Configurare le impostazioni di autenticazione a più fattori di Microsoft Entra
Per personalizzare l'esperienza dell'utente finale per l'autenticazione a più fattori (MFA) di Microsoft Entra, puoi configurare le opzioni per le impostazioni, come le soglie di blocco dell'account o gli avvisi di illecito e le notifiche.
Nota
Segnala attività sospetta sostituisce le funzionalità legacy Blocca/sblocca utenti, Avviso di illecito e Notifiche. Il 1° marzo 2025 le funzionalità legacy verranno rimosse.
La tabella seguente descrive le impostazioni MFA di Microsoft Entra e le sottosezioni illustrano in modo più dettagliato ogni impostazione.
| Funzionalità | Descrizione |
|---|---|
| Blocco account (solo server MFA) | Blocca temporaneamente l'uso di MFA di Microsoft Entra da parte degli account se sono presenti troppi tentativi di autenticazione negati in una riga. Questa funzionalità si applica solo agli utenti che usano il server MFA per immettere un PIN per l'autenticazione. |
| Segnala attività sospette | Configura le impostazioni che consentono agli utenti di segnalare richieste di verifica fraudolente. Segnala attività sospetta sostituisce queste funzionalità: Blocca/sblocca utenti, Avviso di illecito e Notifiche. |
| Avviso di illecito | Questa funzionalità sarà rimossa il 1 marzo 2025. Usa Segnala attività sospette per consentire agli utenti di segnalare richieste di verifica fraudolente. |
| Blocca/Sblocca utenti | Questa funzionalità sarà rimossa il 1 marzo 2025. Usa Segnala attività sospette per consentire agli utenti di segnalare richieste di verifica fraudolente. Questi avvisi sono integrati con Microsoft Endtra ID Protection. È possibile usare i criteri basati sui rischi o creare i propri flussi di lavoro usando gli eventi di rilevamento dei rischi per limitare temporaneamente l'accesso degli utenti e correggere i rischi. |
| Notifiche | Questa funzionalità sarà rimossa il 1 marzo 2025. Usa Segnala attività sospette per consentire agli utenti di segnalare richieste di verifica fraudolente. È possibile usare le notifiche di rischio o creare i propri flussi di lavoro usando gli eventi di rilevamento dei rischi per abilitare le notifiche tramite e-mail per gli eventi illeciti segnalati dagli utenti. |
| Token OATH | Usati in ambienti MFA di Microsoft Entra basati sul cloud per gestire i token OATH per gli utenti. |
| Impostazioni telefonata | Permette di configurare le impostazioni correlate a chiamate telefoniche e messaggi di saluto per gli ambienti cloud e locali. |
| Provider | Mostra tutti i provider di autenticazione esistenti che hai associato al tuo account. L'aggiunta di nuovi provider è disabilitata a partire dal 1° settembre 2018. |
Blocco account (solo server MFA)
Nota
Il blocco dell'account interessa solo gli utenti che accedono usando il server MFA locale.
Per evitare tentativi ripetuti di autenticazione a più fattori durante un attacco, le impostazioni di blocco dell'account consentono di specificare il numero di tentativi non riusciti da consentire prima che l'account venga bloccato per un periodo di tempo. Le impostazioni di blocco dell'account vengono applicate solo quando viene immesso un codice PIN per il prompt MFA usando il server MFA locale.
Sono disponibili le impostazioni seguenti:
- Numero di negazioni MFA che attivano il blocco dell'account
- Minuti di attesa per la reimpostazione del contatore del blocco dell'account
- Minuti di attesa per lo sblocco automatico dell'account
Per configurare le impostazioni di blocco dell'account, completa questa procedura:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
Passa a Protezione>Autenticazione a più fattori>Blocco account. Potrebbe essere necessario fare clic su Mostra altro per visualizzare l'Autenticazione a più fattori.
Immetti i valori per l'ambiente e quindi seleziona Salva.
Segnala attività sospette
Segnala attività sospetta sostituisce queste funzionalità legacy: Blocca/sblocca utenti, Avviso di illecito e Notifiche.
Quando viene ricevuta una richiesta MFA sconosciuta e sospetta, gli utenti possono segnalare il tentativo di illecito usando Microsoft Authenticator o il proprio telefono. Questi avvisi sono integrati con Microsoft Entra ID Protection per una copertura e una funzionalità più complete.
Gli utenti che segnalano una richiesta MFA come sospetta sono impostati su Rischio utente elevato. Gli amministratori possono usare criteri basati sul rischio per limitare l'accesso a questi utenti o abilitare la reimpostazione della password self-service (SSPR) per consentire agli utenti di risolvere i problemi autonomamente.
Se in precedenza hai usato la funzionalità di blocco automatico di Avviso di illecito e non disponi di una licenza Microsoft Entra ID P2 per i criteri basati sui rischi, puoi usare gli eventi di rilevamento dei rischi per identificare e disabilitare manualmente gli utenti interessati o configurare l'automazione usando i flussi di lavoro personalizzati con Microsoft Graph. Per altre informazioni sull'analisi e la correzione del rischio utente, vedere:
Per abilitare Segnala attività sospetta dalle Impostazioni dei criteri dei metodi di autenticazione:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
- Passare a Protezione>Metodi di autenticazione>Impostazioni.
