Gestire i metodi di autenticazione per Microsoft Entra ID
Microsoft Entra ID consente l'uso di una gamma di metodi di autenticazione per supportare un'ampia gamma di scenari di accesso. Gli amministratori possono configurare in modo specifico ogni metodo per soddisfare i propri obiettivi per l'esperienza utente e la sicurezza. Questo argomento illustra come gestire i metodi di autenticazione per Microsoft Entra ID e come le opzioni di configurazione influiscono sugli scenari di accesso utente e reimpostazione della password.
Criterio Metodi di autenticazione
I criteri metodi di autenticazione sono il modo consigliato per gestire i metodi di autenticazione, inclusi metodi moderni come l'autenticazione senza password. Gli amministratori dei criteri di autenticazione possono modificare questo criterio per abilitare i metodi di autenticazione per tutti gli utenti o gruppi specifici.
I metodi abilitati nei criteri dei metodi di autenticazione possono in genere essere usati ovunque in Microsoft Entra ID, sia per gli scenari di autenticazione che di reimpostazione della password. L'eccezione è che alcuni metodi sono intrinsecamente limitati all'uso nell'autenticazione, ad esempio FIDO2 e Windows Hello for Business, e altri sono limitati all'uso nella reimpostazione della password, ad esempio domande di sicurezza. Per un maggiore controllo sui metodi utilizzabili in un determinato scenario di autenticazione, è consigliabile usare la funzionalità di complessità dell’autenticazione.
La maggior parte dei metodi dispone anche di parametri di configurazione per controllare in modo più preciso il modo in cui è possibile usare tale metodo. Ad esempio, se si abilitano le chiamate vocali, è anche possibile specificare se oltre a un telefono cellulare può essere utilizzato il telefono di un ufficio.
In alternativa, si supponga di voler abilitare l'autenticazione senza password con Microsoft Authenticator. È possibile impostare parametri aggiuntivi, ad esempio la visualizzazione del percorso di accesso dell'utente o il nome dell'app a cui è stato eseguito l'accesso. Queste opzioni offrono più contesto per gli utenti quando accedono e consentono di evitare approvazioni MFA accidentali.
Per gestire il criterio Metodi di autenticazione, accedere all’Interfaccia di amministrazione di Microsoft Entraalmeno come Amministratore del criterio di autenticazione e passare a Protezione>Metodi di autenticazione>Criteri.
Solo l'esperienza di registrazione convergente è consapevole dei criteri dei metodi di autenticazione. Gli utenti nell'ambito dei criteri dei metodi di autenticazione, ma non l'esperienza di registrazione convergente, non vedranno i metodi corretti da registrare.
Criteri legacy di autenticazione a più fattori e reimpostazione della password self-service
Altri due criteri, disponibili nelle impostazioni di autenticazione a più fattori e nelle impostazioni di reimpostazione della password, offrono un modo legacy per gestire alcuni metodi di autenticazione per tutti gli utenti nel tenant. Non è possibile controllare chi usa un metodo di autenticazione abilitato o come usare il metodo.
Per gestire questa funzionalità è necessario un amministratore globale.
Importante
Nel marzo 2023 è stata annunciata la deprecazione della gestione dei metodi di autenticazione nei criteri legacy di autenticazione a più fattori e reimpostazione della password self-service. A partire dal 30 settembre 2025, i metodi di autenticazione non possono essere gestiti in questi criteri legacy di autenticazione MFA e reimpostazione della password self-service. È consigliabile che i clienti usino il controllo della migrazione manuale per eseguire la migrazione ai criteri dei metodi di autenticazione in base alla data di deprecazione.
Per gestire i criteri di autenticazione a più fattori legacy, selezionare Sicurezza>Autenticazione a più fattori>Impostazioni di autenticazione a più fattori aggiuntive basate sul cloud.
Per gestire i metodi di autenticazione per la reimpostazione della password self-service, fare clic su Reimpostazione della password>Metodi di autenticazione. L'opzione Telefono cellulare in questo criterio consente di inviare chiamate vocali o SMS a un telefono cellulare. L'opzione Telefono di Office consente solo chiamate vocali.
Come interagiscono i criteri
Le impostazioni non vengono sincronizzate tra i criteri, consentendo agli amministratori di gestire ogni criterio in modo indipendente. Microsoft Entra ID rispetta le impostazioni in tutti i criteri in modo che un utente abilitato per un metodo di autenticazione in qualsiasi criterio possa registrare e usare tale metodo. Per impedire agli utenti di usare un metodo, è necessario disabilitarlo in tutti i criteri.
Verrà ora illustrato un esempio in cui un utente appartenente al gruppo Accounting vuole registrare Microsoft Authenticator. Il processo di registrazione controlla innanzitutto i criteri dei metodi di autenticazione. Se il gruppo Accounting è abilitato per Microsoft Authenticator, l'utente può registrarlo.
In caso contrario, il processo di registrazione controlla i criteri di autenticazione a più fattori legacy. In questo criterio, qualsiasi utente può registrare Microsoft Authenticator se una di queste impostazioni è abilitata per MFA:
- Notifica tramite app per dispositivi mobili
- Codice di verifica dall'app per dispositivi mobili o dal token hardware
Se l'utente non riesce a registrare Microsoft Authenticator in base a uno di questi criteri, il processo di registrazione controlla i criteri di reimpostazione della password self-service legacy. Anche in questo criterio, un utente può registrare Microsoft Authenticator se l'utente è abilitato per la reimpostazione della password self-service e una di queste impostazioni è abilitata:
- Notifica dell'app per dispositivi mobili
- Codice app per dispositivi mobili
Per gli utenti abilitati per il telefono cellulare per la reimpostazione della password self-service, il controllo indipendente tra i criteri può influire sul comportamento di accesso. Se gli altri criteri hanno opzioni separate per sms e chiamate vocali, il telefono cellulare per la reimpostazione della password self-service abilita entrambe le opzioni. Di conseguenza, chiunque usi il telefono cellulare per la reimpostazione della password self-service può anche usare chiamate vocali per la reimpostazione della password, anche se gli altri criteri non consentono chiamate vocali.
