Configurare le impostazioni di Azure AD Multi-Factor Authentication

  • Articolo

Per personalizzare l'esperienza utente finale per Azure AD Multi-Factor Authentication, è possibile configurare le opzioni per le impostazioni, ad esempio soglie di blocco dell'account o avvisi e notifiche di frode. Alcune impostazioni sono disponibili direttamente nella portale di Azure per Azure Active Directory (Azure AD) e alcuni sono presenti in un portale di Azure AD Multi-Factor Authentication separato.

Le impostazioni di Azure AD Multi-Factor Authentication seguenti sono disponibili nella portale di Azure:

Funzionalità Descrizione
Blocco dell'account Blocca temporaneamente gli account dall'uso di Azure AD Multi-Factor Authentication se sono presenti troppi tentativi di autenticazione negati in una riga. Questa funzionalità si applica solo agli utenti che immettono un PIN per l'autenticazione. (solo server MFA)
Blocca/Sblocca utenti Impedire agli utenti specifici di ricevere richieste di Azure AD Multi-Factor Authentication. Eventuali tentativi di autenticazione per gli utenti bloccati vengono negati automaticamente. Gli utenti rimangono bloccati per 90 giorni dal momento in cui vengono bloccati o finché non vengono sbloccati manualmente.
Segnalare attività sospette Configurare le impostazioni che consentono agli utenti di segnalare richieste di verifica fraudolente.
Notifications Abilita le notifiche degli eventi dal server MFA.
Token OATH Usato negli ambienti Azure AD Multi-Factor Authentication basati sul cloud per gestire i token OATH per gli utenti.
Impostazioni telefonata Permette di configurare le impostazioni correlate a chiamate telefoniche e messaggi di saluto per gli ambienti cloud e locali.
Providers Verrà visualizzato qualsiasi provider di autenticazione esistente associato all'account. L'aggiunta di nuovi provider è disabilitata a partire dal 1° settembre 2018.

Portale di Azure - Impostazioni di Azure AD Multi-Factor Authentication

Blocco dell'account

Per evitare tentativi ripetuti di autenticazione a più fattori durante un attacco, le impostazioni di blocco dell'account consentono di specificare il numero di tentativi non riusciti da consentire prima che l'account venga bloccato per un periodo di tempo. Le impostazioni di blocco dell'account vengono applicate solo quando viene immesso un codice PIN per il prompt MFA.

Sono disponibili le impostazioni seguenti:

  • Numero di negazioni MFA che attivano il blocco dell'account
  • Minuti di attesa per la reimpostazione del contatore del blocco dell'account
  • Minuti di attesa per lo sblocco automatico dell'account

Per configurare le impostazioni di blocco dell'account, completare questa procedura:

  1. Accedere al portale di Azure come amministratore.

  2. Passare a Bloccoaccountdi autenticazione> a più fattoridi Sicurezza> di Azure Active Directory>.

  3. Immettere i valori per l'ambiente e quindi selezionare Salva.

    Screenshot che mostra le impostazioni di blocco dell'account nell'portale di Azure.

Bloccare e sbloccare utenti

Se il dispositivo di un utente viene perso o rubato, è possibile bloccare i tentativi di Azure AD Multi-Factor Authentication per l'account associato. Tutti i tentativi di Azure AD Multi-Factor Authentication per gli utenti bloccati vengono negati automaticamente. Gli utenti rimangono bloccati per 90 giorni dal momento in cui vengono bloccati. Per un video che spiega come eseguire questa operazione, vedere come bloccare e sbloccare gli utenti nel tenant.

Bloccare un utente

Per bloccare un utente, completare la procedura seguente.

Guardare un breve video che descrive questo processo.

  1. Passare ad Azure Active Directory>Security>Multifactor authentication>Block/sblocca utenti.
  2. Selezionare Aggiungi per bloccare un utente.
  3. Immettere il nome utente per l'utente bloccato nel formato username@domain.come quindi specificare un commento nella casella Motivo .
  4. Selezionare OK per bloccare l'utente.

Sbloccare un utente

Per sbloccare un utente, completare la procedura seguente:

  1. Passare ad Azure Active Directory>Security>Multifactor authentication>Block/sblocca utenti.
  2. Nella colonna Azione accanto all'utente selezionare Sblocca.
  3. Immettere un commento nella casella Motivo per sbloccare .
  4. Selezionare OK per sbloccare l'utente.

Segnalare attività sospette

È ora disponibile un'anteprima dell'attività sospetta del report, la funzionalità di avviso di frode MFA aggiornata. Quando viene ricevuta una richiesta MFA sconosciuta e sospetta, gli utenti possono segnalare il tentativo di frode usando Microsoft Authenticator o tramite il telefono. Questi avvisi sono integrati con Identity Protection per una copertura e una funzionalità più completa.

Gli utenti che segnalano un prompt MFA come sospetto sono impostati su Alto rischio utente. Gli amministratori possono usare criteri basati sui rischi per limitare l'accesso per questi utenti o abilitare la reimpostazione della password self-service per risolvere i problemi in modo autonomo. Se in precedenza è stata usata la funzionalità di blocco automatico degli avvisi di frode e non si dispone di una licenza azure AD P2 per i criteri basati sui rischi, è possibile usare gli eventi di rilevamento dei rischi per identificare e disabilitare gli utenti interessati e impedire automaticamente l'accesso. Per altre informazioni sull'uso dei criteri basati sui rischi, vedere Criteri di accesso basati sui rischi.

Per abilitare l'attività sospetta del report dalle impostazioni dei metodi di autenticazione:

  1. Nella portale di Azure fare clic su Impostazionidei metodi> di autenticazionedella sicurezza> di Azure Active Directory>.
  2. Impostare l'attività sospetta del report su abilitata.
  3. Selezionare Tutti gli utenti o un gruppo specifico.

Visualizzare gli eventi di attività sospetti

Quando un utente segnala un prompt MFA come sospetto, l'evento viene visualizzato nel report Accessi (come accesso rifiutato dall'utente), nei log di controllo e nel report Rilevamenti rischi.

  • Per visualizzare il report dei rilevamenti dei rischi, selezionare Rilevamento dei rischidi Sicurezza>> di Azure Active Directory>. L'evento di rischio fa parte del report di rilevamento dei rischi standard e verrà visualizzato come tipo di rilevamento dell'utente sospetto segnalato attività sospetta, livello di rischio alto, utente finale di origine segnalato.

  • Per visualizzare i report sulle frodi nel report Accessi, selezionare Dettaglidi autenticazionedei log> di accesso di Azure Active Directory>. Il report sulle frodi fa parte del report degli accessi standard di Azure AD e viene visualizzato nel dettaglio dei risultati come negato dall'autenticazione a più fattori, codice di frode immesso.

  • Per visualizzare i report sulle frodi nei log di controllo, selezionareLog di controllodi Azure Active Directory>. Il report sulle frodi viene visualizzato in Frodi del tipo di attività segnalate: l'utente viene bloccato per L'autenticazione a più fattori o frodi segnalate, nessuna azione eseguita in base alle impostazioni a livello di tenant per il report sulle frodi.

Gestire gli eventi di attività sospetti

Dopo che un utente ha segnalato un prompt come sospetto, il rischio deve essere analizzato e correzione con Identity Protection.

Segnalare attività sospette e avvisi di frode

Segnalare attività sospette e l'implementazione dell'avviso di frode legacy può funzionare in parallelo. È possibile mantenere la funzionalità di avviso di frode a livello di tenant mentre si inizia a usare l'attività sospetta del report con un gruppo di test mirato.

Se l'avviso di frode è abilitato con blocco automatico e l'attività sospetta del report è abilitata, l'utente verrà aggiunto all'elenco di blocchi e impostato come a rischio elevato e nell'ambito per qualsiasi altro criterio configurato. Questi utenti devono essere rimossi dall'elenco di blocchi e hanno il rischio di correggere il rischio per consentire loro di accedere con MFA.