- Imposta Segnala attività sospetta su Abilitato. La funzionalità rimane disabilitata se si sceglie gestito da Microsoft. Per altre informazioni sui valori gestiti di Microsoft, vedi Protezione dei metodi di autenticazione in Microsoft Entra ID.
- Seleziona Tutti gli utenti o un gruppo specifico.
- Se si caricano anche messaggi di saluto personalizzati per il tenant, seleziona un codice per la creazione di report. Il codice per la creazione di report è il numero immesso dagli utenti nel telefono per segnalare attività sospette. Il codice per la creazione di report è applicabile solo se vengono caricati anche messaggi di saluto personalizzati da un amministratore dei criteri di autenticazione. In caso contrario, il codice predefinito è 0, indipendentemente da qualsiasi valore specificato nei criteri.
- Fare clic su Salva.
Nota
Se si abilita Segnala attività sospette e si specifica un valore per la creazione di report vocali personalizzati mentre il tenant dispone ancora di un Avviso di illecito abilitato in parallelo con un numero configurato per la creazione di report vocali personalizzati, verrà usato il valore Segnala attività sospette invece di Avviso di illecito.
Correzione del rischio per i tenant con licenza Microsoft Entra ID P1
Quando un utente segnala una richiesta MFA come sospetta, l'evento viene visualizzato nel report Accessi (come accesso rifiutato dall'utente), nei log di audit e nel report Rilevamento dei rischi.
| Report | Interfaccia di amministrazione | Dettagli |
|---|---|---|
| Report dei rilevamenti dei rischi | Protezione>Identity Protection>Rilevamento dei rischi | Tipo di rilevamento: l'utente ha segnalato attività sospetta Livello di rischio: elevato Origine Utente finale segnalato |
| Report sugli accessi | Identità>Monitoraggio e integrità>Log di accesso>Dettagli dell'autenticazione | I dettagli dei risultati dovrebbero essere MFA negata, immesso codice illecito |
| Log di audit | Identità>Monitoraggio e integrità>Log di controllo | Il report sulle frodi verrà visualizzato in Tipo di attività Illecito segnalato |
Nota
Un utente non viene segnalato come a Rischio elevato se esegue l'autenticazione senza password.
È possibile anche eseguire query per rilevare i rischi e gli utenti contrassegnati come rischiosi usando Microsoft Graph.
| API | Dettagli |
|---|---|
| tipo di risorsa riskDetection | riskEventType: userReportedSuspiciousActivity |
| Elencare riskyUsers | riskLevel = elevato |
Per la correzione manuale, gli amministratori o il supporto tecnico possono chiedere agli utenti di reimpostare la password usando la reimpostazione della password self-service (SSPR) o di farlo per loro conto. Per la correzione automatica, usa le API Microsoft Graph o usa PowerShell per creare uno script che modifica la password dell'utente, forza la reimpostazione della password self-service, revoca le sessioni di accesso o disabilita temporaneamente l'account utente.
Correzione del rischio per i tenant con licenza Microsoft Entra ID P2
I tenant con una licenza Microsoft Entra ID P2 possono usare i criteri di accesso condizionale basati sul rischio per correggere automaticamente i rischi utente, oltre alle opzioni della licenza Microsoft Entra ID P2.
Configura un criterio che esamina il rischio utente in Condizioni>Rischio utente. Cerca gli utenti con rischio = elevato per impedire loro di accedere o per chiedere loro di reimpostare la password.
Per altre informazioni, vedere Criteri di accesso condizionale basati sul rischio di accesso.
Segnala attività sospetta e avviso di illecito
Segnala attività sospetta e l'implementazione legacy dell'Avviso di illecito possono funzionare in parallelo. È possibile mantenere in atto la funzionalità Avviso di illecito a livello di tenant, mentre si inizia a usare Segnala attività sospetta con un gruppo di test mirato.
Se l'Avviso di illecito è abilitato con Blocco automatico e Segnala attività sospetta è abilitato, l'utente verrà aggiunto all'elenco degli elementi bloccati e considerato come ad alto rischio e nell'ambito di tutti gli altri criteri configurati. Questi utenti devono essere rimossi dall'elenco di blocchi e i rischi devono essere risolti per consentire loro di accedere con MFA.
Avviso di illecito
Segnala attività sospetta sostituisce l'Avviso di illecito grazie all'integrazione con Microsoft Entra ID Protection per la correzione basata sui rischi, per le funzionalità di creazione di reporting migliori e per l'amministrazione con privilegi minimi. La funzionalità Avviso di illecito verrà rimossa il 1° marzo 2025.
La funzionalità Avviso di illecito consente agli utenti di segnalare tentativi fraudolenti di accesso alle loro risorse. Quando viene ricevuta una richiesta MFA sconosciuta e sospetta, gli utenti possono segnalare il tentativo di illecito usando l'app Microsoft Authenticator o il proprio telefono. Sono disponibili le seguenti opzioni di configurazione dell'avviso di illecito:
Bloccare automaticamente gli utenti che segnalano un illecito. Se un utente segnala un illecito, i tentativi di autenticazione a più fattori di Microsoft Entra per l'account utente vengono bloccati per 90 giorni o finché un amministratore non sblocca l'account. Un amministratore può verificare gli accessi usando il report sugli accessi ed eseguire le azioni necessarie per prevenire illeciti nel futuro. Un amministratore può quindi sbloccare l'account dell'utente.
Codice per la segnalazione di illeciti durante il messaggio di saluto iniziale. Quando gli utenti ricevono una telefonata per eseguire l'autenticazione a più fattori, in genere premono # per confermare l'accesso. Per segnalare un illecito, l'utente immette un codice prima di premere #. Il codice predefinito è 0, ma è possibile personalizzarlo. Se il blocco automatico è abilitato, dopo che l'utente preme 0# per segnalare un illecito, deve premere 1 per confermare il blocco dell'account.
Nota
I messaggi vocali predefiniti di Microsoft invitano gli utenti a premere 0# per inviare un avviso di illecito. Se si vuole usare un codice diverso da 0, registrare e caricare messaggi vocali personalizzati con istruzioni adeguate per l'utente.
Per abilitare e configurare gli avvisi di illecito, completa i passaggi seguenti:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
- Passa a Protezione>Autenticazione a più fattori>Avviso di illecito.
- Imposta Consenti agli utenti di inviare avvisi di illeciti su On.
- Configura l'impostazione Blocca automaticamente gli utenti che segnalano frodi o il Codice per segnalare le frodi durante il messaggio di saluto iniziale in base alle esigenze.
- Seleziona Salva.
Bloccare e sbloccare utenti
Segnala attività sospetta sostituisce l'Avviso di illecito grazie all'integrazione con Microsoft Entra ID Protection per la correzione basata sui rischi, per le funzionalità di creazione di reporting migliori e per l'amministrazione con privilegi minimi. La funzionalità Blocca/sblocca utenti verrà rimossa il 1° marzo 2025.
Se il dispositivo di un utente viene smarrito o rubato, puoi bloccare i tentativi MFA di Microsoft Entra per l'account associato. Tutti i tentativi MFA di Microsoft Entra per gli utenti bloccati vengono negati automaticamente. L'utente non ha richiesto MFA per 90 giorni dal momento in cui è stato bloccato.
Blocca utente
Per bloccare un utente, completa la procedura seguente.
- Passa a Protezione>Autenticazione a più fattori>Blocca/sblocca utenti.
- Selezionare Aggiungi per bloccare un utente.
- Immetti il nome utente per l'utente bloccato nel formato
username@domain.come, quindi, fornisci un commento nella casella Motivo. - Seleziona OK per bloccare l'utente.
Sblocca utente
Per sbloccare un utente, completa la procedura seguente:
- Passa a Protezione>Autenticazione a più fattori>Blocca/sblocca utenti.
- Nella colonna Azione accanto all'utente seleziona Sblocca.
- Immetti un commento nella casella Motivo per lo sblocco.
- Seleziona OK per sbloccare l'utente.
Notifiche
Segnala attività sospette sostituisce le notifiche a causa dell'integrazione con Microsoft Entra ID Protection per la correzione basata sui rischi, le funzionalità di creazione di report migliori e l'amministrazione con privilegi minimi. La funzionalità Notifiche verrà rimossa il 1° marzo 2025.
Puoi configurare Microsoft Entra ID per inviare notifiche tramite posta elettronica quando gli utenti segnalano avvisi di illecito. Queste notifiche vengono in genere inviate agli amministratori di identità, poiché le credenziali dell'account utente sono probabilmente compromesse. L'esempio seguente mostra l'aspetto di un messaggio di posta elettronica di notifica di avviso di illecito:
Per configurare le notifiche di avviso di illecito:
- Passa a Protezione>Autenticazionea più fattori>Notifiche.
- Immetti l'indirizzo e-mail a cui inviare la notifica.
- Per rimuovere un indirizzo di posta elettronica esistente, seleziona ... accanto all'indirizzo di posta elettronica e quindi seleziona Elimina.
- Seleziona Salva.
Token OATH
Microsoft Entra ID supporta l'uso di token SHA-1 OATH-TOTP che aggiornano i codici ogni 30 o 60 secondi. Puoi acquistare questi token dal fornitore di tua scelta.
I token hardware OATH TOTP sono in genere dotati di una chiave privata o di un seme pre-programmato nel token. Devi immettere queste chiavi in Microsoft Entra ID come descritto nei passaggi seguenti. Per le chiavi private è previsto un limite di 128 caratteri e questo può non essere compatibile con tutti i token. La chiave privata può contenere solo i caratteri a-z o A-Z e le cifre 1-7. Deve essere codificata in Base32.
I token hardware OATH TOTP programmabili di cui può essere rieseguito il seeding possono essere configurati anche con Microsoft Entra ID nel flusso di configurazione del token software.
I token hardware OATH sono supportati come parte di un'anteprima pubblica. Per altre informazioni sulle anteprime, vedere Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure.
