Come eseguire la migrazione delle impostazioni dei criteri di autenticazione a più fattori e reimpostazione della password self-service ai criteri dei metodi di autenticazione per Microsoft Entra ID
È possibile eseguire la migrazione delle impostazioni del criterio legacy di Microsoft Entra ID che controllano separatamente l'autenticazione a più fattori (MFA) e la reimpostazione della password self-service (SSPR) per la gestione unificata con il criterio dei metodi di autenticazione.
È possibile usare la guida alla migrazione dei metodi di autenticazione (anteprima) nell'interfaccia di amministrazione di Microsoft Entra per automatizzare la migrazione. La guida fornisce una procedura guidata per controllare le impostazioni correnti dei criteri per la MFA e la reimpostazione della password self-service, consolidando tali impostazioni nei criteri metodi di autenticazione, in cui possono essere gestiti più facilmente.
È anche possibile eseguire manualmente la migrazione delle impostazioni dei criteri in base alla propria pianificazione. Il processo di migrazione è completamente reversibile. È possibile continuare a usare i criteri MFA e SSPR a livello di tenant mentre si configurano i metodi di autenticazione per utenti e gruppi in modo più preciso nel criterio dei metodi di autenticazione.
Per altre informazioni sull'interazione di questi criteri durante la migrazione, vedere Gestire i metodi di autenticazione per Microsoft Entra ID.
Guida alla migrazione automatizzata
La guida alla migrazione automatizzata consente di eseguire la migrazione dove si gestiscono i metodi di autenticazione in pochi clic. È possibile accedervi dall'interfaccia di amministrazione di Microsoft Entra passando a Protezione>Metodi di autenticazione>Criteri.
La prima pagina della procedura guidata spiega che cos'è e come funziona. Fornisce anche collegamenti a ognuno dei criteri legacy come riferimento.
La procedura guidata configura quindi i criteri del metodo di autenticazione in base a ciò che l'organizzazione ha attualmente abilitato nei criteri legacy di MFA e reimpostazione della password self-service. Se un metodo è abilitato in uno dei criteri legacy, è consigliabile abilitarlo anche nei criteri del metodo di autenticazione. Con questa configurazione, gli utenti possono continuare ad accedere e reimpostare la password usando lo stesso metodo usato in precedenza.
È inoltre consigliabile abilitare i metodi moderni e sicuri più recenti, ad esempio passkey, pass di accesso temporaneo e Microsoft Authenticator per migliorare la postura di sicurezza dell’organizzazione. Per modificare la configurazione consigliata, selezionare l'icona a forma di matita posta accanto a ogni metodo.
Dopo aver completato la propria configurazione, selezionare Esegui migrazione, quindi confermare la migrazione. Il criterio Metodi di autenticazione viene aggiornato in modo che corrisponda alla configurazione specificata nella procedura guidata. I metodi di autenticazione nei criteri di autenticazione MFA e reimpostazione della password self-service legacy appaiono disattivati e non vengono più applicati.
Lo stato della migrazione verrà aggiornato al completamento della migrazione. È possibile modificare tale stato e tornare a In corso in qualsiasi momento per riabilitare i metodi nei criteri legacy, laddove necessario.
Migrazione manuale
Per iniziare, eseguire un controllo delle impostazioni del criterio esistente per ogni metodo di autenticazione disponibile per gli utenti. Se si esegue il rollback durante la migrazione, si potrebbe voler registrare le impostazioni del metodo di autenticazione di ciascuno di questi criteri:
- Criteri di MFA
- Criterio SSPR (se usato)
- Criterio dei metodi di autenticazione (se usato)
Se non si usa SSPR e non si è ancora usato il criterio dei metodi di autenticazione, è sufficiente ottenere le impostazioni dal criterio di MFA.
Esaminare il criterio di MFA legacy
Per iniziare, documentare i metodi disponibili nel criterio di MFA legacy.
Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
Per visualizzare le impostazioni, passare a Identità>Utenti>Tutti gli utenti>MFA per utente>nelle impostazioni del servizio. Si tratta di impostazioni a livello di tenant, quindi non sono necessarie informazioni sull'utente o sul gruppo.
Per ogni metodo, tenere presente se è abilitato o meno per il tenant. Nella tabella seguente sono elencati i metodi disponibili nel criterio di MFA legacy e i metodi corrispondenti nel criterio del metodo di autenticazione.
| Criterio di autenticazione a più fattori | Criteri del metodo di autenticazione |
|---|---|
| Chiamata al telefono | Chiamate vocali |
| SMS al telefono | SMS |
| Notifica tramite app per dispositivi mobili | Microsoft Authenticator |
| Codice di verifica dall'app per dispositivi mobili o dal token hardware | Token OATH per software di terze parti Token OATH hardware Microsoft Authenticator |
Esaminare il criterio SSPR legacy
Per ottenere i metodi di autenticazione disponibili nel criterio SSPR legacy, passare a Identità>Protezione>Reimpostazione della password>Metodi di autenticazione. Nella tabella seguente sono elencati i metodi disponibili nel criterio SSPR legacy e i metodi corrispondenti nel criterio Metodo di autenticazione.
Registrare gli utenti che rientrano nell'ambito di applicazione di SSPR (tutti gli utenti, un gruppo specifico o nessun utente) e i metodi di autenticazione che possono usare. Anche se le domande di sicurezza non sono ancora disponibili per la gestione nel criterio Metodi di autenticazione, assicurarsi di registrarle per un secondo momento, quando lo saranno.
| Metodi di autenticazione reimpostazione della password self-service | Criteri del metodo di autenticazione |
|---|---|
| Notifica dell'app per dispositivi mobili | Microsoft Authenticator |
| Codice app per dispositivi mobili | Microsoft Authenticator Token OATH software |
| OTP Email | |
| Telefono cellulare | Chiamate vocali SMS |
| Telefono ufficio* | Chiamate vocali |
| Domande di sicurezza | Non ancora disponibile; domande copy per un uso successivo |
Criterio Metodi di autenticazione
Per controllare le impostazioni nel criterio Metodi di autenticazione, accedere all’Interfaccia di amministrazione di Microsoft Entraalmeno come Amministratore del criterio di autenticazione e passare a Protezione>Metodi di autenticazione>Criteri. Per impostazione predefinita, tutti i metodi di un nuovo tenant sono disattivati, il che semplifica la migrazione perché non è necessario unire le impostazioni dei criteri legacy alle impostazioni esistenti.
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
- Passare a Protezione>Metodi di autenticazione>
Il criterio Metodi di autenticazione dispone di altri metodi non disponibili nei criteri legacy, ad esempio la chiave di sicurezza FIDO2, il pass di accesso temporaneo e l'autenticazione basata su certificati di Microsoft Entra. Questi metodi non sono soggetti a migrazione e non è necessario modificarli se sono già stati configurati.
Se nel criterio Metodi di autenticazione sono stati abilitati altri metodi, annotare gli utenti e i gruppi che possono o meno utilizzare tali metodi. Prendere nota dei parametri di configurazione che regolano la modalità di utilizzo del metodo. Ad esempio, la possibilità di configurare Microsoft Authenticator per fornire la posizione nelle notifiche push. Registrare quali utenti e gruppi sono abilitati a parametri di configurazione simili associati a ogni metodo.
Avviare la migrazione
Dopo aver acquisito i metodi di autenticazione disponibili dai criteri attualmente in uso, è possibile eseguire la migrazione. Aprire il criteri0 Metodi di autenticazione, selezionare Gestisci migrazione e quindi selezionare Migrazione in corso.
È consigliabile impostare questa opzione prima di apportare qualsiasi modifica, in quanto applicherà il nuovo criterio sia agli scenari di accesso che a quelli di reimpostazione della password.
