Gestire i metodi di autenticazione per Microsoft Entra ID
Microsoft Entra ID consente l'uso di una gamma di metodi di autenticazione per supportare un'ampia gamma di scenari di accesso. Amministrazione istrator può configurare in modo specifico ogni metodo per soddisfare i propri obiettivi per l'esperienza utente e la sicurezza. Questo argomento illustra come gestire i metodi di autenticazione per Microsoft Entra ID e come le opzioni di configurazione influiscono sugli scenari di accesso utente e reimpostazione della password.
Criteri dei metodi di autenticazione
I criteri metodi di autenticazione sono il modo consigliato per gestire i metodi di autenticazione, inclusi metodi moderni come l'autenticazione senza password. I criteri di autenticazione Amministrazione istrator possono modificare questo criterio per abilitare i metodi di autenticazione per tutti gli utenti o gruppi specifici.
I metodi abilitati nei criteri dei metodi di autenticazione possono in genere essere usati ovunque in Microsoft Entra ID, sia per gli scenari di autenticazione che di reimpostazione della password. L'eccezione è che alcuni metodi sono intrinsecamente limitati all'uso nell'autenticazione, ad esempio FIDO2 e Windows Hello for Business, e altri sono limitati all'uso nella reimpostazione della password, ad esempio domande di sicurezza. Per un maggiore controllo sui metodi utilizzabili in un determinato scenario di autenticazione, è consigliabile usare la funzionalità Di forza di autenticazione.
La maggior parte dei metodi dispone anche di parametri di configurazione per controllare in modo più preciso il modo in cui è possibile usare tale metodo. Ad esempio, se si abilitano le chiamate vocali, è anche possibile specificare se un telefono ufficio può essere utilizzato oltre a un telefono cellulare.
In alternativa, si supponga di voler abilitare l'autenticazione senza password con Microsoft Authenticator. È possibile impostare parametri aggiuntivi, ad esempio la visualizzazione del percorso di accesso dell'utente o il nome dell'app a cui è stato eseguito l'accesso. Queste opzioni offrono più contesto per gli utenti quando accedono e consentono di evitare approvazioni MFA accidentali.
Per gestire i criteri dei metodi di autenticazione, accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator e passare a Criteri di autenticazione>di protezione.>
Solo l'esperienza di registrazione convergente è consapevole dei criteri dei metodi di autenticazione. Gli utenti nell'ambito dei criteri dei metodi di autenticazione, ma non l'esperienza di registrazione convergente, non vedranno i metodi corretti da registrare.
Criteri legacy di autenticazione a più fattori e reimpostazione della password self-service
Altri due criteri, disponibili in Impostazioni di autenticazione a più fattori e Impostazioni di reimpostazione della password, offrono un modo legacy per gestire alcuni metodi di autenticazione per tutti gli utenti nel tenant. Non è possibile controllare chi usa un metodo di autenticazione abilitato o come usare il metodo. Per gestire questi criteri è necessario un Amministrazione istrator globale.
Importante
Nel marzo 2023 è stata annunciata la deprecazione della gestione dei metodi di autenticazione nei criteri legacy di autenticazione a più fattori e reimpostazione della password self-service. A partire dal 30 settembre 2025, i metodi di autenticazione non possono essere gestiti in questi criteri legacy di autenticazione MFA e reimpostazione della password self-service. È consigliabile che i clienti usino il controllo della migrazione manuale per eseguire la migrazione ai criteri dei metodi di autenticazione in base alla data di deprecazione.
Per gestire i criteri di autenticazione a più fattori legacy, selezionare Autenticazione a più fattori>SicurezzaImpostazioni> di autenticazione a più fattori aggiuntive basate sul cloud.
Per gestire i metodi di autenticazione per la reimpostazione della password self-service, fare clic su Metodi di autenticazione per la reimpostazione>della password. L'opzione Telefono cellulare in questo criterio consente di inviare chiamate vocali o SMS a un telefono cellulare. L'opzione Telefono di Office consente solo chiamate vocali.
Come interagiscono i criteri
Impostazioni non sono sincronizzati tra i criteri, consentendo agli amministratori di gestire ogni criterio in modo indipendente. Microsoft Entra ID rispetta le impostazioni in tutti i criteri in modo che un utente abilitato per un metodo di autenticazione in qualsiasi criterio possa registrare e usare tale metodo. Per impedire agli utenti di usare un metodo, è necessario disabilitarlo in tutti i criteri.
Verrà ora illustrato un esempio in cui un utente appartenente al gruppo Accounting vuole registrare Microsoft Authenticator. Il processo di registrazione controlla innanzitutto i criteri dei metodi di autenticazione. Se il gruppo Accounting è abilitato per Microsoft Authenticator, l'utente può registrarlo.
In caso contrario, il processo di registrazione controlla i criteri di autenticazione a più fattori legacy. In questo criterio, qualsiasi utente può registrare Microsoft Authenticator se una di queste impostazioni è abilitata per MFA:
- Notifica tramite app per dispositivi mobili
- Codice di verifica dall'app per dispositivi mobili o dal token hardware
Se l'utente non riesce a registrare Microsoft Authenticator in base a uno di questi criteri, il processo di registrazione controlla i criteri di reimpostazione della password self-service legacy. Anche in questo criterio, un utente può registrare Microsoft Authenticator se l'utente è abilitato per la reimpostazione della password self-service e una di queste impostazioni è abilitata:
- Notifica dell'app per dispositivi mobili
- Codice app per dispositivi mobili
Per gli utenti abilitati per il telefono cellulare per la reimpostazione della password self-service , il controllo indipendente tra i criteri può influire sul comportamento di accesso. Se gli altri criteri hanno opzioni separate per sms e chiamate vocali, il telefono cellulare per la reimpostazione della password self-service abilita entrambe le opzioni. Di conseguenza, chiunque usi il telefono cellulare per la reimpostazione della password self-service può anche usare chiamate vocali per la reimpostazione della password, anche se gli altri criteri non consentono chiamate vocali.