Dopo aver acquisito i token, devi caricarli in un formato di file con valori delimitati da virgole (CSV). Includi l'UPN, il numero di serie, la chiave privata, l'intervallo di tempo, il produttore e il modello, come mostrato in questo esempio:
upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey
Nota
Assicurati di includere la riga di intestazione nel file CSV.
- Accedi all'Interfaccia di amministrazione di Microsoft Entra come Amministratore globale.
- Passare a Protezione>Autenticazione a più fattori>Token OATH e caricare il file CSV.
A seconda delle dimensioni del file CSV, l'elaborazione potrebbe richiedere alcuni minuti. Seleziona Aggiorna per ottenere lo stato. Se sono presenti errori nel file, puoi scaricare un file CSV che li elenca. I nomi dei campi nel file CSV scaricato sono diversi da quelli nella versione caricata.
Dopo aver risolto eventuali errori, l'amministratore può attivare ogni chiave selezionando Attiva per il token e immettendo l'OTP visualizzata nel token.
Gli utenti possono avere una combinazione composta da fino a cinque token hardware OATH o applicazioni di autenticazione, quali l'app Microsoft Authenticator, configurate per l'uso in qualsiasi momento.
Importante
Assicurarsi di assegnare ogni token solo a un singolo utente. In futuro, il supporto per l'assegnazione di un singolo token a più utenti smetterà di evitare un rischio per la sicurezza.
Impostazioni telefonata
Se gli utenti ricevono chiamate telefoniche per le richieste MFA, è possibile configurare l'esperienza, ad esempio l'ID chiamante o il messaggio di saluto vocale che sentono.
Negli Stati Uniti, se non è stato configurato l'ID chiamante MFA, le chiamate vocali da Microsoft provengono dai numeri seguenti. Gli utenti con filtri di posta indesiderata devono escludere questi numeri.
Numero predefinito: +1 (855) 330-8653
Nella tabella seguente sono elencati più numeri per i diversi paesi.
| Paese/area geografica | Numero/i |
|---|---|
| Austria | +43 6703062076 |
| Bangladesh | +880 9604606026 |
| Cina | +44 1235619418, +44 1235619536, +44 1235619537, +44 1235619538, +44 1235619539, +44 1235619535, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930 |
| Croazia | +385 15507766 |
| Ecuador | +593 964256042 |
| Estonia | +372 6712726 |
| Francia | +33 744081468 |
| Ghana | +233 308250245 |
| Grecia | +30 2119902739 |
| Guatemala | +502 23055056 |
| Hong Kong SAR | +852 25716964 |
| India | +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600 |
| Giordania | +962 797639442 |
| Kenya | +254 709605276 |
| Paesi Bassi | +31 202490048 |
| Nigeria | +234 7080627886 |
| Pakistan | +92 4232618686, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930 |
| Polonia | +48 699740036 |
| Arabia Saudita | +966 115122726 |
| Sudafrica | +27 872405062 |
| Spagna | +34 913305144 |
| Sri Lanka | +94 117750440 |
| Svezia | +46 701924176 |
| Taiwan | +886 277515260, +886 255686508 |
| Türkiye | +90 8505404893 |
| Ucraina | +380 443332393 |
| Emirati Arabi Uniti | +971 44015046 |
| Vietnam | +84 2039990161 |
Nota
Quando le chiamate di autenticazione a più fattori di Microsoft Entra vengono effettuate tramite la rete telefonica pubblica, a volte vengono instradate tramite un gestore telefonico che non supporta l'ID chiamante. A causa di ciò, l'ID chiamante non è garantito, anche se il sistema di autenticazione a più fattori di Microsoft Entra lo invia sempre. Questo vale sia per le chiamate telefoniche che per gli SMS forniti dall'autenticazione a più fattori di Microsoft Entra. Se devi verificare che un sms provenga dall'autenticazione a più fattori di Microsoft Entra, consulta Quali codici brevi vengono usati per l'invio di messaggi?.
Per configurare il proprio numero ID chiamante, segui questi passaggi:
- Passa a Protezione>Autenticazione a più fattori>Impostazioni chiamata telefonica.
- Imposta il numero ID chiamante MFA sul numero che desideri sia visualizzato dagli utenti sui loro telefoni. Sono consentiti solo numeri degli Stati Uniti.
- Seleziona Salva.
Nota
Quando le chiamate di autenticazione a più fattori di Microsoft Entra vengono effettuate tramite la rete telefonica pubblica, a volte vengono instradate tramite un gestore telefonico che non supporta l'ID chiamante. A causa di ciò, l'ID chiamante non è garantito, anche se il sistema di autenticazione a più fattori di Microsoft Entra lo invia sempre. Questo vale sia per le chiamate telefoniche che per gli SMS forniti dall'autenticazione a più fattori di Microsoft Entra. Se devi verificare che un sms provenga dall'autenticazione a più fattori di Microsoft Entra, consulta Quali codici brevi vengono usati per l'invio di messaggi?.
Messaggi vocali personalizzati
Puoi usare registrazioni o messaggi di saluto personalizzati per l'autenticazione a più fattori di Microsoft Entra. Questi messaggi possono essere usati in aggiunta alle registrazioni predefinite di Microsoft o per sostituirle.