Notifiche

È possibile configurare Azure AD per inviare notifiche tramite posta elettronica quando gli utenti segnalano avvisi di frode. Queste notifiche vengono in genere inviate agli amministratori delle identità, perché le credenziali dell'account dell'utente sono probabilmente compromesse. Nell'esempio seguente viene illustrato l'aspetto di un messaggio di posta elettronica di notifica degli avvisi di frode:

Screenshot che mostra un messaggio di posta elettronica di notifica degli avvisi di frode.

Per configurare le notifiche di avviso di frode:

  1. Passare aNotifiche disicurezza>multi-factor authentication> di Azure Active Directory>.
  2. Immettere l'indirizzo di posta elettronica a cui inviare la notifica.
  3. Per rimuovere un indirizzo di posta elettronica esistente, selezionare ... accanto all'indirizzo di posta elettronica e quindi selezionare Elimina.
  4. Selezionare Salva.

Token OATH

Azure AD supporta l'uso di token SHA-1 OATH TOTP che aggiornano i codici ogni 30 o 60 secondi. È possibile acquistare questi token dal fornitore della propria scelta.

I token hardware OATH TOTP sono in genere dotati di una chiave privata o di un seme pre-programmato nel token. È necessario immettere queste chiavi in Azure AD, come descritto nella procedura seguente. Le chiavi segrete sono limitate a 128 caratteri, che potrebbero non essere compatibili con tutti i token. La chiave privata può contenere solo i caratteri a-z o A-Z e le cifre da 1 a 7. Deve essere codificato in Base32.

I token hardware OATH TOTP programmabili di cui è possibile generare un nuovo seme possono anche essere configurati con Azure AD nel flusso di configurazione del token software.

I token hardware OATH sono supportati come parte di un'anteprima pubblica. Per altre informazioni sulle anteprime, vedere Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure.

Screenshot che mostra la sezione Token OATH.

Dopo aver acquisito i token, è necessario caricarli in un formato di file con valori delimitati da virgole (CSV). Includere l'UPN, il numero di serie, la chiave privata, l'intervallo di tempo, il produttore e il modello, come illustrato nell'esempio seguente:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Nota

Assicurarsi di includere la riga di intestazione nel file CSV.

Un amministratore può accedere al portale di Azure, passare a TokenOATH di autenticazione > apiù fattoridiSicurezza> di Azure Active Directory> e caricare il file CSV.

A seconda delle dimensioni del file CSV, l'elaborazione potrebbe richiedere alcuni minuti. Selezionare Aggiorna per ottenere lo stato. Se si verificano errori nel file, è possibile scaricare un file CSV che li elenca. I nomi dei campi nel file CSV scaricato sono diversi da quelli nella versione caricata.

Dopo aver risolto eventuali errori, l'amministratore può attivare ogni chiave selezionando Attiva per il token e immettendo OTP visualizzato nel token.

Gli utenti possono avere una combinazione di fino a cinque token hardware OATH o applicazioni di autenticazione, ad esempio l'app Microsoft Authenticator, configurate per l'uso in qualsiasi momento.

Importante

Assicurarsi di assegnare ogni token solo a un singolo utente. In futuro, il supporto per l'assegnazione di un singolo token a più utenti smetterà di prevenire un rischio per la sicurezza.

Impostazioni telefonata

Se gli utenti ricevono chiamate telefoniche per le richieste MFA, è possibile configurare la propria esperienza, ad esempio l'ID chiamante o il messaggio di saluto vocale che sente.

Nel Stati Uniti, se non è stato configurato l'ID chiamante MFA, le chiamate vocali da Microsoft provengono dal numero seguente. Gli utenti con filtri di posta indesiderata devono escludere questo numero.

