Configurare e abilitare gli utenti per l'autenticazione basata su SMS usando Microsoft Entra ID

L'autenticazione basata su SMS entra consente agli utenti di accedere usando solo un numero di telefono registrato e un passcode monouso (OTP) inviato tramite SMS, senza nome utente o password richiesti. Questo è diverso dall'autenticazione a più fattori di Entra SMS, che in genere richiede un nome utente, una password e UN SMS come metodo MFA. Questo metodo di autenticazione è progettato principalmente per semplificare l'esperienza di accesso dei lavoratori in prima linea e non è consigliato per i lavoratori dell'informazione (IW).

Entra offre anche un'anteprima pubblica di un approccio alternativo per i lavoratori di prima linea denominato autenticazione tramite codice QR che le organizzazioni possono voler prendere in considerazione per scenari con dispositivi condivisi per i lavoratori di prima linea.

Il resto di questo articolo illustra come abilitare l'autenticazione basata su SMS come primo fattore per selezionare utenti o gruppi in Microsoft Entra ID. Per un elenco di app che supportano l'uso dell'accesso basato su SMS, vedere Supporto delle app per l'autenticazione basata su SMS.

Operazioni preliminari

Ecco alcuni punti importanti prima di iniziare:

• Dovresti abilitare l'autenticazione SMS solo per i lavoratori in prima linea.
• Se si abilita l'autenticazione SMS, assicurarsi di seguire le procedure consigliate per l'uso dei controlli di sicurezza per il lavoro o l'accesso a casa per i lavoratori sul campo. Per altre informazioni, vedere Procedure consigliate per proteggere i lavoratori sul campo.
• Se si abilita l'autenticazione SMS per i ruoli di lavoro sul campo, è consigliabile passare all'uso dell'autenticazione con codice QR (anteprima), che non è soggetto a phishing. Per altre informazioni, vedere Metodi di autenticazione in Microsoft Entra ID - Metodo di autenticazione del codice QR (Anteprima).

Per semplificare e proteggere l'accesso ad applicazioni e servizi, Microsoft Entra ID offre più opzioni di autenticazione. L'autenticazione basata su SMS consente agli utenti come i lavoratori di prima linea di inserire un codice SMS come primo fattore per effettuare l'accesso. Gli utenti non devono fornire, o addirittura sapere, il nome utente e la password.

Dopo che il loro account è stato creato da un amministratore di identità, possono immettere il loro numero di telefono all'accesso. Ricevono un codice di autenticazione SMS che possono fornire per completare l'accesso. Questo metodo di autenticazione semplifica l'accesso alle applicazioni e ai servizi, soprattutto per i lavoratori in prima linea.

Prerequisiti

Per completare le procedure descritte in questo articolo, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato al tuo abbonamento.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure all'account.
• Per abilitare l'autenticazione basata su SMS, è necessario almeno il ruolo Di amministratore dei criteri di autenticazione nel tenant di Microsoft Entra.
• Ogni utente abilitato nei criteri del metodo di autenticazione SMS deve essere concesso in licenza, anche se non lo usa. Ogni utente abilitato deve avere una delle licenze Microsoft Entra ID, EMS, Microsoft 365 seguenti:
  • Microsoft 365 F1 o F3
  • Microsoft Entra ID P1 o P2
  • Enterprise Mobility + Security (EMS) E3 o E5 o Microsoft 365 E3 o E5
  • Office 365 F3

Problemi noti

Ecco alcuni problemi noti:

• L'autenticazione basata su SMS non è attualmente compatibile con l'autenticazione a più fattori Microsoft Entra.
• Ad eccezione di Teams, l'autenticazione basata su SMS non è compatibile con le app Office licazioni native.
• L'autenticazione basata su SMS non è supportata per gli account B2B.
• Gli utenti federati non eseguono l'autenticazione nel tenant principale. Eseguono solo l'autenticazione nel cloud.
• Se il metodo di accesso predefinito di un utente è un sms o una chiamata al numero di telefono, il codice SMS o la chiamata vocale viene inviato automaticamente durante l'autenticazione a più fattori. A partire da giugno 2021, alcune app chiederanno agli utenti di scegliere Testo o Chiamata. Questa opzione impedisce l'invio di troppi codici di sicurezza per app diverse. Se il metodo di accesso predefinito è l'app Microsoft Authenticator (consigliata), la notifica dell'app viene inviata automaticamente.
• La sincronizzazione tra tenant non supporta gli utenti con l'accesso SMS abilitato.