Prima di iniziare, tenere presente le seguenti restrizioni:
- I formati di file supportati sono WAV e MP3.
- La dimensione massima dei file è 1 MB.
- I messaggi di autenticazione devono avere una durata inferiore a 20 secondi. Se i messaggi durano più di 20 secondi, è possibile che la verifica abbia esito negativo. Se l'utente non risponde prima della fine del messaggio, la verifica scade.
Comportamento per la lingua del messaggio personalizzato
Quando un messaggio vocale personalizzato viene riprodotto per l'utente, la lingua del messaggio dipende da questi fattori:
- Lingua dell'utente.
- Lingua rilevata dal browser dell'utente.
- Altri scenari di autenticazione potrebbero comportarsi in modo diverso.
- Lingua degli eventuali messaggi personalizzati disponibili.
- Questa lingua viene scelta dall'amministratore, quando viene aggiunto un messaggio personalizzato.
Ad esempio, se è presente un solo messaggio personalizzato ed è in lingua tedesca:
- Un utente che esegue l'autenticazione in lingua tedesca ascolterà il messaggio personalizzato in tedesco.
- Il messaggio inglese standard verrà riprodotto per un utente che esegue l'autenticazione in lingua inglese.
Valori predefiniti dei messaggi vocali personalizzati
È possibile usare gli script di esempio seguenti per creare i propri messaggi personalizzati. Queste frasi sono quelle predefinite se non si configurano i propri messaggi personalizzati.
| Nome messaggio | Script |
|---|---|
| Autenticazione riuscita | L'accesso è stato verificato correttamente. Arrivederci. |
| Richiesta interno | Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premi il tasto cancelletto per continuare. |
| Conferma di illecito | È stato inviato un avviso di illecito. Per sbloccare l'account, contattare l'help desk IT della società. |
| Messaggio introduttivo di illecito (standard) | Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica. Se non si è avviato personalmente la procedura di verifica, è possibile che qualcuno stia tentando di accedere all'account. Premere 0 seguito da cancelletto per inviare un avviso di illecito, in modo da informare il team IT della società e bloccare ulteriori tentativi di verifica. |
| Illecito segnalato | È stato inviato un avviso di illecito. Per sbloccare l'account, contattare l'help desk IT della società. |
| Attivazione | Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica. |
| Autenticazione negata - Nuovo tentativo | Verifica non consentita. |
| Nuovo tentativo (standard) | Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica. |
| Messaggio introduttivo (standard) | Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica. |
| Messaggio introduttivo (PIN) | Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica. |
| Messaggio introduttivo illecito (PIN) | Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica. Se non si è avviato personalmente la procedura di verifica, è possibile che qualcuno stia tentando di accedere all'account. Premere 0 seguito da cancelletto per inviare un avviso di illecito, in modo da informare il team IT della società e bloccare ulteriori tentativi di verifica. |
| Nuovo tentativo (PIN) | Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica. |
| Richiesta interno dopo i numeri | Se si risponde già a questo interno, premere cancelletto per continuare. |
| Autenticazione negata | Al momento non è possibile effettuare l'accesso. Riprova più tardi. |
| Messaggio introduttivo di attivazione (standard) | Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica. |
| Nuovo tentativo di attivazione (standard) | Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica. |
| Messaggio introduttivo di attivazione (PIN) | Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica. |
| Richiesta interno prima dei numeri | Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Trasferisci questa chiamata all'estensione <estensione>. |
Configurare un messaggio personalizzato
Per usare i messaggi personalizzati, completa i passaggi seguenti:
- Passa a Protezione>Autenticazione a più fattori>Impostazioni chiamata telefonica.
- Selezionare Aggiungi messaggio di saluto.
- Scegli il Tipo di messaggio di saluto, ad esempio Saluto (standard) o Autenticazione completata.
- Seleziona Lingua. Consulta la sezione precedente sul comportamento della lingua del messaggio personalizzato.
- Cerca e seleziona un file audio .mp3 o .wav da caricare.
- Seleziona Aggiungi e quindi Salva.
Impostazioni del servizio MFA
Le impostazioni per le password delle app, gli indirizzi IP attendibili, le opzioni di verifica e la memorizzazione dell'autenticazione a più fattori nei dispositivi attendibili sono disponibili nelle impostazioni del servizio. Questo è un portale legacy.
È possibile accedere alle impostazioni del servizio dall'Interfaccia di amministrazione di Microsoft Entra passando a Protezione>Autenticazione a più fattori>Introduzione>Configura>Impostazioni MFA aggiuntive basate sul cloud. Si apre una finestra o una scheda con opzioni aggiuntive per le impostazioni del servizio.
Indirizzi IP attendibili
Le condizioni di posizione sono il modo consigliato per configurare MFA con l'accesso condizionale a causa del supporto IPv6 e di altri miglioramenti. Per altre informazioni sulle condizioni di posizione, consulta Uso della condizione di posizione nei criteri di accesso condizionale. Per i passaggi per definire le posizioni e creare i criteri di accesso condizionale, consultare Accesso condizionale: bloccare l'accesso in base alla posizione.
