Condividi tramite

Pianificazione dell'autenticazione a più fattori obbligatoria per Azure e altri portali di amministrazione

Microsoft si impegna a fornire ai clienti il massimo livello di sicurezza. Una delle misure di sicurezza più efficaci disponibili è l'autenticazione a più fattori (MFA). La ricerca da parte di Microsoft mostra che l'autenticazione a più di 99.2% di attacchi di compromissione dell'account.

Per questo motivo, a partire dal 2024, verrà applicata l'autenticazione a più fattori obbligatoria per tutti i tentativi di accesso di Azure. Per altre informazioni su questo requisito, vedere il post di blog . Questo argomento illustra le applicazioni e gli account interessati, come viene applicata l'attuazione ai tenant e altre domande e risposte comuni.

Importante

Se un utente non riesce ad accedere ad Azure e ad altri portali di amministrazione dopo l'implementazione dell'autenticazione a più fattori obbligatoria, un amministratore globale può eseguire uno script per posticipare il requisito MFA e consentire agli utenti di accedere. Per altre informazioni, vedere Come posticipare l'imposizione per un tenant in cui gli utenti non sono in grado di accedere dopo l'implementazione del requisito obbligatorio di autenticazione a più fattori (MFA) per il portale di Azure, l'interfaccia di amministrazione di Microsoft Entra o l'interfaccia di amministrazione di Microsoft Intune.

Non ci sono modifiche per gli utenti se l'organizzazione applica già MFA per loro o se accedono con metodi più efficaci, ad esempio passwordless o passkey (FIDO2). Per verificare che l'autenticazione a più fattori sia abilitata, vedere Come verificare che gli utenti siano configurati per l'autenticazione a più fattori obbligatoria.

Ambito di applicazione

L'ambito dell'applicazione include le applicazioni che prevedono l'applicazione dell'autenticazione a più fattori, le applicazioni che non rientrano nell'ambito, quando è prevista l'applicazione e quali account hanno un requisito obbligatorio per l'autenticazione a più fattori.

Applicazioni

Nota

La data di imposizione per la fase 2 è cambiata in 1° settembre 2025.

La tabella seguente elenca le app interessate, gli ID app e gli URL per Azure.

Nome dell'applicazione ID dell'app Inizio dell'attuazione
Portale di Azure c44b4083-3bb0-49c1-b47d-974e53cbdf3c Seconda metà del 2024
Interfaccia di amministrazione di Microsoft Entra c44b4083-3bb0-49c1-b47d-974e53cbdf3c Seconda metà del 2024
Interfaccia di amministrazione di Microsoft Intune c44b4083-3bb0-49c1-b47d-974e53cbdf3c Seconda metà del 2024
Interfaccia della riga di comando di Azure (Azure CLI) 04b07795-8ddb-461a-bbee-02f9e1bf7b46 1° settembre 2025
Azure PowerShell 1950a258-227b-4e31-a9cf-717495945fc2 1° settembre 2025
App per dispositivi mobili di Azure 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa 1° settembre 2025
Strumenti per l'Infrastruttura come Codice (IaC) Usare gli ID di CLI di Azure o di Azure PowerShell 1° settembre 2025
API REST (piano di controllo) Non disponibile 1° settembre 2025
Azure SDK Non disponibile 1° settembre 2025

La tabella seguente elenca le app e gli URL interessati per Microsoft 365.

Nome dell'applicazione URL Inizio dell'attuazione
Interfaccia di amministrazione di Microsoft 365 https://portal.office.com/adminportal/home Febbraio 2025
Interfaccia di amministrazione di Microsoft 365 https://admin.cloud.microsoft Febbraio 2025
Interfaccia di amministrazione di Microsoft 365 https://admin.microsoft.com Febbraio 2025

Account

Tutti gli utenti che accedono alle applicazioni elencate in precedenza per eseguire qualsiasi operazione di creazione, lettura, aggiornamento o eliminazione (CRUD) devono completare l'autenticazione a più fattori quando inizia l'applicazione delle norme. Gli utenti non devono usare l'autenticazione a più fattori se accedono ad altre applicazioni, siti Web o servizi ospitati in Azure. Ogni applicazione, sito Web o proprietario del servizio elencato in precedenza controlla i requisiti di autenticazione per gli utenti.

