Raccomandazione di Microsoft Entra: Passare dall'autenticazione a più fattori per singolo utente all'autenticazione a più fattori basata su accesso condizionale.

Consigli di Microsoft Entra è una funzionalità che offre informazioni dettagliate personalizzate e indicazioni utili per allineare il tenant alle procedure consigliate.

Questo articolo illustra la raccomandazione di passare gli account di autenticazione a più fattori (MFA) per utente agli account MFA di accesso condizionale. Questo consiglio viene chiamato switchFromPerUserMFA nell'API consigli in Microsoft Graph.

Descrizione

Gli amministratori vogliono mantenere la sicurezza per le risorse aziendali, ma si vuole anche che i dipendenti accedano facilmente alle risorse in base alle esigenze. L'autenticazione a più fattori consente di migliorare la postura di sicurezza del tenant.

Nel tenant è possibile abilitare MFA per utente. In questo scenario, gli utenti eseguono l'autenticazione a più fattori ogni volta che accedono. Esistono alcune eccezioni, ad esempio quando effettuano l'accesso da indirizzi IP attendibili o quando la funzionalità di memorizzazione dell'autenticazione a più fattori nei dispositivi attendibili è attivata. Anche se l'abilitazione dell'autenticazione a più fattori è una procedura consigliata, il passaggio dall'autenticazione a più fattori per utente all'autenticazione a più fattori basata su Accesso condizionale può ridurre il numero di volte in cui gli utenti sono sollecitati per l'autenticazione a più fattori.

Questa raccomandazione viene visualizzata se:

• L'autenticazione a più fattori per utente è configurata per almeno il 5% degli utenti.
• I criteri di accesso condizionale sono attivi per più del 1% degli utenti (a indicare la familiarità con i criteri di accesso condizionale).

Valore

Questo conisglio migliora la produttività dell'utente e riduce al minimo il tempo di accesso con un minor numero di richieste di autenticazione a più fattori. L'accesso condizionale e l'autenticazione a più fattori usati insieme consentono di garantire che le risorse più sensibili possano avere i controlli più rigidi, mentre le risorse meno sensibili possono essere accessibili più liberamente. Per una panoramica delle funzionalità disponibili nell'accesso condizionale, vedere Creazione di criteri di accesso condizionale.

Piano d'azione

1. Richiedere l'autenticazione a più fattori usando un criterio di accesso condizionale.

   • Abilitare l'autenticazione a più fattori di Microsoft Entra con l'accesso condizionale.
   • Assicurarsi di coprire tutte le risorse e gli utenti da proteggere con MFA.

2. Assicurarsi che la configurazione MFA per utente sia disattivata.

   1. Accedi al centro di amministrazione di Microsoft Entra come almeno un Amministratore dei Criteri di Autenticazione.
   2. Passare a Utenti>Tutti gli utenti e selezionare il pulsante MFA per utente.

   

   1. Selezionare Disabilita MFA per tutti gli utenti che avevano abilitato questa opzione.

   

Dopo la migrazione di tutti gli utenti agli account MFA di accesso condizionale, lo stato della raccomandazione viene aggiornato automaticamente alla successiva esecuzione del servizio. Continuare a esaminare i criteri di accesso condizionale.

Contenuto correlato

• Come usare le raccomandazioni di Microsoft Entra
• API Microsoft Graph per consigli
• Criteri di autenticazione a più fattori e accesso condizionale
• Esercitazione sui criteri di autenticazione multifattoriale e accesso condizionale