Configurare le impostazioni di autenticazione a più fattori di Microsoft Entra

  • Articolo

Per personalizzare l'esperienza utente finale per l'autenticazione a più fattori di Microsoft Entra, puoi configurare opzioni per impostazioni, come soglie di blocco dell'account o avvisi e notifiche di illecito.

Sono disponibili le seguenti impostazioni di autenticazione a più fattori di Microsoft Entra:

Funzionalità Descrizione
Blocco account (solo server MFA) Blocca temporaneamente l'uso dell'autenticazione a più fattori di Microsoft Entra da parte degli account se sono presenti troppi tentativi di autenticazione negati in una riga. Questa funzionalità si applica solo agli utenti che usano il server MFA per immettere un PIN per l'autenticazione.
Blocca/Sblocca utenti Impedisci agli utenti specifici di ricevere richieste di autenticazione a più fattori di Microsoft Entra. Eventuali tentativi di autenticazione per gli utenti bloccati vengono negati automaticamente. Gli utenti rimangono bloccati per 90 giorni dal momento in cui vengono bloccati oppure fino al momento in cui vengono sbloccati manualmente.
Avviso di illecito Configura le impostazioni che consentono agli utenti di segnalare richieste di verifica fraudolente.
Segnalare attività sospette Configura le impostazioni che consentono agli utenti di segnalare richieste di verifica fraudolente.
Notifications Abilita le notifiche degli eventi dal server MFA.
Token OATH Usato negli ambienti di autenticazione a più fattori Microsoft Entra basato sul cloud per gestire i token OATH per gli utenti.
Impostazioni telefonata Permette di configurare le impostazioni correlate a chiamate telefoniche e messaggi di saluto per gli ambienti cloud e locali.
Provider Mostra tutti i provider di autenticazione esistenti che hai associato al tuo account. L'aggiunta di nuovi provider è disabilitata a partire dal 1° settembre 2018.

Impostazioni di autenticazione a più fattori Di Microsoft Entra

Blocco account (solo server MFA)

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Nota

Il blocco dell'account interessa solo gli utenti che accedono usando il server MFA locale.

Per evitare tentativi ripetuti di autenticazione a più fattori durante un attacco, le impostazioni di blocco dell'account consentono di specificare il numero di tentativi non riusciti da consentire prima che l'account venga bloccato per un periodo di tempo. Le impostazioni di blocco dell'account vengono applicate solo quando viene immesso un codice PIN per la richiesta di autenticazione a più fattori tramite il server MFA locale.

Sono disponibili le impostazioni seguenti:

  • Numero di denials MFA che attivano il blocco dell'account
  • Minuti di attesa per la reimpostazione del contatore del blocco dell'account
  • Minuti di attesa per lo sblocco automatico dell'account

Per configurare le impostazioni di blocco dell'account, completa questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.

  2. Passare a Protezione>blocco dell'account di autenticazione>a più fattori. Potrebbe essere necessario fare clic su Mostra altro per visualizzare l'autenticazione a più fattori.

  3. Immetti i valori per l'ambiente e quindi seleziona Salva.

    Screenshot che mostra le impostazioni di blocco dell'account.

Bloccare e sbloccare utenti

Se il dispositivo di un utente viene smarrito o rubato, puoi bloccare i tentativi di autenticazione a più fattori di Microsoft Entra per l'account associato. Tutti i tentativi di autenticazione a più fattori di Microsoft Entra per gli utenti bloccati vengono negati automaticamente. Gli utenti restano bloccati per 90 giorni dal momento in cui vengono bloccati. Per un video che illustra come eseguire questa operazione, vedere come bloccare e sbloccare gli utenti nel tenant.

Blocca utente

Per bloccare un utente, completa la procedura seguente.

Guardare un breve video che descrive questo processo.

  1. Passare a Protezione>autenticazione a più fattori>Blocca/sblocca utenti.
  2. Selezionare Aggiungi per bloccare un utente.
  3. Immettere il nome utente per l'utente bloccato nel formato username@domain.come quindi specificare un commento nella casella Motivo .
  4. Selezionare OK per bloccare l'utente.

Sblocca utente

Per sbloccare un utente, completa la procedura seguente:

  1. Passare a Protezione>autenticazione>a più fattori Blocca/sblocca utenti.
  2. Nella colonna Azione accanto all'utente selezionare Sblocca.
  3. Immettere un commento nella casella Motivo dello sblocco .
  4. Seleziona OK per sbloccare l'utente.