  • +1 (855) 330-8653

Nota

Quando le chiamate di Azure AD Multi-Factor Authentication vengono effettuate tramite la rete telefonica pubblica, a volte le chiamate vengono instradate tramite un gestore telefonico che non supporta l'ID chiamante. Per questo motivo, l'ID chiamante non è garantito, anche se Azure AD Multi-Factor Authentication lo invia sempre. Questo vale sia per le chiamate telefoniche che per i messaggi di testo forniti da Azure AD Multi-Factor Authentication. Se è necessario verificare che un sms provena da Azure AD Multi-Factor Authentication, vedere Quali codici brevi SMS vengono usati per l'invio di messaggi?.

Per configurare il proprio numero ID chiamante, completare la procedura seguente:

  1. Passare ad Azure Active DirectorySecurity> Multifactor authenticationPhone call settings (Impostazioni chiamate telefonico perl'autenticazione> a più fattori di Sicurezza di Azure Active Directory>).
  2. Impostare il numero ID chiamante MFA sul numero che si desidera che gli utenti visualizzino sui loro telefoni. Sono consentiti solo numeri degli Stati Uniti.
  3. Selezionare Salva.

Messaggi vocali personalizzati

È possibile usare registrazioni personalizzate o messaggi di saluto per Azure AD Multi-Factor Authentication. Questi messaggi possono essere usati oltre alle registrazioni Microsoft predefinite o per sostituirli.

Prima di iniziare, tenere presente le seguenti restrizioni:

  • I formati di file supportati sono WAV e MP3.
  • La dimensione massima dei file è 1 MB.
  • I messaggi di autenticazione devono avere una durata inferiore a 20 secondi. Se i messaggi durano più di 20 secondi, è possibile che la verifica abbia esito negativo. Se l'utente non risponde prima del completamento del messaggio, si verifica il timeout della verifica.

Comportamento per la lingua del messaggio personalizzato

Quando un messaggio vocale personalizzato viene riprodotto all'utente, la lingua del messaggio dipende dai fattori seguenti:

  • Lingua dell'utente.
    • Lingua rilevata dal browser dell'utente.
    • Altri scenari di autenticazione potrebbero comportarsi in modo diverso.
  • Lingua degli eventuali messaggi personalizzati disponibili.
    • Questa lingua viene scelta dall'amministratore quando viene aggiunto un messaggio personalizzato.

Ad esempio, se è presente un solo messaggio personalizzato ed è in tedesco:

  • Un utente che esegue l'autenticazione in lingua tedesca ascolterà il messaggio personalizzato in tedesco.
  • Il messaggio inglese standard verrà riprodotto per un utente che esegue l'autenticazione in lingua inglese.

Valori predefiniti dei messaggi vocali personalizzati

È possibile usare gli script di esempio seguenti per creare messaggi personalizzati. Queste frasi sono le impostazioni predefinite se non si configurano messaggi personalizzati.

Nome messaggio Script
Autenticazione riuscita L'accesso è stato verificato correttamente. Arrivederci.
Richiesta interno Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere il tasto cancelletto per continuare.
Conferma delle frodi È stato inviato un avviso di illecito. Per sbloccare l'account, contattare l'help desk IT della società.
Messaggio di saluto illecito (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica. Se non si è avviato personalmente la procedura di verifica, è possibile che qualcuno stia tentando di accedere all'account. Premere 0 seguito da cancelletto per inviare un avviso di illecito, in modo da informare il team IT della società e bloccare ulteriori tentativi di verifica.
Frode segnalata È stato inviato un avviso di illecito. Per sbloccare l'account, contattare l'help desk IT della società.
Activation Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Autenticazione negata - Nuovo tentativo Verifica non consentita.
Riprova (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Saluto (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Messaggio introduttivo (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica.
Messaggio introduttivo illecito (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica. Se non si è avviato personalmente la procedura di verifica, è possibile che qualcuno stia tentando di accedere all'account. Premere 0 seguito da cancelletto per inviare un avviso di illecito, in modo da informare il team IT della società e bloccare ulteriori tentativi di verifica.
Riprovare (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica.
Richiesta interno dopo i numeri Se si risponde già a questo interno, premere cancelletto per continuare.
Autenticazione negata Al momento non è possibile effettuare l'accesso. Riprovare più tardi.
Saluto di attivazione (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Tentativo di attivazione (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Messaggio introduttivo di attivazione (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica.
Richiesta interno prima dei numeri Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Trasferire questa chiamata all'estensione<>.

