Abilitare l'accesso senza password con Authenticator

Authenticator viene usato per accedere a qualsiasi account Microsoft Entra senza usare una password. Authenticator usa l'autenticazione basata su chiave per abilitare le credenziali utente associate a un dispositivo, in cui il dispositivo usa un PIN o una biometria. Windows Hello for Business usa una tecnologia simile.

La tecnologia di autenticazione può essere usata in qualsiasi piattaforma del dispositivo, tra cui dispositivi mobili. L'autenticatore può essere eseguito in iOS o Android.

L'accesso tramite telefono da Authenticator mostra un messaggio che chiede all'utente di toccare un numero nell'app. Non richiede un nome utente o una password. Per completare il processo di accesso nell'app, seguire questa procedura:

1. Nella finestra di dialogo Authenticator immettere il numero visualizzato nella schermata di accesso.
2. Selezionare Approva.
3. Specificare il PIN o la biometria.

Più account

È possibile abilitare l'accesso tramite telefono senza password per più account in Authenticator in qualsiasi dispositivo Android o iOS supportato. Consulenti, studenti e altri utenti con più account in Microsoft Entra ID possono aggiungere ogni account a Authenticator e usare l'accesso tramite telefono senza password per tutti dallo stesso dispositivo.

Gli account Microsoft Entra possono trovarsi nello stesso tenant o in tenant diversi. Gli account guest non sono supportati per gli accessi di più account da un dispositivo.

Prerequisiti

Per usare l'accesso tramite telefono senza password con Authenticator, è necessario soddisfare i prerequisiti seguenti:

• Consigliato: Microsoft Entra multifactor authentication (MFA), con notifiche push consentite come metodo di verifica. Le notifiche push a uno smartphone o tablet dell'utente consentono all'app Authenticator di impedire l'accesso non autorizzato agli account e arrestare le transazioni fraudolente. Quando configurata per inviare notifiche pus, l'app Authenticator genera automaticamente codici. Un utente dispone di un metodo di accesso alternativo nel caso in cui il dispositivo non dovesse avere connettività.

• Il dispositivo deve essere registrato in ogni tenant in cui viene usato per accedere. Ad esempio, il dispositivo seguente deve essere registrato con Contoso e Wingtip Toys per consentire a tutti gli account di accedere:

  • balas@contoso.com
  • balas@wingtiptoys.com e bsandhu@wingtiptoys

Per usare l'autenticazione senza password in Microsoft Entra ID, abilitare prima l'esperienza di registrazione combinata e quindi abilitare gli utenti per il metodo senza password.

Abilitare i metodi di autenticazione per l’accesso tramite telefono senza password

Microsoft Entra ID consente agli Amministratori dei criteri di autenticazione di scegliere quali metodi di autenticazione passono essere usati per l’accesso. È possibile abilitare Microsoft Authenticator nei criteri metodi di autenticazione per gestire sia il metodo MFA push tradizionale che il metodo di autenticazione senza password.

Dopo aver abilitato Microsoft Authenticator come metodo di autenticazione, gli utenti possono accedere a informazioni di sicurezza per registrare Authenticator come metodo di accesso. Microsoft Authenticator è elencato come metodo in Informazioni di sicurezza. Ad esempio, Microsoft Authenticator senza password o Push di Microsoft Authenticator-MFA viene visualizzato, a seconda di ciò che è abilitato e registrato.

Per abilitare il metodo di autenticazione per l'accesso tramite telefono senza password, seguire questa procedura:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
2. Passare a Protezione>Metodi di autenticazione>Criteri.

Per impostazione predefinita, ogni gruppo è abilitato a usare qualsiasi modalità . modalità Qualsiasi consente ai membri del gruppo di accedere con una notifica push o un accesso tramite telefono senza password.

Nota

Se viene visualizzato un errore quando si tenta di salvare, potrebbe essere dovuto al numero di utenti o gruppi aggiunti. Come soluzione alternativa, sostituire gli utenti e i gruppi da aggiungere con un singolo gruppo nella stessa operazione. Selezionare quindi di nuovo Salva.

Registrazione utente

Gli utenti eseguono la registrazione per il metodo di autenticazione senza password di Microsoft Entra ID. Gli utenti che hanno già registrato l'app Authenticator per l'autenticazione multifattoriale (MFA) possono passare alla sezione successiva e abilitare l'accesso tramite telefono .

Registrazione diretta dell'accesso tramite telefono

Gli utenti possono registrarsi per l'accesso tramite telefono senza password direttamente all'interno dell'app Authenticator senza dover prima registrare Authenticator con il proprio account, senza mai accumulare una password. Ecco come fare:

1. Acquisisci un pass di accesso temporaneo dall'amministratore della tua organizzazione.
2. Scaricare e installare l'app Authenticator nel dispositivo mobile.
3. Apri Authenticator e seleziona Aggiungi account, quindi seleziona Account lavorativo o scolastico.
4. Selezionare Accedi.
5. Segui le istruzioni per accedere con il tuo account usando il Pass temporaneo di accesso fornito dall'amministratore o dall'organizzazione.
6. Dopo l'accesso, continuare a seguire i passaggi aggiuntivi per configurare l'accesso tramite telefono.

Registrazione guidata con my Sign-Ins

Nota

Gli utenti possono registrare Authenticator tramite registrazione combinata solo se la modalità di autenticazione Authenticator è impostata su Qualsiasi o Push.

