Configurare le impostazioni di Azure AD Multi-Factor Authentication

Per personalizzare l'esperienza utente finale per Azure AD Multi-Factor Authentication, è possibile configurare le opzioni per le impostazioni, ad esempio soglie di blocco dell'account o avvisi e notifiche di frode. Alcune impostazioni sono disponibili direttamente nella portale di Azure per Azure Active Directory (Azure AD) e alcuni sono presenti in un portale di Azure AD Multi-Factor Authentication separato.

Le impostazioni di Azure AD Multi-Factor Authentication seguenti sono disponibili nella portale di Azure:

Funzionalità Descrizione
Blocco dell'account Blocca temporaneamente gli account dall'uso di Azure AD Multi-Factor Authentication se sono presenti troppi tentativi di autenticazione negati in una riga. Questa funzionalità si applica solo agli utenti che immettono un PIN per l'autenticazione. (solo server MFA)
Blocca/Sblocca utenti Impedire agli utenti specifici di ricevere richieste di Azure AD Multi-Factor Authentication. Eventuali tentativi di autenticazione per gli utenti bloccati vengono negati automaticamente. Gli utenti rimangono bloccati per 90 giorni dal momento in cui vengono bloccati o fino a quando non vengono sbloccati manualmente.
Avviso di illecito Configurare le impostazioni che consentono agli utenti di segnalare richieste di verifica fraudolente.
Notifications Abilita le notifiche degli eventi dal server MFA.
Token OATH Usato negli ambienti Azure AD Multi-Factor Authentication basati sul cloud per gestire i token OATH per gli utenti.
Impostazioni telefonata Permette di configurare le impostazioni correlate a chiamate telefoniche e messaggi di saluto per gli ambienti cloud e locali.
Providers Verrà visualizzato qualsiasi provider di autenticazione esistente associato all'account. L'aggiunta di nuovi provider è disabilitata a partire dal 1° settembre 2018.

Portale di Azure - Impostazioni di Azure AD Multi-Factor Authentication

Blocco dell'account

Per evitare tentativi ripetuti di autenticazione a più fattori durante un attacco, le impostazioni di blocco dell'account consentono di specificare il numero di tentativi non riusciti da consentire prima che l'account venga bloccato per un periodo di tempo. Le impostazioni di blocco dell'account vengono applicate solo quando viene immesso un codice PIN per il prompt MFA.

Sono disponibili le impostazioni seguenti:

  • Numero di negazioni MFA che attivano il blocco dell'account
  • Minuti di attesa per la reimpostazione del contatore del blocco dell'account
  • Minuti di attesa per lo sblocco automatico dell'account

Per configurare le impostazioni di blocco dell'account, completare questa procedura:

  1. Accedere al portale di Azure come amministratore.

  2. Passare a Bloccoaccountdi autenticazione> a più fattoridi Sicurezza> di Azure Active Directory>.

  3. Immettere i valori per l'ambiente e quindi selezionare Salva.

    Screenshot che mostra le impostazioni di blocco dell'account nell'portale di Azure.

Bloccare e sbloccare utenti

Se il dispositivo di un utente viene perso o rubato, è possibile bloccare i tentativi di Azure AD Multi-Factor Authentication per l'account associato. Tutti i tentativi di Azure AD Multi-Factor Authentication per gli utenti bloccati vengono negati automaticamente. Gli utenti rimangono bloccati per 90 giorni dal momento in cui vengono bloccati. Per un video che spiega come eseguire questa operazione, vedere come bloccare e sbloccare gli utenti nel tenant.

Bloccare un utente

Per bloccare un utente, completare la procedura seguente.

Guardare un breve video che descrive questo processo.

  1. Passare ad Azure Active Directory>Security>Multifactor authentication>Block/sblocca utenti.
  2. Selezionare Aggiungi per bloccare un utente.
  3. Immettere il nome utente per l'utente bloccato nel formato username@domain.come quindi specificare un commento nella casella Motivo .
  4. Selezionare OK per bloccare l'utente.