Avviso di illecito

La funzionalità di avviso di illecito consente agli utenti di segnalare tentativi fraudolenti di accedere alle risorse. Quando viene ricevuta una richiesta di autenticazione a più fattori sconosciuta e sospetta, gli utenti possono segnalare il tentativo di frode usando l'app Microsoft Authenticator o tramite il telefono.

Microsoft consiglia di usare Segnala attività sospette anziché un avviso di illecito a causa dell'integrazione con Identity Protection per la correzione basata sui rischi, funzionalità di creazione di report migliori e amministrazione con privilegi minimi.

Sono disponibili le opzioni di configurazione degli avvisi di illecito seguenti:

  • Blocca automaticamente gli utenti che segnalano frodi. Se un utente segnala frodi, i tentativi di autenticazione a più fattori di Azure AD per l'account utente vengono bloccati per 90 giorni o finché un amministratore non sblocca l'account. Un amministratore può verificare gli accessi usando il report sugli accessi ed eseguire le azioni necessarie per prevenire illeciti nel futuro. Un amministratore può quindi sbloccare l'account dell'utente.

  • Codice per segnalare frodi durante il saluto iniziale. Quando gli utenti ricevono una telefonata per eseguire l'autenticazione a più fattori, in genere preme # per confermare l'accesso. Per segnalare un illecito, l'utente immette un codice prima di premere #. Il codice predefinito è 0, ma è possibile personalizzarlo. Se il blocco automatico è abilitato, dopo che l'utente preme 0# per segnalare le frodi, è necessario premere 1 per confermare il blocco dell'account.

    Nota

    I messaggi vocali predefiniti di Microsoft invitano gli utenti a premere 0# per inviare un avviso di illecito. Se si vuole usare un codice diverso da 0, registrare e caricare messaggi vocali personalizzati con istruzioni adeguate per l'utente.

Per abilitare e configurare gli avvisi di illecito, completare la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
  2. Passare a Protezione>avviso di frode per l'autenticazione>a più fattori.
  3. Impostare Consenti agli utenti di inviare avvisi di illecito su .
  4. Configurare l'impostazione Blocca automaticamente gli utenti che segnalano frodi o Codice per segnalare frodi durante l'impostazione iniziale del messaggio di saluto in base alle esigenze.
  5. Seleziona Salva.

Segnala attività sospetta

Segnalare attività sospette, la funzionalità aggiornata di avviso di frode MFA, è ora disponibile. Quando viene ricevuta una richiesta di autenticazione a più fattori sconosciuta e sospetta, gli utenti possono segnalare il tentativo di frode usando Microsoft Authenticator o tramite il telefono. Questi avvisi sono integrati con Identity Protection per una copertura e funzionalità più complete.

Gli utenti che segnalano una richiesta di autenticazione a più fattori come sospetti sono impostati su Rischio utente elevato. Amministrazione istrator possono usare criteri basati sul rischio per limitare l'accesso per questi utenti o abilitare la reimpostazione della password self-service per consentire agli utenti di risolvere i problemi autonomamente. Se in precedenza è stata usata la funzionalità di blocco automatico degli avvisi di illecito e non si dispone di una licenza Microsoft Entra ID P2 per i criteri basati sui rischi, è possibile usare gli eventi di rilevamento dei rischi per identificare e disabilitare gli utenti interessati e impedire automaticamente l'accesso. Per altre informazioni sull'uso di criteri basati sui rischi, vedere Criteri di accesso basati sui rischi.

Per abilitare Segnala attività sospette dai metodi di autenticazione Impostazioni:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
  2. Passare a Metodi> di autenticazione di protezione>Impostazioni.
  3. Impostare Segnala attività sospette su Abilitato. La funzionalità rimane disabilitata se si sceglie Microsoft gestito. Per altre informazioni sui valori gestiti da Microsoft, vedere Protezione dei metodi di autenticazione in Microsoft Entra ID.
  4. Selezionare Tutti gli utenti o un gruppo specifico.
  5. Selezionare un codice per la creazione di report.
  6. Fare clic su Salva.

Nota

Se si abilita Segnala attività sospette e si specifica un valore personalizzato per la creazione di report vocali mentre il tenant dispone ancora di un avviso di illecito abilitato in parallelo con un numero di segnalazione vocale personalizzato configurato, verrà usato il valore Segnala attività sospette invece di Avviso illecito.

Visualizza eventi di attività sospette

Quando un utente segnala una richiesta di autenticazione a più fattori come sospetta, l'evento viene visualizzato nel report Accessi (come accesso rifiutato dall'utente), nei log di controllo e nel report Rilevamenti dei rischi.