Gli account di accesso di emergenza o "Break glass" sono anche tenuti ad accedere con l'autenticazione a più fattori una volta iniziata l'applicazione. È consigliabile aggiornare questi account per usare passkey (FIDO2) o configurare l'autenticazione basata su certificati per MFA. Entrambi i metodi soddisfano il requisito MFA.

Le identità del carico di lavoro, ad esempio le identità gestite e le entità servizio, non sono interessate da una fase di questa imposizione dell'autenticazione a più fattori. Se le identità degli utenti vengono utilizzate per accedere a un account di servizio per eseguire l'automazione (inclusi script o altre attività automatizzate), tali identità devono accedere con l'autenticazione a più fattori non appena l'applicazione diventa obbligatoria. Le identità utente non sono consigliate per l'automazione. È consigliabile eseguire la migrazione di tali identità utente alle identità del carico di lavoro.

Librerie client

Il flusso di concessione di token OAuth 2.0 Resource Owner Password Credentials (ROPC) non è compatibile con MFA. Dopo l'abilitazione dell'autenticazione a più fattori nel tenant di Microsoft Entra, le API basate su ROPC usate nelle applicazioni generano eccezioni. Per altre informazioni su come eseguire la migrazione dalle API basate su ROPC in Microsoft Authentication Libraries (MSAL), vedere Come eseguire la migrazione da ROPC. Per indicazioni MSAL specifiche alla lingua, vedere le schede seguenti.

Le modifiche sono necessarie se si usa il pacchetto Microsoft.Identity.Client e una delle API seguenti nell'applicazione:

Le stesse linee guida generali per MSAL si applicano alle librerie di identità di Azure. La classe UsernamePasswordCredential fornita in tali librerie usa API basate su MSAL ROPC. Per indicazioni specifiche della lingua, vedere le schede seguenti.

Le modifiche sono necessarie se si usa il pacchetto Azure.Identity ed eseguire una delle operazioni seguenti nell'applicazione:

Eseguire la migrazione di account di servizio basati sull'utente alle identità di carico di lavoro

È consigliabile che i clienti rilevino gli account utente usati come account di servizio e inizino a migrarli alle identità del carico di lavoro. La migrazione richiede spesso l'aggiornamento di script e processi di automazione per usare le identità del carico di lavoro.

Vedere Come verificare che gli utenti siano configurati per l'autenticazione a più fattori obbligatoria per identificare tutti gli account utente, inclusi gli account utente usati come account di servizio, che accedono alle applicazioni.

Per altre informazioni su come eseguire la migrazione da account del servizio basati sull'utente alle identità del carico di lavoro per l'autenticazione con queste applicazioni, vedere:

Alcuni clienti applicano criteri di accesso condizionale agli account del servizio basati sull'utente. È possibile recuperare la licenza basata sull'utente e aggiungere una licenza delle identità del carico di lavoro per applicare l'accesso condizionale per le identità del carico di lavoro.

Implementazione

Questo requisito per l'autenticazione a più fattori all'accesso viene implementato per i portali di amministrazione e altre applicazioni . I log di accesso di Microsoft Entra ID vengono visualizzati come origine del requisito MFA.

L'autenticazione a più fattori obbligatoria non è configurabile. Viene implementato separatamente da tutti i criteri di accesso configurati nel tenant.

Ad esempio, se l'organizzazione ha scelto di mantenere le impostazioni predefinite di sicurezza di Microsoft e attualmente sono abilitate le impostazioni predefinite per la sicurezza, gli utenti non visualizzano alcuna modifica perché l'autenticazione a più fattori è già necessaria per la gestione di Azure. Se il tenant usa criteri di accesso condizionale in Microsoft Entra e si dispone già di un criterio di accesso condizionale tramite cui gli utenti accedono ad Azure con MFA, gli utenti non visualizzano alcuna modifica. Analogamente, tutti i criteri di accesso condizionale restrittivi destinati ad Azure e richiedono un'autenticazione più avanzata, ad esempio l’autenticazione a più fattori resistente al phishing, continuano a essere applicati. Gli utenti non visualizzano modifiche.

Fasi di esecuzione

Nota

La data di imposizione per la fase 2 è cambiata in 1° settembre 2025.

L'applicazione dell'autenticazione a più fattori (MFA) si articola in due fasi.