Per registrare l'app Authenticator, seguire questa procedura:

1. Vai a Informazioni di sicurezza.
2. Accedi e quindi seleziona Aggiungi metodo>app Authenticator>Aggiungi per aggiungere l'Authenticator.
3. Seguire le istruzioni per installare e configurare l'app Authenticator nel dispositivo.
4. Selezionare Fine per completare la configurazione di Authenticator.

Abilitare l'accesso tramite telefono

Dopo la registrazione degli utenti per l'app Authenticator, è necessario abilitare l'accesso tramite telefono:

1. In Microsoft Authenticator, selezionare l'account registrato.
2. Selezionare Abilita accesso tramite telefono.
3. Seguire le istruzioni nell'app per completare la registrazione dell'account per l'accesso tramite telefono senza password.

Un'organizzazione può indirizzare i propri utenti ad eseguire l’accesso con i propri telefoni, senza usare una password. Per altre informazioni sulla configurazione di Authenticator e sull'abilitazione dell'accesso tramite telefono, vedere Accedere agli account usando l'app Authenticator.

Nota

Se un criterio impedisce all'utente di usare l'accesso tramite telefono, l'utente non può abilitarlo all'interno di Authenticator.

Accedere con credenziali senza password

Un utente può iniziare a usare l'accesso senza password dopo aver completato tutte le azioni seguenti:

• Un amministratore ha abilitato il tenant dell'utente.
• L'utente ha aggiunto Authenticator come metodo di accesso.

Per avviare il processo di accesso tramite telefono per la prima volta, seguire questa procedura:

1. Immettere il nome nel riquadro di accesso.
2. Selezionare Avanti.
3. Se necessario, selezionare Altri modi di accesso.
4. Selezionare Approvare una richiesta nell'app Authenticator.

Viene quindi visualizzato un numero. L'app richiede all'utente di eseguire l'autenticazione immettendo il numero appropriato anziché immettendo una password.

Dopo che l'utente usa l'accesso tramite telefono senza password, l'app continua a guidare l'utente tramite questo metodo. L'utente visualizza anche l'opzione per scegliere un altro metodo.

Pass di accesso temporaneo

Se l'amministratore tenant ha abilitato la reimpostazione della password self-service per consentire agli utenti di configurare l'accesso senza password con l'app Authenticator per la prima volta usando un pass di accesso temporaneo, seguire questa procedura:

1. Aprire un browser su un dispositivo mobile o un desktop e passare a Informazioni di sicurezza.
2. Registrare l'app Authenticator come metodo di accesso. Questa azione collega l'account all'app.
3. Tornare al dispositivo mobile e attivare l'accesso senza password tramite l'app Authenticator.

Gestione

È consigliabile usare il criterio dei Metodi di autenticazione come modo migliore per gestire Authenticator. gli amministratori dei criteri di autenticazione possono modificare questo criterio per abilitare o disabilitare Authenticator. Gli amministratori possono includere o escludere utenti e gruppi specifici dall'uso.

Gli amministratori possono anche configurare parametri per controllare meglio il modo in cui viene usato Authenticator. Ad esempio, possono aggiungere un percorso o il nome dell'app alla richiesta di accesso in modo che gli utenti abbiano un contesto maggiore prima di approvare.

Problemi noti

Esistono i problemi noti seguenti.

Non viene visualizzata l'opzione per l'accesso tramite telefono senza password

In uno scenario, un utente potrebbe avere una verifica dell'accesso tramite telefono senza password senza risposta in sospeso. Se l'utente tenta di eseguire di nuovo l'accesso, l'utente visualizza solo l'opzione per immettere una password.

Per risolvere questo scenario, seguire questi passaggi:

1. Apri Authenticator.
2. Rispondere a eventuali notifiche di richiesta.

Continuare quindi a usare l'accesso tramite telefono senza password.

AuthenticatorAppSignInPolicy non supportato

Il criterio legacy AuthenticatorAppSignInPolicy non è supportato con Authenticator. Per abilitare gli utenti alle notifiche push o all'accesso telefonico senza password con l'app Authenticator, usare il criterio Metodi di autenticazione.

Account federati

Dopo che un utente abilita le credenziali senza password, il processo di accesso di Microsoft Entra smette di usare login\_hint. Il processo non spinge più l'utente verso una posizione di accesso federato.

Questa logica impedisce in genere a un utente in un tenant ibrido di essere indirizzato ad Active Directory Federation Services per la verifica dell'accesso. L'opzione per selezionare Usare la tua password è ancora disponibile.

Utenti in locale

Gli amministratori possono abilitare gli utenti per l'autenticazione a più fattori tramite un provider di identità locale. Gli utenti possono comunque creare e usare una singola credenziale di accesso tramite telefono senza password.

Se un utente tenta di aggiornare più installazioni (5+) di Authenticator con le credenziali di accesso tramite telefono senza password, questa modifica potrebbe generare un errore.

Contenuto correlato

Per informazioni sull'autenticazione di Microsoft Entra e sui metodi senza password, vedere gli articoli seguenti:

• Informazioni sul funzionamento dell'autenticazione senza password
• Informazioni sulla registrazione di dispositivi
• Istruzioni sull'utilizzo dell'autenticazione a più fattori di Microsoft Entra