Configurare un messaggio personalizzato

Per usare i propri messaggi personalizzati, seguire questa procedura:

  1. Passare ad Azure Active DirectorySecurity> Multifactor authenticationPhone call settings (Impostazioni chiamate telefonico perl'autenticazione> a più fattori di Sicurezza di Azure Active Directory>).
  2. Selezionare Aggiungi messaggio di saluto.
  3. Scegliere il tipo di messaggio di saluto, ad esempio Greeting (standard) o Authentication successful .Choose the Type of greeting, such as Greeting (standard) orAuthentication successful.
  4. Selezionare la lingua. Vedere la sezione precedente sul comportamento personalizzato della lingua dei messaggi.
  5. Cercare e selezionare un file audio .mp3 o wav da caricare.
  6. Selezionare Aggiungi e quindi Salva.

Impostazioni del servizio MFA

Le impostazioni per le password delle app, gli INDIRIZZI IP attendibili, le opzioni di verifica e la memorizzazione dell'autenticazione a più fattori nei dispositivi attendibili sono disponibili nelle impostazioni del servizio. Si tratta di un portale legacy. Non fa parte del normale portale di Azure.

È possibile accedere alle impostazioni del servizio dal portale di Azure passando ad Autenticazione apiù fattori>di Sicurezza> di Azure Active Directory>Getting started> ConfigureAdditional cloud-based MFA settings (Configurare impostazioni MFA aggiuntive> basate sul cloud). Viene visualizzata una finestra o una scheda con opzioni aggiuntive per le impostazioni del servizio.

Indirizzi IP attendibili

La funzionalità indirizzi IP attendibili di Azure AD Multi-Factor Authentication ignora le richieste di autenticazione a più fattori per gli utenti che accedono da un intervallo di indirizzi IP definito. È possibile impostare intervalli IP attendibili per gli ambienti locali. Quando gli utenti si trovano in una di queste posizioni, non è disponibile alcun prompt di autenticazione a più fattori di Azure AD. La funzionalità IP attendibili richiede l'edizione Azure Active Directory Premium P1.

Nota

Gli indirizzi IP attendibili possono includere intervalli IP privati solo quando si usa il server MFA. Per Azure AD Multi-Factor Authentication basato sul cloud, è possibile usare solo intervalli di indirizzi IP pubblici.

Gli intervalli IPv6 sono supportati solo nell'interfaccia Percorsi denominati (anteprima).

Se l'organizzazione usa l'estensione Server dei criteri di rete per fornire l'autenticazione a più fattori alle applicazioni locali, l'indirizzo IP di origine sarà sempre il server dei criteri di rete attraverso il quale il tentativo di autenticazione passa.

Tipo di tenant di Azure AD Opzioni di funzionalità IP attendibili
Gestione Intervallo specifico di indirizzi IP: gli amministratori specificano un intervallo di indirizzi IP che possono ignorare le autenticazioni a più fattori per gli utenti che accedono dalla intranet aziendale. È possibile configurare un massimo di 50 intervalli IP attendibili.
Federato Tutti gli utenti federati: tutti gli utenti federati che accedono dall'interno dell'organizzazione possono ignorare le autenticazioni a più fattori. Gli utenti ignorano le verifiche usando un'attestazione rilasciata da Active Directory Federation Services (AD FS).
Intervallo specifico di indirizzi IP: gli amministratori specificano un intervallo di indirizzi IP che possono ignorare l'autenticazione a più fattori per gli utenti che accedono dalla intranet aziendale.

Il bypass IP attendibile funziona solo dall'interno della intranet aziendale. Se si seleziona l'opzione Tutti gli utenti federati e un utente accede dall'esterno della intranet aziendale, l'utente deve eseguire l'autenticazione usando l'autenticazione a più fattori. Il processo è lo stesso anche se l'utente presenta un'attestazione AD FS.