  • Fase 1: a partire da ottobre 2024, l'autenticazione a più fattori è necessaria per accedere al portale di Azure, all'interfaccia di amministrazione di Microsoft Entra e all'interfaccia di amministrazione di Microsoft Intune. L'applicazione del regolamento verrà implementata gradualmente a tutti i clienti in tutto il mondo. A partire da febbraio 2025, l'applicazione dell'autenticazione a più fattori inizia gradualmente per accedere all'interfaccia di amministrazione di Microsoft 365. Questa fase non influirà su altri client di Azure, ad esempio l'interfaccia della riga di comando di Azure, Azure PowerShell, l'app per dispositivi mobili di Azure e gli strumenti IaC.

  • Fase 2: a partire dal 1° settembre 2025, l'applicazione dell'autenticazione a più fattori inizierà gradualmente per l'interfaccia della riga di comando di Azure, Azure PowerShell, l'app per dispositivi mobili di Azure, gli strumenti IaC e gli endpoint api REST. Alcuni clienti possono usare un account utente in Microsoft Entra ID come account del servizio. È consigliabile eseguire la migrazione di questi account di servizio basati sull'utente per proteggere gli account del servizio basati sul cloud con identità del carico di lavoro.

Canali di notifica

Microsoft informerà tutti gli amministratori globali di Microsoft Entra tramite i canali seguenti:

  • Posta elettronica: gli amministratori globali che hanno configurato un indirizzo di posta elettronica verranno informati tramite posta elettronica dell'applicazione dell'autenticazione a più fattori imminente e le azioni necessarie per essere preparati.

  • Notifica sull'integrità dei servizi: gli amministratori globali ricevono una notifica sull'integrità del servizio tramite il portale di Azure, con l'ID di rilevamento 4V20-VX0. Questa notifica contiene le stesse informazioni del messaggio di email. Gli amministratori globali possono anche sottoscrivere per ricevere notifiche sull'integrità dei servizi tramite email.

  • Notifica del portale: una notifica viene visualizzata nella portale di Azure, nell'interfaccia di amministrazione di Microsoft Entra e nell'interfaccia di amministrazione di Microsoft Intune quando accedono. La notificazione del portale rimanda a questo argomento per ulteriori informazioni sull'applicazione obbligatoria dell'autenticazione a più fattori.

  • Centro messaggi di Microsoft 365: viene visualizzato un messaggio nel Centro messaggi di Microsoft 365 con ID messaggio: MC862873. Questo messaggio contiene le stesse informazioni dell'email e della notifica di stato del servizio.

Dopo l'imposizione, nel portale di Azure viene visualizzato un banner:

Screenshot di un banner dell'autenticazione a più fattori di Microsoft Entra che mostra l'imposizione dell'autenticazione a più fattori obbligatoria.

Metodi di autenticazione esterni e fornitori di identità

Il supporto per le soluzioni MFA esterne è disponibile in anteprima con metodi di autenticazione esterna e può essere usato per soddisfare i requisiti di autenticazione a più fattori. L'anteprima dei controlli personalizzati per l'accesso condizionale legacy non soddisfa il requisito di autenticazione a più fattori. È consigliabile eseguire la migrazione all'anteprima dei metodi di autenticazione esterna per usare una soluzione esterna con Microsoft Entra ID.

Se si usa un provider di identità federato (IdP), ad esempio Active Directory Federation Services e il provider MFA è integrato direttamente con questo IdP federato, il provider di identità federato deve essere configurato per inviare un'attestazione per l’autenticazione a più fattori. Per altre informazioni, vedere Asserzioni in ingresso previste per Microsoft Entra MFA.

Richiedere più tempo per prepararsi all'applicazione dell'autenticazione a più fattori della fase 1

Alcuni clienti potrebbero avere bisogno di più tempo per prepararsi al requisito dell’autenticazione a più fattori. Microsoft consente ai clienti con ambienti complessi o barriere tecniche di posticipare l'applicazione della fase 1 per i tenant fino al 30 settembre 2025.

Per ogni tenant per il quale si desidera posticipare la data di inizio dell'applicazione, un amministratore globale può accedere a https://aka.ms/managemfaforazure per selezionare una data di inizio.

Attenzione

Posticipando la data di inizio dell'imposizione, si assume un rischio aggiuntivo perché gli account che accedono servizi Microsoft come il portale di Azure sono obiettivi estremamente importanti per gli attori delle minacce. Raccomandiamo a tutti gli inquilini di configurare ora l'autenticazione a più fattori per proteggere le risorse cloud.