Il passaggio successivo consiste nell'aggiornare il criterio Metodi di autenticazione in modo che corrisponda al controllo. È consigliabile esaminare ogni metodo uno alla volta. Se il tenant usa solo il criterio MFA legacy e non usa SSPR, l'aggiornamento è semplice. È infatti possibile abilitare ogni metodo per tutti gli utenti in modo che corrisponda esattamente al criterio esistente.
Se il tenant usa sia MFA che SSPR, è necessario prendere in considerazione ogni metodo:
- Se il metodo è abilitato in entrambi i criteri legacy, abilitarlo per tutti gli utenti nel criterio Metodi di autenticazione.
- Se il metodo è disabilitato in entrambi i criteri legacy, mantenerlo tale per tutti gli utenti nel criterio Metodi di autenticazione.
- Se il metodo è abilitato solo in un criterio, è necessario decidere se deve essere disponibile o meno in tutte le situazioni.
Se i criteri coincidono, è possibile trovare facilmente la corrispondenza con lo stato corrente. In caso di mancata corrispondenza, è necessario decidere se abilitare o disabilitare completamente il metodo. Si supponga, ad esempio, che l'opzione Notifica tramite app per dispositivi mobili sia abilitata per consentire l'invio di notifiche push per MFA. Nel criterio SSPR legacy, il metodo di Notifica tramite app per dispositivi mobili non è abilitato. In tal caso, i criteri legacy consentono le notifiche push per MFA ma non per SSPR.
Nel criterio Metodi di autenticazione, è quindi necessario scegliere se abilitare Microsoft Authenticator sia per SSPR che per MFA, oppure se disabilitarlo. È tuttavia consigliabile abilitare Microsoft Authenticator.
Si noti che nel criterio Metodi di autenticazione è possibile abilitare i metodi per gruppi di utenti, oltre che per tutti gli utenti, nonché escludere gruppi di utenti dalla possibilità di usare un determinato metodo. Ciò significa che si dispone di un'ampia flessibilità per controllare quali utenti possono usare determinati metodi. Ad esempio, è possibile abilitare Microsoft Authenticator per tutti gli utenti e limitare SMS e Chiamate vocali a 1 gruppo di 20 utenti che necessitano di tali metodi.
Man mano che si aggiornano i metodi nel criterio Metodi di autenticazione, alcuni di essi dispongono di parametri configurabili che consentono di controllare il modo in il metodo può essere usato. Ad esempio, se si abilitano Chiamate vocali come metodo di autenticazione, è possibile scegliere se consentire sia il telefono dell'ufficio che i telefoni cellulari, oppure solo il telefono cellulare. Procedere alla configurazione di ogni metodo di autenticazione dal controllo.
Non è necessario che corrisponda ai criteri esistenti. È un'ottima opportunità esaminare i metodi abilitati e scegliere un nuovo criterio che ottimizza la sicurezza e l'usabilità per il tenant. Si noti solo che la disabilitazione dei metodi per gli utenti che già li usano potrebbe richiedere agli utenti di registrare nuovi metodi di autenticazione e impedire loro di usare metodi precedentemente registrati.
Le sezioni successive illustrano indicazioni specifiche sulla migrazione per ogni metodo.
Passcode monouso tramite posta elettronica
Esistono due controlli per Inviare passcode monouso tramite posta elettronica:
Il targeting per inclusione ed esclusione nella sezione della configurazione Abilitazione e obiettivo consente di abilitare l'OTP di posta elettronica per i membri di un tenant da usare per la Reimpostazione della password.
È disponibile un controllo separato Consenti agli utenti esterni di usare OTP di posta elettronica nella sezione Configura, che controlla l'uso di OTP di posta elettronica per l'accesso da parte di utenti B2B. Il metodo di autenticazione non può essere disabilitato se questo controllo è abilitato.
Microsoft Authenticator
Se la Notifica tramite app per dispositivi mobili è abilitata nel criterio MFA legacy, abilitare Microsoft Authenticator per Tutti gli utenti nel criterio Metodi di autenticazione. Impostare la modalità di autenticazione su Qualsiasi per consentire le notifiche push o l'autenticazione senza password.