  • Per visualizzare il report rilevamenti dei rischi, selezionare Protezione>del rischio di Identity Protection.> L'evento di rischio fa parte del report standard di rilevamento dei rischi e verrà visualizzato come Tipo di rilevamento Attività sospetta segnalata dall'utente, livello di rischio alto, utente finale di origine segnalato.

  • Per visualizzare i report sulle frodi nel report Accessi, selezionare Identity>Monitoring & health>Sign-in logs>Authentication Details (Dettagli autenticazione). Il report sulle frodi fa parte del report standard degli accessi a Microsoft Entra e viene visualizzato nel dettaglio dei risultati come MFA negato, Codice illecito immesso.

  • Per visualizzare i report sulle frodi nei log di controllo, selezionare Identity Monitoring & health Audit logs (Log di controllo di integrità>e monitoraggio delle identità).> Il report sulle frodi viene visualizzato in Tipo di attività Illecito segnalato - l'utente viene bloccato per L'autenticazione a più fattori o le frodi segnalate - nessuna azione eseguita in base alle impostazioni a livello di tenant per il report sulle frodi.

Nota

Un utente non viene segnalato come ad alto rischio se esegue l'autenticazione senza password.

Gestisci eventi di attività sospette

Dopo che un utente ha segnalato una richiesta come sospetta, il rischio deve essere analizzato e corretto con Identity Protection.

Segnala attività sospetta e avviso di illecito

Segnalare attività sospette e l'implementazione legacy dell'avviso di illecito può funzionare in parallelo. È possibile mantenere la funzionalità di avviso illecito a livello di tenant mentre si inizia a usare Segnala attività sospette con un gruppo di test mirato.

Se l'avviso di illecito è abilitato con il blocco automatico e Segnala attività sospette è abilitato, l'utente verrà aggiunto all'elenco di blocchi e impostato come ad alto rischio e ambito per tutti gli altri criteri configurati. Questi utenti devono essere rimossi dall'elenco di blocchi e i rischi devono essere risolti per consentire loro di accedere con MFA.

Notifications

Puoi configurare Microsoft Entra ID per inviare notifiche tramite posta elettronica quando gli utenti segnalano avvisi di illecito. Queste notifiche vengono in genere inviate agli amministratori di identità, poiché le credenziali dell'account utente sono probabilmente compromesse. L'esempio seguente mostra l'aspetto di un messaggio di posta elettronica di notifica di avviso di illecito:

Screenshot che mostra un messaggio di posta elettronica di notifica di avviso di illecito.

Per configurare le notifiche di avviso di illecito:

  1. Passare a Protezione>notifiche di autenticazione>a più fattori.
  2. Immettere l'indirizzo di posta elettronica a cui inviare la notifica.
  3. Per rimuovere un indirizzo di posta elettronica esistente, selezionare ... accanto all'indirizzo di posta elettronica e quindi selezionare Elimina.
  4. Seleziona Salva.

Token OATH

Microsoft Entra ID supporta l'uso di token SHA-1 OATH TOTP ogni 30 o 60 secondi. Puoi acquistare questi token dal fornitore di tua scelta.

I token hardware OATH TOTP sono in genere dotati di una chiave privata o di un seme pre-programmato nel token. Devi immettere queste chiavi in Microsoft Entra ID come descritto nei passaggi seguenti. Per le chiavi private è previsto un limite di 128 caratteri e questo può non essere compatibile con tutti i token. La chiave privata può contenere solo i caratteri a-z o A-Z e cifre da 1 a 7. Deve essere codificata in Base32.

I token hardware OATH TOTP programmabili di cui può essere rieseguito il seeding possono essere configurati anche con Microsoft Entra ID nel flusso di configurazione del token software.

I token hardware OATH sono supportati come parte di un'anteprima pubblica. Per altre informazioni sulle anteprime, vedere Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure.

Screenshot che mostra la sezione Token OATH.

Dopo aver acquisito i token, devi caricarli in un formato di file con valori delimitati da virgole (CSV). Includere l'UPN, il numero di serie, la chiave privata, l'intervallo di tempo, il produttore e il modello, come illustrato in questo esempio:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Nota

Assicurati di includere la riga di intestazione nel file CSV.

Accedere all'interfaccia di amministrazione di Microsoft Entra come global Amministrazione istrator, passare a Protezione>dei token OATH di autenticazione>a più fattori e caricare il file CSV.

A seconda delle dimensioni del file CSV, l'elaborazione potrebbe richiedere alcuni minuti. Selezionare Aggiorna per ottenere lo stato. Se sono presenti errori nel file, puoi scaricare un file CSV che li elenca. I nomi dei campi nel file CSV scaricato sono diversi da quelli nella versione caricata.

