Panoramica della registrazione combinata delle informazioni di sicurezza per Microsoft Entra
Prima della registrazione combinata, gli utenti hanno registrato i metodi di autenticazione per l'autenticazione a più fattori di Microsoft Entra e la reimpostazione della password self-service separatamente. Persone sono stati confusi che sono stati usati metodi simili per l'autenticazione a più fattori e la reimpostazione della password self-service, ma hanno dovuto registrarsi per entrambe le funzionalità. Ora, con la registrazione combinata, gli utenti possono registrarsi una sola volta e ottenere i vantaggi dell'autenticazione a più fattori e della reimpostazione della password self-service. È consigliabile questo video su Come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID.
Prima di abilitare la nuova esperienza, esaminare la documentazione incentrata sull'amministratore e la documentazione incentrata sull'utente per assicurarsi di comprendere le funzionalità e l'effetto di questa funzionalità. Basare la formazione sulla documentazione dell'utente per preparare gli utenti per la nuova esperienza e contribuire a garantire un'implementazione corretta.
La registrazione combinata delle informazioni di sicurezza di Microsoft Entra ID è disponibile per Azure US Government ma non per Microsoft Azure gestito da 21Vianet.
Le pagine account personali vengono localizzate in base alle impostazioni della lingua del computer che accede alla pagina. Microsoft archivia la lingua più recente usata nella cache del browser, quindi i successivi tentativi di accesso alle pagine continuano a essere visualizzati nell'ultima lingua usata. Se si cancella la cache, il rendering delle pagine viene eseguito di nuovo.
Se si desidera forzare una lingua specifica, è possibile aggiungere ?lng=<language> alla fine dell'URL, dove <language> è il codice del linguaggio di cui si vuole eseguire il rendering.
Metodi disponibili nella registrazione combinata
La registrazione combinata supporta i metodi e le azioni di autenticazione nella tabella seguente.
| metodo | Registrazione | Modifica | Elimina |
|---|---|---|---|
| Microsoft Authenticator | Sì (massimo 5) | No | Sì |
| Altra app di autenticazione | Sì (massimo 5) | No | Sì |
| Token hardware | No | No | Sì |
| il numero | Sì | Sì | Sì |
| Telefono alternativo | Sì | Sì | Sì |
| Telefono ufficio* | Sì | Sì | Sì |
| Messaggio e-mail | Sì | Sì | Sì |
| Domande di sicurezza | Sì | No | Sì |
| Password | No | Sì | No |
| Password dell'app* | Sì | No | Sì |
| Passkey (FIDO2)* | Sì | No | Sì |
Nota
Se si abilita Microsoft Authenticator per la modalità di autenticazione senza password nei criteri Metodi di autenticazione, gli utenti devono anche abilitare l'accesso senza password nell'app Authenticator.
Il telefono alternativo può essere registrato solo in modalità https://aka.ms/mysecurityinfo Gestione e richiede l'abilitazione delle chiamate vocali nei criteri Metodi di autenticazione.
Il telefono dell'ufficio può essere registrato in modalità interrupt solo se la proprietà Telefono aziendale degli utenti è stata impostata. Il telefono di Office può essere aggiunto dagli utenti in modalità gestita da https://aka.ms/mysecurityinfo senza questo requisito.
Le password dell'app sono disponibili solo per gli utenti che sono stati applicati per MFA per utente. Le password dell'app non sono disponibili per gli utenti abilitati per l'autenticazione a più fattori Di Microsoft Entra tramite criteri di accesso condizionale.
Passkey (FIDO2), può essere aggiunto solo in modalità Gestisci in https://aka.ms/mysecurityinfo.
Gli utenti possono impostare una delle opzioni seguenti come metodo di autenticazione a più fattori predefinito.
- Microsoft Authenticator: notifica push o senza password
- App authenticator o token hardware : codice
- Telefonata
- Messaggio di testo
Nota
I numeri di telefono virtuali non sono supportati per le chiamate vocali o i messaggi SMS.
Le app di autenticazione di terze parti non forniscono notifiche push. Man mano che continuiamo ad aggiungere altri metodi di autenticazione all'ID Microsoft Entra, questi metodi diventano disponibili nella registrazione combinata.
Modalità di registrazione combinate
Esistono due modalità di registrazione combinata: interrupt e gestione.
- La modalità interrupt è un'esperienza simile alla procedura guidata, presentata agli utenti quando registrano o aggiornano le informazioni di sicurezza all'accesso.
- La modalità di gestione fa parte del profilo utente e consente agli utenti di gestire le informazioni di sicurezza.
Per entrambe le modalità, gli utenti che in precedenza hanno registrato un metodo che può essere usato per l'autenticazione a più fattori di Microsoft Entra devono eseguire l'autenticazione a più fattori prima di poter accedere alle informazioni di sicurezza. Gli utenti devono confermare le informazioni prima di continuare a usare i metodi registrati in precedenza.
Modalità interrupt
La registrazione combinata è conforme sia all'autenticazione a più fattori che ai criteri di reimpostazione della password self-service, se entrambi sono abilitati per il tenant. Questi criteri controllano se un utente viene interrotto per la registrazione durante l'accesso e quali metodi sono disponibili per la registrazione. Se è abilitato solo un criterio di reimpostazione della password self-service, gli utenti potranno ignorare (a tempo indeterminato) l'interruzione della registrazione e completarla in un secondo momento.
Di seguito sono riportati alcuni scenari di esempio in cui agli utenti potrebbe essere richiesto di registrare o aggiornare le informazioni di sicurezza:
- registrazione dell'autenticazione a più fattori applicata tramite Identity Protection: agli utenti viene chiesto di registrarsi durante l'accesso. Registrano metodi di autenticazione a più fattori e SSPR (se l'utente è abilitato per la reimpostazione della password self-service).
- registrazione dell'autenticazione a più fattori applicata tramite l'autenticazione a più fattori per utente: agli utenti viene chiesto di registrarsi durante l'accesso. Registrano metodi di autenticazione a più fattori e SSPR (se l'utente è abilitato per la reimpostazione della password self-service).
- registrazione dell'autenticazione a più fattori applicata tramite l'accesso condizionale o altri criteri: agli utenti viene chiesto di registrarsi quando usano una risorsa che richiede l'autenticazione a più fattori. Registrano metodi di autenticazione a più fattori e SSPR (se l'utente è abilitato per la reimpostazione della password self-service).
- Registrazione della reimpostazione della password self-service applicata: agli utenti viene chiesto di registrarsi durante l'accesso. Registrano solo i metodi di reimpostazione della password self-service.
- Aggiornamento della reimpostazione della password self-service applicato: gli utenti devono esaminare le informazioni di sicurezza a intervalli impostati dall'amministratore. Gli utenti visualizzano le informazioni e possono confermare le informazioni correnti o apportare modifiche, se necessario.
Quando viene applicata la registrazione, gli utenti visualizzano il numero minimo di metodi necessari per essere conformi sia con l'autenticazione a più fattori che con i criteri di reimpostazione della password self-service, dalla maggior parte alla meno sicura. Gli utenti che passano attraverso la registrazione combinata in cui vengono applicate sia la registrazione MFA che la reimpostazione della password self-service e il criterio SSPR richiede due metodi per registrare un metodo MFA come primo metodo e può selezionare un altro metodo specifico MFA o SSPR come secondo metodo registrato (ad esempio, posta elettronica, domande di sicurezza e così via).
Si consideri il seguente scenario di esempio:
- Un utente è abilitato per la reimpostazione della password self-service. Il criterio SSPR richiede due metodi per reimpostare e ha abilitato l'app Microsoft Authenticator, la posta elettronica e il telefono.
- Quando l'utente sceglie di eseguire la registrazione, sono necessari due metodi:
- L'utente visualizza l'app Microsoft Authenticator e il telefono per impostazione predefinita.