La funzionalità IP attendibili dell'autenticazione a più fattori di Microsoft Entra ignora anche le richieste MFA per gli utenti che accedono da un intervallo di indirizzi IP definito. È possibile impostare intervalli IP attendibili per gli ambienti locali. Quando gli utenti si trovano in una di queste posizioni, non è disponibile alcuna richiesta di autenticazione a più fattori di Microsoft Entra. La funzionalità indirizzi IP attendibili richiede l'edizione Microsoft Entra ID P1.
Nota
Gli indirizzi IP attendibili possono includere intervalli IP privati solo quando si usa il server MFA. Per l'autenticazione a più fattori di Microsoft Entra basata sul cloud, è possibile usare solo intervalli di indirizzi IP pubblici.
Gli intervalli IPv6 sono supportati nelle località denominate.
Se l'organizzazione usa l'estensione del server dei criteri di rete per garantire l'MFA ad applicazioni locali, gli indirizzi IP di origine sembreranno essere sempre del server dei criteri di rete attraverso cui passa il tentativo di autenticazione.
| Tipo di tenant di Microsoft Entra. | Opzioni della funzionalità Indirizzi IP attendibili |
|---|---|
| Gestito | Intervallo specifico di indirizzi IP: gli amministratori specificano un intervallo di indirizzi IP che possono ignorare le autenticazioni a più fattori per gli utenti che accedono dalla rete Intranet dell'azienda. È possibile configurare un massimo di 50 intervalli di indirizzi IP attendibili. |
| Federato | Tutti gli utenti federati: tutti gli utenti federati che eseguono l'accesso dall'interno dell'organizzazione possono ignorare le autenticazioni a più fattori. Gli utenti ignorano la verifica usando un'attestazione emessa dall'Active Directory Federation Services (AD FS). Intervallo specifico di indirizzi IP: gli amministratori possono specificare un intervallo di indirizzi IP che possono ignorare l'autenticazione a più fattori per gli utenti che accedono dalla rete Intranet dell'azienda. |
Il bypass degli indirizzi IP attendibili funziona solo dall'interno della rete Intranet dell'azienda. Se si seleziona l'opzione Tutti gli utenti federati e un utente accede dall'esterno della rete Intranet dell'azienda, tale utente deve autenticarsi con l'autenticazione a più fattori. Il processo è lo stesso anche se l'utente presenta un'attestazione AD FS.
Nota
Se nel tenant sono configurati sia i criteri MFA per utente sia quelli di accesso condizionale, è necessario aggiungere indirizzi IP attendibili ai criteri di accesso condizionale e aggiornare le impostazioni del servizio MFA.
Esperienza utente interna alla rete dell'azienda
Quando la funzionalità indirizzi IP attendibili è disabilitata, per i flussi del browser è necessaria l'autenticazione a più fattori. Le password dell'app sono necessarie per applicazioni rich client meno recenti.
Quando vengono usati indirizzi IP attendibili, l'autenticazione a più fattori non è necessaria per i flussi del browser. Le password delle app non sono necessarie per le applicazioni rich client meno recenti, a condizione che l'utente non abbia creato una password dell'app. Dopo che entra in uso una password dell'app, la password rimane obbligatoria.
Esperienza utente esterna alla rete dell'azienda
Indipendentemente dal fatto che siano definiti indirizzi IP attendibili, è necessaria l'autenticazione a più fattori per i flussi del browser. Le password dell'app sono necessarie per applicazioni rich client meno recenti.
Abilitare le località denominate con l'accesso condizionale
È possibile usare le regole di accesso condizionale per definire posizioni denominate usando i passaggi seguenti:
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
- Passa a Protezione>Accesso condizionale>Posizioni denominate.
- Selezionare Nuova località.
- Immettere un nome per la località.
- Selezionare Contrassegna come posizione attendibile.
- Immetti l'intervallo IP per l'ambiente nella notazione CIDR. Ad esempio, 40.77.182.32/27.
- Selezionare Crea.
Abilitare la funzionalità Indirizzi IP attendibili con l'accesso condizionale
Per abilitare gli indirizzi IP attendibili usando i criteri di accesso condizionale, completa i passaggi seguenti:
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
Passa a Protezione>Accesso condizionale>Posizioni denominate.
Seleziona Configura Indirizzi IP attendibili per l'autenticazione a più fattori.
Nella pagina Impostazioni del servizio, in Indirizzi IP attendibili scegli una di queste opzioni:
Per le richieste degli utenti federati originate dalla Intranet dell'utente: per scegliere questa opzione seleziona la casella di controllo. Tutti gli utenti federati che eseguono l'accesso dalla rete dell'azienda ignorano le autenticazioni a più fattori usando un'attestazione rilasciata da AD FS. Assicurarsi che AD FS abbia una regola per aggiungere l'attestazione intranet al traffico appropriato. Se la regola non esiste, crea la regola seguente in AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);Nota
L'opzione Ignora autenticazione a più fattori per le richieste di utenti federati nella rete Intranet influirà sulla valutazione dell'accesso condizionale per le posizioni. Qualsiasi richiesta con l'attestazione insidecorporatenetwork viene considerata come proveniente da una posizione attendibile se quell'opzione è selezionata.