Analogamente, si supponga di abilitare le chiamate vocali per un gruppo. Dopo averla abilitata, si scopre che anche gli utenti che non sono membri del gruppo possono accedere con una chiamata vocale. In questo caso, è probabile che gli utenti siano abilitati per il telefono cellulare nei criteri di reimpostazione della password self-service legacy o Chiama al telefono nei criteri legacy di autenticazione a più fattori.
Migrazione tra criteri
I criteri metodi di autenticazione forniscono un percorso di migrazione verso l'amministrazione unificata di tutti i metodi di autenticazione. Tutti i metodi desiderati possono essere abilitati nei criteri Metodi di autenticazione, presupponendo che siano stati definiti i gruppi di utenti necessari per ogni criterio del metodo di autenticazione (a meno che non si applichi a Tutti gli utenti). Dopo questa attività di gestione dei gruppi di utenti, i metodi nei criteri legacy di autenticazione a più fattori e reimpostazione della password self-service possono essere disabilitati. La migrazione include tre impostazioni che consentono di spostarsi al proprio ritmo ed evitare problemi con l'accesso o la reimpostazione della password self-service durante la transizione. Al termine della migrazione, si centralicherà il controllo sui metodi di autenticazione per l'accesso e la reimpostazione della password self-service in un'unica posizione e i criteri legacy di autenticazione a più fattori e reimpostazione della password self-service verranno disabilitati.
Nota
Le domande di sicurezza possono essere abilitate solo oggi usando i criteri di reimpostazione della password self-service legacy. In futuro, verrà resa disponibile nei criteri metodi di autenticazione. Se si usano domande di sicurezza e non si vuole disabilitarle, assicurarsi di mantenerle abilitate nei criteri di reimpostazione della password self-service legacy fino a quando il nuovo controllo non sarà disponibile in futuro. È possibile eseguire la migrazione del resto dei metodi di autenticazione e gestire comunque le domande di sicurezza nei criteri di reimpostazione della password self-service legacy.
Per visualizzare le opzioni di migrazione, aprire i criteri Metodi di autenticazione e fare clic su Gestisci migrazione.
Nella tabella seguente viene descritta ciascuna opzione.
| Opzione | Descrizione |
|---|---|
| Pre-migrazione | I criteri dei metodi di autenticazione vengono usati solo per l'autenticazione. Le impostazioni dei criteri legacy vengono rispettate. |
| Migrazione in corso | I criteri dei metodi di autenticazione vengono usati per l'autenticazione e la reimpostazione della password self-service. Le impostazioni dei criteri legacy vengono rispettate. |
| Migrazione completata | Solo i criteri dei metodi di autenticazione vengono usati per l'autenticazione e la reimpostazione della password self-service. Le impostazioni dei criteri legacy vengono ignorate. |
I tenant sono impostati su Pre-migrazione o Migrazione in corso per impostazione predefinita, a seconda dello stato corrente del tenant. Se si inizia in Pre-migrazione, è possibile passare a uno qualsiasi degli stati in qualsiasi momento. Se è stata avviata la migrazione in corso, è possibile spostarsi tra migrazione in corso e Microsoft Complete in qualsiasi momento, ma non sarà consentito passare alla fase di pre-migrazione. Se si passa a Migrazione completata e quindi si sceglie di eseguire il rollback a uno stato precedente, verrà chiesto perché è possibile valutare le prestazioni del prodotto.
Nota
Dopo aver eseguito completamente la migrazione di tutti i metodi di autenticazione, gli elementi seguenti dei criteri di reimpostazione della password self-service legacy rimangono attivi:
- Numero di metodi necessari per reimpostare il controllo: gli amministratori possono continuare a modificare il numero di metodi di autenticazione da verificare prima che un utente possa eseguire la reimpostazione della password self-service.
- I criteri di amministratore della reimpostazione della password self-service: gli amministratori possono continuare a registrare e usare i metodi elencati nei criteri o nei metodi di amministratore della reimpostazione della password self-service legacy che sono abilitati per l'uso nei criteri dei metodi di autenticazione.
In futuro, entrambe queste funzionalità verranno integrate con i criteri metodi di autenticazione.
Problemi noti e limitazioni
- Negli aggiornamenti recenti è stata rimossa la possibilità di indirizzare singoli utenti. Gli utenti di destinazione in precedenza rimarranno nei criteri, ma è consigliabile spostarli in un gruppo di destinazione.
- La registrazione delle chiavi di sicurezza FIDO2 potrebbe non riuscire per alcuni utenti se i criteri del metodo di autenticazione FIDO2 sono destinati a un gruppo e i criteri complessivi dei metodi di autenticazione hanno più di 20 gruppi configurati. Si sta lavorando all'aumento del limite di dimensioni dei criteri e nel tempo medio è consigliabile limitare il numero di destinazioni di gruppo a non più di 20.
Passaggi successivi
- Come eseguire la migrazione delle impostazioni dei criteri di autenticazione a più fattori e reimpostazione della password self-service ai criteri dei metodi di autenticazione
- Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?
- Funzionamento dell'autenticazione a più fattori Di Microsoft Entra
- Microsoft Graph REST API