Dopo aver risolto eventuali errori, l'amministratore può attivare ogni chiave selezionando Attiva per il token e immettendo OTP visualizzato nel token.

Gli utenti possono avere una combinazione composta da fino a cinque token hardware OATH o applicazioni di autenticazione, quali l'app Microsoft Authenticator, configurate per l'uso in qualsiasi momento.

Importante

Assicurarsi di assegnare ogni token solo a un singolo utente. In futuro, il supporto per l'assegnazione di un singolo token a più utenti smetterà di prevenire un rischio per la sicurezza.

Impostazioni telefonata

Se gli utenti ricevono chiamate telefoniche per le richieste MFA, è possibile configurare l'esperienza, ad esempio l'ID chiamante o il messaggio di saluto vocale che sentono.

Nel Stati Uniti, se non è stato configurato l'ID chiamante MFA, le chiamate vocali da Microsoft provengono dai numeri seguenti. Gli utenti con filtri di posta indesiderata devono escludere questi numeri.

Numero predefinito: +1 (855) 330-8653

Nella tabella seguente sono elencati più numeri per paesi diversi.

Paese/area geografica Numero/i
Austria +43 6703062076
Bangladesh +880 9604606026
Croazia +385 15507766
Ecuador +593 964256042
Estonia +372 6712726
Francia +33 744081468
Ghana +233 308250245
Grecia +30 2119902739
Guatemala +502 23055056
Hong Kong SAR +852 25716964
India +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600
Giordania +962 797639442
Kenya +254 709605276
Paesi Bassi +31 202490048
Nigeria +234 7080627886
Pakistan +92 4232618686
Polonia +48 699740036
Arabia Saudita +966 115122726
Sudafrica +27 872405062
Spagna +34 913305144
Sri Lanka +94 117750440
Svezia +46 701924176
Taiwan +886 277515260
Türkiye +90 8505404893
Ucraina +380 443332393
Emirati Arabi Uniti (EAU) +971 44015046
Vietnam +84 2039990161

Nota

Quando le chiamate di autenticazione a più fattori Di Microsoft Entra vengono effettuate tramite la rete telefonica pubblica, a volte le chiamate vengono instradate tramite un gestore telefonico che non supporta l'ID chiamante. Per questo motivo, l'ID chiamante non è garantito, anche se l'autenticazione a più fattori Microsoft Entra lo invia sempre. Questo vale sia per le chiamate telefoniche che per i messaggi di testo forniti dall'autenticazione a più fattori di Microsoft Entra. Se è necessario verificare che un sms provena dall'autenticazione a più fattori Di Microsoft Entra, vedere Quali codici brevi vengono usati per l'invio di messaggi?

Per configurare il proprio numero ID chiamante, seguire questa procedura:

  1. Passare a Protezione>autenticazione> a più fattori Telefono impostazioni di chiamata.
  2. Impostare il numero ID chiamante MFA sul numero che si desidera che gli utenti visualizzino sui loro telefoni. Sono consentiti solo numeri degli Stati Uniti.
  3. Seleziona Salva.

Nota

Quando le chiamate di autenticazione a più fattori Di Microsoft Entra vengono effettuate tramite la rete telefonica pubblica, a volte le chiamate vengono instradate tramite un gestore telefonico che non supporta l'ID chiamante. Per questo motivo, l'ID chiamante non è garantito, anche se l'autenticazione a più fattori Microsoft Entra lo invia sempre. Questo vale sia per le chiamate telefoniche che per i messaggi di testo forniti dall'autenticazione a più fattori di Microsoft Entra. Se è necessario verificare che un sms provena dall'autenticazione a più fattori Di Microsoft Entra, vedere Quali codici brevi vengono usati per l'invio di messaggi?

Messaggi vocali personalizzati

È possibile usare registrazioni personalizzate o messaggi di saluto per l'autenticazione a più fattori Di Microsoft Entra. Questi messaggi possono essere usati oltre alle registrazioni Microsoft predefinite o per sostituirli.

Prima di iniziare, tenere presente le seguenti restrizioni:

  • I formati di file supportati sono WAV e MP3.
  • La dimensione massima dei file è 1 MB.
  • I messaggi di autenticazione devono avere una durata inferiore a 20 secondi. Se i messaggi durano più di 20 secondi, è possibile che la verifica abbia esito negativo. Se l'utente non risponde prima del termine del messaggio, si verifica il timeout della verifica.

