Gestire i metodi di autenticazione utente per l'autenticazione a più fattori di Microsoft Entra

Gli utenti di Microsoft Entra ID hanno due set distinti di informazioni sul contatto:

• Informazioni sul contatto di profilo pubblico, gestite nel profilo utente e visibili ai membri dell'organizzazione. Per gli utenti sincronizzati da Active Directory locale, queste informazioni vengono gestite nei servizi locali di Active Directory Domain Services di Windows Server.
• Metodi di autenticazione, che vengono sempre mantenuti privati e usati solo per l'autenticazione, inclusa l'autenticazione a più fattori. Gli amministratori possono gestire questi metodi nel pannello del metodo di autenticazione di un utente e gli utenti possono gestire i metodi nella pagina Informazioni di sicurezza di MyAccount.

Quando si gestiscono i metodi di autenticazione a più fattori di Microsoft Entra per gli utenti, gli amministratori dell'autenticazione possono:

• Aggiungere metodi di autenticazione per un utente specifico, inclusi numeri di telefono usati per la MFA.
• Reimpostare la password di un utente.
• Richiedere a un utente di registrarsi per la MFA.
• Revocare le sessioni MFA esistenti.
• Eliminare le password esistenti degli utenti per le app

Nota

Gli screenshot di questo argomento illustrano come gestire i metodi di autenticazione utente usando un'esperienza aggiornata nell'interfaccia di amministrazione di Microsoft Entra. È disponibile anche un'esperienza legacy e gli amministratori possono passare da un banner all'altro usando un banner nell'interfaccia di amministrazione. L'esperienza moderna ha parità completa con l'esperienza legacy e gestisce metodi moderni come Pass di accesso temporaneo, passkey e altre impostazioni. L'esperienza legacy nell'interfaccia di amministrazione di Microsoft Entra è stata ritirata il 30 settembre 2025. Non è richiesta alcuna azione da parte delle organizzazioni prima del ritiro.

Prerequisiti

Autenticazione a più fattori Microsoft Entra, abilitata per impostazione predefinita.

Aggiungere o modificare i metodi di autenticazione per un utente

È possibile aggiungere o modificare i metodi di autenticazione per un utente usando l'interfaccia di amministrazione di Microsoft Entra o Microsoft Graph PowerShell. Nell'interfaccia di amministrazione di Microsoft Entra, il metodo legacy per la gestione dei metodi di autenticazione utente viene ritirato dopo il 30 settembre 2025.

Nota

Per motivi di sicurezza, i campi delle informazioni sul contatto dell'utente pubblico non devono essere usati per eseguire la MFA. Gli utenti devono invece popolare i propri numeri del metodo di autenticazione da usare per la MFA.

Per aggiungere o modificare i metodi di autenticazione per un utente nell'interfaccia di amministrazione di Microsoft Entra:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di autenticazione.
2. Passare a Entra ID> ID Entra).
3. Scegliere l'utente per il quale si vuole aggiungere o modificare un metodo di autenticazione e selezionare Metodi di autenticazione.
4. Nella parte superiore della finestra selezionare + Aggiungi metodo di autenticazione.
   • Selezionare un metodo (numero di telefono o indirizzo email). L'email può essere usata per l'auto-reimpostazione della password, ma non per l'autenticazione. Quando si aggiunge un numero di telefono, selezionare un tipo di telefono e immettere il numero di telefono con formato valido (ad esempio +1 4255551234).
   • Selezionare Aggiungi.

Gli utenti possono aggiungere o modificare i propri metodi di autenticazione in Accessi personali | Informazioni di sicurezza. Ad esempio, per modificare il numero di telefono, selezionare Numero di telefono e toccare Cambia.

Gestire metodi che usano PowerShell

Installare il modulo PowerShell Microsoft.Graph.Identity.Signins usando i comandi seguenti.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Gestire le opzioni di autenticazione utente

Gli amministratori di autenticazione possono richiedere ad altri utenti di reimpostare la password, ripetere la registrazione per l'autenticazione a più fattori o revocare le sessioni MFA esistenti dall'oggetto utente. Gli utenti non possono aggiornare il proprio oggetto utente. Per modificare o reimpostare i propri metodi di sicurezza, gli utenti possono passare a Informazioni di sicurezza o passare alla reimpostazione della password self-service per reimpostare la password. Per gestire le impostazioni di altri utenti, completare la procedura seguente:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di autenticazione.