- L'utente può scegliere di registrare la posta elettronica anziché l'app Authenticator o il telefono.
Quando configura Microsoft Authenticator, l'utente può fare clic su Desidero configurare un metodo diverso per registrare altri metodi di autenticazione. L'elenco dei metodi disponibili è determinato dai criteri dei metodi di autenticazione per il tenant.
Il diagramma di flusso seguente descrive i metodi mostrati a un utente quando viene interrotta la registrazione durante l'accesso:
Se è abilitata sia l'autenticazione a più fattori che la reimpostazione della password self-service, è consigliabile applicare la registrazione dell'autenticazione a più fattori.
Se i criteri di reimpostazione della password self-service richiedono agli utenti di esaminare le informazioni di sicurezza a intervalli regolari, gli utenti vengono interrotti durante l'accesso e visualizzati tutti i metodi registrati. Possono confermare le informazioni correnti se sono aggiornate o possono apportare modifiche se necessario. Gli utenti devono eseguire l'autenticazione a più fattori per accedere a questa pagina.
Modalità di gestione
Gli utenti possono accedere alla modalità di gestione passando a Informazioni di sicurezza o selezionando Informazioni di sicurezza da Account personale. Da qui, gli utenti possono aggiungere metodi, eliminare o modificare i metodi esistenti, modificare il metodo predefinito e altro ancora.
Scenari di utilizzo chiave
Modificare una password in MySignIns
Un utente passa a Informazioni di sicurezza. Dopo l'accesso, l'utente può modificare la password. Se l'utente esegue l'autenticazione con una password e un metodo di autenticazione a più fattori, potrà usare l'esperienza utente avanzata per modificare la password senza immettere la password esistente. Al termine, l'utente ha aggiornato la nuova password nella pagina Informazioni di sicurezza. I metodi di autenticazione, ad esempio il pass di accesso temporaneo (TAP) non sono supportati per la modifica della password, a meno che l'utente non conosca la password esistente.
Proteggere la registrazione delle informazioni di sicurezza con l'accesso condizionale
Per proteggere quando e come gli utenti si registrano per l'autenticazione a più fattori Microsoft Entra e la reimpostazione della password self-service, è possibile usare le azioni utente nei criteri di accesso condizionale. Questa funzionalità può essere abilitata nelle organizzazioni che vogliono che gli utenti esecrino per l'autenticazione a più fattori Microsoft Entra e la reimpostazione della password self-service da una posizione centrale, ad esempio un percorso di rete attendibile durante l'onboarding delle risorse umane. Altre informazioni su come configurare i criteri di accesso condizionale comuni per proteggere la registrazione delle informazioni di sicurezza.
Configurare le informazioni di sicurezza durante l'accesso
Un amministratore ha applicato la registrazione.
Un utente non ha configurato tutte le informazioni di sicurezza necessarie e passa all'interfaccia di amministrazione di Microsoft Entra. Dopo che l'utente immette il nome utente e la password, all'utente viene richiesto di configurare le informazioni di sicurezza. L'utente segue quindi i passaggi illustrati nella procedura guidata per configurare le informazioni di sicurezza necessarie. Se le impostazioni lo consentono, l'utente può scegliere di configurare metodi diversi da quelli visualizzati per impostazione predefinita. Dopo aver completato la procedura guidata, gli utenti esaminano i metodi configurati e il relativo metodo predefinito per l'autenticazione a più fattori. Per completare il processo di installazione, l'utente conferma le informazioni e continua con l'interfaccia di amministrazione di Microsoft Entra.
Configurare le informazioni di sicurezza dall'account personale
Un amministratore non ha applicato la registrazione.
Un utente che non ha ancora configurato tutte le informazioni di sicurezza necessarie passa a https://myaccount.microsoft.com. L'utente seleziona Informazioni di sicurezza nel riquadro sinistro. Da qui, l'utente sceglie di aggiungere un metodo, seleziona uno dei metodi disponibili e segue i passaggi per configurare tale metodo. Al termine, l'utente visualizza il metodo configurato nella pagina Informazioni di sicurezza.