Esperienza utente all'interno della rete aziendale

Quando la funzionalità indirizzi IP attendibili è disabilitata, per i flussi del browser è necessaria l'autenticazione a più fattori. Le password delle app sono necessarie per le applicazioni rich-client meno recenti.

Quando vengono usati indirizzi IP attendibili, l'autenticazione a più fattori non è necessaria per i flussi del browser. Le password delle app non sono necessarie per le applicazioni rich-client meno recenti se l'utente non ha creato una password dell'app. Dopo l'uso di una password dell'app, è necessaria la password.

Esperienza utente esterna alla rete aziendale

Indipendentemente dal fatto che siano definiti indirizzi IP attendibili, per i flussi del browser è necessaria l'autenticazione a più fattori. Le password delle app sono necessarie per le applicazioni rich-client meno recenti.

Abilitare le località denominate con l'accesso condizionale

È possibile usare le regole di accesso condizionale per definire percorsi denominati attenendosi alla procedura seguente:

  1. Nella portale di Azure cercare e selezionare Azure Active Directory e quindi passare a Percorsidenominatiper l'accesso> condizionale per la sicurezza>.
  2. Selezionare Nuova località.
  3. Immettere un nome per la località.
  4. Selezionare Contrassegna come posizione attendibile.
  5. Immettere l'intervallo IP per l'ambiente in notazione CIDR. Ad esempio, 40.77.182.32/27.
  6. Selezionare Crea.

Abilitare la funzionalità indirizzi IP attendibili usando l'accesso condizionale

Per abilitare indirizzi IP attendibili usando i criteri di accesso condizionale, seguire questa procedura:

  1. Nella portale di Azure cercare e selezionare Azure Active Directory e quindi passare a Percorsidenominatiper l'accesso> condizionale per la sicurezza>.

  2. Selezionare Configura indirizzi IP attendibili MFA.

  3. Nella pagina Impostazioni servizio , in Indirizzi IP attendibili, scegliere una delle opzioni seguenti:

    • Per le richieste provenienti da utenti federati provenienti dalla rete Intranet: per scegliere questa opzione, selezionare la casella di controllo. Tutti gli utenti federati che accedono dalla rete aziendale ignorano le autenticazioni a più fattori usando un'attestazione rilasciata da AD FS. Assicurarsi che AD FS abbia una regola per aggiungere l'attestazione intranet al traffico appropriato. Se la regola non esiste, creare la regola seguente in AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Per le richieste provenienti da un intervallo specifico di indirizzi IP pubblici: per scegliere questa opzione, immettere gli indirizzi IP nella casella di testo, in notazione CIDR.

      • Per gli indirizzi IP inclusi nell'intervallo da xxx.xxx.xxx.1 a xxx.xxx.xxx.254, usare la notazione come xxx.xxx.xxx.0/24.
      • Per un singolo indirizzo IP, usare la notazione come xxx.xxx.xxx.xxx/32.
      • Immettere fino a 50 intervalli di indirizzi IP. Gli utenti che accedono da questi indirizzi IP ignorano le autenticazioni a più fattori.

  4. Selezionare Salva.

Abilitare la funzionalità indirizzi IP attendibili usando le impostazioni del servizio

Se non si vogliono usare criteri di accesso condizionale per abilitare indirizzi IP attendibili, è possibile configurare le impostazioni del servizio per Azure AD Multi-Factor Authentication seguendo questa procedura:

  1. Nella portale di Azure cercare e selezionare Azure Active Directory e quindi selezionare Utenti.

  2. Selezionare MFA per utente.

  3. In Multi-Factor Authentication nella parte superiore della pagina selezionare Impostazioni del servizio.

  4. Nella pagina impostazioni del servizio , in Indirizzi IP attendibili, scegliere una o entrambe le opzioni seguenti:

    • Per le richieste di utenti federati nella rete Intranet: per scegliere questa opzione, selezionare la casella di controllo. Tutti gli utenti federati che accedono dalla rete aziendale ignorano l'autenticazione a più fattori usando un'attestazione rilasciata da AD FS. Assicurarsi che AD FS abbia una regola per aggiungere l'attestazione intranet al traffico appropriato. Se la regola non esiste, creare la regola seguente in AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Per le richieste provenienti da un intervallo specificato di subnet di indirizzi IP: per scegliere questa opzione, immettere gli indirizzi IP nella casella di testo, in notazione CIDR.