Comportamento per la lingua del messaggio personalizzato

Quando un messaggio vocale personalizzato viene riprodotto all'utente, la lingua del messaggio dipende dai fattori seguenti:

  • Lingua dell'utente.
    • Lingua rilevata dal browser dell'utente.
    • Altri scenari di autenticazione potrebbero comportarsi in modo diverso.
  • Lingua degli eventuali messaggi personalizzati disponibili.
    • Questa lingua viene scelta dall'amministratore quando viene aggiunto un messaggio personalizzato.

Ad esempio, se è presente un solo messaggio personalizzato ed è in tedesco:

  • Un utente che esegue l'autenticazione in lingua tedesca ascolterà il messaggio personalizzato in tedesco.
  • Il messaggio inglese standard verrà riprodotto per un utente che esegue l'autenticazione in lingua inglese.

Valori predefiniti dei messaggi vocali personalizzati

È possibile usare gli script di esempio seguenti per creare messaggi personalizzati. Queste frasi sono le impostazioni predefinite se non si configurano messaggi personalizzati.

Nome messaggio Script
Autenticazione riuscita L'accesso è stato verificato correttamente. Arrivederci.
Richiesta interno Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere il tasto cancelletto per continuare.
Conferma delle frodi È stato inviato un avviso di illecito. Per sbloccare l'account, contattare l'help desk IT della società.
Messaggio di saluto illecito (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica. Se non si è avviato personalmente la procedura di verifica, è possibile che qualcuno stia tentando di accedere all'account. Premere 0 seguito da cancelletto per inviare un avviso di illecito, in modo da informare il team IT della società e bloccare ulteriori tentativi di verifica.
Frode segnalata È stato inviato un avviso di illecito. Per sbloccare l'account, contattare l'help desk IT della società.
Attivazione Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Autenticazione negata - Nuovo tentativo Verifica non consentita.
Riprovare (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Saluto (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Messaggio introduttivo (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica.
Messaggio introduttivo illecito (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica. Se non si è avviato personalmente la procedura di verifica, è possibile che qualcuno stia tentando di accedere all'account. Premere 0 seguito da cancelletto per inviare un avviso di illecito, in modo da informare il team IT della società e bloccare ulteriori tentativi di verifica.
Riprovare (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica.
Richiesta interno dopo i numeri Se si risponde già a questo interno, premere cancelletto per continuare.
Autenticazione negata Al momento non è possibile effettuare l'accesso. Riprova più tardi.
Messaggio di saluto di attivazione (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Tentativo di attivazione (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Messaggio introduttivo di attivazione (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica.
Richiesta interno prima dei numeri Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Trasferire questa chiamata all'estensione dell'estensione<>.

Configurare un messaggio personalizzato

Per usare i propri messaggi personalizzati, completare la procedura seguente:

  1. Passare a Protezione>autenticazione> a più fattori Telefono impostazioni di chiamata.
  2. Selezionare Aggiungi messaggio di saluto.
  3. Scegliere il tipo di messaggio di saluto, ad esempio Saluto (standard) o Autenticazione completata.
  4. Selezionare la lingua. Vedere la sezione precedente sul comportamento personalizzato della lingua dei messaggi.
  5. Cercare e selezionare un .mp3 o .wav file audio da caricare.
  6. Selezionare Aggiungi e quindi Salva.

Impostazioni del servizio MFA

Impostazioni per le password delle app, indirizzi IP attendibili, opzioni di verifica e memorizzazione dell'autenticazione a più fattori nei dispositivi attendibili sono disponibili nelle impostazioni del servizio. Si tratta di un portale legacy.

È possibile accedere alle impostazioni del servizio dall'interfaccia di amministrazione di Microsoft Entra passando a Protezione>autenticazione>a più fattori Getting started>Configure Additional cloud-based MFA settings (Configurare impostazioni MFA aggiuntive>basate sul cloud). Viene visualizzata una finestra o una scheda con opzioni aggiuntive per le impostazioni del servizio.

Indirizzi IP attendibili

La funzionalità IP attendibili dell'autenticazione a più fattori di Microsoft Entra ignora le richieste di autenticazione a più fattori per gli utenti che accedono da un intervallo di indirizzi IP definito. È possibile impostare intervalli IP attendibili per gli ambienti locali. Quando gli utenti si trovano in una di queste posizioni, non è disponibile alcuna richiesta di autenticazione a più fattori di Microsoft Entra. La funzionalità indirizzi IP attendibili richiede l'edizione Microsoft Entra ID P1.

Nota

Gli indirizzi IP attendibili possono includere intervalli IP privati solo quando si usa il server MFA. Per l'autenticazione a più fattori Microsoft Entra basata sul cloud, è possibile usare solo intervalli di indirizzi IP pubblici.