Sbloccare un utente

Per sbloccare un utente, completare la procedura seguente:

  1. Passare ad Azure Active Directory>Security>Multifactor authentication>Block/sblocca utenti.
  2. Nella colonna Azione accanto all'utente selezionare Sblocca.
  3. Immettere un commento nella casella Motivo per sbloccare .
  4. Selezionare OK per sbloccare l'utente.

Avviso di illecito

La funzionalità di avviso di frode consente agli utenti di segnalare tentativi fraudolenti di accedere alle risorse. Quando viene ricevuto un prompt MFA sconosciuto e sospetto, gli utenti possono segnalare il tentativo di frode usando l'app Microsoft Authenticator o tramite il telefono.

Sono disponibili le seguenti opzioni di configurazione degli avvisi di frode:

  • Blocca automaticamente gli utenti che segnalano frodi. Se un utente segnala frodi, i tentativi di Azure AD Multi-Factor Authentication per l'account utente vengono bloccati per 90 giorni o finché un amministratore non sblocca l'account. Un amministratore può verificare gli accessi usando il report sugli accessi ed eseguire le azioni necessarie per prevenire illeciti nel futuro. Un amministratore può quindi sbloccare l'account dell'utente.

  • Codice per segnalare frodi durante il saluto iniziale. Quando gli utenti ricevono una chiamata telefonica per eseguire l'autenticazione a più fattori, in genere preme # per confermare l'accesso. Per segnalare un illecito, l'utente immette un codice prima di premere # . Il codice predefinito è 0, ma è possibile personalizzarlo. Se il blocco automatico è abilitato, dopo che l'utente preme 0# per segnalare le frodi, è necessario premere 1 per confermare il blocco dell'account.

    Nota

    I messaggi vocali predefiniti di Microsoft invitano gli utenti a premere 0# per inviare un avviso di illecito. Se si vuole usare un codice diverso da 0, registrare e caricare messaggi vocali personalizzati con istruzioni adeguate per l'utente.

Per abilitare e configurare gli avvisi di frode, completare la procedura seguente:

  1. Passareall'avviso Di autenticazione >a più fattoridi sicurezza> di Azure Active Directory>.
  2. Impostare Consenti agli utenti di inviare avvisi di frode su On.
  3. Configurare automaticamente gli utenti che segnalano frodi o Codice per segnalare frodi durante l'impostazione iniziale di saluto in base alle esigenze.
  4. Selezionare Salva.

Visualizzare le segnalazioni di illeciti

Quando un utente segnala frodi, l'evento viene visualizzato nel report Accessi (come accesso rifiutato dall'utente) e nei log di controllo.

  • Per visualizzare i report sulle frodi nel report Accessi, selezionare Dettaglidi autenticazionedei log> di accesso di Azure Active Directory>. Il report sulle frodi fa parte del report degli accessi standard di Azure AD e viene visualizzato nel dettaglio dei risultati come negato dall'autenticazione a più fattori , codice di frode immesso.

  • Per visualizzare i report sulle frodi nei log di controllo, selezionareLog di controllodi Azure Active Directory>. Il report sulle frodi viene visualizzato in Frodi del tipo di attività segnalate: l'utente viene bloccato per L'autenticazione a più fattori o frodi segnalate, nessuna azione eseguita in base alle impostazioni a livello di tenant per il report sulle frodi.

Notifiche

È possibile configurare Azure AD per inviare notifiche tramite posta elettronica quando gli utenti segnalano avvisi di frode. Queste notifiche vengono in genere inviate agli amministratori delle identità, perché le credenziali dell'account dell'utente sono probabilmente compromesse. Nell'esempio seguente viene illustrato l'aspetto di un messaggio di posta elettronica di notifica degli avvisi di frode:

Screenshot che mostra un messaggio di posta elettronica di notifica degli avvisi di frode.

