Raccomandazione di Microsoft Entra: Passare dall'autenticazione a più fattori per utente all'autenticazione a più fattori di accesso condizionale
Consigli di Microsoft Entra è una funzionalità che offre informazioni dettagliate personalizzate e indicazioni utili per allineare il tenant alle procedure consigliate.
Questo articolo illustra la raccomandazione di passare gli account di autenticazione a più fattori (MFA) per utente agli account MFA di accesso condizionale. Questo consiglio viene chiamato switchFromPerUserMFA
nell'API consigli in Microsoft Graph.
Descrizione
Gli amministratori vogliono mantenere la sicurezza per le risorse aziendali, ma si vuole anche che i dipendenti accedano facilmente alle risorse in base alle esigenze. L'autenticazione a più fattori consente di migliorare la postura di sicurezza del tenant.
Nel tenant è possibile abilitare l'autenticazione a più fattori in base all'utente. In questo scenario, gli utenti eseguono l'autenticazione a più fattori ogni volta che accedono. Esistono alcune eccezioni, ad esempio quando effettuano l'accesso da indirizzi IP attendibili o quando la funzionalità di memorizzazione dell'autenticazione a più fattori nei dispositivi attendibili è attivata. Anche se l'abilitazione dell'autenticazione a più fattori è una procedura consigliata, il passaggio dell'autenticazione a più fattori per utente in base all'accesso condizionale può ridurre il numero di richieste di autenticazione a più fattori da parte degli utenti.
Questa raccomandazione viene visualizzata se:
- L'autenticazione a più fattori per utente è configurata per almeno il 5% degli utenti.
- I criteri di accesso condizionale sono attivi per più del 1% degli utenti (a indicare la familiarità con i criteri di accesso condizionale).
Valore
Questo conisglio migliora la produttività dell'utente e riduce al minimo il tempo di accesso con un minor numero di richieste di autenticazione a più fattori. L'accesso condizionale e l'autenticazione a più fattori usati insieme consentono di garantire che le risorse più sensibili possano avere i controlli più rigidi, mentre le risorse meno sensibili possono essere accessibili più liberamente. Per una panoramica delle funzionalità disponibili nell'accesso condizionale, vedere Creazione di criteri di accesso condizionale.
Piano d'azione
Verificare che siano presenti criteri di accesso condizionale esistenti con un requisito di autenticazione a più fattori. Assicurarsi di coprire tutte le risorse e gli utenti da proteggere con MFA.
- Esaminare i criteri di accesso condizionale.
Richiedere l'autenticazione a più fattori usando un criterio di accesso condizionale.
- Proteggere gli eventi di accesso utente con l'autenticazione a più fattori di Microsoft Entra.
Assicurarsi che la configurazione MFA per utente sia disattivata.
Dopo la migrazione di tutti gli utenti agli account MFA di accesso condizionale, lo stato della raccomandazione viene aggiornato automaticamente alla successiva esecuzione del servizio. Continuare a esaminare i criteri di accesso condizionale.