Per le richieste da un intervallo specifico di IP pubblici: per scegliere questa opzione immetti gli indirizzi IP nella casella di testo nella notazione CIDR.
- Per gli indirizzi IP nell'intervallo da xxx.xxx.xxx.1 a xxx.xxx.xxx.254, usa una notazione, ad esempio xxx.xxx.xxx.0/24.
- Per un singolo indirizzo IP, usare una notazione, ad esempio xxx.xxx.xxx.xxx/32.
- Immettere fino a 50 intervalli di indirizzi IP. Gli utenti che accedono da questi indirizzi IP ignorano le autenticazioni a più fattori.
Seleziona Salva.
Abilitare la funzionalità Indirizzi IP attendibili tramite le impostazioni del servizio
Se non si vogliono usare i criteri di accesso condizionale per abilitare gli indirizzi IP attendibili, è possibile configurare le impostazioni del servizio per l'autenticazione a più fattori di Microsoft Entra usando i passaggi seguenti:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
Passa a Protezione>Autenticazione a più fattori>Altre impostazioni di autenticazione a più fattori basate sul cloud.
Nella pagina Impostazioni del servizio, in Indirizzi IP attendibili scegli una o entrambe le opzioni seguenti:
Per le richieste provenienti da utenti federati nella rete Intranet: per scegliere questa opzione seleziona la casella di controllo. Tutti gli utenti federati che eseguono l'accesso dalla rete dell'azienda ignorano l'autenticazione a più fattori usando un'attestazione rilasciata da AD FS. Assicurarsi che AD FS abbia una regola per aggiungere l'attestazione intranet al traffico appropriato. Se la regola non esiste, crea la regola seguente in AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);Per le richieste provenienti da un intervallo specifico di subnet di indirizzi IP: per scegliere questa opzione immetti gli indirizzi IP nella casella di testo nella notazione CIDR.
- Per gli indirizzi IP nell'intervallo da xxx.xxx.xxx.1 a xxx.xxx.xxx.254, usa una notazione, ad esempio xxx.xxx.xxx.0/24.
- Per un singolo indirizzo IP, usare una notazione, ad esempio xxx.xxx.xxx.xxx/32.
- Immettere fino a 50 intervalli di indirizzi IP. Gli utenti che accedono da questi indirizzi IP ignorano le autenticazioni a più fattori.
Seleziona Salva.
Metodi di verifica
È possibile scegliere i metodi di verifica disponibili per gli utenti nel portale delle impostazioni del servizio. Quando gli utenti registrano i propri account per l'autenticazione a più fattori di Microsoft Entra, scelgono il metodo di verifica preferito tra le opzioni abilitate. Le linee guida per il processo di registrazione dell'utente sono disponibili in Configurare l'account per l'autenticazione a più fattori.
Importante
Nel marzo 2023 è stata annunciata la deprecazione della gestione dei metodi di autenticazione nei criteri legacy di autenticazione a più fattori e reimpostazione della password self-service. A partire dal 30 settembre 2025, i metodi di autenticazione non possono essere gestiti in questi criteri legacy di autenticazione MFA e reimpostazione della password self-service. È consigliabile che i clienti usino il controllo della migrazione manuale per eseguire la migrazione ai criteri dei metodi di autenticazione in base alla data di deprecazione. Per un aiuto sul controllo della migrazione, consulta Come eseguire la migrazione delle impostazioni dei criteri di autenticazione a più fattori e della reimpostazione della password self-service ai criteri dei metodi di autenticazione per Microsoft Entra ID.
Sono disponibili i seguenti metodi di verifica:
| metodo | Descrizione |
|---|---|
| Chiamata al telefono | Invia una chiamata vocale automatizzata. L'utente risponde alla chiamata e preme # nel tastierino telefonico per l'autenticazione. Il numero di telefono non è sincronizzato con Active Directory locale. |
| SMS al telefono | Invia un messaggio di testo contenente un codice di verifica. All'utente viene richiesto di immettere il codice di verifica nell'interfaccia di accesso. Questo processo è denominato SMS unidirezionale. L'SMS bidirezionale significa che l'utente deve disporre il testo in un codice specifico. L'SMS bidirezionale è deprecato e non è supportato a partire dal 14 novembre 2018. Gli amministratori devono abilitare un altro metodo per gli utenti che in precedenza usavano l'SMS bidirezionale. |
| Notifica tramite app per dispositivi mobili | Invia una notifica push al telefono o al dispositivo registrato dell'utente. L'utente visualizza la notifica e seleziona Verifica per completare la verifica. L'app Microsoft Authenticator è disponibile per Windows Phone, Android e IOS. |
| Codice di verifica dall'app per dispositivi mobili o dal token hardware | L'app Microsoft Authenticator genera un nuovo codice di verifica OATH ogni 30 secondi. L'utente immette il codice di verifica nell'interfaccia di accesso. L'app Microsoft Authenticator è disponibile per Windows Phone, Android e IOS. |
Per altre informazioni, consulta Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?.