Se il Codice di verifica tramite app per dispositivi mobili o token hardware è abilitato nel criterio MFA legacy, impostare Consenti l'uso dell’OTP per Microsoft Authenticator su Sì.
Nota
Se gli utenti registrano l'app Microsoft Authenticator solo per il codice OTP usando la procedura guidata "Voglio usare un'app di autenticazione diversa", sarà necessario abilitare i criteri Token OATH del software di terze parti.
SMS e chiamate vocali
Il criterio MFA legacy dispone di controlli separati per SMS e chiamate telefoniche. È tuttavia disponibile anche un controllo per Telefono cellulare che abilita i telefoni cellulari sia per gli SMS che per le chiamate vocali. Inoltre, un altro controllo per il Telefono dell'ufficio abilita i telefoni dell'ufficio solo per le chiamate vocali.
Il criterio Metodi di autenticazione dispone di controlli per SMS e Chiamate vocali, in linea con il criterio MFA legacy. Se il tenant usa SSPR e Telefono cellulare è abilitato, è consigliabile abilitare sia SMS che Chiamate vocali nel criterio Metodi di autenticazione. Se il tenant usa SSPR e Telefono dell’ufficio è abilitato, è consigliabile abilitare Chiamate vocali nel criterio Metodi di autenticazione e assicurarsi che l'opzione Telefono dell’ufficiosia abilitata.
Nota
L'opzione Usa per l'accesso è abilitata per impostazione predefinita nelle impostazioni degli SMS. Questa opzione abilita l'accesso tramite SMS. Se l'accesso tramite SMS è abilitato per gli utenti, gli stessi verranno ignorati dalla sincronizzazione tra tenant. Se si usa la sincronizzazione tra tenant o non si vuole abilitare l'accesso tramite SMS, disabilitarlo per gli utenti di destinazione.
Token OATH
I controlli dei token OATH nei criteri MFA e SSPR legacy erano controlli singoli che consentivano l'uso di tre diversi tipi di token OATH: l'app Microsoft Authenticator, le app software di terze parti del generatore di codici OATH TOTP e i token OATH hardware.
Il criterio Metodi di autenticazione dispone di un controllo granulare con controlli separati per ogni tipo di token OATH. L'uso di OTP da parte di Microsoft Authenticator è controllato dall'opzione Consenti uso di OTP di Microsoft Authenticator nella sezione Microsoft Authenticator del criterio. Le app di terze parti sono controllate dalla sezione Token OATH del software di terze parti del criterio. I token OATH hardware sono controllati dalla sezione Token OATH hardware del criterio.
Domande di sicurezza
Prossimamente sarà disponibile un controllo per le Domande di sicurezza. Se si usano le domande di sicurezza e non si vuole disabilitarle, assicurarsi di mantenerle abilitate nel criterio di reimpostazione della password self-service (SSPR) legacy fino a quando non sarà disponibile il nuovo controllo. È possibile completare la migrazione come descritto nella sezione successiva con domande di sicurezza abilitate.
Completare la migrazione
Dopo aver aggiornato il criterio Metodi di autenticazione, passare ai criteri MFA e SSPR legacy e rimuovere ogni metodo di autenticazione uno alla volta. Testare e convalidare le modifiche per ogni metodo.
Quando si determina che MFA e SSPR funzionano come previsto e non sono più necessari i relativi criteri legacy, è possibile modificare il processo di migrazione in Migrazione completata. In questa modalità, Microsoft Entra segue solo il criterio Metodi di autenticazione. Non è possibile apportare modifiche ai criteri legacy se è impostata l'opzione Migrazione completata, ad eccezione delle domande di sicurezza nel criterio SSPR. Se per qualche motivo è necessario tornare ai criteri legacy, è possibile spostare lo stato di migrazione su Migrazione in corso in qualsiasi momento.
