Abilitare l'autenticazione a più fattori Microsoft Entra per utente per proteggere gli eventi di accesso
Per proteggere gli eventi di accesso utente in Microsoft Entra ID, è possibile richiedere l'autenticazione a più fattori. L'abilitazione dell'autenticazione a più fattori Di Microsoft Entra con i criteri di accesso condizionale è l'approccio consigliato per proteggere gli utenti. L'accesso condizionale è una funzionalità P1 o P2 di Microsoft Entra ID che consente di applicare regole per richiedere l'autenticazione a più fattori in base alle esigenze in determinati scenari. Per iniziare a usare l'accesso condizionale, vedere Esercitazione: Proteggere gli eventi di accesso utente con l'autenticazione a più fattori Di Microsoft Entra.
Per i tenant gratuiti di Microsoft Entra ID senza accesso condizionale, è possibile usare le impostazioni predefinite per la sicurezza per proteggere gli utenti. Agli utenti viene richiesta l'autenticazione a più fattori in base alle esigenze, ma non è possibile definire regole personalizzate per controllare il comportamento.
Se necessario, è invece possibile abilitare ogni account per l'autenticazione a più fattori Microsoft Entra per utente. Quando gli utenti vengono abilitati singolarmente, eseguono l'autenticazione a più fattori ogni volta che eseguono l'accesso (con alcune eccezioni, ad esempio quando accedono da indirizzi IP attendibili o quando la funzionalità memorizza MFA nei dispositivi attendibili è attivata).
La modifica degli stati utente non è consigliata a meno che le licenze microsoft Entra ID non includano l'accesso condizionale e non si vogliono usare le impostazioni predefinite per la sicurezza. Per altre informazioni sui diversi modi per abilitare mfa, vedere Funzionalità e licenze per l'autenticazione a più fattori Di Microsoft Entra.
Importante
Questo articolo illustra in dettaglio come visualizzare e modificare lo stato per l'autenticazione a più fattori di Microsoft Entra per utente. Se si usano le impostazioni predefinite per l'accesso condizionale o la sicurezza, non si esaminano o si abilitano gli account utente usando questi passaggi.
L'abilitazione dell'autenticazione a più fattori di Microsoft Entra tramite un criterio di accesso condizionale non modifica lo stato dell'utente. Non allarmarsi se gli utenti sembrano essere disabilitati. L'accesso condizionale non modifica lo stato.
Non abilitare o applicare l'autenticazione a più fattori Microsoft Entra per utente se si usano criteri di accesso condizionale.
Stati utente di autenticazione a più fattori Di Microsoft Entra
Lo stato di un utente indica se un amministratore li ha registrati nell'autenticazione a più fattori Microsoft Entra per utente. Gli account utente nell'autenticazione a più fattori Microsoft Entra hanno i tre stati distinti seguenti:
| Provincia | Descrizione | Autenticazione legacy interessata | App interessate basate su browser | Autenticazione moderna interessata |
|---|---|---|---|---|
| Disabilitata | Stato predefinito per un utente non registrato nell'autenticazione a più fattori Microsoft Entra per utente. | No | No | No |
| Attivata | L'utente è registrato nell'autenticazione a più fattori Microsoft Entra per utente, ma può comunque usare la password per l'autenticazione legacy. Se l'utente non ha ancora registrato metodi di autenticazione MFA, riceve una richiesta di registrazione al successivo accesso con l'autenticazione moderna, ad esempio tramite un Web browser. | No. L'autenticazione legacy continua a funzionare fino al completamento del processo di registrazione. | Sì. Dopo la scadenza della sessione, è necessaria la registrazione dell'autenticazione a più fattori di Microsoft Entra. | Sì. Dopo la scadenza del token di accesso, è necessaria la registrazione dell'autenticazione a più fattori di Microsoft Entra. |
| Imposto | L'utente viene registrato per utente nell'autenticazione a più fattori Di Microsoft Entra. Se l'utente non ha ancora registrato i metodi di autenticazione, riceve un prompt per registrare la volta successiva che accede usando l'autenticazione moderna, ad esempio tramite un Web browser. Gli utenti che completano la registrazione durante lo stato Abilitato vengono spostati automaticamente nello stato Applicato . | Sì. Le app richiedono password per le app. | Sì. L'autenticazione a più fattori Di Microsoft Entra è necessaria all'accesso. | Sì. L'autenticazione a più fattori Di Microsoft Entra è necessaria all'accesso. |
Lo stato iniziale di tutti gli utenti è Disabilitato. Quando si registrano gli utenti nell'autenticazione a più fattori Microsoft Entra per utente, lo stato cambia in Abilitato. Quando gli utenti abilitati accedono e completano il processo di registrazione, lo stato cambia in Applicato. Gli amministratori possono spostare gli utenti tra stati, ad esempio da Applicato ad Abilitato o Disabilitato.
Nota
Se l'autenticazione a più fattori per utente viene riabilitata in un utente e l'utente non esegue di nuovo la registrazione, lo stato MFA non passa da Abilitato a Applicato nell'interfaccia utente di gestione MFA. L'amministratore deve spostare l'utente direttamente in Enforced.
Visualizzare lo stato di un utente
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Per visualizzare e gestire gli stati utente, completare la procedura seguente:
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di autenticazione.
- Passare a Utenti>identità>Tutti gli utenti.
- Selezionare MFA per utente.
- Si apre una nuova pagina in cui viene visualizzato lo stato dell'utente, come illustrato nell'esempio seguente.
Modificare lo stato di un utente
Per modificare lo stato di autenticazione a più fattori di Microsoft Entra per utente, completare la procedura seguente:
Usare i passaggi precedenti per visualizzare lo stato di un utente per accedere alla pagina Utenti dell'autenticazione a più fattori Di Microsoft Entra.
Trovare l'utente che si vuole abilitare per l'autenticazione a più fattori di Microsoft Entra per utente. Potrebbe essere necessario modificare la visualizzazione nella parte superiore impostandola su utenti.
Selezionare la casella accanto ai nomi degli utenti di cui si vuole modificare lo stato.
A destra, sotto Azioni rapide, scegliere Abilita o Disabilita. Nell'esempio seguente, l'utente John Smith ha un controllo accanto al nome e viene abilitato per l'uso:
Suggerimento
Gli utenti abilitati vengono automaticamente passati a Applica quando eseguono la registrazione per l'autenticazione a più fattori Di Microsoft Entra. Non modificare manualmente lo stato dell'utente in Imponi a meno che l'utente non sia già registrato o se sia accettabile che l'utente verifichi un'interruzione nelle connessioni ai protocolli di autenticazione legacy.
Confermare la selezione nella finestra popup che viene visualizzata.
È consigliabile inviare una notifica tramite posta elettronica agli utenti dopo averli abilitati. Informare gli utenti che viene visualizzato un messaggio per richiedere la registrazione al successivo accesso. se l'organizzazione usa app non basate su browser che non supportano l'autenticazione moderna, devono creare password per l'app. Per altre informazioni, vedere la Guida dell'utente finale per l'autenticazione a più fattori di Microsoft Entra per iniziare.
Passaggi successivi
Per configurare le impostazioni di autenticazione a più fattori di Microsoft Entra, vedere Configurare le impostazioni di autenticazione a più fattori di Microsoft Entra.
Per gestire le impostazioni utente per l'autenticazione a più fattori Di Microsoft Entra, vedere Gestire le impostazioni utente con l'autenticazione a più fattori di Microsoft Entra.
Per comprendere il motivo per cui un utente ha richiesto o meno di eseguire l'autenticazione a più fattori, vedere Report di autenticazione a più fattori di Microsoft Entra.