Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
È possibile consentire agli utenti di configurare Microsoft Authenticator durante l'accesso. Gli utenti accedono regolarmente, eseguono l'autenticazione a più fattori come di consueto e quindi ricevono una richiesta di configurazione di Microsoft Authenticator. È possibile includere o escludere utenti o gruppi per controllare chi venga sollecitato a impostare l'app. Ciò consente alle campagne mirate di spostare gli utenti da metodi di autenticazione meno sicuri a Authenticator.
È anche possibile definire il numero di giorni in cui un utente può posticipare, o mettere in pausa, il promemoria. Se un utente tocca Ignora per ora per posticipare la configurazione dell'app, riceverà un promemoria al successivo tentativo di autenticazione a più fattori (AMF) dopo che è conclusa la durata dello snooze. È possibile decidere se l'utente può snooze indefinito o fino a tre volte (dopo la quale è necessaria la registrazione).
Nota
Quando gli utenti accedono regolarmente, i criteri di accesso condizionale che regolano la registrazione delle informazioni di sicurezza si applicano prima che all'utente venga richiesto di configurare Authenticator. Ad esempio, se un criterio di accesso condizionale richiede aggiornamenti delle informazioni di sicurezza può verificarsi solo in una rete interna, agli utenti non verrà richiesto di configurare Authenticator a meno che non si trovino nella rete interna.
Prerequisiti
- L'organizzazione deve avere abilitato l'autenticazione a più fattori Microsoft Entra. Ogni edizione di Microsoft Entra ID include l'autenticazione a più fattori di Microsoft Entra. Non sono necessarie altre licenze per una campagna di registrazione.
- Gli utenti non possono avere già configurato l'app Authenticator per le notifiche push nel proprio account.
- Gli amministratori devono abilitare gli utenti per l'app Authenticator usando uno di questi criteri:
- Criteri di registrazione MFA: gli utenti dovranno essere abilitati per la notifica tramite l'app per dispositivi mobili.
- Criteri dei metodi di autenticazione: gli utenti dovranno essere abilitati per l'app Authenticator e la modalità di autenticazione impostata su Qualsiasi o Push. Se il criterio è impostato su Senza password, l'utente non sarà idoneo per il nudge. Per altre informazioni su come impostare la modalità di autenticazione, vedere Abilitare l'accesso senza password con Microsoft Authenticator.
Esperienza utente
Prima di tutto, è necessario eseguire correttamente l'autenticazione tramite l'autenticazione a più fattori (MFA) di Microsoft Entra.
Se è stata abilitata per le notifiche push di Authenticator e non è già stata configurata, verrà richiesto di configurare Authenticator per migliorare l'esperienza di accesso.
Nota
Altre funzionalità di sicurezza, ad esempio passkey senza password, reimpostazione della password self-service o impostazioni predefinite per la sicurezza, potrebbero anche richiedere la configurazione.
Screenshot dell'autenticazione a più fattori.
Toccare Avanti ed eseguire la configurazione dell'app Authenticator.
Scaricare prima di tutto l'app.
Vedere come configurare l'app Authenticator.
Scansiona il codice QR.
Verificare l'identità.
Approvare la notifica di test nel dispositivo.
Screenshot della notifica di test.
L'app Authenticator è stata configurata correttamente.
Se non vuoi installare l'app Authenticator, puoi toccare Ignora per ora per posticipare la richiesta fino a 14 giorni, che può essere impostata da un amministratore. Gli utenti con sottoscrizioni gratuite e di valutazione possono posticipare la richiesta fino a tre volte.
Abilitare la politica di campagna di registrazione usando il centro di amministrazione di Microsoft Entra
Per abilitare una campagna di registrazione nell'interfaccia di amministrazione di Microsoft Entra, completare i passaggi seguenti:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dei criteri di autenticazione.
Passare a Entra ID>Metodi di autenticazione>Campagna di registrazione e fare clic su Modifica.
Per Stato:
- Selezionare Abilitato per abilitare la campagna di registrazione per tutti gli utenti.
- Seleziona Gestito da Microsoft per abilitare la campagna di registrazione solo per gli utenti di chiamate vocali o messaggi di testo. L'impostazione gestita da Microsoft consente a Microsoft di impostare il valore predefinito. Per altre informazioni, vedere Protezione dei metodi di autenticazione in Microsoft Entra ID.
Se lo stato della campagna di registrazione è impostato su Abilitato o Gestito da Microsoft, è possibile configurare l'esperienza per gli utenti finali usando un numero limitato di snoozes:
- Se il numero limitato di snoozes è Abilitato, gli utenti possono ignorare la richiesta di interrupt 3 volte, dopo di che sono costretti a registrare Authenticator.
- Se il numero limitato di snoozes è Disabilitato, gli utenti possono snooze un numero illimitato di volte ed evitare di registrare Authenticator.
I giorni consentiti per snooze impostano il periodo tra due richieste di interrupt successive. Ad esempio, se è impostato su 3 giorni, gli utenti che hanno ignorato la registrazione non vengono più richiesti fino a dopo 3 giorni.
Selezionare tutti gli utenti o i gruppi da escludere dalla campagna di registrazione e quindi fare clic su Salva.