2. Passare a Entra ID> ID Entra).

3. Scegliere l'utente su cui si vuole eseguire un'azione e selezionare Metodi di autenticazione. Nella parte superiore della finestra scegliere una delle opzioni seguenti per l'utente:

   • Reimpostare la password reimposta la password dell'utente e assegna una password temporanea che deve essere modificata al successivo accesso.
   • Richiedi la registrazione dell'autenticazione a più fattori disattiva i token OATH hardware dell'utente ed elimina i metodi di autenticazione seguenti da questo utente: numeri di telefono, app Microsoft Authenticator e token OATH software. Se necessario, all'utente viene richiesto di configurare un nuovo metodo di autenticazione MFA al successivo accesso.
   • Revoca sessioni MFA cancella le sessioni MFA memorizzate dall'utente e richiede che eseguano l'autenticazione a più fattori la volta successiva richiesta dai criteri nel dispositivo.

   

Eliminare le password per le app esistenti degli utenti

Per gli utenti che hanno definito password per le app, gli amministratori possono anche scegliere di eliminare queste password, causando l'esito negativo dell'autenticazione legacy in tali applicazioni. Queste azioni possono essere necessarie in caso serva fornire assistenza a un utente o reimpostare i relativi metodi di autenticazione. Le app non basate su browser associate a queste password dell'app non funzionano fino a quando non viene creata una nuova password dell'app.

Per eliminare le password dell'app di un utente, seguire questa procedura:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di autenticazione.

2. Passare a Entra ID> ID Entra).

3. Selezionare Autenticazione a più fattori. Potrebbe essere necessario scorrere verso destra per visualizzare l'opzione del menu. Selezionare lo screenshot di esempio seguente per visualizzare la finestra completa e il percorso del menu:

4. Selezionare la casella accanto a uno o più utenti che si desidera gestire. Sulla destra viene visualizzato un elenco di opzioni di azioni rapide.

5. Selezionare Gestisci impostazioni utente, quindi selezionare la casella Elimina tutte le password dell'app esistenti generate dagli utenti selezionati, come illustrato nell'esempio seguente:

6. Selezionare Salva, quindi chiudere.

Contenuto correlato

• Configurare le impostazioni di autenticazione a più fattori di Microsoft Entra
• Manuale dell'utente per l'autenticazione a più fattori di Microsoft Entra

Gli utenti di Microsoft Entra ID hanno due set distinti di informazioni sul contatto:

• Informazioni sul contatto di profilo pubblico, gestite nel profilo utente e visibili ai membri dell'organizzazione. Per gli utenti sincronizzati da Active Directory locale, queste informazioni vengono gestite nei servizi locali di Active Directory Domain Services di Windows Server.
• Metodi di autenticazione, che vengono sempre mantenuti privati e usati solo per l'autenticazione, inclusa l'autenticazione a più fattori. Gli amministratori possono gestire questi metodi nel pannello del metodo di autenticazione di un utente e gli utenti possono gestire i metodi nella pagina Informazioni di sicurezza di MyAccount.

Quando si gestiscono i metodi di autenticazione a più fattori di Microsoft Entra per gli utenti, gli amministratori dell'autenticazione possono:

• Aggiungere metodi di autenticazione per un utente specifico, inclusi numeri di telefono usati per la MFA.
• Reimpostare la password di un utente.
• Richiedere a un utente di registrarsi per la MFA.
• Revocare le sessioni MFA esistenti.
• Eliminare le password esistenti degli utenti per le app

Nota

Gli screenshot di questo argomento illustrano come gestire i metodi di autenticazione utente usando un'esperienza aggiornata nell'interfaccia di amministrazione di Microsoft Entra. È disponibile anche un'esperienza legacy e gli amministratori possono passare da un banner all'altro usando un banner nell'interfaccia di amministrazione. L'esperienza moderna ha parità completa con l'esperienza legacy e gestisce metodi moderni come Pass di accesso temporaneo, passkey e altre impostazioni. L'esperienza legacy nell'interfaccia di amministrazione di Microsoft Entra è stata ritirata il 30 settembre 2025. Non è richiesta alcuna azione da parte delle organizzazioni prima del ritiro.

Autenticazione a più fattori Microsoft Entra, abilitata per impostazione predefinita.