Per configurare le notifiche di avviso di frode:

  1. Passare aNotifiche disicurezza>multi-factor authentication> di Azure Active Directory>.
  2. Immettere l'indirizzo di posta elettronica a cui inviare la notifica.
  3. Per rimuovere un indirizzo di posta elettronica esistente, selezionare ... accanto all'indirizzo di posta elettronica e quindi selezionare Elimina.
  4. Selezionare Salva.

Token OATH

Azure AD supporta l'uso di token SHA-1 OATH TOTP che aggiornano i codici ogni 30 o 60 secondi. È possibile acquistare questi token dal fornitore della propria scelta.

I token hardware OATH TOTP sono in genere dotati di una chiave privata o di un seme pre-programmato nel token. È necessario immettere queste chiavi in Azure AD, come descritto nella procedura seguente. Le chiavi segrete sono limitate a 128 caratteri, che potrebbero non essere compatibili con tutti i token. La chiave privata può contenere solo i caratteri a-z o A-Z e le cifre da 1 a 7. Deve essere codificato in Base32.

I token hardware OATH TOTP programmabili di cui è possibile generare un nuovo seme possono anche essere configurati con Azure AD nel flusso di configurazione del token software.

I token hardware OATH sono supportati come parte di un'anteprima pubblica. Per altre informazioni sulle anteprime, vedere Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure.

Screenshot che mostra la sezione Token OATH.

Dopo aver acquisito i token, è necessario caricarli in un formato di file con valori delimitati da virgole (CSV). Includere l'UPN, il numero di serie, la chiave privata, l'intervallo di tempo, il produttore e il modello, come illustrato nell'esempio seguente:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Nota

Assicurarsi di includere la riga di intestazione nel file CSV.

Un amministratore può accedere al portale di Azure, passare a TokenOATH di autenticazione > apiù fattoridiSicurezza> di Azure Active Directory> e caricare il file CSV.

A seconda delle dimensioni del file CSV, l'elaborazione potrebbe richiedere alcuni minuti. Selezionare Aggiorna per ottenere lo stato. Se si verificano errori nel file, è possibile scaricare un file CSV che li elenca. I nomi dei campi nel file CSV scaricato sono diversi da quelli nella versione caricata.

Dopo aver risolto eventuali errori, l'amministratore può attivare ogni chiave selezionando Attiva per il token e immettendo OTP visualizzato nel token.

Gli utenti possono avere una combinazione di fino a cinque token hardware OATH o applicazioni di autenticazione, ad esempio l'app Microsoft Authenticator, configurata per l'uso in qualsiasi momento.

Impostazioni telefonata

Se gli utenti ricevono chiamate telefoniche per le richieste MFA, è possibile configurare la propria esperienza, ad esempio l'ID chiamante o il messaggio di saluto vocale che sente.

Nel Stati Uniti, se non è stato configurato l'ID chiamante MFA, le chiamate vocali da Microsoft provengono dal numero seguente. Gli usi con filtri di posta indesiderata devono escludere questo numero.

  • +1 (855) 330-8653

Nota

Quando le chiamate di Azure AD Multi-Factor Authentication vengono effettuate tramite la rete telefonica pubblica, a volte le chiamate vengono instradate tramite un gestore telefonico che non supporta l'ID chiamante. Per questo motivo, l'ID chiamante non è garantito, anche se Azure AD Multi-Factor Authentication lo invia sempre. Questo vale sia per le chiamate telefoniche che per i messaggi di testo forniti da Azure AD Multi-Factor Authentication. Se è necessario verificare che un sms provena da Azure AD Multi-Factor Authentication, vedere Quali codici brevi SMS vengono usati per l'invio di messaggi?.