Abilitare i criteri di campagna di registrazione utilizzando Graph Explorer
Oltre a usare l'interfaccia di amministrazione di Microsoft Entra, è anche possibile abilitare i criteri di campagna di registrazione usando Graph Explorer. Per abilitare i criteri della campagna di registrazione, è necessario usare i criteri dei metodi di autenticazione usando le API Graph. Gli utenti assegnati almeno al ruolo di Amministratore Criterio di Autenticazione possono aggiornare il criterio.
Per configurare il criterio con Graph Explorer:
Accedere a Graph Explorer e assicurarsi di aver acconsentito alle autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod .
Per aprire il pannello Autorizzazioni:
Recuperare la policy dei metodi di autenticazione:
GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
Aggiornare la sezione registrationEnforcement e authenticationMethodsRegistrationCampaign della politica per abilitare la sollecitazione su un utente o un gruppo.
Per aggiornare i criteri, eseguire una patch nei criteri dei metodi di autenticazione con solo la sezione registrationEnforcement aggiornata:
PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy
Nella tabella seguente sono elencate le proprietà authenticationMethodsRegistrationCampaign .
Nome | Possibili valori | Descrizione |
---|---|---|
durataSonnellinoInGiorni | Intervallo: 0 - 14 | Definisce il numero di giorni prima che l'utente venga nuovamente sollecitato. Se il valore è 0, l'utente viene sollecitato durante ogni tentativo di autenticazione a più fattori. Impostazione predefinita: 1 giorno |
imporreRegistrazioneDopoSonniConsentiti | vero falso |
Determina se un utente deve eseguire la configurazione dopo 3 snoozes. Se true, l'utente deve eseguire la registrazione. Se falso, l'utente può posticipare a tempo indeterminato. Valore predefinito: true |
stato | abilitato "disabilitato" predefinito |
Consente di abilitare o disabilitare la funzionalità. Il valore predefinito viene usato quando la configurazione non è stata impostata in modo esplicito e userà il valore predefinito di Microsoft Entra ID per questa impostazione. Lo stato predefinito è abilitato per gli utenti di chiamate vocali e SMS in tutti i tenant. Modificare lo stato in abilitato (per tutti gli utenti) o disabilitato in base alle esigenze. |
excludeTargets | non disponibile | Consente di escludere utenti e gruppi diversi da omettere dalla funzionalità. Se un utente si trova in un gruppo escluso e un gruppo incluso, l'utente verrà escluso dalla funzionalità. |
includiObiettivi | non disponibile | Consente di includere utenti e gruppi diversi di destinazione della funzionalità. |
Nella tabella seguente sono elencate le proprietà includeTargets.
Nome | Possibili valori | Descrizione |
---|---|---|
tipo di obiettivo | utente gruppo |
Tipo di entità mirata. |
Documento d'identità | Identificatore GUID | ID dell'utente o del gruppo di destinazione. |
metodoDiAutenticazioneMirato | Microsoft Authenticator | All'utente del metodo di autenticazione viene richiesto di eseguire la registrazione. L'unico valore consentito è "microsoftAuthenticator". |
Nella tabella seguente sono elencate le proprietà excludeTargets .
Nome | Possibili valori | Descrizione |
---|---|---|
tipo di obiettivo | utente gruppo |
Tipo di entità mirata. |
Documento d'identità | Una stringa | ID dell'utente o del gruppo di destinazione. |
Esempi
Ecco alcuni JSON di esempio che è possibile usare per iniziare.
Includere tutti gli utenti
Se si vuole includere TUTTI gli utenti nel tenant, aggiornare l'esempio JSON seguente con i GUID pertinenti degli utenti e dei gruppi. Quindi, incollalo in Graph Explorer ed esegui
PATCH
sul endpoint.{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 1, "enforceRegistrationAfterAllowedSnoozes": true, "state": "enabled", "excludeTargets": [], "includeTargets": [ { "id": "all_users", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }
Includere utenti o gruppi di utenti specifici
Se si vogliono includere determinati utenti o gruppi nel tenant, aggiornare l'esempio JSON seguente con i GUID pertinenti di utenti e gruppi. Quindi, incolla il codice JSON in Graph Explorer ed esegui
PATCH
sull'endpoint.{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 1, "enforceRegistrationAfterAllowedSnoozes": true, "state": "enabled", "excludeTargets": [], "includeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }
Includere ed escludere utenti o gruppi specifici
Se si vuole includere AND escludere determinati utenti o gruppi nel tenant, aggiornare l'esempio JSON seguente con i GUID pertinenti degli utenti e dei gruppi. Quindi, incollalo in Graph Explorer ed esegui
PATCH
sul endpoint.{ "registrationEnforcement": { "authenticationMethodsRegistrationCampaign": { "snoozeDurationInDays": 1, "enforceRegistrationAfterAllowedSnoozes": true, "state": "enabled", "excludeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user" } ], "includeTargets": [ { "id": "*********PLEASE ENTER GUID***********", "targetType": "group", "targetedAuthenticationMethod": "microsoftAuthenticator" }, { "id": "*********PLEASE ENTER GUID***********", "targetType": "user", "targetedAuthenticationMethod": "microsoftAuthenticator" } ] } } }
Identificare i GUID degli utenti da inserire nei FILE JSON
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dei criteri di autenticazione.
