Aggiungere l'autenticazione a più fattori (MFA) a un'app
Si applica a: 
Tenant della forza lavoro 
Tenant esterni (altre informazioni)
L'autenticazione a più fattori (MFA) aggiunge un livello di sicurezza alle applicazioni richiedendo agli utenti di fornire un secondo metodo per verificare l'identità durante l'iscrizione o l'accesso. I tenant esterni supportano due metodi per l'autenticazione come secondo fattore:
- Passcode monouso tramite email: dopo l'accesso dell'utente con email e password, viene richiesto un passcode inviato al suo indirizzo email. Per consentire l'uso di passcode monouso tramite posta elettronica per MFA, impostare il metodo di autenticazione dell'account locale su Posta elettronica con password. Se si sceglie Posta elettronica con passcode monouso, i clienti che usano questo metodo per l'accesso primario non potranno usarlo per la verifica secondaria MFA.
- Autenticazione basata su SMS: anche se gli SMS non sono un'opzione per l'autenticazione a primo fattore, sono disponibili come secondo fattore per MFA. Agli utenti che accedono con email e password, email e passcode monouso o identità di social networking come Google o Facebook, viene richiesta la seconda verifica tramite SMS. La nostra MFA tramite SMS include controlli di frode automatici. Se si sospetta una frode, verrà chiesto all'utente di completare un CAPTCHA per confermare che non è un robot prima di inviare il codice SMS per la verifica. Fornisce inoltre misure di sicurezza contro le frodi telefoniche. SMS è una funzionalità del componente aggiuntivo. Il tenant deve essere collegato a una sottoscrizione attiva e valida. Ulteriori informazioni
Questo articolo descrive come applicare l'autenticazione a più fattori (MFA) per i clienti creando un criterio di accesso condizionale di Microsoft Entra e aggiungendo l'autenticazione a più fattori al flusso utente di iscrizione e accesso.
Suggerimento
Per provare questa funzionalità, passare alla demo Woodgrove Groceries e avviare il caso d'uso "Autenticazione a più fattori".
Prerequisiti
- Un tenant esterno di Microsoft Entra.
- Un flusso utente di iscrizione e di accesso.
- Un'app registrata nel tenant esterno, aggiunta al flusso utente di iscrizione e accesso.
- Un account con almeno il ruolo di amministratore della sicurezza per configurare i criteri di accesso condizionale e l'autenticazione a più fattori.
- SMS è una funzionalità di componente aggiuntivo e richiede una sottoscrizione collegata. Se la sottoscrizione scade o viene annullata, gli utenti finali non saranno più in grado di eseguire l'autenticazione tramite SMS, che potrebbero impedire l'accesso a seconda dei criteri di autenticazione a più fattori.
Creare criteri di accesso condizionale
Creare un criterio di accesso condizionale nel tenant esterno che richieda agli utenti di eseguire l'autenticazione a più fattori quando si iscrivono o accedono all'app. Per altre informazioni, vedere Criterio di accesso condizionale comune: Richiedere l'autenticazione a più fattori per tutti gli utenti.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.
Se si ha accesso a più tenant, usare l'icona Impostazioni
nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.Passare a Protezione>Accesso condizionale>Criteri, e selezionare Nuovo criterio.
Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
In Assegnazioni selezionare il collegamento in Utenti.
a. Nella scheda Includi selezionare Tutti gli utenti.
b. Nella scheda Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione. Quindi, scegli Seleziona.
Selezionare il collegamento in Risorse di destinazione.
a. Nella scheda Includi scegliere una delle opzioni seguenti:
Scegliere Tutte le risorse (in precedenza "Tutte le app cloud").
Scegliere Seleziona risorse e selezionare il collegamento in Seleziona. Trovare l'app, selezionarla e quindi scegliere Seleziona.
b. Nella scheda Escludi, selezionare tutte le applicazioni che non richiedono l'autenticazione a più fattori.
In Controlli di accesso selezionare il collegamento in Concedi. Selezionare Concedi accesso, selezionare Richiedi autenticazione a più fattori e quindi scegliere Seleziona.
Confermare le impostazioni e impostare Abilita criterio su Attivato.
Selezionare Crea per creare e abilitare il criterio.
Abilitare il passcode monouso tramite posta elettronica come metodo di autenticazione a più fattori
Abilitare il metodo di autenticazione con passcode monouso tramite posta elettronica nel tenant esterno per tutti gli utenti.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.
Passare a Protezione>Metodi di autenticazione
Nell'elenco Metodo selezionare Email OTP.
In Abilitare e impostare come destinazione attivare l'interruttore Abilita.
In Includi accanto a Destinazione selezionare Tutti gli utenti.
Seleziona Salva.
Abilitare SMS come metodo MFA
Abilitare il metodo di autenticazione con SMS nel tenant esterno per tutti gli utenti.
Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.
Passare a Protezione>Metodi di autenticazione
Nell'elenco Metodo, selezionare SMS.
In Abilitare e impostare come destinazione attivare l'interruttore Abilita.
In Includi accanto a Destinazione selezionare Tutti gli utenti.
Seleziona Salva.
Attivare telecomunicazioni per le aree di consenso esplicito
A partire da gennaio 2025, alcuni codici paese verranno disattivati per impostazione predefinita per la verifica DEGLI SMS. Se si vuole consentire il traffico dalle aree disattivate, è necessario attivarli per l'applicazione usando i criteri di Microsoft Graph onPhoneMethodLoadStartevent . Vedere Aree che richiedono il consenso esplicito per la verifica tramite SMS.
Testare l'accesso
In un browser privato aprire l'applicazione e selezionare Accedi. Verrà richiesto un altro metodo di autenticazione.