Abilitare e disabilitare i metodi di verifica
Per abilitare o disabilitare i metodi di verifica, completa i passaggi seguenti:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
- Passa a Identità>Utenti.
- Selezionare MFA per utente.
- In Autenticazione a più fattori nella parte superiore della pagina seleziona Impostazioni del servizio.
- Nella pagina Impostazioni del servizio, in Opzioni di verifica seleziona o deseleziona le caselle di controllo appropriate.
- Seleziona Salva.
Ricordare l’autenticazione a più fattori
La funzionalità Memorizza autenticazione a più fattori permette agli utenti di ignorare le verifiche successive per un numero specificato di giorni, dopo aver effettuato correttamente l'accesso a un dispositivo tramite MFA. Per migliorare l'usabilità e ridurre al minimo il numero di volte in cui un utente deve eseguire l'MFA su un determinato dispositivo, seleziona una durata di 90 giorni o più.
Importante
Se un dispositivo o un account viene compromesso, la memorizzazione dell'MFA per i dispositivi attendibili può influire sulla sicurezza. Se un account aziendale viene compromesso o un dispositivo attendibile viene smarrito o rubato, è necessario revocare le sessioni MFA.
L'azione di revoca annulla lo stato di attendibilità di tutti i dispositivi e l'utente deve eseguire nuovamente l'autenticazione a più fattori. È possibile anche indicare agli utenti di ripristinare lo stato dell'MFA originale nei propri dispositivi, come indicato in Gestire le impostazioni per l'autenticazione a più fattori.
Funzionamento della funzionalità
La funzionalità Memorizza autenticazione a più fattori imposta un cookie permanente nel browser quando un utente seleziona l'opzione Non formulare la richiesta per X giorni al momento dell'accesso. Fino alla scadenza del cookie, all'utente non verrà più richiesta l'MFA. Se l'utente apre un altro browser sullo stesso dispositivo o cancella i cookie, la verifica verrà richiesta di nuovo.
L'opzione Non formulare la richiesta per X giorni non viene visualizzata nelle applicazioni non basate su browser, indipendentemente dal fatto che l'app supporti l'autenticazione moderna. Queste app usano token di aggiornamento che creano nuovi token di accesso ogni ora. Quando viene convalidato un token di aggiornamento, Microsoft Entra ID verifica che l'ultima autenticazione a più fattori si sia verificata entro il numero di giorni specificato.
La funzionalità riduce il numero di autenticazioni per le app Web, che in genere viene richiesta ogni volta. Questa funzione può comportare un aumento del numero di autenticazioni per i client con autenticazione moderna che in genere la richiedono ogni 180 giorni, se non è configurata una durata più breve. Può anche far aumentare il numero di autenticazioni se combinata con criteri di accesso condizionale.
Importante
La funzionalità memorizza autenticazione a più fattori non è compatibile con la funzionalità mantieni l'accesso di AD FS, quando gli utenti eseguono l'auenticazione a più fattori per AD FS tramite il server MFA o una soluzione di autenticazione a più fattori di terze parti.
Se gli utenti selezionano mantieni l'accesso in AD FS e contrassegnano anche il dispositivo come attendibile per l'MFA, l'utente non esegue automaticamente la verifica dopo che terminano i giorni per la funzionalità memorizza autenticazione a più fattori. Microsoft Entra ID richiede una nuova autenticazione a più fattori, ma AD FS restituisce un token con l'attestazione MFA originale e la data, anziché eseguire nuovamente l'autenticazione a più fattori. Questa reazione attiva un ciclo di verifica tra Microsoft Entra ID e AD FS.
La funzionalità memorizza autenticazione a più fattori non è compatibile con gli utenti B2B e non sarà visibile per questi utenti quando efftettuano l'accesso ai tenant invitati.
La funzionalità memorizza autenticazione a più fattori non è compatibile con il controllo dell'accesso condizionale per la frequenza di accesso. Per ulteriori informazioni consulta Configurazione della gestione della sessione di autenticazione con l'Accesso condizionale.
Abilitare la funzionalità Memorizza autenticazione a più fattori
Per abilitare e configurare l'opzione per consentire agli utenti di ricordare lo stato MFA e ignorare le richieste, completa i passaggi seguenti:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
- Passa a Identità>Utenti.
- Selezionare MFA per utente.
- In Autenticazione a più fattori nella parte superiore della pagina seleziona Impostazioni del servizio.
- Nella pagina Impostazioni del servizio, in memorizza autenticazione a più fattori seleziona Consenti agli utenti di memorizzare l'autenticazione a più fattori nei dispositivi attendibili.
- Imposta il numero di giorni per consentire ai dispositivi attendibili di ignorare le autenticazioni a più fattori. Per un'esperienza utente ottimale, estendi la durata a 90 giorni o di più.
- Seleziona Salva.
Contrassegnare un dispositivo come attendibile
Dopo aver abilitato la funzionalità memorizza autenticazione a più fattori, gli utenti possono contrassegnare un dispositivo come attendibile al momento dell'accesso selezionando Non chiedere più.
Passaggi successivi
Per ulteriori informazioni, consulta Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?