Funzionamento: Autenticazione a più fattori di Microsoft Entra

L'autenticazione a più fattori è un processo in cui agli utenti viene richiesta una forma aggiuntiva di identificazione durante il processo di accesso, ad esempio un codice sul cellulare o la scansione dell'impronta digitale.

Se si usa solo una password per autenticare un utente, viene lasciato un vettore non sicuro per l'attacco. Se la password è debole o è stata esposta altrove, un utente malintenzionato potrebbe usarla per ottenere l'accesso. Quando è necessaria una seconda forma di autenticazione, la sicurezza è aumentata perché questo fattore aggiuntivo non è facile per un utente malintenzionato ottenere o duplicare.

L'autenticazione a più fattori Di Microsoft Entra funziona richiedendo due o più dei metodi di autenticazione seguenti:

• Un'informazione nota, in genere una password.
• Qualcosa che hai, ad esempio un dispositivo attendibile che non è facilmente duplicato, come un telefono o una chiave hardware.
• Una caratteristica personale, ad esempio un'impronta digitale o la scansione del viso per l'identificazione biometrica.

L'autenticazione a più fattori Microsoft Entra può anche proteggere ulteriormente la reimpostazione della password. Quando gli utenti si registrano per l'autenticazione a più fattori Microsoft Entra, possono anche registrarsi per la reimpostazione della password self-service in un unico passaggio. Amministrazione istrator possono scegliere forme di autenticazione secondaria e configurare le sfide per l'autenticazione a più fattori in base alle decisioni di configurazione.

Non è necessario modificare app e servizi per usare l'autenticazione a più fattori Di Microsoft Entra. Le richieste di verifica fanno parte dell'accesso a Microsoft Entra, che richiede e elabora automaticamente la richiesta di autenticazione a più fattori quando necessario.

Metodi di verifica disponibili

Quando gli utenti accedono a un'applicazione o a un servizio e ricevono una richiesta di autenticazione a più fattori, possono scegliere tra una delle forme registrate di verifica aggiuntiva. Gli utenti possono accedere al profilo personale per modificare o aggiungere metodi di verifica.

Con l'autenticazione a più fattori Microsoft Entra è possibile usare le seguenti forme aggiuntive di verifica:

• Microsoft Authenticator
• Authenticator Lite (in Outlook)
• Windows Hello for Business (Configurare Windows Hello for Business)
• Chiave di sicurezza FIDO2
• Token hardware OATH (anteprima)
• Token software OATH
• SMS
• Chiamata vocale

Come abilitare e usare l'autenticazione a più fattori Di Microsoft Entra

È possibile usare le impostazioni predefinite di sicurezza nei tenant di Microsoft Entra per abilitare rapidamente Microsoft Authenticator per tutti gli utenti. È possibile abilitare l'autenticazione a più fattori Di Microsoft Entra per richiedere a utenti e gruppi di verifica aggiuntivi durante l'accesso.

Per controlli più granulari, è possibile usare i criteri di accesso condizionale per definire eventi o applicazioni che richiedono l'autenticazione a più fattori. Questi criteri possono consentire l'accesso regolare quando l'utente si trova nella rete aziendale o in un dispositivo registrato, ma richiede fattori di verifica aggiuntivi quando l'utente è remoto o in un dispositivo personale.

Passaggi successivi

Per informazioni sulle licenze, vedere Funzionalità e licenze per l'autenticazione a più fattori Microsoft Entra.

Per altre informazioni sui diversi metodi di autenticazione e convalida, vedere Metodi di autenticazione in Microsoft Entra ID.

Per visualizzare mfa in azione, abilitare l'autenticazione a più fattori Di Microsoft Entra per un set di utenti di test nell'esercitazione seguente: