Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile eseguire la migrazione delle impostazioni dei criteri legacy di Microsoft Entra ID che controllano separatamente l'autenticazione a più fattori (MFA) e la reimpostazione della password self-service (SSPR) alla gestione unificata con i criteri dei metodi di autenticazione.
È possibile usare la guida alla migrazione dei metodi di autenticazione nell'interfaccia di amministrazione di Microsoft Entra per automatizzare la migrazione. La guida fornisce un wizard per aiutare a controllare le impostazioni correnti dei criteri per MFA e SSPR. Successivamente, consolida tali impostazioni nei criteri dei metodi di autenticazione, in cui possono essere gestiti più facilmente.
È anche possibile eseguire manualmente la migrazione delle impostazioni dei criteri in base alla propria pianificazione. Il processo di migrazione è completamente reversibile. È possibile continuare a usare i criteri MFA e SSPR a livello di tenant mentre si configurano i metodi di autenticazione per utenti e gruppi in modo più preciso nel criterio dei metodi di autenticazione.
Per altre informazioni sul funzionamento di questi criteri durante la migrazione, vedere Gestire i metodi di autenticazione per Microsoft Entra ID.
Guida alla migrazione automatizzata
La guida alla migrazione automatizzata consente di eseguire la migrazione dove si gestiscono i metodi di autenticazione in pochi clic. È possibile accedervi dall'interfaccia di amministrazione di Microsoft Entra navigando fino a Entra ID Metodi di autenticazione Politiche.
La prima pagina della procedura guidata spiega che cos'è e come funziona. Fornisce anche collegamenti a ognuno dei criteri legacy come riferimento.
Il wizard configura quindi i criteri dei metodi di autenticazione in base a ciò che la tua organizzazione ha attualmente abilitato nelle politiche legacy di MFA e SSPR (Self-Service Password Reset). Se un metodo è abilitato in uno dei criteri legacy, è consigliabile abilitarlo anche nei criteri del metodo di autenticazione. Con questa configurazione, gli utenti possono continuare ad accedere e reimpostare la password usando lo stesso metodo usato in precedenza.
È inoltre consigliabile abilitare i metodi moderni e sicuri più recenti, ad esempio passkey, pass di accesso temporaneo e Microsoft Authenticator per migliorare la postura di sicurezza dell’organizzazione. Per modificare la configurazione consigliata, selezionare l'icona a forma di matita posta accanto a ogni metodo.
Dopo aver soddisfatto la configurazione, selezionare Esegui migrazione e quindi confermare la migrazione. La politica Metodi di autenticazione viene aggiornata per corrispondere alla configurazione specificata nella procedura guidata. I metodi di autenticazione nei criteri legacy di MFA e SSPR risultano disattivati e non vengono più applicati.
Lo stato della migrazione viene aggiornato al completamento della migrazione. Puoi modificare questo stato nuovamente in In corso in qualsiasi momento per riabilitare i metodi nei criteri legacy, se necessario.
Migrazione manuale
Per iniziare, eseguire una verifica delle impostazioni delle policy esistenti per ogni metodo di autenticazione disponibile per gli utenti. Se si esegue il rollback durante la migrazione, si potrebbe voler registrare le impostazioni del metodo di autenticazione di ciascuno di questi criteri:
- Politica di MFA
- Criterio SSPR (se usato)
- Criterio dei metodi di autenticazione (se usato)
Se non si usa SSPR e non si è ancora usato il criterio dei metodi di autenticazione, è sufficiente ottenere le impostazioni dal criterio di MFA.
Esaminare la politica di MFA legacy
Per iniziare, documentare i metodi disponibili nel criterio di MFA legacy.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dei criteri di autenticazione.
- Passare a Entra ID>Impostazioni>Per utente>visualizzare le impostazioni.
Si tratta di impostazioni a livello di tenant, quindi non sono necessarie informazioni sull'utente o sul gruppo.