Abilitare il metodo di autenticazione basato su SMS

Per abilitare e usare l'autenticazione basata su SMS nell'organizzazione, è necessario eseguire tre passaggi principali:

• Abilitare la politica del metodo di autenticazione.
• Selezionare gli utenti o i gruppi che possono usare il metodo di autenticazione basato su SMS.
• Assegnare un numero di telefono per ogni account utente.
  • Questo numero di telefono può essere assegnato nell'interfaccia di amministrazione di Microsoft Entra (illustrata in questo articolo) e in il mio Personale o il mio Account.

Prima di tutto, abilitare l'autenticazione basata su SMS per il tenant di Microsoft Entra.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dei criteri di autenticazione.

2. Passare a Entra ID>metodi di autenticazione>policy.

3. Nell'elenco dei metodi di autenticazione disponibili selezionare SMS.

   

4. Selezionare Abilita e selezionare Utenti di destinazione. È possibile scegliere di abilitare l'autenticazione basata su SMS per Tutti gli utenti o Selezionare utenti e gruppi.

   Nota

   Per configurare l'autenticazione basata su SMS per il primo fattore, ovvero per consentire agli utenti di accedere con questo metodo, selezionare la casella di controllo Usa per l'accesso. Se si lascia deselezionata, l'autenticazione basata su SMS è disponibile solo per l'autenticazione a più fattori e la reimpostazione della password self-service.

   

Assegnare il metodo di autenticazione a utenti e gruppi

Con l'autenticazione basata su SMS abilitata nel tenant di Microsoft Entra, selezionare ora alcuni utenti o gruppi per consentire l'uso di questo metodo di autenticazione.

1. Nella finestra dei criteri di autenticazione SMS impostare Destinazione su Seleziona utenti.
2. Scegliere Aggiungi utenti o gruppi, quindi selezionare un utente o un gruppo di test, ad esempio Utente Contoso o Utenti SMS Contoso.
3. Dopo aver selezionato gli utenti o i gruppi, scegliere Seleziona, quindi Salva il criterio del metodo di autenticazione aggiornato.

Gli utenti abilitati nei criteri del metodo di autenticazione SMS devono avere una licenza, anche se non lo utilizzano. Assicurarsi di avere le licenze appropriate per gli utenti abilitati nei criteri del metodo di autenticazione, in particolare quando si abilita la funzionalità per gruppi di utenti di grandi dimensioni.

Impostare un numero di telefono per gli account utente

Gli utenti sono ora abilitati per l'autenticazione basata su SMS, ma il numero di telefono deve essere associato al profilo utente in Microsoft Entra ID prima di poter accedere. L'utente può impostare il numero di telefono stesso in Account personale oppure è possibile assegnare il numero di telefono usando l'interfaccia di amministrazione di Microsoft Entra. I numeri di telefono possono essere impostati da chiunque abbia almeno il ruolo di Amministratore delle autenticazioni.

Quando un numero di telefono è impostato per l'accesso basato su SMS, è disponibile anche per l'uso con l'autenticazione a più fattori di Microsoft Entra e la reimpostazione autonoma della password.

1. Cercare e selezionare Microsoft Entra ID.

2. Dal menu di spostamento sul lato sinistro della finestra Microsoft Entra selezionare Utenti.

3. Selezionare l'utente abilitato per l'autenticazione basata su SMS nella sezione precedente, ad esempio Contoso User, quindi selezionare Metodi di autenticazione.

4. Selezionare + Aggiungi metodo di autenticazione, quindi scegliere Numero di telefono dal menu a discesa Scegli metodo.

