Gestire i metodi di autenticazione utente per l'autenticazione a più fattori di Microsoft Entra

  • Procedure

Gli utenti di Microsoft Entra ID hanno due set distinti di informazioni sul contatto:

  • Informazioni sul contatto di profilo pubblico, gestite nel profilo utente e visibili ai membri dell'organizzazione. Per gli utenti sincronizzati da Active Directory locale, queste informazioni vengono gestite nei servizi locali di Active Directory Domain Services di Windows Server.
  • Metodi di autenticazione, che vengono sempre mantenuti privati e usati solo per l'autenticazione, inclusa l'autenticazione a più fattori. Gli amministratori possono gestire questi metodi nel pannello del metodo di autenticazione di un utente e gli utenti possono gestire i metodi nella pagina Informazioni di sicurezza di MyAccount.

Quando si gestiscono i metodi di autenticazione a più fattori di Microsoft Entra per gli utenti, gli amministratori dell'autenticazione possono:

  • Aggiungere metodi di autenticazione per un utente specifico, inclusi numeri di telefono usati per la MFA.
  • Reimpostare la password di un utente.
  • Richiedere a un utente di registrarsi per la MFA.
  • Revocare le sessioni MFA esistenti.
  • Eliminare le password esistenti degli utenti per le app

Nota

Gli screenshot di questo argomento illustrano come gestire i metodi di autenticazione utente usando un'esperienza aggiornata nell'interfaccia di amministrazione di Microsoft Entra. È disponibile anche un'esperienza legacy e gli amministratori possono passare da un banner all'altro usando un banner nell'interfaccia di amministrazione. L'esperienza moderna ha parità completa con l'esperienza legacy e gestisce metodi moderni come Pass di accesso temporaneo, passkey e altre impostazioni. L'esperienza legacy nell'interfaccia di amministrazione di Microsoft Entra verrà ritirata a partire dal 31 ottobre 2024. Non è richiesta alcuna azione da parte delle organizzazioni prima del ritiro.

Prerequisiti

Autenticazione a più fattori Microsoft Entra, abilitata per impostazione predefinita.

Aggiungere o modificare i metodi di autenticazione per un utente

È possibile aggiungere o modificare i metodi di autenticazione per un utente usando l'interfaccia di amministrazione di Microsoft Entra o Microsoft Graph PowerShell. Nell'interfaccia di amministrazione di Microsoft Entra il metodo legacy per la gestione dei metodi di autenticazione utente verrà ritirato dopo il 31 ottobre 2024.

Nota

Per motivi di sicurezza, i campi delle informazioni sul contatto dell'utente pubblico non devono essere usati per eseguire la MFA. Gli utenti devono invece popolare i propri numeri del metodo di autenticazione da usare per la MFA.

Screenshot di come aggiungere metodi di autenticazione dall'interfaccia di amministrazione di Microsoft Entra.

Per aggiungere o modificare i metodi di autenticazione per un utente nell'interfaccia di amministrazione di Microsoft Entra:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore autenticazione.
  2. Passare a Identità>Utenti>Tutti gli utenti.
  3. Scegliere l'utente per il quale si vuole aggiungere o modificare un metodo di autenticazione e selezionare Metodi di autenticazione.
  4. Nella parte superiore della finestra selezionare + Aggiungi metodo di autenticazione.
    • Selezionare un metodo (numero di telefono o indirizzo email). L'email può essere usata per l'auto-reimpostazione della password, ma non per l'autenticazione. Quando si aggiunge un numero di telefono, selezionare un tipo di telefono e immettere il numero di telefono con formato valido (ad esempio +1 4255551234).
    • Selezionare Aggiungi.

Gli utenti possono aggiungere o modificare i propri metodi di autenticazione in Accessi personali | Informazioni di sicurezza. Ad esempio, per modificare il numero di telefono, selezionare Numero di telefono e toccare Cambia.

Gestire metodi che usano PowerShell

Installare il modulo PowerShell Microsoft.Graph.Identity.Signins usando i comandi seguenti.

Install-module Microsoft.Graph.Identity.Signins
Connect-MgGraph -Scopes "User.Read.all","UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite.All"
Select-MgProfile -Name beta

List phone based authentication methods for a specific user.

Get-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com

Create a mobile phone authentication method for a specific user.

New-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -phoneType "mobile" -phoneNumber "+1 7748933135"

Remove a specific phone method for a user

Remove-MgUserAuthenticationPhoneMethod -UserId balas@contoso.com -PhoneAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Authentication methods can also be managed using Microsoft Graph APIs. For more information, see Authentication and authorization basics.

Gestire le opzioni di autenticazione utente

Suggerimento

La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.

Gli amministratori dell'autenticazione possono richiedere ad altri utenti di reimpostare la password, ripetere la registrazione per la MFA o revocare le sessioni MFA esistenti dall'oggetto utente. Gli utenti non possono aggiornare il proprio oggetto utente. Per modificare o reimpostare i propri metodi di sicurezza, gli utenti possono andare a Informazioni di sicurezza o alla reimpostazione della password self-service per reimpostare la password. Per gestire le impostazioni di altri utenti, completare la procedura seguente:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore autenticazione.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Scegliere l'utente su cui si vuole eseguire un'azione e selezionare Metodi di autenticazione. Nella parte superiore della finestra scegliere una delle opzioni seguenti per l'utente:

    • Reimpostare la password reimposta la password dell'utente e assegna una password temporanea che deve essere modificata al successivo accesso.
    • Richiedere la registrazione della MFA disattiva i token OATH hardware dell'utente ed elimina i seguenti metodi di autenticazione da questo utente: numeri di telefono, app Microsoft Authenticator e token OATH software. Se necessario, all'utente viene richiesto di configurare un nuovo metodo di autenticazione MFA al successivo accesso.
    • Revocare sessioni MFA cancella le sessioni MFA memorizzate dall'utente e richiede che eseguano la MFA la volta successiva che viene richiesta dai criteri nel dispositivo.

    Screenshot della gestione dei metodi di autenticazione dall'interfaccia di amministrazione di Microsoft Entra.

Eliminare le password per le app esistenti degli utenti

Per gli utenti che hanno definito password per le app, gli amministratori possono anche scegliere di eliminare queste password, causando l'esito negativo dell'autenticazione legacy in tali applicazioni. Queste azioni possono essere necessarie in caso serva fornire assistenza a un utente o reimpostare i relativi metodi di autenticazione. Le app non basate su browser associate a tali password dell'app cesseranno di funzionare fino a quando non verrà creata una nuova password dell'app.

Per eliminare le password dell'app di un utente, seguire questa procedura:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore autenticazione.

  2. Passare a Identità>Utenti>Tutti gli utenti.

  3. Selezionare Autenticazione a più fattori. Potrebbe essere necessario scorrere verso destra per visualizzare l'opzione del menu. Selezionare lo screenshot di esempio seguente per visualizzare la finestra completa e la posizione del menu: Screenshot della selezione dell'autenticazione a più fattori nella finestra Utenti in Microsoft Entra ID.

  4. Selezionare la casella accanto a uno o più utenti che si desidera gestire. Sulla destra viene visualizzato un elenco di opzioni di azioni rapide.

  5. Selezionare Gestisci impostazioni utente, quindi selezionare la casella Elimina tutte le password dell'app esistenti generate dagli utenti selezionati, come illustrato nell'esempio seguente: Screenshot dell'eliminazione di tutte le password dell'app esistenti.

  6. Selezionare Salva, quindi Chiudi.

Contenuto correlato