Per configurare il proprio numero ID chiamante, completare la procedura seguente:

  1. Passare ad Azure Active DirectorySecurity> Multifactor authenticationPhone call settings (Impostazioni chiamate telefonico perl'autenticazione> a più fattori di Sicurezza di Azure Active Directory>).
  2. Impostare il numero ID chiamante MFA sul numero che si desidera che gli utenti visualizzino sui loro telefoni. Sono consentiti solo numeri degli Stati Uniti.
  3. Selezionare Salva.

Messaggi vocali personalizzati

È possibile usare registrazioni personalizzate o messaggi di saluto per Azure AD Multi-Factor Authentication. Questi messaggi possono essere usati oltre alle registrazioni predefinite Microsoft o per sostituirli.

Prima di iniziare, tenere presente le seguenti restrizioni:

  • I formati di file supportati sono WAV e MP3.
  • La dimensione massima dei file è 1 MB.
  • I messaggi di autenticazione devono avere una durata inferiore a 20 secondi. Se i messaggi durano più di 20 secondi, è possibile che la verifica abbia esito negativo. Se l'utente non risponde prima del completamento del messaggio, si verifica il timeout della verifica.

Comportamento per la lingua del messaggio personalizzato

Quando un messaggio vocale personalizzato viene riprodotto all'utente, la lingua del messaggio dipende dai fattori seguenti:

  • Lingua dell'utente.
    • Lingua rilevata dal browser dell'utente.
    • Altri scenari di autenticazione potrebbero comportarsi in modo diverso.
  • Lingua degli eventuali messaggi personalizzati disponibili.
    • Questa lingua viene scelta dall'amministratore quando viene aggiunto un messaggio personalizzato.

Ad esempio, se è presente un solo messaggio personalizzato ed è in tedesco:

  • Un utente che esegue l'autenticazione in lingua tedesca ascolterà il messaggio personalizzato in tedesco.
  • Il messaggio inglese standard verrà riprodotto per un utente che esegue l'autenticazione in lingua inglese.

Valori predefiniti dei messaggi vocali personalizzati

È possibile usare gli script di esempio seguenti per creare messaggi personalizzati. Queste frasi sono le impostazioni predefinite se non si configurano messaggi personalizzati.

Nome messaggio Script
Autenticazione riuscita L'accesso è stato verificato correttamente. Arrivederci.
Richiesta interno Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere il tasto cancelletto per continuare.
Conferma delle frodi È stato inviato un avviso di illecito. Per sbloccare l'account, contattare l'help desk IT della società.
Messaggio di saluto illecito (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica. Se non si è avviato personalmente la procedura di verifica, è possibile che qualcuno stia tentando di accedere all'account. Premere 0 seguito da cancelletto per inviare un avviso di illecito, in modo da informare il team IT della società e bloccare ulteriori tentativi di verifica.
Frode segnalata È stato inviato un avviso di illecito. Per sbloccare l'account, contattare l'help desk IT della società.
Activation Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Autenticazione negata - Nuovo tentativo Verifica non consentita.
Riprova (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Saluto (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Messaggio introduttivo (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica.
Messaggio introduttivo illecito (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica. Se non si è avviato personalmente la procedura di verifica, è possibile che qualcuno stia tentando di accedere all'account. Premere 0 seguito da cancelletto per inviare un avviso di illecito, in modo da informare il team IT della società e bloccare ulteriori tentativi di verifica.
Riprovare (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica.
Richiesta interno dopo i numeri Se si risponde già a questo interno, premere cancelletto per continuare.
Autenticazione negata Al momento non è possibile effettuare l'accesso. Riprovare più tardi.
Saluto di attivazione (standard) Grazie per l'uso del sistema di verifica di accesso Microsoft. Premere cancelletto per completare la verifica.
Ripetizione dei tentativi di attivazione (standard) Grazie per l'uso del sistema di verifica di accesso Microsoft. Premere cancelletto per completare la verifica.
Messaggio introduttivo di attivazione (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica.
Richiesta interno prima dei numeri Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Trasferire questa chiamata all'estensione dell'estensione<>.

