Configurare e abilitare gli utenti per l'autenticazione basata su SMS usando Microsoft Entra ID

Per semplificare e proteggere l'accesso ad applicazioni e servizi, Microsoft Entra ID offre più opzioni di autenticazione. L'autenticazione basata su SMS consente agli utenti di accedere senza fornire o addirittura conoscere il nome utente e la password. Dopo che il loro account è stato creato da un amministratore di identità, possono immettere il loro numero di telefono all'accesso. Ricevono un codice di autenticazione SMS che possono fornire per completare l'accesso. Questo metodo di autenticazione semplifica l'accesso alle applicazioni e ai servizi, soprattutto per i lavoratori in prima linea.

Questo articolo illustra come abilitare l'autenticazione basata su SMS per utenti o gruppi selezionati in Microsoft Entra ID. Per un elenco di app che supportano l'uso dell'accesso basato su SMS, vedere Supporto delle app per l'autenticazione basata su SMS.

Operazioni preliminari

Per completare le procedure descritte in questo articolo, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato al tuo abbonamento.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure al proprio account.
• Per abilitare l'autenticazione basata su SMS, è necessario almeno il ruolo Di amministratore dei criteri di autenticazione nel tenant di Microsoft Entra.
• Ogni utente abilitato nei criteri del metodo di autenticazione SMS deve essere concesso in licenza, anche se non lo usa. Ogni utente abilitato deve avere una delle licenze Microsoft Entra ID, EMS, Microsoft 365 seguenti:
  • Microsoft 365 F1 o F3
  • Microsoft Entra ID P1 o P2
  • Enterprise Mobility + Security (EMS) E3 o E5 o Microsoft 365 E3 o E5
  • Office 365 F3

Problemi noti

Ecco alcuni problemi noti:

• L'autenticazione basata su SMS non è attualmente compatibile con l'autenticazione a più fattori Microsoft Entra.
• Ad eccezione di Teams, l'autenticazione basata su SMS non è compatibile con le app Office licazioni native.
• L'autenticazione basata su SMS non è supportata per gli account B2B.
• Gli utenti federati non eseguono l'autenticazione nel tenant principale. Eseguono solo l'autenticazione nel cloud.
• Se il metodo di accesso predefinito di un utente è un sms o una chiamata al numero di telefono, il codice SMS o la chiamata vocale viene inviato automaticamente durante l'autenticazione a più fattori. A partire da giugno 2021, alcune app chiederanno agli utenti di scegliere Testo o Chiamata per prima. Questa opzione impedisce l'invio di troppi codici di sicurezza per app diverse. Se il metodo di accesso predefinito è l'app Microsoft Authenticator (consigliata), la notifica dell'app viene inviata automaticamente.
• la sincronizzazione tra tenant non supporta gli utenti per i quali è abilitato l'accesso tramite SMS.

Abilitare il metodo di autenticazione basato su SMS

Per abilitare e usare l'autenticazione basata su SMS nell'organizzazione, è necessario eseguire tre passaggi principali:

• Abilitare la politica del metodo di autenticazione.
• Selezionare gli utenti o i gruppi che possono usare il metodo di autenticazione basato su SMS.
• Assegnare un numero di telefono per ogni account utente.
  • Questo numero di telefono può essere assegnato nell'interfaccia di amministrazione di Microsoft Entra (mostrato in questo articolo) e in La mia lista del personale o Il mio account.

Prima di tutto, abilitare l'autenticazione basata su SMS per il tenant di Microsoft Entra.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

2. Passare a Protezione>Metodi di autenticazione>Criteri.

3. Nell'elenco dei metodi di autenticazione disponibili selezionare SMS.

   

4. Seleziona Abilita e seleziona Utenti di destinazione. È possibile scegliere di abilitare l'autenticazione basata su SMS per Tutti gli utenti oppure selezionare gli utenti e i gruppi desiderati in Seleziona utenti.

   Nota

   Per configurare l'autenticazione basata su SMS per il primo fattore, ovvero per consentire agli utenti di accedere con questo metodo, selezionare la casella di controllo Usa per l'accesso. Se si lascia deselezionata, l'autenticazione basata su SMS è disponibile solo per l'autenticazione a più fattori e la reimpostazione della password self-service.

   

Assegnare il metodo di autenticazione a utenti e gruppi

Con l'autenticazione basata su SMS abilitata nel tenant di Microsoft Entra, selezionare ora alcuni utenti o gruppi per consentire l'uso di questo metodo di autenticazione.

1. Nella finestra dei criteri di autenticazione SMS impostare Destinazione su Seleziona utenti.
2. Scegliere Aggiungi utenti o gruppi, quindi selezionare un utente o un gruppo di test, ad esempio Contoso User o Contoso SMS Users.
3. Dopo aver selezionato gli utenti o i gruppi, scegliere Seleziona, quindi Salva per salvare i criteri del metodo di autenticazione aggiornati.

Gli utenti abilitati nei criteri del metodo di autenticazione SMS devono avere una licenza, anche se non lo utilizzano. Assicurarsi di avere le licenze appropriate per gli utenti abilitati nei criteri del metodo di autenticazione, in particolare quando si abilita la funzionalità per gruppi di utenti di grandi dimensioni.

