Funzionamento: Autenticazione a più fattori di Microsoft Entra

L'autenticazione a più fattori è un processo in cui agli utenti viene richiesta una forma aggiuntiva di identificazione durante il processo di accesso, ad esempio un codice sul cellulare o la scansione dell'impronta digitale.

Se si usa solo una password per autenticare un utente, viene lasciato un vettore non sicuro per l'attacco. Se la password è debole o è stata esposta altrove, un malintenzionato potrebbe usarla per ottenere l'accesso. Quando hai bisogno di una seconda forma di autenticazione, la sicurezza viene rafforzata, perché questo fattore aggiuntivo non è facile da ottenere o duplicare.

Immagine concettuale delle diverse forme di autenticazione a più fattori.

L'autenticazione a più fattori di Microsoft Entra richiede due o più dei metodi di autenticazione seguenti:

  • Informazione nota, in genere una password.
  • Un oggetto che possiedi, ad esempio un dispositivo attendibile non facile da duplicare, come un telefono o una chiave hardware.
  • Caratteristica personale: ad esempio un'impronta digitale o la scansione del viso per l'identificazione biometrica.

L'autenticazione a più fattori Microsoft Entra può anche proteggere ulteriormente la reimpostazione della password. Quando gli utenti si registrano per l'autenticazione a più fattori Microsoft Entra, possono anche registrarsi per la reimpostazione della password self-service in un unico passaggio. Gli amministratori possono scegliere forme di autenticazione secondaria e configurare le problematiche per l'autenticazione a più fattori in base alle decisioni di configurazione.

Non devi necessariamente modificare app e servizi per usare l'autenticazione a più fattori Microsoft Entra. Le richieste di verifica fanno parte dell'accesso a Microsoft Entra, che richiede e elabora automaticamente la richiesta di autenticazione a più fattori quando necessario.

Nota

La lingua del prompt è determinata dalle impostazioni locali del browser. Se usi messaggi di saluto personalizzati ma non disponi di un messaggio nella lingua identificata nelle impostazioni locali del browser, viene utilizzato l'inglese per impostazione predefinita. Il server dei criteri di rete (NPS) userà sempre l'inglese per impostazione predefinita, indipendentemente dai messaggi di saluto personalizzati. L'inglese viene usato per impostazione predefinita anche quando non è possibile identificare le impostazioni locali del browser.

Schermata di accesso MFA.

Metodi di verifica disponibili

Quando gli utenti accedono a un'applicazione o a un servizio e ricevono una richiesta di autenticazione a più fattori, possono scegliere una delle forme registrate di verifica aggiuntiva. Gli utenti possono accedere a My Profile per modificare o aggiungere metodi di verifica.

Con l'autenticazione a più fattori Microsoft Entra è possibile usare le seguenti forme aggiuntive di verifica:

  • Microsoft Authenticator
  • Authenticator Lite (in Outlook)
  • Windows Hello for Business (Configurare Windows Hello for Business)
  • Passkey (FIDO2)
  • Passkey in Microsoft Authenticator (anteprima)
  • Autenticazione basata su certificati (se configurata per l'autenticazione a più fattori)
  • Metodi di autenticazione esterni (anteprima)
  • Pass di accesso temporaneo
  • Token hardware OATH (anteprima)
  • Token software OATH
  • SMS
  • Chiamata vocale

Come abilitare e utilizzare l'autenticazione a più fattori Microsoft Entra

Puoi usare le impostazioni predefinite di sicurezza nei tenant di Microsoft Entra per abilitare rapidamente Microsoft Authenticator per tutti gli utenti. Puoi abilitare l'autenticazione a più fattori Microsoft Entra per richiedere a utenti e gruppi una verifica aggiuntiva durante l'accesso.

Per controlli più granulari, puoi usare i criteri di accesso condizionale per definire eventi o applicazioni che richiedono l'autenticazione a più fattori. Questi criteri possono consentire l'accesso regolare quando l'utente si trova nella rete aziendale o su un dispositivo registrato, ma richiedere fattori di verifica aggiuntivi quando l'utente è in remoto o su un dispositivo personale.

Diagramma che illustra il funzionamento dell'accesso condizionale per proteggere il processo di accesso.

Passaggi successivi

Per informazioni sulle licenze, vedi Funzionalità e licenze per l'autenticazione a più fattori Microsoft Entra.

Per saperne di più sui diversi metodi di autenticazione e convalida, vedi Metodi di autenticazione in Microsoft Entra ID.

Per vedere come funziona MFA, abilita l'autenticazione a più fattori Microsoft Entra per un set di utenti di prova nell'esercitazione seguente: