Metodi di autenticazione in Microsoft Entra ID - App Microsoft Authenticator
L'app Microsoft Authenticator offre un livello di sicurezza aggiuntivo all'account aziendale o dell'istituto di istruzione di Microsoft Entra o all'account Microsoft ed è disponibile per Android e iOS. Con l'app Microsoft Authenticator gli utenti possono eseguire l'autenticazione senza password durante l'accesso o come opzione di verifica aggiuntiva durante la reimpostazione della password self-service (SSPR) o gli eventi di autenticazione a più fattori.
È ora possibile applicare passkey per l'autenticazione utente. Gli utenti possono ricevere una notifica tramite l'app per dispositivi mobili per consentire loro di approvare o negare o usare l'app Authenticator per generare un codice di verifica OATH che può essere immesso in un'interfaccia di accesso. Questo codice può quindi essere immesso in un'interfaccia di accesso. Se si abilitano sia la notifica che il codice di verifica, gli utenti che registrano l'app Authenticator possono usare uno dei due metodi per verificare la propria identità.
Nota
In preparazione del supporto passkey in Microsoft Authenticator, gli utenti possono vedere Authenticator come provider passkey nei dispositivi iOS e Android. Per altre informazioni, vedere Accesso Passkey (anteprima).
Per usare l'app Authenticator in un prompt di accesso invece di una combinazione di nome utente e password, vedere Abilitare l'accesso senza password con l'app Microsoft Authenticator.
Nota
- Gli utenti non possono registrare l'app per dispositivi mobili quando abilitano la reimpostazione della password self-service. Possono invece registrarla all'indirizzo https://aka.ms/mfasetup o come parte della registrazione delle informazioni di sicurezza combinate alla pagina https://aka.ms/setupsecurityinfo.
- L'app Authenticator potrebbe non essere supportata nelle versioni beta di iOS e Android. A partire dal 20 ottobre 2023, l'app di autenticazione in Android non supporterà più le versioni precedenti del Portale aziendale Android. Gli utenti Android con versioni Portale aziendale precedenti alla 2111 (5.0.5333.0) non potranno registrare nuovamente istanze dell'app di autenticazione o registrarne di nuove fino a quando non aggiorneranno l'applicazione Portale aziendale a una versione più recente.
Accesso passkey (anteprima)
Authenticator è una soluzione passkey gratuita che consente agli utenti di eseguire autenticazioni resistenti al phishing senza password dai propri telefoni. Alcuni vantaggi principali dell'uso di passkey nell'app Authenticator:
- I passkey possono essere distribuiti facilmente su larga scala. I passkey sono quindi disponibili nel telefono di un utente per scenari di gestione dei dispositivi mobili (MDM) e bring your own device (BYOD).
- Le passkey in Authenticator non sono più costose e viaggiano con l'utente ovunque si trovino.
- Le passkey in Authenticator sono associate al dispositivo, che garantisce che la passkey non lasci il dispositivo in cui è stato creato.
- Gli utenti restano aggiornati con l'innovazione passkey più recente in base agli standard WebAuthn aperti.
- Le aziende possono eseguire il layer di altre funzionalità oltre ai flussi di autenticazione, ad esempio la conformità FIPS 140.
Passkey associato al dispositivo
I passkey nell'app Authenticator sono associati al dispositivo per assicurarsi che non lascino mai il dispositivo in cui sono stati creati. In un dispositivo iOS Authenticator usa l'enclave sicura per creare la passkey. In Android viene creata la passkey nell'elemento secure nei dispositivi che lo supportano o viene eseguito il fallback all'ambiente di esecuzione attendibile (TEE).
Funzionamento dell'attestazione passkey con Authenticator
Per il momento, i passkey in Authenticator non vengono annullati. Il supporto dell'attestazione per le passkey in Authenticator è pianificato per una versione futura.
Eseguire il backup e il ripristino di passkey in Authenticator
I passkey in Authenticator non vengono sottoposti a backup e non possono essere ripristinati in un nuovo dispositivo. Per creare passkey in un nuovo dispositivo, usare la passkey in un dispositivo precedente o usare un altro metodo di autenticazione per ricreare la passkey.
Accesso senza password
Se un utente ha abilitato l'accesso tramite telefono nell'app Microsoft Authenticator, dopo l'immissione del nome utente non verrà visualizzata la richiesta di inserimento della password, ma verrà visualizzato un messaggio che chiederà all'utente di toccare un numero nell'app. Quando viene selezionato il numero corretto, il processo di accesso è completo.
L'app Authenticator offre un livello elevato di sicurezza e l'utente non dovrà più fornire una password all'accesso.
Per iniziare a usare l'accesso senza password, vedere Abilitare l'accesso senza password con Microsoft Authenticator.
Notifica tramite app per dispositivi mobili
L'app Authenticator consente di impedire l'accesso non autorizzato agli account e di arrestare le transazioni illecite eseguendo il push di una notifica allo smartphone o al tablet dell'utente. Gli utenti visualizzano la notifica e, se legittima, selezionano Verifica. Altrimenti possono selezionare Nega.
Nota
A partire da agosto 2023, gli accessi anomali non generano notifiche, in modo analogo a come gli accessi da posizioni non note non generano notifiche. Per approvare un accesso anomalo, gli utenti possono aprire Microsoft Authenticator o Authenticator Lite in un'app complementare pertinente come Outlook. Possono quindi trascinare verso il basso per aggiornare o toccare Aggiorna e approvare la richiesta.
In Cina, il metodo di notifica tramite app per dispositivi mobili nei dispositivi Android non funziona perché Google play services (incluse le notifiche push) viene bloccato nell'area. Tuttavia, le notifiche iOS funzionano. Per questi utenti è necessario rendere disponibili metodi di autenticazione alternativi.
Codice di verifica dall'app per dispositivi mobili
L'app Authenticator può essere usata come token software per generare un codice di verifica OATH. Dopo aver inserito il nome utente e la password, si immette il codice inviato dall'app Authenticator nell'interfaccia di accesso. Il codice di verifica offre una seconda forma di autenticazione.
Nota
I codici di verifica OATH generati da Authenticator non sono supportati per l'autenticazione basata su certificati.
Gli utenti possono avere una combinazione composta da fino a cinque token hardware OATH o applicazioni di autenticazione, quali l'app Microsoft Authenticator, configurate per l'uso in qualsiasi momento.
Conforme a FIPS 140 per l'autenticazione di Microsoft Entra
Coerentemente con le linee guida descritte in NIST SP 800-63B, gli autenticatori usati dalle agenzie governative degli Stati Uniti devono usare la crittografia convalidata FIPS 140. Queste linee guida aiutano le agenzie governative statunitensi a soddisfare i requisiti dell’ordine esecutivo (EO) 14028. Inoltre, queste linee guida aiutano altri settori regolamentati come le organizzazioni sanitarie che lavorano con prescrizioni elettroniche per sostanze controllate (EPCS) soddisfano i requisiti normativi.
FIPS 140 è uno standard del governo degli Stati Uniti che definisce i requisiti minimi di sicurezza per i moduli crittografici nei prodotti e nei sistemi informatici. Il CMVP (Cryptographic Module Validation Program) gestisce i test rispetto allo standard FIPS 140.
Microsoft Authenticator: iOS, iPadOS
A partire dalla versione 6.6.8, Microsoft Authenticator per iOS usa il modulo Apple CoreCrypto nativo per la crittografia convalidata FIPS nei dispositivi conformi ad Apple iOS FIPS 140. Tutte le autenticazioni di Microsoft Entra che usano passkey con associazione a dispositivo resistente al phishing, autenticazione a più fattori (MFA), accesso tramite telefono senza password (PSI) e passcode monouso basati sul tempo (TOTP) usano la crittografia FIPS.
Per altre informazioni sui moduli di crittografia convalidati FIPS 140 usati e conformi ai dispositivi iOS, vedere Certificazioni di sicurezza di Apple iOS.
Azure Authenticator per Android | Documentazione Microsoft
A partire dalla versione 6.2409.6094 in Microsoft Authenticator per Android, tutte le autenticazioni in Microsoft Entra ID, incluse le passkey, sono ora considerate conformi a FIPS. Authenticator sfrutta il modulo di crittografia wolfSSL Inc.’s per ottenere la conformità FIPS 140, livello di sicurezza 1 nei dispositivi Android. Per altri dettagli sulla certificazione in uso, vedere Cryptographic Module Validation Program | CSRC (nist.gov).
Determinazione del tipo di registrazione di Microsoft Authenticator nelle informazioni di sicurezza
Gli utenti possono accedere alle informazioni di sicurezza personali (vedere gli URL nella sezione successiva) o selezionando Informazioni di sicurezza da MyAccount per gestire e aggiungere altre registrazioni di Microsoft Authenticator. Le icone specifiche vengono usate per distinguere se la registrazione di Microsoft Authenticator è l'accesso tramite telefono senza password o MFA.
| Tipo di registrazione dell'autenticatore | Icon |
|---|---|
| Authenticator;Passwordless;phone sign-in |  |
| Microsoft Authenticator (Notifica/Codice) |  |
Collegamenti a MySecurityInfo
| Cloud | MySecurityInfo URL |
|---|---|
| Azure commercial (include GCC) | https://aka.ms/MySecurityInfo |
| Azure per il governo degli Stati Uniti (include GCC High e DoD) | https://aka.ms/MySecurityInfo-us |
Aggiornamenti a Authenticator
Microsoft aggiorna continuamente Authenticator per mantenere un livello elevato di sicurezza. Per garantire che gli utenti ottengano la migliore esperienza possibile, è consigliabile aggiornare continuamente l'app Authenticator. Nel caso di aggiornamenti della sicurezza critici, le versioni delle app non aggiornate potrebbero smettere di funzionare e potrebbero impedire agli utenti di completare le proprie autenticazioni. Se un utente usa una versione dell'app non supportata, verrà richiesto di eseguire l'aggiornamento alla versione più recente prima di poter procedere con le autenticazioni.
Microsoft ritirerà periodicamente anche le versioni precedenti dell'app Authenticator per mantenere una barra di sicurezza elevata per l'organizzazione. Se il dispositivo di un utente non supporta le versioni moderne dell'app Microsoft Authenticator, non può firmare con l'app. È consigliabile che questi utenti usino un codice di verifica OATH nell'app Microsoft Authenticator per completare l'autenticazione a due fattori.
Passaggi successivi
Per iniziare a usare passkey, vedere Abilitare passkeys in Microsoft Authenticator sign in (preview).
Per altre informazioni, vedere Abilitare l'accesso senza password con Microsoft Authenticator.
Altre informazioni sulla configurazione dei metodi di autenticazione tramite l'API REST di Microsoft Graph.