Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?
Microsoft consiglia metodi di autenticazione senza password come Windows Hello, Passkeys (FIDO2) e l'app Microsoft Authenticator perché offrono l'esperienza di accesso più sicura. Anche se un utente può accedere usando altri metodi comuni, ad esempio un nome utente e una password, le password devono essere sostituite con metodi di autenticazione più sicuri.
L'autenticazione a più fattori di Microsoft Entra aggiunge un altro livello di sicurezza rispetto all’uso della sola password quando un utente esegue l'accesso. All'utente possono essere richieste altre forme di autenticazione, ad esempio per rispondere a una notifica push, immettere un codice da un token software o hardware o rispondere a un SMS o a una telefonata.
Per semplificare l'esperienza di onboarding dell'utente e registrarsi sia per l'autenticazione a più fattori (MFA) che per la reimpostazione della password self-service (SSPR), consigliamo di abilitare la registrazione combinata delle informazioni di sicurezza. Per assicurare la resilienza, è consigliabile richiedere agli utenti di registrare più metodi di autenticazione. Quando un metodo non è disponibile per un utente durante l'accesso o la reimpostazione della password self-service, possono scegliere un altro metodo di autenticazione. Per altre informazioni, vedere Creare una strategia di gestione resiliente del controllo di accesso in Microsoft Entra ID.
Modalità di funzionamento di ogni metodo di autenticazione
Alcuni metodi di autenticazione possono essere usati come fattore principale quando si accede a un'applicazione o a un dispositivo, ad esempio usando una chiave di sicurezza FIDO2 o una password. Altri metodi di autenticazione sono disponibili solo come fattore secondario quando si usa l'autenticazione a più fattori di Microsoft Entra o la reimpostazione della password self-service.
La tabella seguente illustra quando è possibile usare un metodo di autenticazione durante un evento di accesso:
| Metodo | Autenticazione principale | Autenticazione secondaria |
|---|---|---|
| Windows Hello for Business | Sì | MFA1 |
| Push di Microsoft Authenticator | No | Autenticazione a più fattori e SSPR |
| Microsoft Authenticator senza password | Sì | Nessun2 |
| Passkey di Microsoft Authenticator | Sì | MFA |
| Authenticator Lite | No | MFA (autenticazione a più fattori) |
| Passkey (FIDO2) | Sì | MFA (Autenticazione a più fattori) |
| Autenticazione basata su certificati (CBA) | Sì | MFA |
| Token hardware OATH (anteprima) | No | Autenticazione a più fattori e SSPR |
| Token OATH software | No | Autenticazione a più fattori e SSPR |
| Metodi di autenticazione esterni (anteprima) | No | MFA (Autenticazione a più fattori) |
| Pass di accesso temporaneo | Sì | MFA |
| Testo | Sì | Autenticazione a più fattori e SSPR |
| Chiamata vocale | No | Autenticazione a più fattori e SSPR |
| QR code (anteprima) | Sì | No |
| Parola d'ordine | Sì | No |
1Windows Hello for Business può fungere da credenziale MFA dettagliata se viene usata nell'autenticazione FIDO2. Gli utenti devono essere registrati per la chiave di accesso (FIDO2).
2l'accesso senza password può essere usato per l'autenticazione secondaria solo se CBA viene usato per l'autenticazione primaria.
3I metodi telefonici alternativi possono essere usati solo per l'autenticazione a più fattori.
Tutti questi metodi di autenticazione possono essere configurati nell'interfaccia di amministrazione di Microsoft Entra e usano sempre più spesso l'API REST di Microsoft Graph.
Per altre informazioni sul funzionamento di ogni metodo di autenticazione, vedere gli articoli concettuali seguenti:
Windows Hello for Business (Configurare Windows Hello for Business)
Password
Nota
In Microsoft Entra ID, la password è spesso uno dei metodi di autenticazione principali. Non è possibile disabilitare il metodo di autenticazione con password. Se si usa una password come fattore di autenticazione principale, aumentare la sicurezza degli eventi di accesso tramite l'autenticazione a più fattori di Microsoft Entra ID.
Questi altri metodi di verifica possono essere usati in determinati scenari:
- Password dell'app: usate per le applicazioni precedenti che non supportano l'autenticazione moderna e possono essere configurate per l'autenticazione a più fattori Microsoft Entra per utente.
- Domande di sicurezza: usate solo per la reimpostazione della password self-service
- Indirizzo email - usato solo per la reimpostazione della password self-service
Metodi utilizzabili e non utilizzabili
Gli amministratori possono visualizzare i metodi di autenticazione utente nell'interfaccia di amministrazione di Microsoft Entra. I metodi utilizzabili sono elencati per primi, seguiti da metodi non utilizzabili.
Ogni metodo di autenticazione può diventare inutilizzabile per motivi diversi. Ad esempio, un pass di accesso temporaneo può scadere o la chiave di sicurezza FIDO2 potrebbe non riuscire nell'attestazione. Il portale viene aggiornato per fornire il motivo per cui il metodo non è utilizzabile.
Qui vengono visualizzati anche i metodi di autenticazione non più disponibili a causa della richiesta di ripetizione della registrazione dell'autenticazione a più fattori.
Contenuto correlato
Per iniziare, vedere la guida per la reimpostazione della password self-service e l'autenticazione a più fattori di Microsoft Entra.
Per saperne di più sui concetti di SSPR, vedere Come funziona la reimpostazione self-service della password di Microsoft Entra.
Per altre informazioni sui concetti relativi all'autenticazione a più fattori, vedere Funzionamento dell'autenticazione a più fattori di Microsoft Entra.
Altre informazioni sulla configurazione dei metodi di autenticazione tramite l'API REST di Microsoft Graph.
Per esaminare i metodi di autenticazione in uso, vedere Analisi del metodo di autenticazione a più fattori Di Microsoft Entra con PowerShell.