di configurare metodi diversi da quelli visualizzati per impostazione predefinita. Dopo aver completato la procedura guidata, esamina i metodi configurati e il relativo metodo predefinito per l'autenticazione a più fattori. Per completare il processo di installazione, l'utente conferma le informazioni e continua alla portale di Azure.
Configurare le informazioni di sicurezza dall'account personale
Un amministratore non ha applicato la registrazione.
Un utente che non ha ancora configurato tutte le informazioni di sicurezza necessarie passa a https://myaccount.microsoft.com. L'utente seleziona Informazioni di sicurezza nel riquadro sinistro. Da qui, l'utente sceglie di aggiungere un metodo, seleziona uno dei metodi disponibili e segue la procedura per configurare tale metodo. Al termine, l'utente vede il metodo configurato nella pagina Informazioni di sicurezza.
Configurare altri metodi dopo la registrazione parziale
Se un utente ha soddisfatto parzialmente la registrazione MFA o SSPR a causa delle registrazioni dei metodi di autenticazione esistenti eseguite dall'utente o dall'amministratore, gli utenti verranno chiesto solo di registrare informazioni aggiuntive consentite dalle impostazioni dei criteri dei metodi di autenticazione quando è necessaria la registrazione. Se più di un altro metodo di autenticazione è disponibile per l'utente per scegliere e registrare, verrà visualizzata un'opzione sull'esperienza di registrazione denominata Voglio configurare un altro metodo e consentire all'utente di configurare il metodo di autenticazione desiderato.
Eliminare le informazioni di sicurezza dall'account personale
Un utente che ha configurato in precedenza almeno un metodo passa a https://aka.ms/mysecurityinfo. L'utente sceglie di eliminare uno dei metodi registrati in precedenza. Al termine, l'utente non vede più il metodo nella pagina Informazioni di sicurezza.
Modificare il metodo predefinito da Account personale
Un utente che ha configurato in precedenza almeno un metodo che può essere usato per l'autenticazione a più fattori passa a https://aka.ms/mysecurityinfo. L'utente modifica il metodo predefinito corrente in un metodo predefinito diverso. Al termine, l'utente visualizza il nuovo metodo predefinito nella pagina Informazioni di sicurezza.
Cambia directory
Un'identità esterna, ad esempio un utente B2B, potrebbe dover cambiare la directory per modificare le informazioni di registrazione della sicurezza per un tenant di terze parti. Inoltre, gli utenti che accedono a un tenant di risorse possono essere confusi quando modificano le impostazioni nel tenant home, ma non visualizzano le modifiche riflesse nel tenant della risorsa.
Ad esempio, un utente imposta la notifica push dell'app Microsoft Authenticator come autenticazione primaria per accedere al tenant home e dispone anche di SMS/Testo come un'altra opzione. Questo utente è configurato anche con l'opzione SMS/Text in un tenant di risorse. Se questo utente rimuove SMS/Testo come una delle opzioni di autenticazione nel tenant principale, viene confuso quando l'accesso al tenant della risorsa chiede loro di rispondere al messaggio SMS/Testo.
Per cambiare la directory nella portale di Azure, fare clic sul nome dell'account utente nell'angolo in alto a destra e fare clic su Cambia directory.
In alternativa, è possibile specificare un tenant in base all'URL per accedere alle informazioni di sicurezza.
https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>
https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>
Passaggi successivi
Per iniziare, vedere le esercitazioni per abilitare la reimpostazione della password self-service e abilitare Azure AD Multi-Factor Authentication.
Informazioni su come abilitare la registrazione combinata nel tenant o forzare gli utenti a registrare nuovamente i metodi di autenticazione.
È anche possibile esaminare i metodi disponibili per Azure AD Multi-Factor Authentication e SSPR.