Come verificare che gli utenti siano configurati per l'autenticazione a più fattori obbligatoria

Questo argomento illustra i passaggi per verificare che gli utenti dell'organizzazione siano configurati per soddisfare i requisiti di autenticazione a più fattori obbligatori di Azure. Per altre informazioni sulle applicazioni e sugli account interessati e sul funzionamento dell'implementazione, vedere Pianificazione dell'autenticazione a più fattori obbligatoria per Azure e altri portali di amministrazione.

Verificare l'autenticazione a più fattori per un account personale

Un utente potrebbe usare il proprio account personale per creare un tenant di Microsoft Entra solo per pochi utenti. Se è stato usato l'account personale per sottoscrivere Azure, completare la procedura seguente per verificare che l'account sia configurato per l'autenticazione a più fattori.

1. Accedere all'account Microsoft Opzioni di sicurezza avanzate.
2. In Sicurezza aggiuntiva e Verifica in due passaggi scegliere Attiva.
3. Seguire le istruzioni visualizzate sullo schermo.

Per altre informazioni, vedere Come usare la verifica in due passaggi con l'account Microsoft.

Trovare gli utenti che accedono con e senza MFA

Usare le risorse seguenti per trovare gli utenti che accedono con e senza MFA:

• Per esportare un elenco di utenti e i relativi metodi di autenticazione, usare PowerShell.
• Se si eseguono query per analizzare gli accessi utente, usare gli ID applicazione delle applicazioni che richiedono MFA.

Verificare l'abilitazione di MFA

Tutti gli utenti che accedono alle applicazioni che richiedono L'autenticazione a più fattori devono essere configurati per l'uso dell'autenticazione a più fattori. L'autenticazione a più fattori obbligatoria non è limitata ai ruoli privilegiati. Come procedura consigliata, tutti gli utenti che accedono a qualsiasi portale di amministrazione devono usare MFA.

Seguire questa procedura per verificare che l'autenticazione a più fattori sia configurata per gli utenti o per abilitarla, se necessario.

1. Accedere al portale di Azure come Lettore Globale.

2. Passare a Entra ID>Panoramica.

3. Controllare il tipo di licenza della sottoscrizione del tenant.

4. Seguire i passaggi per il tipo di licenza per verificare che MFA sia abilitato o abilitarlo, se necessario. Per completare questi passaggi, è necessario disconnettersi come lettore globale e accedere di nuovo con un ruolo con privilegi più elevati.

   • Microsoft Entra ID P1 o Microsoft Entra ID P2
   • Microsoft 365 o Microsoft Entra ID Free

Verificare che l'autenticazione a più fattori sia abilitata per la licenza Microsoft Entra ID P1 o Microsoft Entra ID P2

Se si dispone di una licenza Microsoft Entra ID P1 o Microsoft Entra ID P2, è possibile creare un criterio di accesso condizionale per richiedere l'autenticazione a più fattori per gli utenti che accedono alle applicazioni che richiedono L'autenticazione a più fattori:

1. Accedi al Centro Amministrativo Microsoft Entra come almeno un Amministratore di Accesso Condizionale .

2. Passare a Entra ID>Criteri condizionali di accesso>Policies.

3. Selezionare Nuovo criterio.

4. Dare un nome alla tua politica. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

5. In Assegnazioni selezionare Utenti o identità del carico di lavoro.

6. In Includi selezionare Tutti gli utenti o un gruppo di utenti che accedono alle applicazioni che richiedono L'autenticazione a più fattori.

7. In Risorse di destinazione>, App cloud>, IncludiSeleziona app, selezionare Portali di amministrazione Microsoft e API gestione dei servizi di Windows Azure.

8. In Controlli di accesso>Concedi, selezionare Concedi accesso, Richiedi livello di autenticazione, selezionare Autenticazione a più fattori e Selezionare.

