Autenticazione a più fattori preferita dal sistema - Criteri dei metodi di autenticazione
L'autenticazione a più fattori (MFA) preferita dal sistema richiede agli utenti di accedere usando il metodo più sicuro registrato. È un importante miglioramento della sicurezza per gli utenti che eseguono l'autenticazione tramite trasporti di telecomunicazioni. Gli amministratori possono abilitare l'autenticazione a più fattori preferita dal sistema per migliorare la sicurezza degli accessi e scoraggiare metodi di accesso meno sicuri come gli Short Message Service (SMS).
Ad esempio, se un utente ha registrato sia le notifiche push SMS che Microsoft Authenticator come metodi per MFA, l'autenticazione a più fattori preferita dal sistema richiede all'utente l'accesso usando il metodo di notifica push più sicuro. L'utente può comunque scegliere di accedere usando un altro metodo, ma prima gli/le viene richiesto di provare il metodo più sicuro registrato.
L'autenticazione a più fattori preferita dal sistema è un'impostazione gestita da Microsoft, ovvero un criterio di valutazione a tre stati. Il valore Gestito da Microsoft di MFA preferito dal sistema è Abilitato. Se non si vuole abilitare l'autenticazione a più fattori preferita dal sistema, modificare lo stato da Gestito da Microsoft a Disabilitato o escludere utenti e gruppi dai criteri.
Dopo l'abilitazione dell'autenticazione a più fattori MFA preferita dal sistema, il sistema di autenticazione esegue tutte le operazioni. Gli utenti non devono impostare alcun metodo di autenticazione come predefinito poiché il sistema determina e presenta sempre il metodo più sicuro registrato.
Abilitare l'autenticazione a più fattori preferita dal sistema nell'interfaccia di amministrazione di Microsoft Entra
Per impostazione predefinita, l'autenticazione a più fattori preferita dal sistema è gestita da Microsoft e disabilitata per tutti gli utenti.
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
Passare a Protezione>Metodi di autenticazione>Impostazioni.
Per l'autenticazione a più fattori preferita dal sistema, scegliere se abilitare o disabilitare in modo esplicito la funzionalità e includere o escludere degli utenti. I gruppi esclusi hanno la precedenza sui gruppi inclusi.
Ad esempio, lo screenshot seguente mostra come abilitare in modo esplicito MFA preferito dal sistema solo per il gruppo Engineering.
Dopo aver apportato le modifiche, fare clic su Salva.
Abilitare l'autenticazione a più fattori preferita dal sistema usando le API Graph
Per abilitare in anticipo l'autenticazione a più fattori preferita dal sistema, è necessario scegliere un singolo gruppo di destinazione per la configurazione dello schema, come illustrato nell'esempio Richiesta.
Proprietà di configurazione delle funzionalità del metodo di autenticazione
Per impostazione predefinita, l'autenticazione a più fattori preferita dal sistema è Gestito da Microsoft e abilitato.
| Proprietà | Type | Descrizione |
|---|---|---|
| excludeTarget | featureTarget | Singola entità esclusa da questa funzionalità. È possibile escludere un solo gruppo da MFA preferita dal sistema; questo essere un gruppo dinamico o annidato. |
| includeTarget | featureTarget | Singola entità inclusa in questa funzionalità. È possibile includere un solo gruppo in MFA preferita dal sistema; questo essere un gruppo dinamico o annidato. |
| Provincia | advancedConfigState | I valori possibili sono: abilitato in modo esplicito abilita la funzionalità per il gruppo selezionato. disabilitato disabilita in modo esplicito la funzionalità per il gruppo selezionato. predefinito consente a Microsoft Entra ID di gestire se la funzionalità è abilitata o meno per il gruppo selezionato. |
Proprietà destinazione della funzionalità
L'autenticazione a più fattori preferita dal sistema può essere abilitata solo per un singolo gruppo; questo può essere un gruppo dinamico o annidato.
| Proprietà | Type | Descrizione |
|---|---|---|
| ID | String | ID dell'entità interessata. |
| targetType | featureTargetType | Tipo di entità interessata, ad esempio gruppo, ruolo o unità amministrativa. I valori possibili sono: 'group', 'administrativeUnit', 'role', 'unknownFutureValue'. |
Usare l'endpoint API seguente per abilitare systemCredentialPreferences e includere o escludere gruppi:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Nota
In Graph Explorer è necessario fornire il consenso all'autorizzazione Policy.ReadWrite.AuthenticationMethod.
Richiedi
L'esempio seguente esclude un gruppo di destinazione di esempio e include tutti gli utenti. Per altre informazioni, vedere Aggiornare authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "d1411007-6fcf-4b4c-8d70-1da1857ed33c",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Domande frequenti
In che modo l'autenticazione a più fattori preferita dal sistema determina il metodo più sicuro?
Quando un utente esegue l'accesso, il processo di autenticazione controlla quali metodi di autenticazione sono registrati per l'utente. All'utente viene richiesto di eseguire l'accesso con il metodo più sicuro in base all'ordine seguente. L'ordine dei metodi di autenticazione è dinamico. Viene aggiornato man mano che cambia il panorama di sicurezza e man mano che emergono metodi di autenticazione migliori. A causa di problemi noti con l'autenticazione basata su certificati (CBA) e la MFA preferita dal sistema, CBA è stata spostata nella parte inferiore dell'elenco. Fare clic sul collegamento per maggiori informazioni su ogni metodo.
- Pass di accesso temporaneo
- Passkey (FIDO2)
- Notifiche di Microsoft Authenticator
- Passcode monouso basata sul tempo (TOTP)1
- Telefonia2
- Autenticazione basata su certificati
1Include TOTP hardware o software da Microsoft Authenticator, Authenticator Lite o applicazioni di terze parti.
2Include SMS e chiamate vocali.
In che modo l'autenticazione a più fattori preferita dal sistema influisce sull'estensione NPS?
L'autenticazione a più fattori preferita dal sistema non influisce sugli utenti che accedono usando l'estensione Server dei criteri di rete ( NPS). Questi utenti non visualizzano alcuna modifica all'esperienza di accesso.
Cosa accade agli utenti che non sono specificati nei criteri dei metodi di autenticazione ma abilitati nei criteri legacy a livello di tenant MFA?
L'autenticazione a più fattori preferita dal sistema si applica anche agli utenti abilitati per l'autenticazione a più fattori nei criteri di autenticazione a più fattori legacy.