Nel pannello Gestisci toccare Utenti.
Nella pagina Utenti identificare l'utente specifico di destinazione.
Quando si tocca l'utente specifico, verrà visualizzato il relativo ID oggetto, ovvero il GUID dell'utente.
Identificare i GUID dei gruppi da inserire nei JSON
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dei criteri di autenticazione.
Nel pannello Gestisci toccare Gruppi.
Nella pagina Gruppi identificare il gruppo specifico di destinazione.
Toccare il gruppo e ottenere l'ID oggetto.
Limiti
Il nudge non verrà visualizzato nei dispositivi mobili che eseguono Android o iOS.
Domande frequenti
Gli utenti possono essere stimolati all'interno di un'applicazione?
Sì, sono supportate le visualizzazioni browser incorporate in determinate applicazioni. Non incoraggiamo gli utenti in esperienze fuori dagli schemi o nelle visualizzazioni del browser integrate nelle impostazioni di Windows.
Gli utenti possono essere stimolati all'interno di una sessione di Single Sign-On (SSO)?
Nudge non viene attivato se l'utente ha già eseguito l'accesso con SSO.
Gli utenti possono essere spinti su un dispositivo mobile?
La campagna di registrazione non è disponibile nei dispositivi mobili.
Per quanto tempo viene eseguita la campagna?
Puoi abilitare la campagna per tutto il tempo desiderato. Ogni volta che vuoi concludere l'esecuzione della campagna, usa l'interfaccia di amministrazione o le API per disabilitare la campagna.
Ogni gruppo di utenti può avere una durata di snooze diversa?
No La durata dello snooze per il prompt è un'impostazione a livello di tenant e si applica a tutti i gruppi nell'ambito previsto.
È possibile che gli utenti siano in grado di configurare l'accesso tramite telefono senza password?
La funzionalità mira a consentire agli amministratori di configurare gli utenti con MFA usando l'app Authenticator e non l'accesso tramite telefono senza password.
Un utente che accede con un'app di autenticazione di terze parti visualizzerà il nudge?
Sì. Se un utente è abilitato per la campagna di registrazione e non ha configurato le notifiche push su Microsoft Authenticator, l'utente viene invitato a configurare Authenticator.
Un utente che ha configurato Authenticator solo per i codici TOTP visualizzerà il nudge?
Sì. Se un utente è abilitato per la campagna di registrazione e l'app Authenticator non è configurata per le notifiche push, l'utente viene incoraggiato a configurare le notifiche push con Authenticator.
Se un utente ha appena eseguito la registrazione MFA, viene invitato a procedere nella stessa sessione di accesso?
No Per offrire un'esperienza utente ottimale, gli utenti non saranno in grado di configurare Authenticator nella stessa sessione in cui hanno registrato altri metodi di autenticazione.
È possibile spostare gli utenti per registrare un altro metodo di autenticazione?
No La funzionalità, per il momento, mira a consentire agli utenti di configurare solo l'app Authenticator.
Esiste un modo per nascondere l'opzione snooze e forzare gli utenti a configurare l'app Authenticator?
Impostare Numero limitato di snoozes su Abilitato in modo che gli utenti possano posticipare la configurazione dell'app fino a tre volte, dopo la quale è necessaria la configurazione.
Sarà possibile per me sollecitare i miei utenti se non uso l'autenticazione a più fattori Microsoft Entra?
No Il nudge funziona solo per gli utenti che eseguono MFA usando il servizio di autenticazione a più fattori Microsoft Entra.
Gli utenti guest/B2B nel tenant verranno sollecitati?
Sì. Se sono stati definiti come ambito per il nudge usando il criterio.
Cosa succede se l'utente chiude il browser?
È come mettere la sveglia in modalità "snoozing". Se l'installazione è necessaria per un utente dopo che ha rinviato tre volte, all'utente viene richiesto di eseguire l'operazione al successivo accesso.
Perché alcuni utenti non vedono un promemoria quando ci sono criteri di accesso condizionale per "Registrare le informazioni di sicurezza"?
Un nudge non viene visualizzato se un utente è soggetto a un criterio di Accesso Condizionale che blocca l'accesso alla pagina Registra informazioni di sicurezza.
Gli utenti vedono un promemoria quando viene visualizzata una schermata delle condizioni di utilizzo (ToU) durante l'accesso?
Non compare un nudge se durante l'accesso viene mostrata all'utente la schermata dei termini di utilizzo (ToU).
Gli utenti vedono un promemoria quando i controlli personalizzati di accesso condizionale sono applicabili durante l'accesso?
Un nudge non viene visualizzato se un utente viene reindirizzato durante l'accesso a causa delle impostazioni di controlli personalizzati di accesso condizionale.
Esistono piani per interrompere SMS e Voice come metodi utilizzabili per MFA?
No, non ci sono tali piani.
Passaggi successivi
Abilitare l'accesso senza password con Microsoft Authenticator