Configurare un messaggio personalizzato

Per usare i propri messaggi personalizzati, completare la procedura seguente:

  1. Passare alleimpostazioni delle chiamate telefonico perla>sicurezza> di Azure Active Directory>.
  2. Selezionare Aggiungi messaggio di saluto.
  3. Scegliere il tipo di saluto, ad esempio Saluto (standard) o Autenticazione riuscita.
  4. Selezionare la lingua. Vedere la sezione precedente sul comportamento personalizzato della lingua dei messaggi.
  5. Cercare e selezionare un file audio .mp3 o wav da caricare.
  6. Selezionare Aggiungi e quindi Salva.

Impostazioni del servizio MFA

Le impostazioni per le password delle app, gli INDIRIZZI IP attendibili, le opzioni di verifica e la memorizzazione dell'autenticazione a più fattori nei dispositivi attendibili sono disponibili nelle impostazioni del servizio. Si tratta di un portale legacy. Non fa parte del normale portale di Azure AD.

È possibile accedere alle impostazioni del servizio dal portale di Azure passandoall'autenticazione multifactoring>>sicurezza>di Azure Active Directory>Introduzione a Configurare>impostazioni MFA basate su cloud aggiuntive. Viene visualizzata una finestra o una scheda con opzioni aggiuntive per le impostazioni del servizio.

Indirizzi IP attendibili

La funzionalità IP attendibili dell'autenticazione a più fattori di Azure AD ignora le richieste di autenticazione a più fattori per gli utenti che accedono da un intervallo di indirizzi IP definito. È possibile impostare intervalli IP attendibili per gli ambienti locali. Quando gli utenti si trovano in una di queste posizioni, non è disponibile alcun prompt di autenticazione a più fattori di Azure AD. La funzionalità IP attendibili richiede l'edizione Azure Active Directory Premium P1.

Nota

Gli INDIRIZZI IP attendibili possono includere intervalli IP privati solo quando si usa MFA Server. Per Azure AD Multi-Factor Authentication basato sul cloud, è possibile usare solo intervalli di indirizzi IP pubblici.

Gli intervalli IPv6 sono supportati solo nell'interfaccia Percorsi denominati (anteprima).

Se l'organizzazione usa l'estensione NPS per fornire MFA alle applicazioni locali, l'indirizzo IP di origine apparirà sempre come il server dei criteri di rete che il tentativo di autenticazione scorre.

Tipo di tenant di Azure AD Opzioni di funzionalità IP attendibili
Gestita Intervallo specifico di indirizzi IP: gli amministratori specificano un intervallo di indirizzi IP che possono ignorare le autenticazione a più fattori per gli utenti che accedono dalla intranet aziendale. È possibile configurare un massimo di 50 intervalli IP attendibili.
Federato Tutti gli utenti federati: tutti gli utenti federati che accedono dall'organizzazione possono ignorare le autenticazione a più fattori. Gli utenti ignorano le verifiche usando un'attestazione rilasciata da Active Directory Federation Services (AD FS).
Intervallo specifico di indirizzi IP: gli amministratori specificano un intervallo di indirizzi IP che possono ignorare l'autenticazione a più fattori per gli utenti che accedono dalla intranet aziendale.

Il bypass IP attendibile funziona solo dall'interno della intranet aziendale. Se si seleziona l'opzione Tutti gli utenti federati e un utente accede dall'esterno della intranet aziendale, l'utente deve eseguire l'autenticazione usando l'autenticazione a più fattori. Il processo è lo stesso anche se l'utente presenta un'attestazione AD FS.

Esperienza utente all'interno della rete aziendale

Quando la funzionalità indirizzi IP attendibili è disabilitata, è necessaria l'autenticazione a più fattori per i flussi del browser. Le password delle app sono necessarie per le applicazioni rich-client meno recenti.

Quando vengono usati indirizzi IP attendibili, l'autenticazione a più fattori non è necessaria per i flussi del browser. Le password dell'app non sono necessarie per le applicazioni rich-client meno recenti se l'utente non ha creato una password dell'app. Dopo l'uso di una password dell'app, è necessaria la password.

Esperienza utente all'esterno della rete aziendale

Indipendentemente dal fatto che siano definiti indirizzi IP attendibili, è necessaria l'autenticazione a più fattori per i flussi del browser. Le password delle app sono necessarie per le applicazioni rich-client meno recenti.

Abilitare le località denominate con l'accesso condizionale

È possibile usare le regole di accesso condizionale per definire posizioni denominate seguendo questa procedura:

  1. Nella portale di Azure cercare e selezionare Azure Active Directory e quindi passare aPercorsi denominatidi accesso> condizionale per la sicurezza>.
  2. Selezionare Nuova località.
  3. Immettere un nome per la località.
  4. Selezionare Contrassegna come posizione attendibile.
  5. Immettere l'intervallo IP per l'ambiente in notazione CIDR. Ad esempio, 40.77.182.32/27.
  6. Selezionare Crea.

Abilitare la funzionalità indirizzi IP attendibili usando l'accesso condizionale

Per abilitare indirizzi IP attendibili usando i criteri di accesso condizionale, completare la procedura seguente:

  1. Nella portale di Azure cercare e selezionare Azure Active Directory e quindi passare aPercorsi denominatidi accesso> condizionale per la sicurezza>.

  2. Selezionare Configura indirizzi IP attendibili MFA.

  3. Nella pagina Impostazioni servizio , in Indirizzi IP attendibili, scegliere una delle opzioni seguenti:

    • Per le richieste provenienti da utenti federati provenienti dalla rete Intranet: per scegliere questa opzione, selezionare la casella di controllo. Tutti gli utenti federati che accedono dalla rete aziendale ignorano le autenticazione a più fattori usando un'attestazione rilasciata da AD FS. Assicurarsi che AD FS abbia una regola per aggiungere l'attestazione intranet al traffico appropriato. Se la regola non esiste, creare la regola seguente in AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Per le richieste da un intervallo specifico di indirizzi IP pubblici: per scegliere questa opzione, immettere gli indirizzi IP nella casella di testo, nella notazione CIDR.

      • Per gli indirizzi IP inclusi nell'intervallo xxx.xxx.xxx.1 fino a xxx.xxx.xxx.254, usare la notazione come xxx.xxx.xxx.0/24.
      • Per un singolo indirizzo IP, usare la notazione come xxx.xxx.xxx.xxx/32.
      • Immettere fino a 50 intervalli di indirizzi IP. Gli utenti che accedono da questi indirizzi IP ignorano le autenticazione a più fattori.
  4. Selezionare Salva.

Abilitare la funzionalità indirizzi IP attendibili usando le impostazioni del servizio

Se non si vogliono usare criteri di accesso condizionale per abilitare indirizzi IP attendibili, è possibile configurare le impostazioni del servizio per Azure AD Multi-Factor Authentication seguendo questa procedura:

  1. Nella portale di Azure cercare e selezionare Azure Active Directory e quindi selezionare Utenti.

  2. Selezionare MFA per utente.

  3. In Autenticazione a più fattori nella parte superiore della pagina selezionare impostazioni del servizio.

  4. Nella pagina impostazioni del servizio scegliere una o entrambe le opzioni seguenti in Indirizzi IP attendibili:

    • Per le richieste da utenti federati nella rete Intranet: per scegliere questa opzione, selezionare la casella di controllo. Tutti gli utenti federati che accedono dalla rete aziendale ignorano l'autenticazione a più fattori usando un'attestazione rilasciata da AD FS. Assicurarsi che AD FS abbia una regola per aggiungere l'attestazione intranet al traffico appropriato. Se la regola non esiste, creare la regola seguente in AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Per le richieste da un intervallo specificato di subnet di indirizzi IP: per scegliere questa opzione, immettere gli indirizzi IP nella casella di testo, nella notazione CIDR.

      • Per gli indirizzi IP inclusi nell'intervallo xxx.xxx.xxx.1 fino a xxx.xxx.xxx.254, usare la notazione come xxx.xxx.xxx.0/24.
      • Per un singolo indirizzo IP, usare la notazione come xxx.xxx.xxx.xxx/32.
      • Immettere fino a 50 intervalli di indirizzi IP. Gli utenti che accedono da questi indirizzi IP ignorano le autenticazione a più fattori.
  5. Selezionare Salva.

Metodi di verifica

È possibile scegliere i metodi di verifica disponibili per gli utenti nel portale delle impostazioni del servizio. Quando gli utenti registrano gli account per Azure AD Multi-Factor Authentication, scelgono il metodo di verifica preferito dalle opzioni abilitate. Le indicazioni per il processo di registrazione utente sono disponibili in Configurare l'account per l'autenticazione a più fattori.

Sono disponibili i metodi di verifica seguenti:

Metodo Descrizione
Chiamata al telefono Invia una chiamata vocale automatizzata. L'utente risponde alla chiamata e preme # sul telefono per l'autenticazione. Il numero di telefono non è sincronizzato con Active Directory locale.
SMS al telefono Invia un messaggio di testo contenente un codice di verifica. All'utente viene richiesto di immettere il codice di verifica nell'interfaccia di accesso. Questo processo è denominato SMS unidirezionale. L'SMS bidirezionale significa che l'utente deve disporre il testo in un codice specifico. L'SMS bidirezionale è deprecato e non è supportato a partire dal 14 novembre 2018. Gli amministratori devono abilitare un altro metodo per gli utenti che in precedenza usavano l'SMS bidirezionale.
Notifica tramite app per dispositivi mobili Invia una notifica push al telefono dell'utente o al dispositivo registrato. L'utente visualizza la notifica e seleziona Verifica per completare la verifica. L'app Microsoft Authenticator è disponibile per Windows Phone, Android e IOS.
Codice di verifica dall'app per dispositivi mobili o dal token hardware L'app Microsoft Authenticator genera un nuovo codice di verifica OATH ogni 30 secondi. L'utente immette il codice di verifica nell'interfaccia di accesso. L'app Microsoft Authenticator è disponibile per Windows Phone, Android e IOS.

Per altre informazioni, vedere Quali metodi di autenticazione e verifica sono disponibili in Azure AD?.

Abilitare e disabilitare i metodi di verifica

Per abilitare o disabilitare i metodi di verifica, seguire questa procedura:

  1. Nella portale di Azure cercare e selezionare Azure Active Directory e quindi selezionare Utenti.
  2. Selezionare MFA per utente.
  3. In Multi-Factor Authentication nella parte superiore della pagina selezionare Impostazioni del servizio.
  4. Nella pagina Delle impostazioni del servizio , in Opzioni di verifica, selezionare o deselezionare le caselle di controllo appropriate.
  5. Selezionare Salva.

Ricordare l'autenticazione a più fattori

La funzionalità di autenticazione a più fattori ricorda consente agli utenti di ignorare le verifiche successive per un numero specificato di giorni, dopo aver eseguito l'accesso a un dispositivo usando L'autenticazione a più fattori. Per migliorare l'usabilità e ridurre al minimo il numero di volte in cui un utente deve eseguire l'autenticazione a più fattori in un determinato dispositivo, selezionare una durata di 90 giorni o più.

Importante

Se un account o un dispositivo è compromesso, la memorizzazione dell'autenticazione a più fattori per i dispositivi attendibili può influire sulla sicurezza. Se un account aziendale viene compromesso o un dispositivo attendibile viene smarrito o rubato, è necessario revocare le sessioni MFA.

L'azione di revoca revoca lo stato attendibile da tutti i dispositivi e l'utente deve eseguire nuovamente l'autenticazione a più fattori. È anche possibile indicare agli utenti di ripristinare lo stato di autenticazione a più fattori originale nei propri dispositivi, come indicato in Gestire le impostazioni per l'autenticazione a più fattori.

Funzionamento della funzionalità

La funzionalità di autenticazione a più fattori memorizza imposta un cookie permanente nel browser quando un utente seleziona l'opzione Non chiedere di nuovo x giorni all'accesso. All'utente non viene richiesta di nuovo l'autenticazione a più fattori da tale browser fino alla scadenza del cookie. Se l'utente apre un browser diverso nello stesso dispositivo o cancella i cookie, viene richiesto di nuovo di verificare.

L'opzione Non chiedere più x giorni non viene visualizzata nelle applicazioni non basate su browser, indipendentemente dal fatto che l'app supporti l'autenticazione moderna. Queste app usano token di aggiornamento che creano nuovi token di accesso ogni ora. Quando viene convalidato un token di aggiornamento, Azure AD verifica che l'ultima autenticazione a più fattori sia stata eseguita entro il numero di giorni specificato.

La funzionalità riduce il numero di autenticazioni per le app Web, che in genere viene richiesta ogni volta. La funzionalità può aumentare il numero di autenticazioni per i client di autenticazione moderni che in genere richiedono ogni 180 giorni, se è configurata una durata inferiore. Può anche aumentare il numero di autenticazioni in combinazione con i criteri di accesso condizionale.

Importante

La funzionalità di autenticazione a più fattori ricorda non è compatibile con la funzionalità mantieni l'accesso di AD FS, quando gli utenti eseguono l'autenticazione a più fattori per AD FS tramite il server MFA o una soluzione di autenticazione a più fattori di terze parti.

Se gli utenti selezionano mantieni l'accesso ad AD FS e contrassegnano anche il dispositivo come attendibile per L'autenticazione a più fattori, l'utente non viene verificato automaticamente dopo la scadenza del numero di giorni di autenticazione a più fattori . Azure AD richiede una nuova autenticazione a più fattori, ma AD FS restituisce un token con l'attestazione EFA originale e la data, anziché eseguire nuovamente l'autenticazione a più fattori. Questa reazione attiva un ciclo di verifica tra Azure AD e AD FS.

La funzionalità di autenticazione a più fattori ricorda non è compatibile con gli utenti B2B e non sarà visibile per gli utenti B2B quando accedono ai tenant invitati.

Abilitare l'autenticazione a più fattori di memorizzazione

Per abilitare e configurare l'opzione per consentire agli utenti di ricordare lo stato dell'autenticazione a più fattori e ignorare le richieste, completare i passaggi seguenti:

  1. Nella portale di Azure cercare e selezionare Azure Active Directory e quindi selezionare Utenti.
  2. Selezionare MFA per utente.
  3. In Multi-Factor Authentication nella parte superiore della pagina selezionare Impostazioni del servizio.
  4. Nella pagina delle impostazioni del servizio , in memorizza l'autenticazione a più fattori, selezionare Consenti agli utenti di ricordare l'autenticazione a più fattori nei dispositivi che considerano attendibili.
  5. Impostare il numero di giorni per consentire ai dispositivi attendibili di ignorare le autenticazioni a più fattori. Per un'esperienza utente ottimale, estendere la durata a 90 o più giorni.
  6. Selezionare Salva.

Contrassegnare un dispositivo come attendibile

Dopo aver abilitato la funzionalità di memorizzazione dell'autenticazione a più fattori , gli utenti possono contrassegnare un dispositivo come attendibile quando accedono selezionando Non chiedere di nuovo.

Passaggi successivi

Per altre informazioni, vedere Quali metodi di autenticazione e verifica sono disponibili in Azure Active Directory?