Modifica

Gestire i metodi di autenticazione utente per l'autenticazione a più fattori Di Microsoft Entra

  • Procedure

Gli utenti in Microsoft Entra ID hanno due set distinti di informazioni di contatto:

  • Informazioni di contatto del profilo pubblico, gestite nel profilo utente e visibili ai membri dell'organizzazione. Per gli utenti sincronizzati da Active Directory locale, queste informazioni vengono gestite nei servizi locali di Windows Server Dominio di Active Directory.
  • Metodi di autenticazione, che vengono sempre mantenuti privati e usati solo per l'autenticazione, inclusa l'autenticazione a più fattori. Amministrazione istrator può gestire questi metodi nel pannello del metodo di autenticazione di un utente e gli utenti possono gestire i metodi nella pagina Informazioni di sicurezza di MyAccount.

Quando si gestiscono i metodi di autenticazione a più fattori Di Microsoft Entra per gli utenti, gli amministratori di autenticazione possono:

  • Aggiungere metodi di autenticazione per un utente specifico, inclusi i numeri di telefono usati per l'autenticazione a più fattori.
  • Reimpostare la password di un utente.
  • Richiedere a un utente di eseguire di nuovo la registrazione per l'autenticazione a più fattori.
  • Revocare le sessioni MFA esistenti.
  • Eliminare le password dell'app esistente di un utente

Prerequisiti

Autenticazione a più fattori Microsoft Entra, abilitata per impostazione predefinita.

Aggiungere metodi di autenticazione per un utente

È possibile aggiungere metodi di autenticazione per un utente usando l'interfaccia di amministrazione di Microsoft Entra o Microsoft Graph.

Nota

Per motivi di sicurezza, i campi delle informazioni di contatto dell'utente pubblico non devono essere usati per eseguire l'autenticazione a più fattori. Gli utenti devono invece popolare i numeri del metodo di autenticazione da usare per l'autenticazione a più fattori.

Screenshot dell'aggiunta di metodi di autenticazione dall'interfaccia di amministrazione di Microsoft Entra.

Per aggiungere metodi di autenticazione per un utente nell'interfaccia di amministrazione di Microsoft Entra:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di autenticazione.
  2. Passare a Identità>Utenti>Tutti gli utenti.
  3. Scegliere l'utente per cui si vuole aggiungere un metodo di autenticazione e selezionare Metodi di autenticazione.
  4. Nella parte superiore della finestra selezionare + Aggiungi metodo di autenticazione.
    • Selezionare un metodo (numero di telefono o indirizzo di posta elettronica). La posta elettronica può essere usata per la reimpostazione automatica della password, ma non per l'autenticazione. Quando si aggiunge un numero di telefono, selezionare un tipo di telefono e immettere il numero di telefono con formato valido (ad esempio +1 4255551234).
    • Seleziona Aggiungi.

Nota

L'esperienza di anteprima consente agli amministratori di aggiungere qualsiasi metodo di autenticazione disponibile per gli utenti, mentre l'esperienza originale consente solo l'aggiornamento di metodi telefonici e telefonici alternativi.

Gestire i metodi con PowerShell

Installare il modulo PowerShell Microsoft.Graph.Identity.Signins usando i comandi seguenti.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 3179e48a-750b-4051-897c-87b9720928f7

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Gestire le opzioni di autenticazione utente

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Se è stato assegnato il ruolo Authentication Amministrazione istrator, è possibile richiedere agli utenti di reimpostare la password, ripetere la registrazione per l'autenticazione a più fattori o revocare le sessioni MFA esistenti dall'oggetto utente. Per gestire le impostazioni utente, completare la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di autenticazione.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Scegliere l'utente su cui si vuole eseguire un'azione e selezionare Metodi di autenticazione. Nella parte superiore della finestra scegliere una delle opzioni seguenti per l'utente:

    • Reimpostare la password reimposta la password dell'utente e assegna una password temporanea che deve essere modificata al successivo accesso.
    • Richiedi la registrazione dell'autenticazione a più fattori disattiva i token OATH hardware dell'utente ed elimina i metodi di autenticazione seguenti da questo utente: numeri di telefono, app Microsoft Authenticator e token OATH software. Se necessario, all'utente viene richiesto di configurare un nuovo metodo di autenticazione MFA al successivo accesso.
    • Revoca sessioni MFA cancella le sessioni MFA memorizzate dall'utente e richiede che eseguano l'autenticazione a più fattori la volta successiva richiesta dai criteri nel dispositivo.

    Screenshot della gestione dei metodi di autenticazione dall'interfaccia di amministrazione di Microsoft Entra.

Eliminare le password delle app esistenti degli utenti

Per gli utenti che hanno definito password per le app, gli amministratori possono anche scegliere di eliminare queste password, causando l'esito negativo dell'autenticazione legacy in tali applicazioni. Queste azioni possono essere necessarie se è necessario fornire assistenza a un utente o se è necessario reimpostare i metodi di autenticazione. Le app non basate su browser associate a queste password dell'app smetteranno di funzionare finché non viene creata una nuova password dell'app.

Per eliminare le password dell'app di un utente, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di autenticazione.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Selezionare Autenticazione a più fattori. Potrebbe essere necessario scorrere verso destra per visualizzare l'opzione del menu. Selezionare lo screenshot di esempio seguente per visualizzare la finestra completa e il percorso del menu: Screenshot della selezione dell'autenticazione a più fattori nella finestra Utenti in Microsoft Entra ID.

  4. Selezionare la casella accanto a uno o più utenti che si desidera gestire. A destra viene visualizzato un elenco di opzioni di passaggio rapido.

  5. Selezionare Gestisci impostazioni utente, quindi selezionare la casella Elimina tutte le password dell'app esistenti generate dagli utenti selezionati, come illustrato nell'esempio seguente:Screenshot dell'eliminazione di tutte le password dell'app esistenti.

  6. Selezionare Salva, quindi chiudere.

Contenuti correlati