      • Per gli indirizzi IP inclusi nell'intervallo da xxx.xxx.xxx.1 a xxx.xxx.xxx.254, usare la notazione come xxx.xxx.xxx.0/24.
      • Per un singolo indirizzo IP, usare la notazione come xxx.xxx.xxx.xxx/32.
      • Immettere fino a 50 intervalli di indirizzi IP. Gli utenti che accedono da questi indirizzi IP ignorano le autenticazione a più fattori.

  5. Selezionare Salva.

Metodi di verifica

È possibile scegliere i metodi di verifica disponibili per gli utenti nel portale delle impostazioni del servizio. Quando gli utenti registrano gli account per Azure AD Multi-Factor Authentication, scelgono il metodo di verifica preferito dalle opzioni abilitate. Le indicazioni per il processo di registrazione utente vengono fornite in Configurare l'account personale per l'autenticazione a più fattori.

Sono disponibili i metodi di verifica seguenti:

Metodo Descrizione
Chiamata al telefono Invia una chiamata vocale automatizzata. L'utente risponde alla chiamata e preme # sul telefono per l'autenticazione. Il numero di telefono non è sincronizzato con Active Directory locale.
SMS al telefono Invia un messaggio di testo contenente un codice di verifica. All'utente viene richiesto di immettere il codice di verifica nell'interfaccia di accesso. Questo processo è denominato SMS unidirezionale. L'SMS bidirezionale significa che l'utente deve disporre il testo in un codice specifico. L'SMS bidirezionale è deprecato e non è supportato a partire dal 14 novembre 2018. Gli amministratori devono abilitare un altro metodo per gli utenti che in precedenza usavano l'SMS bidirezionale.
Notifica tramite app per dispositivi mobili Invia una notifica push al telefono o al dispositivo registrato dell'utente. L'utente visualizza la notifica e seleziona Verifica per completare la verifica. L'app Microsoft Authenticator è disponibile per Windows Phone, Android e IOS.
Codice di verifica dall'app per dispositivi mobili o dal token hardware L'app Microsoft Authenticator genera un nuovo codice di verifica OATH ogni 30 secondi. L'utente immette il codice di verifica nell'interfaccia di accesso. L'app Microsoft Authenticator è disponibile per Windows Phone, Android e IOS.

Per altre informazioni, vedere Quali metodi di autenticazione e verifica sono disponibili in Azure AD?.

Abilitare e disabilitare i metodi di verifica

Per abilitare o disabilitare i metodi di verifica, completare la procedura seguente:

  1. Nella portale di Azure cercare e selezionare Azure Active Directory e quindi selezionare Utenti.
  2. Selezionare MFA per utente.
  3. In Autenticazione a più fattori nella parte superiore della pagina selezionare impostazioni del servizio.
  4. Nella pagina impostazioni del servizio selezionare o deselezionare le caselle di controllo appropriate.
  5. Selezionare Salva.

Ricordare l'autenticazione a più fattori

La funzionalità di autenticazione a più fattori ricorda consente agli utenti di ignorare le verifiche successive per un numero specificato di giorni, dopo aver eseguito l'accesso a un dispositivo tramite MFA. Per migliorare l'usabilità e ridurre al minimo il numero di volte in cui un utente deve eseguire MFA in un determinato dispositivo, selezionare una durata di 90 giorni o più.

Importante

Se un account o un dispositivo è compromesso, tenere presente che L'autenticazione a più fattori per i dispositivi attendibili può influire sulla sicurezza. Se un account aziendale viene compromesso o un dispositivo attendibile viene smarrito o rubato, è necessario revocare le sessioni MFA.

