Condividi tramite

Autenticazione a più fattori preferita dal sistema - Criteri dei metodi di autenticazione

  • Articolo

L'autenticazione a più fattori preferita dal sistema richiede agli utenti di accedere usando il metodo più sicuro registrato. Gli amministratori possono abilitare l'autenticazione a più fattori preferita dal sistema per migliorare la sicurezza degli accessi e scoraggiare metodi di accesso meno sicuri come gli SMS.

Ad esempio, se un utente ha registrato sia le notifiche push SMS che Microsoft Authenticator come metodi per MFA, l'autenticazione a più fattori preferita dal sistema richiede all'utente l'accesso usando il metodo di notifica push più sicuro. L'utente può comunque scegliere di accedere usando un altro metodo, ma prima gli/le viene richiesto di provare il metodo più sicuro registrato.

L'autenticazione a più fattori preferita dal sistema è un'impostazione gestita da Microsoft, ovvero un criterio di valutazione a tre stati. Per l'anteprima, lo stato predefinito è disabilitato. Se si vuole attivarla per tutti gli utenti o un gruppo di utenti durante l'anteprima, è necessario modificare in modo esplicito lo stato gestito da Microsoft su Abilitato. A un certo punto dopo la disponibilità generale, lo stato gestito da Microsoft dell'autenticazione a più fattori preferita dal sistema passerà ad Abilitato.

Dopo l'abilitazione dell'autenticazione a più fattori MFA preferita dal sistema, il sistema di autenticazione esegue tutte le operazioni. Gli utenti non devono impostare alcun metodo di autenticazione come predefinito poiché il sistema determina e presenta sempre il metodo più sicuro registrato.

Nota

L'autenticazione a più fattori preferita dal sistema è un importante miglioramento della sicurezza per gli utenti che eseguono l'autenticazione tramite trasporti di telecomunicazioni. A partire dal 7 luglio 2023, il valore gestito da Microsoft di MFA preferito dal sistema passerà da Disabilitato ad Abilitato. Se non si vuole abilitare l'autenticazione a più fattori preferita dal sistema, modificare lo stato da Predefinito a Disabilitato o escludere utenti e gruppi dai criteri.

Abilitare l'autenticazione a più fattori preferita dal sistema nell'interfaccia di amministrazione di Microsoft Entra

Per impostazione predefinita, l'autenticazione a più fattori preferita dal sistema è gestita da Microsoft e disabilitata per tutti gli utenti.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

  2. Passare a Protezione>Metodi di autenticazione>Impostazioni.

  3. Per l'autenticazione a più fattori preferita dal sistema, scegliere se abilitare o disabilitare in modo esplicito la funzionalità e includere o escludere degli utenti. I gruppi esclusi hanno la precedenza sui gruppi inclusi.

    Ad esempio, lo screenshot seguente mostra come abilitare in modo esplicito MFA preferito dal sistema solo per il gruppo Engineering.

    Screenshot di come abilitare le impostazioni di Microsoft Authenticator per la modalità di autenticazione push.

  4. Dopo aver apportato le modifiche, fare clic su Salva.

Abilitare l'autenticazione a più fattori preferita dal sistema usando le API Graph

Per abilitare in anticipo l'autenticazione a più fattori preferita dal sistema, è necessario scegliere un singolo gruppo di destinazione per la configurazione dello schema, come illustrato nell'esempio Richiesta.

Proprietà di configurazione delle funzionalità del metodo di autenticazione

Per impostazione predefinita, l'autenticazione a più fattori preferita dal sistema è gestita e disabilitata da Microsoft durante l'anteprima. Dopo la disponibilità generale, il valore predefinito dello stato gestito di Microsoft cambierà per abilitare l'autenticazione a più fattori preferita dal sistema.

Proprietà Type Descrizione
excludeTarget featureTarget Singola entità esclusa da questa funzionalità.
È possibile escludere un solo gruppo da MFA preferita dal sistema; questo essere un gruppo dinamico o annidato.
includeTarget featureTarget Singola entità inclusa in questa funzionalità.
È possibile includere un solo gruppo in MFA preferita dal sistema; questo essere un gruppo dinamico o annidato.
Provincia advancedConfigState I valori possibili sono:
abilitato in modo esplicito abilita la funzionalità per il gruppo selezionato.
disabilitato disabilita in modo esplicito la funzionalità per il gruppo selezionato.
predefinito consente a Microsoft Entra ID di gestire se la funzionalità è abilitata o meno per il gruppo selezionato.

Proprietà destinazione della funzionalità

L'autenticazione a più fattori preferita dal sistema può essere abilitata solo per un singolo gruppo; questo può essere un gruppo dinamico o annidato.

Proprietà Type Descrizione
ID String ID dell'entità interessata.
targetType featureTargetType Tipo di entità interessata, ad esempio gruppo, ruolo o unità amministrativa. I valori possibili sono: 'group', 'administrativeUnit', 'role', 'unknownFutureValue'.

Usare l'endpoint API seguente per abilitare systemCredentialPreferences e includere o escludere gruppi:

https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy

Nota

In Graph Explorer è necessario fornire il consenso all'autorizzazione Policy.ReadWrite.AuthenticationMethod.

Richiedi

L'esempio seguente esclude un gruppo di destinazione di esempio e include tutti gli utenti. Per altre informazioni, vedere Aggiornare authenticationMethodsPolicy.

PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy
Content-Type: application/json

{
    "systemCredentialPreferences": {
        "state": "enabled",
        "excludeTargets": [
            {
                "id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
                "targetType": "group"
            }
        ],
        "includeTargets": [
            {
                "id": "all_users",
                "targetType": "group"
            }
        ]
    }
}

Domande frequenti

In che modo l'autenticazione a più fattori preferita dal sistema determina il metodo più sicuro?

Quando un utente esegue l'accesso, il processo di autenticazione controlla quali metodi di autenticazione sono registrati per l'utente. All'utente viene richiesto di eseguire l'accesso con il metodo più sicuro in base all'ordine seguente. L'ordine dei metodi di autenticazione è dinamico. Viene aggiornato man mano che cambia il panorama di sicurezza e man mano che emergono metodi di autenticazione migliori. A causa di problemi noti con l'autenticazione basata su certificati e l'autenticazione a più fattori preferita dal sistema, l'autorità di certificazione è stata spostata nella parte inferiore dell'elenco. Fare clic sul collegamento per informazioni su ogni metodo.

  1. Pass di accesso temporaneo
  2. Chiave di sicurezza FIDO2
  3. Notifiche di Microsoft Authenticator
  4. Passcode monouso basata sul tempo (TOTP)1
  5. Telefonia2
  6. Autenticazione basata su certificati

1 Include TOTP hardware o software da Microsoft Authenticator, Authenticator Lite o applicazioni di terze parti.

2 Include SMS e chiamate vocali.

In che modo l'autenticazione a più fattori preferita dal sistema influisce sull'estensione NPS?

L'autenticazione a più fattori preferita dal sistema non influisce sugli utenti che accedono usando l'estensione Server dei criteri di rete ( NPS). Questi utenti non visualizzano alcuna modifica all'esperienza di accesso.

Cosa accade agli utenti che non sono specificati nei criteri dei metodi di autenticazione ma abilitati nei criteri legacy a livello di tenant MFA?

L'autenticazione a più fattori preferita dal sistema si applica anche agli utenti abilitati per l'autenticazione a più fattori nei criteri di autenticazione a più fattori legacy.

Screenshot delle impostazioni di autenticazione a più fattori legacy.

Passaggi successivi