Per ogni metodo, tenere presente se è abilitato o meno per il tenant. Nella tabella seguente sono elencati i metodi disponibili nel criterio di MFA legacy e i metodi corrispondenti nel criterio del metodo di autenticazione.
| Criterio di autenticazione a più fattori | Criteri del metodo di autenticazione |
|---|---|
| Chiamata al telefono | Chiamate vocali |
| SMS al telefono | SMS |
| Notifica tramite app per dispositivi mobili | Microsoft Authenticator |
| Codice di verifica dall'app per dispositivi mobili o dal token hardware | Token OATH per software di terze parti Token OATH hardware Microsoft Authenticator |
Esaminare il criterio SSPR legacy
Per ottenere i metodi di autenticazione disponibili nella politica legacy di SSPR, andare su Entra ID>Utenti>Reimpostazione password>Metodi di autenticazione. Nella tabella seguente sono elencati i metodi disponibili nel criterio SSPR legacy e i metodi corrispondenti nel criterio Metodo di autenticazione.
Registrare gli utenti che rientrano nell'ambito di applicazione di SSPR (tutti gli utenti, un gruppo specifico o nessun utente) e i metodi di autenticazione che possono usare. Anche se le domande di sicurezza non sono ancora disponibili per la gestione nel criterio dei Metodi di autenticazione, assicuratevi di registrarle per un utilizzo futuro, quando lo saranno. Per trovare queste informazioni, passare a Entra ID>Utenti>Reimpostazione della password>Proprietà.
| Metodi di autenticazione SSPR | Criteri del metodo di autenticazione |
|---|---|
| Notifica dell'app per dispositivi mobili | Microsoft Authenticator |
| Codice app per dispositivi mobili | Microsoft Authenticator Token OATH software |
| OTP email | |
| Telefono cellulare | Chiamate vocali SMS |
| Telefono ufficio | Chiamate vocali |
| Domande di sicurezza | Non ancora disponibile; copiare le domande per un uso successivo |
Politica dei metodi di autenticazione
Per controllare le impostazioni nei criteri dei metodi di autenticazione, accedere al centro di amministrazione di Microsoft Entra come almeno un Amministratore dei criteri di autenticazione e passare a Entra ID>Metodi di autenticazione>Criteri. Per impostazione predefinita, un nuovo tenant include tutti i metodi Disattivati , che semplificano la migrazione perché non è necessario unire le impostazioni dei criteri legacy con le impostazioni esistenti.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dei criteri di autenticazione.
- Passare a Entra ID>Metodi di autenticazione>
Il criterio Metodi di autenticazione dispone di altri metodi non disponibili nei criteri legacy, ad esempio la chiave di sicurezza FIDO2, il pass di accesso temporaneo e l'autenticazione basata su certificati di Microsoft Entra. Questi metodi non sono soggetti a migrazione e non è necessario modificarli se sono già stati configurati.
Se nel criterio Metodi di autenticazione sono stati abilitati altri metodi, annotare gli utenti e i gruppi che possono o meno utilizzare tali metodi. Prendere nota dei parametri di configurazione che regolano la modalità di utilizzo del metodo. Ad esempio, la possibilità di configurare Microsoft Authenticator per fornire la posizione nelle notifiche push. Registrare quali utenti e gruppi sono abilitati a parametri di configurazione simili associati a ogni metodo.
Avviare la migrazione
Dopo aver acquisito i metodi di autenticazione disponibili dai criteri attualmente in uso, è possibile eseguire la migrazione. Aprire i criteri Metodi di autenticazione, selezionare Gestisci migrazione e selezionare Migrazione in corso.
Questa opzione viene impostata prima di apportare modifiche quando si applica il nuovo criterio sia agli scenari di accesso che di reimpostazione della password.
Il passaggio successivo consiste nell'aggiornare la politica dei metodi di autenticazione affinché corrisponda al controllo. È consigliabile esaminare ogni metodo uno alla volta. Se il tenant usa solo il criterio MFA legacy e non usa SSPR, l'aggiornamento è semplice. È infatti possibile abilitare ogni metodo per tutti gli utenti in modo che corrisponda esattamente al criterio esistente.