Analogamente, si supponga di abilitare le chiamate vocali per un gruppo. Dopo averla abilitata, si scopre che anche gli utenti che non sono membri del gruppo possono accedere con una chiamata vocale. In questo caso, è probabile che gli utenti siano abilitati per il telefono cellulare nei criteri di reimpostazione della password self-service legacy o Chiama al telefono nei criteri legacy di autenticazione a più fattori.
Migrazione tra i criteri
Il criterio Metodi di autenticazione fornisce una guida alla migrazione per unificare l'amministrazione di tutti i metodi di autenticazione. Tutti i metodi desiderati possono essere abilitati nei criteri Metodi di autenticazione se i criteri sono destinati a gruppi di utenti o a tutti gli utenti. La guida alla migrazione dei metodi di autenticazione automatizza i passaggi per controllare le impostazioni correnti dei criteri per MFA e reimpostazione della password self-service e consolidarle nei criteri dei metodi di autenticazione. È possibile accedere alla guida dall'interfaccia di amministrazione di Microsoft Entra passando a Protezione>Metodi di autenticazione>Criteri.
È anche possibile eseguire manualmente la migrazione delle impostazioni dei criteri. La migrazione include tre impostazioni che consentono di spostarsi al proprio ritmo ed evitare problemi con l'accesso o la reimpostazione della password self-service durante la transizione.
Al termine della migrazione, i metodi nei criteri legacy di autenticazione a più fattori e reimpostazione della password self-service possono essere disabilitati. È possibile centralizzare il controllo sui metodi di autenticazione per l'accesso e la reimpostazione della password self-service in un'unica posizione e i criteri legacy di autenticazione a più fattori e reimpostazione della password self-service verranno disabilitati.
Nota
Le domande di sicurezza attualmente possono essere abilitate solo usando i criteri di reimpostazione della password self-service legacy. Se si usano domande di sicurezza e non si desidera disabilitarle, accertarsi di mantenerle abilitate nei criteri di reimpostazione della password self-service legacy fino a quando sarà disponibile un controllo della migrazione. È possibile eseguire la migrazione dei metodi di autenticazione rimanenti e gestire comunque le domande segrete nei criteri di reimpostazione della password self-service legacy.
Per visualizzare le opzioni di migrazione, aprire i criteri Metodi di autenticazione e fare clic su Gestisci migrazione.
Nella tabella seguente viene descritta ciascuna opzione.
Opzione | Descrizione |
---|---|
Pre-migrazione | I criteri dei metodi di autenticazione vengono usati solo per l'autenticazione. Le impostazioni dei criteri legacy vengono rispettate. |
Migrazione in corso | I criteri dei metodi di autenticazione vengono usati per l'autenticazione e la reimpostazione della password self-service. Le impostazioni dei criteri legacy vengono rispettate. |
Migrazione completata | Solo i criteri dei metodi di autenticazione vengono usati per l'autenticazione e la reimpostazione della password self-service. Le impostazioni dei criteri legacy vengono ignorate. |
I tenant sono impostati su Pre-migrazione o Migrazione in corso per impostazione predefinita, a seconda dello stato corrente del tenant. Se si inizia in Pre-migrazione, è possibile passare a uno qualsiasi degli stati in qualsiasi momento. Se è stata avviata la migrazione in corso, è possibile spostarsi tra migrazione in corso e Microsoft Complete in qualsiasi momento, ma non sarà consentito passare alla fase di pre-migrazione. Se si passa a Migrazione completata e quindi si sceglie di eseguire il rollback a uno stato precedente, verrà chiesto perché è possibile valutare le prestazioni del prodotto.
Nota
Dopo aver eseguito completamente la migrazione di tutti i metodi di autenticazione, gli elementi seguenti dei criteri di reimpostazione della password self-service legacy rimangono attivi:
- Il controllo Numero di metodi necessari per il ripristino: gli amministratori possono continuare a modificare il numero di metodi di autenticazione da verificare prima che un utente possa eseguire la reimpostazione della password self-service.
- I criteri di amministratore della reimpostazione della password self-service: gli amministratori possono continuare a registrare e usare i metodi elencati nei criteri o nei metodi di amministratore della reimpostazione della password self-service legacy che sono abilitati per l'uso nei criteri dei metodi di autenticazione.
In futuro, entrambe queste funzionalità verranno integrate con i criteri metodi di autenticazione.
Problemi noti e limitazioni
- Negli aggiornamenti recenti è stata rimossa la possibilità di avere singoli utenti di destinazione. Gli utenti di destinazione precedenti rimarranno nei criteri, ma è consigliabile spostarli in un gruppo di destinazione.
- La registrazione di un metodo di autenticazione può non riuscire se molti gruppi sono inclusi nei criteri metodi di autenticazione o in una campagna di registrazione. È consigliabile consolidare più gruppi in un singolo gruppo per ogni metodo di autenticazione. Per mantenere la registrazione per gli utenti durante il consolidamento, aggiungere il nuovo gruppo e rimuovere i gruppi correnti nella stessa operazione.
Passaggi successivi
- Come eseguire la migrazione delle impostazioni dei criteri di autenticazione a più fattori e reimpostazione della password self-service ai criteri dei metodi di autenticazione per Microsoft Entra ID
- Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?
- Funzionamento dell'autenticazione a più fattori di Microsoft Entra
- API REST Microsoft Graph