Gestire i metodi di autenticazione per Microsoft Entra ID
Microsoft Entra ID consente l'uso di una gamma di metodi di autenticazione per supportare un'ampia gamma di scenari di accesso. Gli amministratori possono configurare in modo specifico ogni metodo per soddisfare i propri obiettivi per l'esperienza utente e la sicurezza. Questo argomento illustra come gestire i metodi di autenticazione per Microsoft Entra ID e come le opzioni di configurazione influiscono sugli scenari di accesso utente e reimpostazione della password.
Politica dei metodi di autenticazione
La politica sui metodi di autenticazione è il modo consigliato per gestire i metodi di autenticazione, inclusi i metodi moderni come l'autenticazione senza password. Gli amministratori dei criteri di autenticazione possono modificare questo criterio per abilitare i metodi di autenticazione per tutti gli utenti o gruppi specifici.
I metodi abilitati nei criteri dei metodi di autenticazione possono in genere essere usati ovunque in Microsoft Entra ID, sia per gli scenari di autenticazione che di reimpostazione della password. L'eccezione è che alcuni metodi sono intrinsecamente limitati all'uso nell'autenticazione, ad esempio FIDO2 e Windows Hello for Business, e altri sono limitati all'uso nella reimpostazione della password, ad esempio domande di sicurezza. Per un maggiore controllo sui metodi utilizzabili in un determinato scenario di autenticazione, è consigliabile usare la funzionalità di complessità dell’autenticazione.
La maggior parte dei metodi dispone anche di parametri di configurazione per controllare in modo più preciso il modo in cui è possibile usare tale metodo. Ad esempio, se si abilitano le chiamate vocali, è anche possibile specificare se oltre a un telefono cellulare può essere utilizzato il telefono di un ufficio.
In alternativa, si supponga di voler abilitare l'autenticazione senza password con Microsoft Authenticator. È possibile impostare parametri aggiuntivi, ad esempio la visualizzazione del percorso di accesso dell'utente o il nome dell'app a cui è stato eseguito l'accesso. Queste opzioni offrono più contesto per gli utenti quando accedono e consentono di evitare approvazioni MFA accidentali.
Per gestire il criterio Metodi di autenticazione, accedere all’Interfaccia di amministrazione di Microsoft Entraalmeno come Amministratore del criterio di autenticazione e passare a Protezione>Metodi di autenticazione>Criteri.
Solo l'esperienza di registrazione convergente è consapevole dei criteri dei metodi di autenticazione. Gli utenti che rientrano nei criteri dei metodi di autenticazione, ma non nell'esperienza di registrazione convergente, non vedranno i metodi corretti per registrarsi.
Politiche legacy di MFA (autenticazione a più fattori) e SSPR (reimpostazione della password self-service)
Altri due criteri, disponibili nelle impostazioni di autenticazione a più fattori e nelle impostazioni di reimpostazione della password, offrono un modo legacy per gestire alcuni metodi di autenticazione per tutti gli utenti nel tenant. Non è possibile controllare chi usa un metodo di autenticazione abilitato o come usare il metodo.
Importante
Nel marzo 2023 è stata annunciata la deprecazione della gestione dei metodi di autenticazione nei criteri legacy di autenticazione a più fattori e reimpostazione della password self-service. A partire dal 30 settembre 2025, i metodi di autenticazione non possono essere gestiti nei criteri legacy di autenticazione a più fattori e reimpostazione autonoma della password. È consigliabile che i clienti usino il controllo della migrazione manuale per eseguire la migrazione ai criteri dei metodi di autenticazione entro la data di deprecazione.
Per gestire i criteri legacy di MFA, passare a Protezione>Metodi di autenticazione>Criteri>Autenticazione a più fattori>Impostazioni di autenticazione a più fattori aggiuntive basate sul cloud.
Per gestire i metodi di autenticazione per la reimpostazione della password self-service, passare a Protezione>Reimpostazione della password>Metodi di autenticazione. L'opzione Telefono cellulare in questo criterio consente di inviare chiamate vocali o SMS a un telefono cellulare. L'opzione Telefono di Office consente solo chiamate vocali.
Come interagiscono i criteri
Le impostazioni non vengono sincronizzate tra i criteri, consentendo agli amministratori di gestire ogni criterio in modo indipendente. Microsoft Entra ID rispetta le impostazioni in tutti i criteri in modo che un utente abilitato per un metodo di autenticazione in qualsiasi criterio possa registrare e usare tale metodo. Per impedire agli utenti di usare un metodo, è necessario disabilitarlo in tutti i criteri.
Verrà ora illustrato un esempio in cui un utente appartenente al gruppo Accounting vuole registrare Microsoft Authenticator. Il processo di registrazione controlla innanzitutto i criteri dei metodi di autenticazione. Se il gruppo Accounting è abilitato per Microsoft Authenticator, l'utente può registrarlo.
In caso contrario, il processo di registrazione controlla la policy MFA legacy. In questo criterio, qualsiasi utente può registrare Microsoft Authenticator se una di queste impostazioni è abilitata per MFA:
- Notifica tramite app per dispositivi mobili
- Codice di verifica dall'app per dispositivi mobili o dal token hardware
Se l'utente non riesce a registrare Microsoft Authenticator in base a uno di quei criteri, il processo di registrazione controlla il criterio Self-Service Password Reset legacy. Anche in questo criterio, un utente può registrare Microsoft Authenticator se è abilitato per SSPR e una di queste impostazioni è abilitata:
- Notifica dell'app per dispositivi mobili
- Codice app per dispositivi mobili
Per gli utenti abilitati per il telefono cellulare per la reimpostazione automatica della password, il controllo indipendente dei criteri può influire sul comportamento di accesso. Mentre gli altri criteri hanno opzioni separate per SMS e chiamate vocali, il telefono cellulare per la reimpostazione della password self-service (SSPR) consente entrambe le opzioni. Di conseguenza, chiunque utilizzi un telefono cellulare per reimpostare la password autonomamente può anche usare chiamate vocali per la reimpostazione della password, anche se le altre politiche non consentono chiamate vocali.
Analogamente, si supponga di abilitare le chiamate vocali per un gruppo. Dopo averla abilitata, si scopre che anche gli utenti che non sono membri del gruppo possono accedere con una chiamata vocale. In questo caso, è probabile che gli utenti siano abilitati per il telefono cellulare nei criteri di reimpostazione della password self-service legacy o Chiama al telefono nei criteri legacy di autenticazione a più fattori.
Migrazione tra i criteri
La politica sui Metodi di autenticazione fornisce una guida alla migrazione per unificare l'amministrazione di tutti i metodi di autenticazione. Tutti i metodi desiderati possono essere abilitati nei criteri Metodi di autenticazione se i criteri sono destinati a gruppi di utenti o a tutti gli utenti. La guida alla migrazione dei metodi di autenticazione automatizza i passaggi per verificare le impostazioni correnti delle politiche per MFA e reimpostazione della password self-service, consolidandole nella politica dei metodi di autenticazione. È possibile accedere alla guida dall'interfaccia di amministrazione di Microsoft Entra passando a Protezione>Metodi di autenticazione>Criteri.
È anche possibile eseguire manualmente la migrazione delle impostazioni dei criteri. La migrazione include tre impostazioni che consentono di procedere al proprio ritmo ed evitare problemi con l'accesso al sistema o la reimpostazione della password self-service durante la transizione di sistema.
Al termine della migrazione, i metodi delle policy legacy di MFA e SSPR possono essere disabilitati. È possibile centralizzare il controllo sui metodi di autenticazione per l'accesso e la reimpostazione della password self-service in un'unica posizione e i criteri legacy di autenticazione a più fattori e reimpostazione della password self-service verranno disabilitati.
Nota
Le domande di sicurezza possono essere abilitate solo oggi utilizzando i criteri di reimpostazione della password self-service legacy. Se si utilizzano domande di sicurezza e non si desidera disabilitarle, assicurarsi di mantenerle abilitate nei criteri legacy di reimpostazione della password self-service fino a quando non sarà disponibile un controllo di migrazione. È possibile eseguire la migrazione dei rimanenti metodi di autenticazione e gestire comunque le domande di sicurezza nei criteri legacy di reimpostazione della password self-service.
Per visualizzare le opzioni di migrazione, aprire i criteri Metodi di autenticazione e fare clic su Gestisci migrazione.
Nella tabella seguente viene descritta ciascuna opzione.
| Opzione | Descrizione |
|---|---|
| Pre-migrazione | I criteri dei metodi di autenticazione vengono usati solo per l'autenticazione. Le impostazioni dei criteri legacy vengono rispettate. |
| Migrazione in corso | Il criterio dei metodi di autenticazione è usato per l'autenticazione e la reimpostazione self-service delle password. Le impostazioni dei criteri legacy vengono rispettate. |
| Migrazione completata | Solo la policy dei metodi di autenticazione viene usata per l'autenticazione e SSPR. Le impostazioni dei criteri legacy vengono ignorate. |
I locatari sono impostati su Pre-migrazione o Migrazione in corso per impostazione predefinita, a seconda dello stato attuale del locatario. Se si inizia in Pre-migrazione, è possibile passare a uno qualsiasi degli stati in qualsiasi momento. Se è stata avviata la migrazione in corso, è possibile spostarsi tra migrazione in corso e Microsoft Complete in qualsiasi momento, ma non sarà consentito passare alla fase di pre-migrazione. Se si passa a Migrazione Completata e quindi si sceglie di eseguire il rollback a uno stato precedente, vi chiederemo il motivo per poter valutare le prestazioni del prodotto.
Nota
Una volta completata la migrazione di tutti i metodi di autenticazione, gli elementi seguenti dei criteri SSPR legacy rimangono attivi:
- Il controllo Numero di metodi necessari per il ripristino della password: gli amministratori possono continuare a modificare il numero di metodi di autenticazione da verificare prima che un utente possa eseguire la reimpostazione della password in modalità self-service.
- Le politiche degli amministratori della reimpostazione della password self-service (SSPR): gli amministratori possono continuare a registrare e utilizzare qualsiasi metodo elencato sotto la politica legacy degli amministratori SSPR o i metodi per cui sono abilitati nella politica dei metodi di autenticazione.
In futuro, entrambe queste funzionalità verranno integrate con i criteri metodi di autenticazione.
Problemi noti e limitazioni
Negli aggiornamenti recenti è stata rimossa la possibilità di avere singoli utenti di destinazione. Gli utenti precedentemente target rimarranno nella politica, ma è consigliabile spostarli in un gruppo target.
La registrazione di un metodo di autenticazione può non riuscire se molti gruppi sono inclusi nei criteri per i metodi di autenticazione o in una campagna di registrazione. È consigliabile consolidare più gruppi in un singolo gruppo per ogni metodo di autenticazione. Per mantenere la registrazione per gli utenti durante il consolidamento, aggiungere il nuovo gruppo e rimuovere i gruppi correnti nella stessa operazione.
Nota
È possibile che non sia possibile salvare gli aggiornamenti dei criteri dei metodi di autenticazione se è destinato a molti gruppi e le dimensioni dei criteri superano 20 KB. Mentre si lavora per aumentare il limite di dimensioni delle politiche, consolidare i gruppi target il più possibile.
Passaggi successivi
- Come eseguire la migrazione delle impostazioni dei criteri di autenticazione multifattoriale e di reimpostazione della password self-service ai criteri dei metodi di autenticazione
- Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?
- Funzionamento dell'autenticazione a più fattori di Microsoft Entra
- API REST Microsoft Graph