Se il tenant usa sia MFA che SSPR, è necessario prendere in considerazione ogni metodo:
- Se il metodo è abilitato in entrambi i criteri legacy, abilitarlo per tutti gli utenti nel criterio Metodi di autenticazione.
- Se il metodo è disabilitato in entrambi i criteri legacy, mantenerlo tale per tutti gli utenti nel criterio Metodi di autenticazione.
- Se il metodo è abilitato solo in un criterio, è necessario decidere se deve essere disponibile o meno in tutte le situazioni.
Se i criteri coincidono, è possibile trovare facilmente la corrispondenza con lo stato corrente. In caso di mancata corrispondenza, è necessario decidere se abilitare o disabilitare completamente il metodo. Si supponga, ad esempio, che La notifica tramite l'app per dispositivi mobili sia abilitata per consentire le notifiche push per MFA. Nei criteri legacy di reimpostazione della password self-service, il metodo delle notifiche delle app per dispositivi mobili non è abilitato. In tal caso, i criteri legacy consentono le notifiche push per MFA (Autenticazione a più fattori) ma non per SSPR (Reimpostazione password self-service).
Nei criteri dei metodi di autenticazione è quindi necessario scegliere se abilitare Microsoft Authenticator sia per la reimpostazione della password self-service che per l'autenticazione a più fattori o disabilitarla (è consigliabile abilitare Microsoft Authenticator).
Si noti che nel criterio Metodi di autenticazione è possibile abilitare i metodi per gruppi di utenti, oltre che per tutti gli utenti, nonché escludere gruppi di utenti dalla possibilità di usare un determinato metodo. Ciò significa che si dispone di un'ampia flessibilità per controllare quali utenti possono usare determinati metodi. Ad esempio, è possibile abilitare Microsoft Authenticator per tutti gli utenti e limitare sms e chiamate vocali a 1 gruppo di 20 utenti che necessitano di tali metodi.
Man mano che si aggiornano i metodi nel criterio Metodi di autenticazione, alcuni di essi dispongono di parametri configurabili che consentono di controllare il modo in il metodo può essere usato. Ad esempio, se si abilitano le chiamate vocali come metodo di autenticazione, è possibile scegliere di consentire sia il telefono dell'ufficio che i telefoni cellulari o solo i dispositivi mobili. Passare attraverso il processo per configurare ciascun metodo di autenticazione dell'analisi.
Non è necessario che tu rispetti la tua politica esistente. È un'ottima opportunità esaminare i metodi abilitati e scegliere un nuovo criterio che ottimizza la sicurezza e l'usabilità per il tenant. Si noti solo che la disabilitazione dei metodi per gli utenti che già li usano potrebbe richiedere agli utenti di registrare nuovi metodi di autenticazione e impedire loro di usare metodi precedentemente registrati.
Le sezioni successive illustrano indicazioni specifiche sulla migrazione per ogni metodo.
Inviare passcode monouso tramite posta elettronica
Esistono due controlli per il passcode monouso della posta elettronica:
Nella sezione Abilita e destinazione: si possono abilitare i membri dell'inquilino per consentire l'uso di OTP di posta elettronica in Reimpostazione password, includendo o escludendo gruppi specifici (oppure abilitato per tutti gli utenti membri).
Nella sezione Configura: Un controllo separato consente agli utenti esterni di utilizzare OTP via email per l'accesso da parte degli utenti B2B. Il metodo di autenticazione OTP di posta elettronica non può essere disabilitato se questa impostazione è abilitata.
Microsoft Authenticator
Se la notifica tramite app per dispositivi mobili è abilitata nei criteri di autenticazione a più fattori legacy, abilitare Microsoft Authenticator per tutti gli utenti nei criteri Metodi di autenticazione. Impostare la modalità di autenticazione su Any per consentire le notifiche push o l'autenticazione senza password.