Se non hai mai effettuato l'accesso al portale di Azure con MFA, ti verrà chiesto di completare l'autenticazione a più fattori per accedere o di rinviare l'obbligo di autenticazione a più fattori. Questa schermata viene visualizzata una sola volta. Per altre informazioni su come configurare l'autenticazione a più fattori, vedere Come verificare che gli utenti siano configurati per l'autenticazione a più fattori obbligatoria.

Screenshot della richiesta di conferma dell'autenticazione a più fattori obbligatoria.

Se si seleziona Posticipa MFA, la data di imposizione dell'autenticazione multifattoriale sarà un mese in avanti o il 30 settembre 2025, a seconda di quale delle due date sia la precedente. Dopo l'accesso, è possibile modificare la data in https://aka.ms/managemfaforazure. Per confermare che si desidera procedere con la richiesta di posticipazione, fare clic su Conferma rinvio. Un amministratore globale deve elevare l'accesso per posticipare la data di inizio dell'applicazione dell'autenticazione a più fattori.

Screenshot di come posticipare l'autenticazione a più fattori obbligatoria.

Richiedere più tempo per preparare l'imposizione dell'MFA nella seconda fase

Microsoft consente ai clienti con ambienti complessi o barriere tecniche di posticipare l'applicazione della fase 2 per i tenant fino al 1° luglio 2026. È possibile richiedere più tempo per preparare l'applicazione dell'autenticazione a più fattori nella fase 2 all'indirizzo https://aka.ms/postponePhase2MFA. Scegliere un'altra data di inizio e fare clic su Applica.

Nota

Se si posticipa l'inizio della fase 1, anche l'inizio della fase 2 viene posticipato alla stessa data. È possibile scegliere una data di inizio successiva per la fase 2.

Screenshot di come posticipare l'autenticazione a più fattori obbligatoria per la fase 2.

Domande frequenti

Domanda: Se il tenant viene usato solo per i test, è necessaria l'autenticazione a più fattori?

Risposta: Sì, ogni tenant di Azure richiederà l'autenticazione a più fattori, senza eccezioni per gli ambienti di test.

Domanda: In che modo questo requisito influisce sull'interfaccia di amministrazione di Microsoft 365?

Risposta: L'autenticazione a più fattori obbligatoria verrà implementata nell'interfaccia di amministrazione di Microsoft 365 a partire da febbraio 2025. Altre informazioni sul requisito obbligatorio dell'autenticazione a più fattori per l'interfaccia di amministrazione di Microsoft 365 nel post di blog Annuncio dell'autenticazione a più fattori obbligatoria per l'interfaccia di amministrazione di Microsoft 365.

Domanda: L'autenticazione a più fattori è obbligatoria per tutti gli utenti o solo gli amministratori?

Risposta: tutti gli utenti che accedono a una qualsiasi delle applicazioni elencate in precedenza sono tenuti a completare l'autenticazione a più fattori, indipendentemente dai ruoli di amministratore attivati o idonei, o da eventuali esclusioni utente abilitate per loro.

Domanda: Devo completare l'autenticazione a più fattori se scelgo l'opzione Rimanere connesso?

Risposta: Sì, anche se si sceglie Resta connesso, è necessario completare l'autenticazione a più fattori prima di poter accedere a queste applicazioni.

Domanda: L'imposizione si applica agli account guest B2B?

Risposta: Sì, l'autenticazione a più fattori deve essere rispettata dal tenant delle risorse partner o dal tenant principale dell'utente se è configurata correttamente per inviare attestazioni MFA al tenant della risorsa usando l'accesso tra tenant.

Domanda: L'applicazione si applica ad Azure per il governo degli Stati Uniti o ai cloud sovrani di Azure?

Risposta: Microsoft applica l'autenticazione a più fattori obbligatoria solo nel cloud di Azure pubblico. Microsoft attualmente non applica l'autenticazione a più fattori in Azure per il governo degli Stati Uniti o altri cloud sovrani di Azure.

Domanda: Come è possibile rispettare se si applica l'autenticazione a più fattori usando un altro provider di identità o una soluzione MFA e non viene applicata tramite Microsoft Entra MFA?