Gli intervalli IPv6 sono supportati solo nell'interfaccia Località denominate (anteprima).

Se l'organizzazione usa l'estensione NPS per fornire l'autenticazione a più fattori alle applicazioni locali, l'indirizzo IP di origine sarà sempre il server dei criteri di rete attraverso il quale viene eseguito il tentativo di autenticazione.

Tipo di tenant Microsoft Entra Opzioni delle funzionalità IP attendibili
Gestito Intervallo specifico di indirizzi IP: Amministrazione istrator specificano un intervallo di indirizzi IP che possono ignorare le autenticazioni a più fattori per gli utenti che accedono dalla intranet aziendale. È possibile configurare un massimo di 50 intervalli IP attendibili.
Federati Tutti gli utenti federati: tutti gli utenti federati che accedono dall'organizzazione possono ignorare le autenticazioni a più fattori. Gli utenti ignorano le verifiche usando un'attestazione rilasciata da Active Directory Federation Services (AD FS).
Intervallo specifico di indirizzi IP: Amministrazione istrator specificano un intervallo di indirizzi IP che possono ignorare l'autenticazione a più fattori per gli utenti che accedono dalla intranet aziendale.

Il bypass IP attendibile funziona solo dall'interno della intranet aziendale. Se si seleziona l'opzione Tutti gli utenti federati e un utente accede dall'esterno della intranet aziendale, l'utente deve eseguire l'autenticazione tramite l'autenticazione a più fattori. Il processo è lo stesso anche se l'utente presenta un'attestazione AD FS.

Nota

Se nel tenant sono configurati sia l'autenticazione a più fattori per utente che i criteri di accesso condizionale, sarà necessario aggiungere indirizzi IP attendibili ai criteri di accesso condizionale e aggiornare le impostazioni del servizio MFA.

Esperienza utente all'interno della rete aziendale

Quando la funzionalità indirizzi IP attendibili è disabilitata, per i flussi del browser è necessaria l'autenticazione a più fattori. Le password dell'app sono necessarie per le applicazioni rich-client meno recenti.

Quando vengono usati indirizzi IP attendibili, l'autenticazione a più fattori non è necessaria per i flussi del browser. Le password dell'app non sono necessarie per le applicazioni rich-client meno recenti se l'utente non ha creato una password dell'app. Dopo l'uso di una password dell'app, la password è obbligatoria.

Esperienza utente esterna alla rete aziendale

Indipendentemente dal fatto che siano definiti indirizzi IP attendibili, è necessaria l'autenticazione a più fattori per i flussi del browser. Le password dell'app sono necessarie per le applicazioni rich-client meno recenti.

Abilitare le località denominate con l'accesso condizionale

È possibile usare le regole di accesso condizionale per definire posizioni denominate attenendosi alla procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>dei percorsi denominati per l'accesso>condizionale.
  3. Selezionare Nuova località.
  4. Immettere un nome per la località.
  5. Selezionare Contrassegna come posizione attendibile.
  6. Immettere l'intervallo IP per l'ambiente in notazione CIDR. Ad esempio, 40.77.182.32/27.
  7. Seleziona Crea.

Abilitare la funzionalità Indirizzi IP attendibili con l'accesso condizionale

Per abilitare indirizzi IP attendibili usando i criteri di accesso condizionale, completare la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.

  2. Passare a Protezione>dei percorsi denominati per l'accesso>condizionale.

  3. Selezionare Configura indirizzi IP attendibili MFA.

  4. Nella pagina Service Impostazioni scegliere una delle opzioni seguenti in Indirizzi IP attendibili:

    • Per le richieste provenienti da utenti federati provenienti dalla rete Intranet: per scegliere questa opzione, selezionare la casella di controllo. Tutti gli utenti federati che accedono dalla rete aziendale ignorano le autenticazioni a più fattori usando un'attestazione rilasciata da AD FS. Assicurarsi che AD FS abbia una regola per aggiungere l'attestazione intranet al traffico appropriato. Se la regola non esiste, creare la regola seguente in AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

      Nota

      L'opzione Ignora autenticazione a più fattori per le richieste di utenti federati nella rete Intranet influirà sulla valutazione dell'accesso condizionale per le posizioni. Qualsiasi richiesta con l'attestazione insidecorporatenetwork viene considerata come proveniente da un percorso attendibile se questa opzione è selezionata.

    • Per le richieste provenienti da un intervallo specifico di indirizzi IP pubblici: per scegliere questa opzione, immettere gli indirizzi IP nella casella di testo, nella notazione CIDR.