9. Conferma le impostazioni e imposta Abilita criterio su Solo report.

10. Selezionare Crea per abilitare i criteri.

    Importante

    Creare i criteri della CA in modalità Report-Only per comprendere l'impatto per il locatario, per evitare di essere bloccati.

Per altre informazioni, vedere Criteri di accesso condizionale comuni: Richiedere l'autenticazione a più fattori per gli amministratori che accedono ai portali di amministrazione Microsoft.

È possibile usare le informazioni dettagliate sull'accesso condizionale e la cartella di lavoro per la creazione di report che contiene i log di accesso per comprendere l'impatto per il tenant. Come prerequisito, è necessario:

• Creare un'area di lavoro.
• Integrare i log attività con Azure Monitor.

Scegliere i parametri seguenti per vedere in che modo l'autenticazione a più fattori obbligatoria influisce sul tenant:

• Selezionare i criteri di accesso condizionale MFA creati in precedenza
• Selezionare un intervallo di tempo per valutare i dati
• Selezionare Visualizzazione dati per visualizzare i risultati in termini di numero di utenti o numero di accessi

È possibile eseguire query sui dettagli di accesso o scaricare i log di accesso per approfondire i dati. Per altre informazioni, vedere Informazioni dettagliate e creazione di report per l'accesso condizionale.

Verificare che L'autenticazione a più fattori sia abilitata per Microsoft 365 o Microsoft Entra ID Free

Se si dispone di una licenza gratuita di Microsoft 365 o Microsoft Entra ID, è possibile abilitare l'autenticazione a più fattori usando le impostazioni predefinite per la sicurezza. Agli utenti viene richiesta l'autenticazione a più fattori in base alle esigenze, ma non è possibile definire regole personalizzate per controllare il comportamento.

Per abilitare le impostazioni predefinite per la sicurezza:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore della sicurezza.
2. Accedere a Entra ID, Panoramica, Proprietà.
3. Selezionare Gestisci impostazioni predefinite per la sicurezza.
4. Impostare l'impostazione predefinita Sicurezza su Abilitato.
5. Selezionare Salva.

Per altre informazioni sulle impostazioni predefinite per la sicurezza, vedere Impostazioni predefinite per la sicurezza in Microsoft Entra ID.

Se non si vogliono usare le impostazioni predefinite per la sicurezza, è possibile abilitare l'autenticazione a più fattori per utente. Quando si abilitano gli utenti singolarmente, eseguono l'autenticazione a più fattori ogni volta che accedono. Un amministratore di autenticazione può abilitare alcune eccezioni. Per abilitare l'autenticazione a più fattori per utente:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di autenticazione.
2. Passare a Entra ID>Utenti.
3. Selezionare un account utente e fare clic su Abilita MFA.
4. Confermare la selezione nella finestra popup che viene visualizzata.

Inviare una notifica tramite posta elettronica agli utenti dopo averli abilitati. Informare gli utenti che viene visualizzato un messaggio per richiedere la registrazione al successivo accesso. Per ulteriori informazioni, vedere Abilitare l'autenticazione a più fattori Microsoft Entra per ogni utente per proteggere gli eventi di accesso.

Contenuto correlato

Consultare i seguenti argomenti per saperne di più sull'autenticazione a più fattori:

• Come posticipare l'imposizione per un tenant in cui gli utenti non sono in grado di accedere dopo l'implementazione del requisito obbligatorio di autenticazione a più fattori (MFA) per il portale di Azure, l'interfaccia di amministrazione di Microsoft Entra o l'interfaccia di amministrazione di Microsoft Intune
• Pianificazione dell'autenticazione a più fattori obbligatoria per Azure e altri portali di amministrazione
• Esercitazione: Proteggere gli eventi di accesso utente con l'autenticazione a più fattori Microsoft Entra
• Proteggere gli eventi di accesso con Microsoft Entra multifactoring
• Pianificare una distribuzione dell'autenticazione a più fattori di Microsoft Entra
• Metodi MFA resistenti al phishing
• Autenticazione a più fattori Microsoft Entra
• Metodi di autenticazione