Risposta: L'autenticazione a più fattori di terze parti può essere integrata direttamente con Microsoft Entra ID. Per altre informazioni, vedere Microsoft Entra multifactor authentication external method provider reference (Informazioni di riferimento sul provider di metodi esterni per l'autenticazione a più fattori). L'ID Microsoft Entra può essere configurato facoltativamente con un provider di identità federato. In tal caso, la soluzione del provider di identità deve essere configurata correttamente per inviare l'attestazione multipleauthn all'ID Microsoft Entra. Per altre informazioni, vedere Soddisfare i controlli MFA (MultiFactor Authentication) di Microsoft Entra ID con attestazioni MFA da un IdP federato.

Domanda: L'autenticazione a più fattori obbligatoria influisce sulla possibilità di eseguire la sincronizzazione con Microsoft Entra Connect o Microsoft Entra Cloud Sync?

Risposta: No. L'account del servizio di sincronizzazione non è interessato dal requisito obbligatorio dell'autenticazione a più fattori. Solo le applicazioni elencate in precedenza richiedono l'autenticazione a più fattori per l'accesso.

Domanda: Sarò in grado di rifiutare esplicitamente?

Risposta: Non c'è modo di rifiutare esplicitamente. Questo movimento di sicurezza è fondamentale per tutta la sicurezza e la sicurezza della piattaforma Azure e viene ripetuto tra i fornitori di servizi cloud. Ad esempio, vedere Secure by Design: AWS per migliorare i requisiti di MFA nel 2024.

È disponibile un'opzione per posticipare la data di inizio dell'imposizione per i clienti. Gli amministratori globali possono accedere al portale di Azure per posticipare la data di inizio dell'applicazione per il tenant. Gli amministratori globali devono avere accesso con privilegi elevati prima di posticipare la data di inizio dell'applicazione dell'autenticazione a più fattori in questa pagina. Devono eseguire questa azione per ogni utente che necessita di rinvio.

Domanda: È possibile testare l'autenticazione a più fattori prima che Azure applichi i criteri per assicurarsi che non si interrompa nulla?

Risposta: Sì, è possibile verificare l'autenticazione a più fattori tramite il processo di configurazione manuale per l'autenticazione a più fattori. È consigliabile configurare e testare questa operazione. Se usi Accesso Condizionale per applicare l'autenticazione a più fattori, puoi utilizzare i modelli di Accesso Condizionale per testare le tue politiche. Per altre informazioni, vedere Richiedere l'autenticazione a più fattori per gli amministratori che accedono ai portali di amministrazione Microsoft. Se si esegue un'edizione gratuita di Microsoft Entra ID, è possibile abilitare le impostazioni predefinite per la sicurezza.

Domanda: Cosa accade se è già abilitata l'autenticazione a più fattori?

Risposta: i clienti che richiedono già l'autenticazione a più fattori per gli utenti che accedono alle applicazioni elencate in precedenza non visualizzano alcuna modifica. Se è necessaria solo l'autenticazione a più fattori per un sottoinsieme di utenti, tutti gli utenti che non usano già l’autenticazione a più fattori dovranno ora usare l'autenticazione a più fattori quando accedono alle applicazioni.

Domanda: Come è possibile esaminare l'attività MFA in Microsoft Entra ID?

Risposta: Per esaminare i dettagli su quando viene richiesto a un utente di accedere con MFA, usare i log di accesso di Microsoft Entra. Per altre informazioni, vedere Dettagli dell'evento di accesso per l'autenticazione a più fattori Di Microsoft Entra.

Domanda: Cosa accade se si ha uno scenario di "break glass"?

Risposta: è consigliabile aggiornare questi account per usare passkey (FIDO2) o configurare l'autenticazione basata su certificati per MFA. Entrambi i metodi soddisfano il requisito MFA.

Domanda: Cosa succede se non ricevo un messaggio di posta elettronica sull'abilitazione dell'autenticazione a più fattori prima dell'applicazione e vengo bloccato fuori. Come posso risolvere il problema?

Risposta: Gli utenti non devono essere bloccati, ma possono ricevere un messaggio che richiede di abilitare l'autenticazione a più fattori una volta che l'applicazione per la loro organizzazione è iniziata. Se l'utente è bloccato, potrebbero verificarsi altri problemi. Per altre informazioni, vedere Account bloccato.

Contenuto correlato

Per altre informazioni su come configurare e distribuire MFA, vedere gli argomenti seguenti: