Condividi tramite


Panoramica della registrazione delle informazioni di sicurezza combinata per Microsoft Entra.

Prima della registrazione combinata, gli utenti dovevano registrare i metodi di autenticazione per l'autenticazione a più fattori Microsoft Entra e la reimpostazione della password self-service (SSPR) separatamente. Ciò creava confusione negli utenti in quanto si trovavano a dover eseguire la registrazione sia per l’autenticazione a più fattori di Azure sia per la reimpostazione della password self-service, con metodi molto simili. Ora, con la registrazione combinata, gli utenti possono registrarsi una sola volta e sfruttare i vantaggi dell’autenticazione a più fattori e della reimpostazione della password self-service. È consigliabile guardare questo video su come abilitare e configurare la reimpostazione della password self-service in Microsoft Entra ID.

Account personale che mostra le informazioni di sicurezza registrate per un utente

Prima di abilitare la nuova esperienza, esaminare la documentazione incentrata sull'amministratore e la documentazione incentrata sull'utente per assicurarsi di comprendere le funzionalità e l'effetto di questa funzionalità. È possibile basare la formazione sulla documentazione per l'utente per preparare gli utenti per la nuova esperienza e garantire una corretta implementazione.

Le pagine account personale vengono localizzate in base alle impostazioni della lingua del computer che accede alla pagina. Microsoft archivia la lingua più recente usata nella cache del browser, quindi i successivi tentativi di accesso alle pagine continuano a essere visualizzati nell'ultima lingua usata. Se si cancella la cache, il rendering delle pagine viene eseguito di nuovo.

Se si desidera forzare una lingua specifica, è possibile aggiungere ?lng=<language> alla fine dell'URL, dove <language> è il codice del linguaggio di cui si vuole eseguire il rendering.

Configurare la reimpostazione della password self-service o altri metodi di verifica della sicurezza

Metodi disponibili nella registrazione combinata

La registrazione combinata supporta i metodi e le azioni di autenticazione nella tabella seguente.

metodo Registrazione Modifica Elimina
Microsoft Authenticator Sì (massimo 5) No
Altra app di autenticazione Sì (massimo 5) No
Token hardware No No
Telefono Sì (massimo 2)
Telefono alternativo
Telefono ufficio*
Messaggio e-mail
Domande di sicurezza No
Password No No
Password dell'app* No
Passkey (FIDO2)* Sì (massimo 10) No

Nota

Se si abilita Microsoft Authenticator per la modalità di autenticazione senza password nei criteri Metodi di autenticazione, gli utenti devono anche abilitare l'accesso senza password nell'app Authenticator.

Il telefono alternativo può essere registrato solo in modalità gestita in Informazioni di sicurezza e richiede l'abilitazione delle chiamate vocali nei criteri Metodi di autenticazione.

Il telefono dell'ufficio può essere registrato in modalità interrupt solo se la proprietà Telefono aziendale degli utenti è stata impostata. Il telefono dell’ufficio può essere aggiunto dagli utenti in modalità gestita da Informazioni di sicurezza senza questo requisito.

Le password dell'app sono disponibili solo per gli utenti a cui è stato applicato l’MFA per utente. Le password dell'app non sono disponibili per gli utenti abilitati per l'autenticazione a più fattori di Microsoft Entra tramite criteri di accesso condizionale.

È inoltre possibile effettuare il provisioning di passkeys (FIDO2) usando un client personalizzato o un'integrazione partner con Microsoft Graph. Per altre informazioni, vedere la sezione API.

Gli utenti possono impostare una delle opzioni seguenti come metodo di autenticazione a più fattori predefinito.

  • Microsoft Authenticator: notifica push o senza password
  • App Authenticator o token hardware - Codice
  • Telefonata
  • Messaggio di testo

Nota

I numeri di telefono virtuali non sono supportati per le chiamate vocali o i messaggi SMS.

Le app di autenticazione di terze parti non forniscono notifiche push. Man mano che continuiamo ad aggiungere metodi di autenticazione a Microsoft Entra ID, questi metodi diventano disponibili nella registrazione combinata.

Modalità di registrazione combinata

Esistono due modalità di registrazione combinata:

  • La modalità interrupt è un'esperienza simile alla procedura guidata, presentata agli utenti quando registrano o aggiornano le informazioni di sicurezza all'accesso.
  • La modalità di gestione fa parte del profilo utente e consente agli utenti di gestire le informazioni di sicurezza.

Per entrambe le modalità, gli utenti che in precedenza hanno registrato un metodo che può essere usato per l'autenticazione a più fattori di Microsoft Entra devono eseguire l'autenticazione a più fattori prima di poter accedere alle informazioni di sicurezza. Gli utenti devono confermare le informazioni prima di continuare a usare i metodi registrati in precedenza.

Modalità interrupt

La registrazione combinata è conforme sia all'autenticazione a più fattori che ai criteri di reimpostazione della password self-service, se entrambi sono abilitati per il tenant. Questi criteri controllano se un utente viene interrotto per la registrazione durante l'accesso e quali metodi sono disponibili per la registrazione. Se è abilitato solo un criterio di reimpostazione della password self-service, gli utenti potranno ignorare (a tempo indeterminato) l'interruzione della registrazione e completarla in un secondo momento.

Di seguito sono riportati alcuni scenari di esempio in cui agli utenti potrebbe essere richiesto di registrare o aggiornare le informazioni di sicurezza:

  • registrazione dell'autenticazione a più fattori applicata tramite Microsoft Entra ID Protection: agli utenti viene chiesto di registrarsi durante l'accesso. Registrano metodi di autenticazione a più fattori e SSPR (se l'utente è abilitato per la reimpostazione della password self-service).
  • registrazione dell'autenticazione a più fattori applicata tramite l'autenticazione a più fattori per utente: agli utenti viene chiesto di registrarsi durante l'accesso. Registrano metodi di autenticazione a più fattori e SSPR (se l'utente è abilitato per la reimpostazione della password self-service).
  • registrazione dell'autenticazione a più fattori applicata tramite l'accesso condizionale o altri criteri: agli utenti viene chiesto di registrarsi quando usano una risorsa che richiede l'autenticazione a più fattori. Registrano metodi di autenticazione a più fattori e SSPR (se l'utente è abilitato per la reimpostazione della password self-service).
  • Registrazione della reimpostazione della password self-service applicata: agli utenti viene chiesto di registrarsi durante l'accesso. Registrano solo i metodi di reimpostazione della password self-service.
  • Aggiornamento della reimpostazione della password self-service applicato: gli utenti devono esaminare le informazioni di sicurezza a intervalli impostati dall'amministratore. Gli utenti visualizzano le informazioni e possono confermare le informazioni correnti o apportare modifiche, se necessario.

Quando viene applicata la registrazione, gli utenti visualizzano il numero minimo di metodi necessari per essere conformi sia all'autenticazione a più fattori che ai criteri di reimpostazione della password self-service, dal più sicuro parte al meno sicuro. Gli utenti che eseguono la registrazione combinata dove vengono applicate sia la registrazione MFA che la reimpostazione della password self-service e i criteri SSPR richiedono due metodi per registrare un metodo MFA come primo metodo e possono selezionare un altro metodo specifico MFA o SSPR come secondo metodo registrato (ad esempio posta elettronica, domande di sicurezza e così via)

Si consideri il seguente scenario di esempio:

  • Un utente è abilitato per la reimpostazione della password self-service. Il criterio SSPR richiede due metodi per la reimpostazione e ha abilitato l'app Microsoft Authenticator, la posta elettronica e il telefono.
  • Quando l'utente sceglie di eseguire la registrazione, sono necessari due metodi:
    • L'utente visualizza l'app Microsoft Authenticator e il telefono per impostazione predefinita.
    • L'utente può scegliere di registrare l’e-mail anziché l'app Authenticator o il telefono.

Quando configura Microsoft Authenticator, l'utente può fare clic su Desidero configurare un metodo diverso per registrare altri metodi di autenticazione. L'elenco dei metodi disponibili è determinato dai criteri dei metodi di autenticazione per il tenant. 

Screenshot di come scegliere un altro metodo quando si configura Microsoft Authenticator.

Il diagramma di flusso seguente descrive i metodi mostrati a un utente quando viene interrotta la registrazione durante l'accesso:

Diagramma di flusso delle informazioni di sicurezza combinate

Se è abilitata sia l'autenticazione a più fattori che la reimpostazione della password self-service, è consigliabile applicare la registrazione dell'autenticazione a più fattori.

Se i criteri di reimpostazione della password self-service richiedono agli utenti di esaminare le informazioni di sicurezza a intervalli regolari, gli utenti vengono interrotti durante l'accesso e vengono visualizzati tutti i metodi registrati. Possono confermare le informazioni correnti, se sono aggiornate, o possono apportare modifiche, se necessario. Gli utenti devono eseguire l'autenticazione a più fattori per accedere a questa pagina.

Modalità di gestione

Gli utenti possono accedere a Informazioni di sicurezza oppure selezionare Informazioni di sicurezza da Account personale. Da qui, gli utenti possono aggiungere metodi, eliminare o modificare i metodi esistenti, modificare il metodo predefinito e altro ancora.

Controlli sessione per la registrazione combinata

Per impostazione predefinita, la registrazione combinata impone a tutti gli utenti con autenticazione a più fattori di eseguire l’autenticazione forte prima della registrazione o della gestione delle informazioni di sicurezza. Se un utente ha eseguito l'accesso e ha completato in precedenza l'autenticazione a più fattori come parte di una sessione valida, per impostazione predefinita non sarà richiesta alcuna autenticazione a più fattori aggiuntiva, a meno che un utente non tenti di aggiungere o modificare un metodo passkey (FIDO2). L'aggiunta o la modifica di un metodo passkey (FIDO2) richiede che gli utenti abbiano eseguito l'autenticazione forte negli ultimi 5 minuti. Se l'autenticazione a più fattori non è stata completata negli ultimi 5 minuti, all'utente verrà chiesto di accedere e completare l'autenticazione a più fattori aggiornata. Le organizzazioni possono modificare i requisiti di autenticazione definendo i criteri di accesso condizionale per proteggere la registrazione delle informazioni di sicurezza.

Le sessioni di registrazione combinate sono valide solo per 15 minuti. Se una registrazione o un'azione di gestione degli utenti richiede più tempo, la sessione scadrà e all'utente verrà chiesto di eseguire nuovamente l'accesso per continuare.

Principali scenari di utilizzo

Modificare una password in MySignIns

Un utente passa a Informazioni di sicurezza. Dopo l'accesso, l'utente può modificare la password. Se l'utente esegue l'autenticazione con una password e un metodo di autenticazione a più fattori, potrà usare l'esperienza utente avanzata per modificare la password senza immettere quella esistente. Al termine, l'utente avrà aggiornato la nuova password nella pagina Informazioni di sicurezza. I metodi di autenticazione, ad esempio il pass di accesso temporaneo (TAP) non sono supportati per la modifica della password, a meno che l'utente non conosca la password esistente.

Nota

Se sono presenti collegamenti che puntano all'esperienza legacy di modifica della password, aggiornarli al collegamento di inoltro seguente per indirizzare gli utenti alla nuova esperienza Modifica password dei miei accessi: https://go.microsoft.com/fwlink/?linkid=2224198.

Proteggere la registrazione delle informazioni di sicurezza con l'accesso condizionale

Per proteggere i tempi e il modo in cui gli utenti si registrano per l'autenticazione a più fattori Microsoft Entra e la reimpostazione della password self-service, puoi usare le azioni dell’utente nei criteri di accesso condizionale. Questa funzionalità può essere abilitata nelle organizzazioni che vogliono che gli utenti si registrino per l’autenticazione a più fattori Microsoft Entra e per la reimpostazione della password self-service (SSPR) da una posizione centrale, ad esempio un percorso di rete attendibile durante l'onboarding delle risorse umane. Altre informazioni su come configurare i criteri di accesso condizionale comuni per proteggere la registrazione delle informazioni di sicurezza.

Configurare le informazioni di sicurezza durante l'accesso

Un amministratore ha applicato la registrazione.

Un utente non ha configurato tutte le informazioni di sicurezza necessarie e passa all'interfaccia di amministrazione di Microsoft Entra. Dopo che l'utente immette il nome utente e la password, all'utente viene richiesto di configurare le informazioni di sicurezza. L'utente segue quindi i passaggi illustrati nella procedura guidata per configurare le informazioni di sicurezza necessarie. Se le impostazioni lo consentono, l'utente può scegliere di configurare metodi diversi da quelli visualizzati per impostazione predefinita. Dopo aver completato la procedura guidata, gli utenti esaminano i metodi configurati e il relativo metodo predefinito per l'autenticazione a più fattori. Per completare il processo di installazione, l'utente conferma le informazioni e continua con l'interfaccia di amministrazione di Microsoft Entra.

Configurare le informazioni di sicurezza dall'account personale

Un amministratore non ha applicato la registrazione.

Un utente che non ha ancora configurato tutte le informazioni di sicurezza necessarie passa a https://myaccount.microsoft.com. L'utente seleziona Informazioni di sicurezza nel riquadro sinistro. Da qui, l'utente sceglie di aggiungere un metodo, seleziona uno dei metodi disponibili e segue i passaggi per configurare tale metodo. Al termine, l'utente visualizza il metodo configurato nella pagina Informazioni di sicurezza.

Configurare altri metodi dopo la registrazione parziale

Se un utente ha parzialmente soddisfatto la registrazione MFA o SSPR a causa delle registrazioni del metodo di autenticazione esistenti eseguite dall'utente o dall'amministratore, agli utenti verrà chiesto solo di registrare informazioni aggiuntive consentite dalle impostazioni dei criteri dei metodi di autenticazione quando è richiesta la registrazione. Se più di un altro metodo di autenticazione è disponibile da scegliere e registrare da parte dell’utente, verrà visualizzata un'opzione sull'esperienza di registrazione denominata Voglio configurare un altro metodo. Selezionandola, l'utente potrà configurare il metodo di autenticazione desiderato.

Screenshot di come configurare un altro metodo.

Eliminare le informazioni di sicurezza dall'account personale

Un utente che ha configurato in precedenza almeno un metodo passa a Informazioni di sicurezza. L'utente sceglie di eliminare uno dei metodi registrati in precedenza. Al termine, l'utente non visualizza più il metodo nella pagina Informazioni di sicurezza.

Modificare il metodo predefinito da Account personale

Un utente che ha configurato in precedenza almeno un metodo che può essere usato per l'autenticazione a più fattori passa a Informazioni di sicurezza. L'utente modifica il metodo attuale predefinito in uno diverso. Al termine, l'utente visualizza il nuovo metodo predefinito nella pagina Informazioni di sicurezza.

Cambia directory

Un'identità esterna, ad esempio un utente B2B, potrebbe dover cambiare la directory per modificare le informazioni di registrazione di sicurezza per un tenant di terze parti. Inoltre, gli utenti che accedono a un tenant di risorse possono essere confusi quando modificano le impostazioni nel tenant principale, ma non vedono le modifiche riflesse nel tenant della risorsa.

Ad esempio, un utente imposta la notifica push dell'app Microsoft Authenticator come autenticazione primaria per accedere al tenant home e ha anche SMS/messaggi come opzione alternativa. Questo utente ha configurato anche l'opzione SMS/messaggi in un tenant di risorse. Se questo utente rimuove SMS/messaggi come una delle opzioni di autenticazione nel tenant principale, sarà confuso quando l'accesso al tenant della risorsa chiede di rispondere a un SMS/messaggio di testo.

Per cambiare la directory nell'interfaccia di amministrazione di Microsoft Entra, fare clic sul nome dell'account utente nell'angolo in alto a destra e fare clic su Cambia directory.

Gli utenti esterni possono cambiare directory.

In alternativa, è possibile specificare un tenant in base all'URL per accedere alle informazioni di sicurezza.

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

Nota

I clienti che tentano di registrare o gestire le informazioni di sicurezza tramite la registrazione combinata o la pagina Accessi personali devono usare un browser moderno, ad esempio Microsoft Edge.

Internet Explorer 11 non è ufficialmente supportato per la creazione di una webview o di un browser nelle applicazioni perché non funzionerà come previsto in tutti gli scenari.

Le applicazioni che non sono state aggiornate e che usano ancora Azure AD Authentication Library (ADAL) che si basano su webview legacy possono eseguire il fallback alle versioni precedenti di Internet Explorer. In questi scenari, gli utenti visualizzeranno una pagina vuota quando reindirizzati alla pagina Accessi personali. Per risolvere questo problema, passare a un browser moderno.

Passaggi successivi

Per iniziare, vedere le esercitazioni per abilitare la reimpostazione della password self-service e abilitare l'autenticazione a più fattori di Microsoft Entra.

Informazioni su come abilitare la registrazione combinata nel tenant o forzare gli utenti a registrare nuovamente i metodi di autenticazione.

È anche possibile esaminare i metodi disponibili per l'autenticazione a più fattori Microsoft Entra e la reimpostazione della password self-service.