   Immettere il numero di telefono dell'utente, incluso il codice paese, ad esempio +1 xxxxxxxxx. L'interfaccia di amministrazione di Microsoft Entra convalida che il numero di telefono sia nel formato corretto.

   Quindi, dal menu a discesa Tipo di telefono selezionare Mobile, Alternate mobile o Other in base alle esigenze.

   

   Il numero di telefono deve essere univoco nel tenant. Se si tenta di usare lo stesso numero di telefono per più utenti, viene visualizzato un messaggio di errore.

5. Per applicare il numero di telefono all'account di un utente, selezionare Aggiungi.

Quando il provisioning ha avuto successo, viene visualizzato un segno di spunta per accesso SMS abilitato.

Testare l'accesso basato su SMS

Per testare l'account utente che ora è abilitato per l'accesso basato su SMS, completare questa procedura:

1. Aprire una nuova finestra del Web browser InPrivate o in incognito all'indirizzo https://www.office.com

2. Nell'angolo superiore destro selezionare Accedi.

3. Al prompt di accesso immettere il numero di telefono associato all'utente nella sezione precedente e quindi selezionare Avanti.

   

4. Viene inviato un messaggio SMS al numero di telefono specificato. Per completare il processo di accesso, immettere il codice a 6 cifre fornito nel messaggio SMS al prompt di accesso.

   

5. L'utente è ora connesso senza avere dovuto fornire un nome utente o una password.

Risolvere i problemi di accesso basato su SMS

È possibile usare gli scenari seguenti e la procedura di risoluzione dei problemi se si verificano problemi con l'abilitazione e l'uso dell'accesso basato su SMS. Per un elenco di app che supportano l'uso dell'accesso basato su SMS, vedere Supporto delle app per l'autenticazione basata su SMS.

Il numero di telefono è già impostato per un account utente

Se un utente ha già eseguito la registrazione per l'autenticazione a più fattori Di Microsoft Entra e/o la reimpostazione della password self-service, ha già un numero di telefono associato al proprio account. Questo numero di telefono non è disponibile automaticamente per l'uso con l'accesso basato su SMS.

Un utente con un numero di telefono già impostato per il proprio account viene visualizzato un pulsante Abilita per l'accesso tramite SMS nella pagina Profilo personale . Selezionare questo pulsante e l'account viene abilitato all'uso con l'accesso basato su SMS e l'autenticazione multifattoriale di Microsoft Entra o la registrazione SSPR precedente.

Per altre informazioni sull'esperienza utente finale, vedere Esperienza utente di accesso TRAMITE SMS per il numero di telefono.

Errore durante il tentativo di impostare un numero di telefono per l'account di un utente

Se viene visualizzato un errore quando si tenta di impostare un numero di telefono per un account utente nell'interfaccia di amministrazione di Microsoft Entra, esaminare la procedura di risoluzione dei problemi seguente:

1. Assicurarsi di essere abilitati per l'accesso basato su SMS.
2. Verificare che l'account utente sia abilitato nella politica del metodo di autenticazione SMS.
3. Assicurarsi di impostare il numero di telefono con la formattazione corretta, come convalidato nell'interfaccia di amministrazione di Microsoft Entra (ad esempio +1 4251234567).
4. Verificare che il numero di telefono non venga usato altrove nel tenant.
5. Verificare che non sia stato impostato un numero di casella vocale per l'account. Se viene impostato un numero di telefono vocale, eliminarlo e riprovare a inserire il numero di telefono.

Passaggi successivi

• Per un elenco di app che supportano l'uso dell'accesso basato su SMS, vedere Supporto delle app per l'autenticazione basata su SMS.
• Per altri modi per accedere a Microsoft Entra ID senza password, ad esempio le chiavi di sicurezza Microsoft Authenticator App o FIDO2, vedere Opzioni di autenticazione senza password per Microsoft Entra ID.
• È anche possibile usare l'API REST di Microsoft Graph per abilitare o disabilitare l'accesso basato su SMS.