Funzionalità e licenze per l'autenticazione a più fattori Microsoft Entra

Per proteggere gli account utente nella tua organizzazione, è consigliabile usare l'autenticazione a più fattori. Questa funzionalità è importante soprattutto per gli account dotati di accesso con privilegi alle risorse. Le funzionalità di autenticazione a più fattori di base sono disponibili per gli utenti di Microsoft 365 e Microsoft Entra ID e gli amministratori senza costi aggiuntivi. Se si desidera aggiornare le funzionalità per i propri amministratori o estendere l'autenticazione a più fattori al resto degli utenti con più metodi di autenticazione e maggiore controllo, è possibile acquistare l'autenticazione a più fattori di Microsoft Entra in diversi modi. Per altre informazioni, vedere Criterio di accesso condizionale comune: richiedere l'autenticazione a più fattori per tutti gli utenti.

Importante

Questo articolo illustra i diversi modi in cui è possibile concedere in licenza e usare l’autenticazione a più fattori Microsoft Entra. Per informazioni specifiche sui prezzi e sulla fatturazione, vedi la pagina dei prezzi di Microsoft Entra.

Versioni disponibili dell'autenticazione a più fattori Microsoft Entra

L’autenticazione a più fattori Microsoft Entra può essere usata e concessa in licenza in alcuni modi diversi, a seconda delle esigenze della tua organizzazione. Tutti i tenant hanno diritto alle funzionalità di autenticazione a più fattori di base tramite impostazioni predefinite per la sicurezza. Si potrebbe già avere la possibilità di usare l'autenticazione a più fattori avanzata di Microsoft Entra a seconda della licenza di cui si dispone correntemente. Ad esempio, i primi 50.000 utenti attivi mensili in Microsoft Entra External ID possono usare MFA e altre funzionalità Premium P1 o P2 gratuitamente. Per altre informazioni, vedere Prezzi di Azure Active Directory B2C.

La tabella seguente illustra in dettaglio i diversi modi per ottenere l’autenticazione a più fattori Microsoft Entra e alcune delle funzionalità e dei casi d'uso per ognuno di essi.

Utenti di Capacità e casi d'uso
Microsoft 365 Business Premium e EMS o Microsoft 365 E3 e E5 EMS E3, Microsoft 365 E3 e Microsoft 365 Business Premium include Microsoft Entra ID P1. EMS E5 o Microsoft 365 E5 include Microsoft Entra ID P2. Puoi usare le stesse funzionalità di accesso condizionale indicate nelle sezioni seguenti per fornire agli utenti l'autenticazione a più fattori.
Microsoft Entra ID P1 Puoi usare l'Accesso condizionale di Microsoft Entra per richiedere agli utenti di eseguire l'autenticazione a più fattori durante determinati scenari o eventi in base alle esigenze aziendali.
Microsoft Entra ID P2 Offre la posizione di sicurezza più avanzata e l'esperienza utente migliorata. Aggiunge l'accesso condizionale basato sul rischio alle funzionalità di Microsoft Entra ID P1 che si adattano ai modelli dell'utente e riduce al minimo le richieste di autenticazione a più fattori.
Tutti i piani di Microsoft 365 L'autenticazione a più fattori Microsoft Entra può essere abilitata per tutti gli utenti che usano le impostazioni predefinite per la sicurezza. La gestione dell'autenticazione a più fattori Microsoft Entra è tramite il portale di Microsoft 365. Per migliorare l'esperienza utente, eseguire l'aggiornamento a Microsoft Entra ID P1 o P2 e usare l'accesso condizionale. Per altre informazioni, vedi Proteggere le risorse di Microsoft 365 con l'autenticazione a più fattori.
Office 365 gratuito
Microsoft Entra ID gratuito
Puoi usare le impostazioni predefinite per la sicurezza per richiedere agli utenti l'autenticazione a più fattori in base alle esigenze. Non disponi di un controllo granulare degli utenti o degli scenari abilitati ma tale passaggio di sicurezza aggiuntivo è fornito.

Confronto tra le funzionalità basate sulle licenze

La tabella seguente indica un elenco delle funzionalità disponibili nelle varie versioni di Microsoft Entra ID per l’autenticazione a più fattori. Pianificare le esigenze di protezione dell'autenticazione utente, quindi determinare quale approccio soddisfa tali requisiti. Ad esempio, sebbene Microsoft Entra ID gratuito offra impostazioni predefinite di sicurezza che forniscono l’autenticazione a più fattori Microsoft Entra, è possibile usare solo l'app di autenticazione per dispositivi mobili per la richiesta di autenticazione. Questo approccio può costituire una limitazione se non è possibile verificare che l'app di autenticazione per dispositivi mobili sia installata nel dispositivo personale di un utente. Per altri dettagli, vedi Microsoft Entra ID a livello gratuito più avanti in questo capitolo.

Funzionalità Microsoft Entra ID gratuito - Impostazioni predefinite di sicurezza (abilitate per tutti gli utenti) Microsoft Entra ID gratuito - Solo amministratori globali Office 365 Microsoft Entra ID P1 Microsoft Entra ID P2
Protezione degli account di amministratore tenant di Microsoft Entra con MFA (autenticazione a più fattori) ● (solo per account amministratore globale Microsoft Entra)
App per dispositivi mobili come secondo fattore
Chiamata telefonica come secondo fattore
Messaggio di testo come secondo fattore
Controllo amministrativo sui metodi di verifica
Avviso di illecito
Report MFA
Messaggi di saluto personalizzati per le telefonate
ID chiamante personalizzato per le telefonate
Indirizzi IP attendibili
Memorizzazione di MFA per dispositivi attendibili
MFA per applicazioni locali
Accesso condizionale
Accesso condizionale basato sul rischio

Confrontare i criteri di autenticazione a più fattori

L'approccio consigliato per applicare l'autenticazione a più fattori (MFA) usa l'accesso condizionale. Controllare la tabella seguente per determinare quali funzionalità siano incluse nelle proprie licenze.

Criteri Impostazioni predefinite per la sicurezza Accesso condizionale Autenticazione a più fattori per utente
Gestione
Set standard di regole di sicurezza per proteggere la tua azienda
Attiva/disattiva con un clic
Incluso nelle licenze di Office 365 (vedi considerazioni sulle licenze)
Modelli preconfigurati nella procedura guidata dell'interfaccia di amministrazione di Microsoft 365
Flessibilità di configurazione
Funzionalità
Esentare gli utenti dai criteri
Eseguire l'autenticazione tramite telefonata o SMS
Eseguire l'autenticazione tramite Microsoft Authenticator e token software
Eseguire l'autenticazione tramite FIDO2, Windows Hello for Business e token hardware
Blocca i protocolli di autenticazione legacy
I nuovi dipendenti sono protetti automaticamente
Trigger MFA (autenticazione a più fattori) dinamici basati su eventi di rischio
Criteri di autenticazione e autorizzazione
Configurabile in base alla posizione e allo stato del dispositivo
Supporto per la modalità "solo report”
Possibilità di bloccare completamente utenti/servizi

Livello gratuito di Microsoft Entra ID

Tutti gli utenti in un tenant Microsoft Entra ID gratuito possono usare l'autenticazione a più fattori Microsoft Entra usando le impostazioni predefinite di sicurezza. La app di autenticazione per dispositivi mobili può essere usata per l'autenticazione a più fattori Microsoft Entra quando si usano le impostazioni predefinite di sicurezza Microsoft Entra ID gratuito.

Puoi abilitare l’autenticazione a più fattori Microsoft Entra in uno dei modi seguenti, a seconda del tipo di account che usi:

Passaggi successivi