Quali metodi di autenticazione e verifica sono disponibili in Azure Active Directory?

Microsoft consiglia metodi di autenticazione senza password, ad esempio Windows Hello, chiavi di sicurezza FIDO2 e l'app Microsoft Authenticator perché offrono l'esperienza di accesso più sicura. Anche se un utente può accedere usando altri metodi comuni, ad esempio un nome utente e una password, le password devono essere sostituite con metodi di autenticazione più sicuri.

Tabella dell'affidabilità e dei metodi di autenticazione preferiti in Azure AD

Azure AD Multi-Factor Authentication (MFA) aggiunge ulteriore sicurezza rispetto al semplice uso di una password per l'accesso dell'utente. All'utente possono venire richieste altre forme di autenticazione, ad esempio rispondere a una notifica push, immettere un codice da un token software o hardware oppure rispondere a un SMS o a una telefonata.

Per semplificare l'esperienza di on boarding degli utenti e registrarsi sia per MFA che per la reimpostazione della password self-service, è consigliabile abilitare la registrazione combinata delle informazioni di sicurezza. Per assicurare la resilienza, è consigliabile richiedere agli utenti di registrare più metodi di autenticazione. Quando un metodo non è disponibile per un utente durante l'accesso o la reimpostazione della password self-service, sarà possibile scegliere di eseguire l'autenticazione con un altro metodo. Per altre informazioni, vedere Creare una strategia di gestione del controllo di accesso resiliente in Azure AD.

Ecco un video creato per aiutare a scegliere il metodo di autenticazione migliore per proteggere l'organizzazione.

Affidabilità e sicurezza dei metodi di autenticazione

Quando si distribuiscono funzionalità come Azure AD Multi-Factor Authentication all'interno dell'organizzazione, esaminare i metodi di autenticazione disponibili. Scegliere i metodi che soddisfano o superano i requisiti in termini di sicurezza, usabilità e disponibilità. Quando possibile, usare i metodi di autenticazione con il massimo livello di sicurezza.

La tabella seguente illustra alcune considerazioni sulla sicurezza per i metodi di autenticazione disponibili. La disponibilità si riferisce alla possibilità per l'utente di usare il metodo di autenticazione e non alla disponibilità del servizio in Azure AD:

Metodo di autenticazione Sicurezza Usabilità Disponibilità
Windows Hello for Business Alto Alto Alto
App Microsoft Authenticator Alto Alto Alto
Chiave di sicurezza FIDO2 Alto Alto Alto
Token hardware OATH (anteprima) Livello medio Livello medio Alto
Token software OATH Livello medio Livello medio Alto
SMS Medio Alto Medio
Chiamata vocale Livello medio Livello medio Livello medio
Password Basso Alto Alto

Per le informazioni più recenti sulla sicurezza, vedere i post di blog:

Suggerimento

Per assicurare flessibilità e usabilità, è consigliabile usare l'app Microsoft Authenticator. Questo metodo di autenticazione offre la migliore esperienza utente e più modalità, ad esempio senza password, notifiche push MFA e codici OATH.

Modalità di funzionamento di ogni metodo di autenticazione

Alcuni metodi di autenticazione possono essere usati come fattore primario quando si accede a un'applicazione o a un dispositivo, ad esempio usando una chiave di sicurezza FIDO2 o una password. Altri metodi di autenticazione sono disponibili solo come fattore secondario quando si usa Azure AD Multi-Factor Authentication o la reimpostazione della password self-service.

La tabella seguente illustra quando è possibile usare un metodo di autenticazione durante un evento di accesso:

Metodo Autenticazione primaria Autenticazione secondaria
Windows Hello for Business MFA
App Microsoft Authenticator Autenticazione a più fattori e SSPR
Chiave di sicurezza FIDO2 MFA
Token hardware OATH (anteprima) No Autenticazione a più fattori e SSPR
Token software OATH No Autenticazione a più fattori e SSPR
SMS Autenticazione a più fattori e SSPR
Chiamata vocale No Autenticazione a più fattori e SSPR
Password

Tutti questi metodi di autenticazione possono essere configurati nel portale di Azure e sempre più usando l'API REST di Microsoft Graph.

Per altre informazioni sul funzionamento di ogni metodo di autenticazione, vedere gli articoli concettuali separati seguenti:

Nota

In Azure AD la password è spesso uno dei metodi di autenticazione principali. Non è possibile disabilitare il metodo di autenticazione con password. Se si usa una password come fattore di autenticazione principale, aumentare la sicurezza degli eventi di accesso tramite Azure AD Multi-Factor Authentication.

In determinati scenari è possibile usare i metodi di verifica aggiuntiva seguenti:

Passaggi successivi

Per iniziare, vedere l'esercitazione sulla reimpostazione della password self-service e Azure AD Multi-Factor Authentication.

Per altre informazioni sui concetti di reimpostazione della password self-service, vedere Come funziona la reimpostazione della password self-service di Azure AD.

Per altre informazioni sui concetti relativi all'autenticazione a più fattori, Azure AD funzionamento di Multi-Factor Authentication.

Altre informazioni sulla configurazione dei metodi di autenticazione con l'API REST Graph Microsoft.

Per esaminare i metodi di autenticazione in uso, vedere l'Azure AD del metodo di autenticazione Multi-Factor Authentication con PowerShell.