È possibile aggiungere o modificare i metodi di autenticazione per un utente usando l'interfaccia di amministrazione di Microsoft Entra o Microsoft Graph PowerShell. Nell'interfaccia di amministrazione di Microsoft Entra, il metodo legacy per la gestione dei metodi di autenticazione utente viene ritirato dopo il 30 settembre 2025.

Nota

Per motivi di sicurezza, i campi delle informazioni sul contatto dell'utente pubblico non devono essere usati per eseguire la MFA. Gli utenti devono invece popolare i propri numeri del metodo di autenticazione da usare per la MFA.

Per aggiungere o modificare i metodi di autenticazione per un utente nell'interfaccia di amministrazione di Microsoft Entra:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di autenticazione.
2. Passare a Entra ID> ID Entra).
3. Scegliere l'utente per il quale si vuole aggiungere o modificare un metodo di autenticazione e selezionare Metodi di autenticazione.
4. Nella parte superiore della finestra selezionare + Aggiungi metodo di autenticazione.
   • Selezionare un metodo (numero di telefono o indirizzo email). L'email può essere usata per l'auto-reimpostazione della password, ma non per l'autenticazione. Quando si aggiunge un numero di telefono, selezionare un tipo di telefono e immettere il numero di telefono con formato valido (ad esempio +1 4255551234).
   • Selezionare Aggiungi.

Gli utenti possono aggiungere o modificare i propri metodi di autenticazione in Accessi personali | Informazioni di sicurezza. Ad esempio, per modificare il numero di telefono, selezionare Numero di telefono e toccare Cambia.

Gestire metodi che usano PowerShell

Installare il modulo PowerShell Microsoft.Graph.Identity.Signins usando i comandi seguenti.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Gli amministratori di autenticazione possono richiedere ad altri utenti di reimpostare la password, ripetere la registrazione per l'autenticazione a più fattori o revocare le sessioni MFA esistenti dall'oggetto utente. Gli utenti non possono aggiornare il proprio oggetto utente. Per modificare o reimpostare i propri metodi di sicurezza, gli utenti possono passare a Informazioni di sicurezza o passare alla reimpostazione della password self-service per reimpostare la password. Per gestire le impostazioni di altri utenti, completare la procedura seguente:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di autenticazione.

2. Passare a Entra ID> ID Entra).

3. Scegliere l'utente su cui si vuole eseguire un'azione e selezionare Metodi di autenticazione. Nella parte superiore della finestra scegliere una delle opzioni seguenti per l'utente:

   • Reimpostare la password reimposta la password dell'utente e assegna una password temporanea che deve essere modificata al successivo accesso.
   • Richiedi la registrazione dell'autenticazione a più fattori disattiva i token OATH hardware dell'utente ed elimina i metodi di autenticazione seguenti da questo utente: numeri di telefono, app Microsoft Authenticator e token OATH software. Se necessario, all'utente viene richiesto di configurare un nuovo metodo di autenticazione MFA al successivo accesso.
   • Revoca sessioni MFA cancella le sessioni MFA memorizzate dall'utente e richiede che eseguano l'autenticazione a più fattori la volta successiva richiesta dai criteri nel dispositivo.

   

Per gli utenti che hanno definito password per le app, gli amministratori possono anche scegliere di eliminare queste password, causando l'esito negativo dell'autenticazione legacy in tali applicazioni. Queste azioni possono essere necessarie in caso serva fornire assistenza a un utente o reimpostare i relativi metodi di autenticazione. Le app non basate su browser associate a queste password dell'app non funzionano fino a quando non viene creata una nuova password dell'app.

Per eliminare le password dell'app di un utente, seguire questa procedura:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di autenticazione.

2. Passare a Entra ID> ID Entra).

3. Selezionare Autenticazione a più fattori. Potrebbe essere necessario scorrere verso destra per visualizzare l'opzione del menu. Selezionare lo screenshot di esempio seguente per visualizzare la finestra completa e il percorso del menu:

4. Selezionare la casella accanto a uno o più utenti che si desidera gestire. Sulla destra viene visualizzato un elenco di opzioni di azioni rapide.

5. Selezionare Gestisci impostazioni utente, quindi selezionare la casella Elimina tutte le password dell'app esistenti generate dagli utenti selezionati, come illustrato nell'esempio seguente:

6. Selezionare Salva, quindi chiudere.