Configurare altri metodi dopo la registrazione parziale
Se un utente ha parzialmente soddisfatto la registrazione MFA o SSPR a causa delle registrazioni esistenti del metodo di autenticazione eseguite dall'utente o dall'amministratore, agli utenti verrà chiesto solo di registrare informazioni aggiuntive consentite dalle impostazioni dei criteri dei metodi di autenticazione quando è richiesta la registrazione. Se più di un altro metodo di autenticazione è disponibile per consentire all'utente di scegliere e registrare, verrà visualizzata un'opzione sull'esperienza di registrazione denominata Voglio configurare un altro metodo e consentire all'utente di configurare il metodo di autenticazione desiderato.
Eliminare le informazioni di sicurezza dall'account personale
Un utente che ha configurato in precedenza almeno un metodo passa a https://aka.ms/mysecurityinfo. L'utente sceglie di eliminare uno dei metodi registrati in precedenza. Al termine, l'utente non visualizza più il metodo nella pagina Informazioni di sicurezza.
Modificare il metodo predefinito da Account personale
Un utente che ha configurato in precedenza almeno un metodo che può essere usato per l'autenticazione a più fattori passa a https://aka.ms/mysecurityinfo. L'utente modifica il metodo predefinito corrente in un metodo predefinito diverso. Al termine, l'utente visualizza il nuovo metodo predefinito nella pagina Informazioni di sicurezza.
Cambia directory
Un'identità esterna, ad esempio un utente B2B, potrebbe dover cambiare la directory per modificare le informazioni di registrazione di sicurezza per un tenant di terze parti. Inoltre, gli utenti che accedono a un tenant di risorse possono essere confusi quando modificano le impostazioni nel tenant principale, ma non vedono le modifiche riflesse nel tenant della risorsa.
Ad esempio, un utente imposta la notifica push dell'app Microsoft Authenticator come autenticazione primaria per accedere al tenant home e dispone anche di SMS/Text come un'altra opzione. Questo utente è configurato anche con l'opzione SMS/Text in un tenant di risorse. Se questo utente rimuove SMS/Testo come una delle opzioni di autenticazione nel tenant principale, viene confuso quando l'accesso al tenant della risorsa chiede di rispondere a SMS/SMS/SMS.
Per cambiare la directory nell'interfaccia di amministrazione di Microsoft Entra, fare clic sul nome dell'account utente nell'angolo in alto a destra e fare clic su Cambia directory.
In alternativa, è possibile specificare un tenant in base all'URL per accedere alle informazioni di sicurezza.
https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>
https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>
Nota
I clienti che tentano di registrare o gestire le informazioni di sicurezza tramite la registrazione combinata o la pagina Accessi personali devono usare un browser moderno, ad esempio Microsoft Edge.
Internet Explorer 11 non è ufficialmente supportato per la creazione di una visualizzazione Web o di un browser nelle applicazioni perché non funzionerà come previsto in tutti gli scenari.
Le applicazioni che non sono state aggiornate e che usano ancora Autenticazione di Azure AD Library (ADAL) che si basano su webview legacy possono eseguire il fallback alle versioni precedenti di Internet Explorer. In questi scenari, gli utenti visualizzeranno una pagina vuota quando viene visualizzata la pagina Accessi personali. Per risolvere questo problema, passare a un browser moderno.
Passaggi successivi
Per iniziare, vedere le esercitazioni per abilitare la reimpostazione della password self-service e abilitare l'autenticazione a più fattori Di Microsoft Entra.
Informazioni su come abilitare la registrazione combinata nel tenant o forzare gli utenti a registrare nuovamente i metodi di autenticazione.
È anche possibile esaminare i metodi disponibili per l'autenticazione a più fattori Microsoft Entra e la reimpostazione della password self-service.