Impostare un numero di telefono per gli account utente

Gli utenti sono ora abilitati per l'autenticazione basata su SMS, ma il numero di telefono deve essere associato al profilo utente in Microsoft Entra ID prima di poter accedere. L'utente può impostare il numero di telefono stesso in Account personale oppure è possibile assegnare il numero di telefono usando l'interfaccia di amministrazione di Microsoft Entra. I numeri di telefono possono essere impostati da coloro che hanno almeno il ruolo di Amministratore di Autenticazione.

Quando un numero di telefono è impostato per l'accesso basato su SMS, è disponibile anche per l'uso con l'autenticazione a più fattori di Microsoft Entra e la reimpostazione autonoma della password.

1. Cerca e seleziona Microsoft Entra ID.

2. Dal menu di spostamento sul lato sinistro della finestra Microsoft Entra selezionare Utenti.

3. Selezionare l'utente abilitato per l'autenticazione basata su SMS nella sezione precedente, ad esempio Contoso User, quindi selezionare Metodi di autenticazione.

4. Selezionare + Aggiungi metodo di autenticazione, quindi scegliere Numero di telefono dal menu a discesa Scegli metodo.

   Immettere il numero di telefono dell'utente, incluso il prefisso internazionale, ad esempio + 1 xxxxxxxxx. L'interfaccia di amministrazione di Microsoft Entra convalida che il numero di telefono sia nel formato corretto.

   Quindi, dal menu a discesa Tipo di telefono selezionare Mobile, Alternate mobile o Other in base alle esigenze.

   

   Il numero di telefono deve essere univoco nel tenant. Se si tenta di usare lo stesso numero di telefono per più utenti, viene visualizzato un messaggio di errore.

5. Per applicare il numero di telefono all'account di un utente, selezionare Aggiungi.

Una volta effettuato il provisioning, viene visualizzato un segno di spunta per SMS Sign-in enabled (Acceso tramite SMS abilitato).

Testare l'accesso basato su SMS

Per testare l'account utente che ora è abilitato per l'accesso basato su SMS, completare questa procedura:

1. Aprire una nuova finestra del Web browser InPrivate o in incognito all'indirizzo https://www.office.com

2. Nell'angolo superiore destro selezionare Accedi.

3. Nella richiesta di accesso immettere il numero di telefono associato all'utente nella sezione precedente, quindi selezionare Avanti.

   

4. Viene inviato un messaggio SMS al numero di telefono specificato. Per completare il processo di accesso, immettere il codice a 6 cifre fornito nel messaggio SMS al prompt di accesso.

   

5. L'utente è ora connesso senza avere dovuto fornire un nome utente o una password.

Risolvere i problemi di accesso basato su SMS

È possibile usare gli scenari seguenti e la procedura di risoluzione dei problemi se si verificano problemi con l'abilitazione e l'uso dell'accesso basato su SMS. Per un elenco di app che supportano l'uso dell'accesso basato su SMS, vedere Supporto delle app per l'autenticazione basata su SMS.

Il numero di telefono è già impostato per un account utente

Se un utente ha già eseguito la registrazione per l'autenticazione a più fattori Di Microsoft Entra e/o la reimpostazione della password self-service, ha già un numero di telefono associato al proprio account. Questo numero di telefono non è disponibile automaticamente per l'uso con l'accesso basato su SMS.

Per un utente che ha già un numero di telefono impostato per il proprio account, viene visualizzato il pulsante Enable for SMS sign-in (Abilita per accesso tramite SMS) nella pagina Profilo personale. Selezionare questo pulsante e l'account viene abilitato all'uso con l'accesso basato su SMS e l'autenticazione multifattoriale di Microsoft Entra o la registrazione SSPR precedente.

Per altre informazioni sull'esperienza utente finale, vedere Esperienza utente di accesso TRAMITE SMS per il numero di telefono.

Errore durante il tentativo di impostare un numero di telefono per l'account di un utente

Se viene visualizzato un errore quando si tenta di impostare un numero di telefono per un account utente nell'interfaccia di amministrazione di Microsoft Entra, esaminare la procedura di risoluzione dei problemi seguente:

1. Assicurarsi di essere abilitati per l'accesso basato su SMS.
2. Conferma che l'account utente sia abilitato nella politica del metodo di autenticazione SMS.
3. Assicurarsi di impostare il numero di telefono con la formattazione corretta, come convalidato nell'interfaccia di amministrazione di Microsoft Entra (ad esempio +1 4251234567).
4. Verificare che il numero di telefono non venga usato altrove nel tenant.
5. Verificare che non sia stato impostato un numero di casella vocale per l'account. Se viene impostato un numero di telefono vocale, eliminarlo e riprovare a inserire il numero di telefono.

Passaggi successivi

• Per un elenco di app che supportano l'uso dell'accesso basato su SMS, vedere Supporto delle app per l'autenticazione basata su SMS.
• Per altri modi per accedere a Microsoft Entra ID senza password, ad esempio le chiavi di sicurezza Microsoft Authenticator App o FIDO2, vedere Opzioni di autenticazione senza password per Microsoft Entra ID.
• È anche possibile usare l'API REST di Microsoft Graph per abilitare o disabilitare l'accesso basato su SMS.