Se il codice di verifica dall'app per dispositivi mobili o dal token hardware è abilitato nei criteri MFA legacy, impostare Consenti l'uso di Microsoft Authenticator OTP su Sì.
Nota
Se gli utenti registrano Microsoft Authenticator solo per il codice OTP utilizzando la procedura guidata Voglio usare un'app di autenticazione diversa è necessario abilitare i criteri Token OATH software di terze parti.
SMS e chiamate vocali
I criteri di autenticazione a più fattori legacy hanno controlli separati per sms e chiamate telefoniche. Ma c'è anche un controllo per telefoni cellulari che abilita i telefoni cellulari sia per gli SMS che per le chiamate vocali. E un altro controllo per il telefono di Office abilita un telefono dell'ufficio solo per la chiamata vocale.
La politica dei metodi di autenticazione ha controlli per SMS e le chiamate vocali, che corrispondono ai criteri di autenticazione a più fattori legacy. Se il tenant usa la reimpostazione self-service della password e il telefono cellulare è abilitato, è necessario abilitare sia gli SMS che le chiamate vocali nel criterio Metodi di autenticazione. Se il tenant utilizza SSPR e il telefono di Office è abilitato, è consigliato abilitare le chiamate vocali nei criteri dei Metodi di autenticazione e assicurarsi che l'opzione telefono di Office sia abilitata.
Nota
L'opzione Usa per l'accesso è abilitata per impostazione predefinita nelle impostazioni SMS . Questa opzione abilita l'accesso tramite SMS. Se l'accesso tramite SMS è abilitato per gli utenti, vengono esclusi dalla sincronizzazione tra tenant. Se si usa la sincronizzazione tra tenant o non si vuole abilitare l'accesso tramite SMS, disabilitarlo per gli utenti di destinazione.
Token OATH
I controlli dei token OATH nei criteri MFA e SSPR legacy erano controlli singoli che consentivano l'uso di tre diversi tipi di token OATH: l'app Microsoft Authenticator, le app software di terze parti del generatore di codici OATH TOTP e i token OATH hardware.
Il criterio Metodi di autenticazione offre un controllo dettagliato con opzioni separate per ogni tipo di token OATH. L'uso degli OTP da Microsoft Authenticator è regolato dall'impostazione Allow use of Microsoft Authenticator OTP nella sezione Microsoft Authenticator della policy. Le app di terze parti sono controllate dalla sezione Token OATH del software di terze parti della politica. I token hardware OATH sono controllati dalla sezione Token hardware OATH della politica.
Domande di sicurezza
Presto sarà disponibile un controllo per le domande di sicurezza . Se si usano le domande di sicurezza e non si vuole disabilitarle, assicurarsi di mantenerle abilitate nel criterio di reimpostazione della password self-service (SSPR) legacy fino a quando non sarà disponibile il nuovo controllo. È possibile completare la migrazione come descritto nella sezione successiva con domande di sicurezza abilitate.
Completare la migrazione
Dopo aver aggiornato il criterio Metodi di autenticazione, passare ai criteri MFA e SSPR legacy e rimuovere ogni metodo di autenticazione uno alla volta. Testare e convalidare le modifiche per ogni metodo.
Quando si determina che MFA e reimpostazione della password self-service funzionano come previsto e non sono più necessari i criteri legacy di autenticazione a più fattori e reimpostazione della password self-service, è possibile modificare il processo di migrazione in Migrazione completata. In questa modalità, Microsoft Entra segue solo il criterio dei metodi di autenticazione. Non è possibile apportare modifiche ai criteri legacy se l'impostazione Migration Complete è attiva, ad eccezione delle domande di sicurezza nei criteri per la reimpostazione della password self-service. Se è necessario tornare ai criteri legacy per qualche motivo, è possibile tornare allo stato di migrazione in corso in qualsiasi momento.
