Abilitare l'autenticazione a più fattori di Microsoft Entra per utente per proteggere gli eventi di accesso
Per proteggere gli eventi di accesso utente in Microsoft Entra ID, è possibile richiedere l'autenticazione a più fattori (MFA) di Microsoft Entra. Il modo migliore per proteggere gli utenti con Microsoft Entra MFA consiste nel creare criteri di accesso condizionale. L'accesso condizionale è una funzionalità P1 o P2 di Microsoft Entra ID che consente di applicare regole per richiedere l'autenticazione a più fattori in base alle esigenze in determinati scenari. Per iniziare a usare l'accesso condizionale, vedere Esercitazione: Proteggere gli eventi di accesso utente con l'autenticazione a più fattori di Microsoft Entra.
Per i tenant gratuiti di Microsoft Entra ID senza accesso condizionale, è possibile usare le impostazioni predefinite per la sicurezza per proteggere gli utenti. Agli utenti viene richiesta l'autenticazione a più fattori in base alle esigenze, ma non è possibile definire regole personalizzate per controllare il comportamento.
Se necessario, è invece possibile abilitare ogni account per utente Microsoft Entra MFA. Quando si abilitano gli utenti singolarmente, eseguono l'autenticazione a più fattori ogni volta che accedono. È possibile abilitare eccezioni, ad esempio quando accedono da indirizzi IP attendibili o quando la funzionalità memorizza MFA nei dispositivi attendibili è attivata.
La modifica degli stati utente non è consigliata a meno che le licenze Microsoft Entra ID non includano l'accesso condizionale e non si vogliano usare le impostazioni predefinite per la sicurezza. Per altre informazioni sui diversi modi per abilitare MFA, vedere Funzionalità e licenze per l'autenticazione a più fattori di Microsoft Entra.
Importante
Questo articolo illustra in dettaglio come visualizzare e modificare lo stato per l'autenticazione a più fattori di Microsoft Entra per utente. Se si usano le impostazioni predefinite per l'accesso condizionale o la sicurezza, gli account utente non vengono esaminati o abilitati usando questi passaggi.
Abilitando Al'autenticazione a più fattori di Microsoft Entra tramite criteri di accesso condizionale lo stato dell'utente non viene modificato. Non allarmarsi se gli utenti sembrano essere disabilitati. L'accesso condizionale non modifica lo stato.
Non abilitare o applicare l'autenticazione a più fattori Microsoft Entra per utente se si usano criteri di accesso condizionale.
Stati utente di autenticazione a più fattori di Microsoft Entra
Lo stato di un utente indica se un amministratore dell'autenticazione lo ha registrato nell'autenticazione a più fattori Microsoft Entra per utente. Gli account utente in modalità autenticazione a più fattori di Microsoft Entra presentano i seguenti tre stati distinti:
| Stato | Descrizione | Autenticazione legacy interessata | App interessate basate su browser | Autenticazione moderna interessata |
|---|---|---|---|---|
| Disabilitata | Lo stato predefinito per un utente non registrato all'autenticazione a più fattori di Microsoft Entra per utente. | No | No | No |
| Attivata | L'utente è registrato nell'autenticazione a più fattori Microsoft Entra per utente, ma può comunque usare la password per l'autenticazione legacy. Se l'utente non dispone di metodi di autenticazione MFA registrati, all'accesso successivo riceve una richiesta di registrazione con l'autenticazione moderna, ad esempio quando accede su un Web browser. | No. L'autenticazione legacy continua a funzionare fino al completamento del processo di registrazione. | Sì. Allo scadere della sessione è richiesta la registrazione all'autenticazione a più fattori di Microsoft Entra. | Sì. Allo scadere del token di accesso è richiesta la registrazione all'autenticazione a più fattori di Microsoft Entra. |
| Imposto | L'utente viene registrato per utente nell'autenticazione a più fattori di Microsoft Entra. Se l'utente non dispone di metodi di autenticazione registrati, all'accesso successivo riceve una richiesta di registrazione con l'autenticazione moderna, ad esempio quando accede su un Web browser. Gli utenti che completano la registrazione mentre sono Abilitati vengono spostati automaticamente nello stato Applicato. | Sì. Le app richiedono password per le app. | Sì. L'autenticazione a più fattori di Microsoft Entra è necessaria all'accesso. | Sì. L'autenticazione a più fattori di Microsoft Entra è necessaria all'accesso. |
Lo stato iniziale di tutti gli utenti è Disabilitato. Quando si registrano gli utenti all'autenticazione a più fattori di Microsoft Entra per utente, il relativo stato viene modificato in Abilitato. Quando gli utenti abilitati accedono e completano il processo di registrazione, lo stato cambia in Applicato. Gli amministratori possono spostare gli utenti tra stati, ad esempio da Applicato ad Abilitato o Disabilitato.
Nota
Se l'autenticazione MFA per utente viene nuovamente abilitata per un utente e tale utente non effettua di nuovo la registrazione, lo stato di MFA non passa da Abilitato ad Applicato nell'interfaccia utente di gestione di MFA. L'amministratore deve spostare l'utente direttamente in Applicato.
Visualizzare lo stato di un utente
L'esperienza di amministrazione MFA per utente nell'interfaccia di amministrazione di Microsoft Entra è stata migliorata di recente. Per visualizzare e gestire gli stati utente, completare la procedura seguente:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
Passare a Identità>Utenti>Tutti gli utenti.
Selezionare un account utente e fare clic su Impostazioni MFA utente.
Dopo aver apportato le modifiche, fare clic su Salva.
Se si tenta di ordinare migliaia di utenti, il risultato potrebbe restituire Nessun utente da visualizzare. Provare a immettere criteri di ricerca più specifici per restringere la ricerca o applicare filtri di stato o visualizzazione specifici.
Durante la transizione alla nuova esperienza MFA per utente, è anche possibile accedere all'esperienza di autenticazione MFA per utente legacy. Il formato è:
https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx?tenantId=${userTenantID}
Per ottenere userTenantID, copiare l'ID tenant nella pagina Panoramica nell'interfaccia di amministrazione di Microsoft Entra. Seguire quindi questa procedura per visualizzare lo stato per un utente con l'esperienza legacy:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore autenticazione.
- Passare a Identità>Utenti>Tutti gli utenti.
- Selezionare MFA per utente.
- Si apre una nuova pagina in cui viene visualizzato lo stato dell'utente, come illustrato nell'esempio seguente.
Modificare lo stato di un utente
Per modificare lo stato di un utente per l'autenticazione a più fattori di Microsoft Entra per utente, completare la procedura seguente:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
Passare a Identità>Utenti>Tutti gli utenti.
Selezionare un account utente e fare clic su Abilita MFA.
Suggerimento
Gli utenti Abilitati diventano automaticamente Applicati quando si registrano all'autenticazione a più fattori di Microsoft Entra. Non modificare manualmente lo stato dell'utente in Applicato a meno che l'utente non sia già registrato o se è accettabile che l'utente subisca interruzioni nelle connessioni ai protocolli di autenticazione legacy.
Confermare la selezione nella finestra popup che viene visualizzata.
Inviare una notifica tramite posta elettronica agli utenti dopo averli abilitati. Informare gli utenti che viene visualizzato un messaggio per richiedere la registrazione al successivo accesso. Se l'organizzazione usa applicazioni che non vengono eseguite in un browser o che non supportano l'autenticazione moderna, è possibile creare password per l'applicazione. Per altre informazioni, vedere Applicare l'autenticazione a più fattori Microsoft Entra con le applicazioni legacy usando le password dell'app.
Usare Microsoft Graph per gestire l'autenticazione MFA per utente
È possibile gestire le impostazioni MFA per utente usando la versione beta dell'API REST di Microsoft Graph. È possibile usare il tipo di risorsa di autenticazione per esporre gli stati del metodo di autenticazione per gli utenti.
Per gestire l'autenticazione MFA per utente, usare la proprietà perUserMfaState all'interno di utenti/id/autenticazione/requisiti. Per altre informazioni, vedere Tipo di risorsa strongAuthenticationRequirements.
Visualizzare lo stato MFA per utente
Per recuperare lo stato di autenticazione a più fattori per utente per un utente:
GET /users/{id | userPrincipalName}/authentication/requirements
Ad esempio:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Se l'utente è abilitato all'autenticazione a più fattori per utente, la risposta è:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Per ulteriori informazioni, vedere Ottenere gli stati del metodo di autenticazione.
Modificare lo stato MFA per un utente
Per modificare lo stato di autenticazione a più fattori per un utente, usare strongAuthenticationRequirements dell'utente. Ad esempio:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
In caso di esito positivo, la risposta è:
HTTP/1.1 204 No Content
Per altre informazioni, vedere Aggiornare gli stati del metodo di autenticazione.
Passaggi successivi
Per configurare le impostazioni di autenticazione a più fattori di Microsoft Entra, vedere Configurare le impostazioni di autenticazione a più fattori di Microsoft Entra.
Per la gestione delle impostazioni utente per l'autenticazione a più fattori di Microsoft Entra, vedere Gestire le impostazioni utente con l'autenticazione a più fattori di Microsoft Entra.
Per comprendere il motivo per cui all'utente è stato richiesto o non è stato richiesto di eseguire l'autenticazione a più fattori, vedere Report di autenticazione a più fattori di Microsoft Entra.