L'azione revoca lo stato attendibile da tutti i dispositivi e l'utente deve eseguire nuovamente l'autenticazione a più fattori. È anche possibile indicare agli utenti di ripristinare lo stato MFA originale nei propri dispositivi, come indicato in Gestire le impostazioni per l'autenticazione a più fattori.

Funzionamento della funzionalità

La funzionalità di autenticazione a più fattori consente di impostare un cookie persistente nel browser quando un utente seleziona l'opzione Non chiedere di nuovo x giorni all'accesso. L'utente non viene richiesto di nuovo per l'autenticazione a più fattori dal browser fino alla scadenza del cookie. Se l'utente apre un browser diverso nello stesso dispositivo o cancella i cookie, viene richiesto di nuovo di verificare.

L'opzione Non chiedere di nuovo x giorni non viene visualizzata nelle applicazioni non browser, indipendentemente dal fatto che l'app supporti l'autenticazione moderna. Queste app usano token di aggiornamento che creano nuovi token di accesso ogni ora. Quando viene convalidato un token di aggiornamento, Azure AD verifica che l'ultima autenticazione a più fattori si sia verificata entro il numero specificato di giorni.

La funzionalità riduce il numero di autenticazioni per le app Web, che in genere viene richiesta ogni volta. La funzionalità può aumentare il numero di autenticazione per i client di autenticazione moderni che normalmente richiedono ogni 180 giorni, se viene configurata una durata inferiore. Potrebbe anche aumentare il numero di autenticazione quando si combinano con i criteri di accesso condizionale.

Importante

La funzionalità di autenticazione a più fattori non è compatibile con la funzionalità di accesso di AD FS, quando gli utenti eseguono l'autenticazione a più fattori per AD FS tramite MFA Server o una soluzione di autenticazione a più fattori di terze parti.

Se gli utenti selezionano mantieni l'accesso in AD FS e contrassegnano anche il dispositivo come attendibile per L'autenticazione a più fattori, l'utente non viene verificato automaticamente dopo la scadenza del numero di giorni di autenticazione a più fattori . Azure AD richiede una nuova autenticazione a più fattori, ma AD FS restituisce un token con l'attestazione EFA originale e la data, anziché eseguire nuovamente l'autenticazione a più fattori. Questa reazione attiva un ciclo di verifica tra Azure AD e AD FS.

La funzionalità di autenticazione a più fattori non è compatibile con gli utenti B2B e non sarà visibile agli utenti B2B quando accedono ai tenant invitati.

La funzionalità di autenticazione a più fattori non è compatibile con il controllo accesso condizionale di frequenza. Per altre informazioni, vedere Configurare la gestione delle sessioni di autenticazione con l'accesso condizionale.

Abilitare l'autenticazione a più fattori di memorizzazione

Per abilitare e configurare l'opzione per consentire agli utenti di ricordare lo stato MFA e ignorare le richieste, completare la procedura seguente:

  1. Nella portale di Azure cercare e selezionare Azure Active Directory e quindi selezionare Utenti.
  2. Selezionare MFA per utente.
  3. In Autenticazione a più fattori nella parte superiore della pagina selezionare impostazioni del servizio.
  4. Nella pagina impostazioni del servizio , in tenere presente l'autenticazione a più fattori, selezionare Consenti agli utenti di ricordare l'autenticazione a più fattori nei dispositivi attendibili.
  5. Impostare il numero di giorni per consentire ai dispositivi attendibili di ignorare le autenticazione a più fattori. Per l'esperienza utente ottimale, estendere la durata a 90 o più giorni.
  6. Selezionare Salva.

Contrassegnare un dispositivo come attendibile

Dopo aver abilitato la funzionalità di autenticazione a più fattori , gli utenti possono contrassegnare un dispositivo come attendibile quando accedono selezionando Non chiedere di nuovo.

Passaggi successivi

Per altre informazioni, vedere Quali metodi di autenticazione e verifica sono disponibili in Azure Active Directory?