      • Per gli indirizzi IP compresi nell'intervallo compreso tra xxx.xxx.xxx.1 e xxx.xxx.xxx.254, usare la notazione come xxx.xxx.xxx.0/24.
      • Per un singolo indirizzo IP, usare una notazione, ad esempio xxx.xxx.xxx.xxx/32.
      • Immettere fino a 50 intervalli di indirizzi IP. Gli utenti che accedono da questi indirizzi IP ignorano le autenticazioni a più fattori.

  5. Seleziona Salva.

Abilitare la funzionalità Indirizzi IP attendibili tramite le impostazioni del servizio

Se non si vogliono usare i criteri di accesso condizionale per abilitare indirizzi IP attendibili, è possibile configurare le impostazioni del servizio per l'autenticazione a più fattori Di Microsoft Entra attenendosi alla procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.

  2. Passare a Protezione>autenticazione>a più fattori Impostazioni MFA aggiuntive basate sul cloud.

  3. Nella pagina Impostazioni servizio, in Indirizzi IP attendibili, scegliere una o entrambe le opzioni seguenti:

    • Per le richieste di utenti federati nella rete Intranet: per scegliere questa opzione, selezionare la casella di controllo. Tutti gli utenti federati che accedono dalla rete aziendale ignorano l'autenticazione a più fattori usando un'attestazione rilasciata da AD FS. Assicurarsi che AD FS abbia una regola per aggiungere l'attestazione intranet al traffico appropriato. Se la regola non esiste, creare la regola seguente in AD FS:

      c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Per le richieste provenienti da un intervallo specificato di subnet di indirizzi IP: per scegliere questa opzione, immettere gli indirizzi IP nella casella di testo, in notazione CIDR.

      • Per gli indirizzi IP compresi nell'intervallo compreso tra xxx.xxx.xxx.1 e xxx.xxx.xxx.254, usare la notazione come xxx.xxx.xxx.0/24.
      • Per un singolo indirizzo IP, usare una notazione, ad esempio xxx.xxx.xxx.xxx/32.
      • Immettere fino a 50 intervalli di indirizzi IP. Gli utenti che accedono da questi indirizzi IP ignorano le autenticazioni a più fattori.

  4. Seleziona Salva.

Metodi di verifica

È possibile scegliere i metodi di verifica disponibili per gli utenti nel portale delle impostazioni del servizio. Quando gli utenti registrano gli account per l'autenticazione a più fattori Microsoft Entra, scelgono il metodo di verifica preferito dalle opzioni abilitate. Le indicazioni per il processo di registrazione utente sono disponibili in Configurare l'account per l'autenticazione a più fattori.

Sono disponibili i metodi di verifica seguenti:

metodo Descrizione
Chiamata al telefono Invia una chiamata vocale automatizzata. L'utente risponde alla chiamata e preme # sul telefono per l'autenticazione. Il numero di telefono non è sincronizzato con Active Directory locale.
SMS al telefono Invia un messaggio di testo contenente un codice di verifica. All'utente viene richiesto di immettere il codice di verifica nell'interfaccia di accesso. Questo processo è denominato SMS unidirezionale. L'SMS bidirezionale significa che l'utente deve disporre il testo in un codice specifico. L'SMS bidirezionale è deprecato e non è supportato a partire dal 14 novembre 2018. Gli amministratori devono abilitare un altro metodo per gli utenti che in precedenza usavano l'SMS bidirezionale.
Notifica tramite app per dispositivi mobili Invia una notifica push al telefono dell'utente o al dispositivo registrato. L'utente visualizza la notifica e seleziona Verifica per completare la verifica. L'app Microsoft Authenticator è disponibile per Windows Phone, Android e IOS.
Codice di verifica dall'app per dispositivi mobili o dal token hardware L'app Microsoft Authenticator genera un nuovo codice di verifica OATH ogni 30 secondi. L'utente immette il codice di verifica nell'interfaccia di accesso. L'app Microsoft Authenticator è disponibile per Windows Phone, Android e IOS.

Per altre informazioni, vedere Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?.

Abilitare e disabilitare i metodi di verifica

Per abilitare o disabilitare i metodi di verifica, completare la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
  2. Passare a Utenti identità>.
  3. Selezionare MFA per utente.
  4. In Autenticazione a più fattori nella parte superiore della pagina selezionare Impostazioni servizio.
  5. Nella pagina Impostazioni servizio, in Opzioni di verifica selezionare o deselezionare le caselle di controllo appropriate.
  6. Seleziona Salva.

Ricordare l'autenticazione a più fattori

La funzionalità di autenticazione a più fattori ricorda consente agli utenti di ignorare le verifiche successive per un numero specificato di giorni, dopo l'accesso a un dispositivo tramite MFA. Per migliorare l'usabilità e ridurre al minimo il numero di volte in cui un utente deve eseguire l'autenticazione a più fattori in un determinato dispositivo, selezionare una durata di 90 giorni o più.

Importante

Se un account o un dispositivo è compromesso, ricordare l'autenticazione a più fattori per i dispositivi attendibili può influire sulla sicurezza. Se un account aziendale viene compromesso o un dispositivo attendibile viene smarrito o rubato, è necessario revocare le sessioni MFA.

L'azione di revoca revoca lo stato attendibile da tutti i dispositivi e l'utente deve eseguire di nuovo l'autenticazione a più fattori. È anche possibile indicare agli utenti di ripristinare lo stato MFA originale nei propri dispositivi, come indicato in Gestire le impostazioni per l'autenticazione a più fattori.

Funzionamento della funzionalità

La funzionalità di autenticazione a più fattori memorizza un cookie permanente nel browser quando un utente seleziona l'opzione Non chiedere di nuovo X giorni all'accesso. All'utente non viene richiesta nuovamente l'autenticazione a più fattori dal browser fino alla scadenza del cookie. Se l'utente apre un browser diverso nello stesso dispositivo o cancella i cookie, viene richiesto di nuovo di verificare.

L'opzione Non chiedere di nuovo xgiorni non viene visualizzata nelle applicazioni non basate su browser, indipendentemente dal fatto che l'app supporti l'autenticazione moderna. Queste app usano token di aggiornamento che creano nuovi token di accesso ogni ora. Quando viene convalidato un token di aggiornamento, Microsoft Entra ID verifica che l'ultima autenticazione a più fattori si sia verificata entro il numero di giorni specificato.

La funzionalità riduce il numero di autenticazioni per le app Web, che in genere viene richiesta ogni volta. La funzionalità può aumentare il numero di autenticazioni per i client di autenticazione moderni che in genere richiedono ogni 180 giorni, se viene configurata una durata inferiore. Potrebbe anche aumentare il numero di autenticazioni in combinazione con i criteri di accesso condizionale.

Importante

La funzionalità di autenticazione a più fattori non è compatibile con la funzionalità mantieni l'accesso di AD FS, quando gli utenti eseguono l'autenticazione a più fattori per AD FS tramite il server MFA o una soluzione di autenticazione a più fattori di terze parti.

Se gli utenti selezionano Mantieni l'accesso ad AD FS e contrassegnano anche il dispositivo come attendibile per L'autenticazione a più fattori, l'utente non viene verificato automaticamente dopo la scadenza del numero di giorni di autenticazione a più fattori. Microsoft Entra ID richiede una nuova autenticazione a più fattori, ma AD FS restituisce un token con l'attestazione EFA originale e la data, anziché eseguire nuovamente l'autenticazione a più fattori. Questa reazione imposta un ciclo di verifica tra Microsoft Entra ID e AD FS.

La funzionalità di autenticazione a più fattori non è compatibile con gli utenti B2B e non sarà visibile per gli utenti B2B quando accedono ai tenant invitati.

La funzionalità di autenticazione a più fattori ricorda non è compatibile con il controllo dell'accesso condizionale frequenza di accesso. Per altre informazioni, vedere Configurare la gestione delle sessioni di autenticazione con l'accesso condizionale.

Abilitare l'autenticazione a più fattori

Per abilitare e configurare l'opzione per consentire agli utenti di ricordare lo stato MFA e ignorare le richieste, completare la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
  2. Passare a Utenti identità>.
  3. Selezionare MFA per utente.
  4. In Autenticazione a più fattori nella parte superiore della pagina selezionare Impostazioni del servizio.
  5. Nella pagina delle impostazioni del servizio, in Ricordare l'autenticazione a più fattori, selezionare Consenti agli utenti di ricordare l'autenticazione a più fattori nei dispositivi che considerano attendibili.
  6. Impostare il numero di giorni per consentire ai dispositivi attendibili di ignorare le autenticazioni a più fattori. Per un'esperienza utente ottimale, estendere la durata a 90 o più giorni.
  7. Seleziona Salva.

Contrassegnare un dispositivo come attendibile

Dopo aver abilitato la funzionalità di autenticazione a più fattori, gli utenti possono contrassegnare un dispositivo come attendibile quando accedono selezionando Non chiedere di nuovo.

Passaggi successivi

Per altre informazioni, vedere Quali metodi di autenticazione e verifica sono disponibili in Microsoft Entra ID?