Quali metodi di autenticazione e verifica sono disponibili in Azure Active Directory?What authentication and verification methods are available in Azure Active Directory?

Nell'ambito dell'esperienza di accesso degli account in Azure Active Directory (Azure AD) è possibile eseguire l'autenticazione di un utente in modi diversi.As part of the sign-in experience for accounts in Azure Active Directory (Azure AD), there are different ways that a user can authenticate themselves. Il modo più comune in cui un utente inserisce le credenziali è tradizionalmente l'uso di un nome utente e di una password.A username and password is the most common way a user would historically provide credentials. Con le moderne funzionalità di autenticazione e sicurezza in Azure AD, la comune password può essere integrata o sostituita con metodi di autenticazione aggiuntivi.With modern authentication and security features in Azure AD, that basic password can be supplemented or replaced with additional authentication methods.

Un utente in Azure AD può scegliere di eseguire l'autenticazione usando uno dei metodi di autenticazione seguenti:A user in Azure AD can choose to authenticate using one of the following authentication methods:

  • Nome utente e password tradizionaliTraditional username and password
  • Accesso senza password con l'app Microsoft AuthenticatorMicrosoft Authenticator App passwordless sign-in
  • Token hardware OATH o chiave di sicurezza FIDO2OATH hardware token or FIDO2 security key
  • Accesso senza password basato su SMSSMS-based passwordless sign-in

Molti account di Azure AD sono abilitati per la reimpostazione della password self-service e Azure Multi-Factor Authentication.Many accounts in Azure AD are enabled for self-service password reset (SSPR) or Azure Multi-Factor Authentication. Queste funzionalità includono metodi di verifica aggiuntivi quali una telefonata o domande di sicurezza.These features include additional verification methods, such as a phone call or security questions. Si consiglia di richiedere agli utenti di registrare più di un metodo di verifica.It's recommended that you require users to register multiple verification methods. Quando un metodo non è disponibile, un utente può scegliere di eseguire l'autenticazione con un altro metodo.When one method isn't available for a user, they can choose to authenticate with another method.

La tabella seguente delinea i metodi disponibili per l'autenticazione primaria o secondaria:The following table outlines what methods are available for primary or secondary authentication:

MetodoMethod Autenticazione primariaPrimary authentication Autenticazione secondariaSecondary authentication
PasswordPassword Yes
App Microsoft AuthenticatorMicrosoft Authenticator app Sì (anteprima)Yes (preview) Autenticazione a più fattori e SSPRMFA and SSPR
Chiavi di sicurezza FIDO2 (anteprima)FIDO2 security keys (preview) Yes Solo MFAMFA-only
Token software OATHOATH software tokens NoNo MFAMFA
Token hardware OATH (anteprima)OATH hardware tokens (preview) Yes MFAMFA
SMSSMS Sì (anteprima)Yes (preview) Autenticazione a più fattori e SSPRMFA and SSPR
Chiamata vocaleVoice call NoNo Autenticazione a più fattori e SSPRMFA and SSPR
Domande di sicurezzaSecurity questions NoNo Solo reimpostazione della password self-serviceSSPR-only
Indirizzo di posta elettronicaEmail address NoNo Solo reimpostazione della password self-serviceSSPR-only
Password dell'appApp passwords NoNo Autenticazione a più fattori solo in alcuni casiMFA only in certain cases

Questo articolo illustra i diversi metodi di autenticazione e verifica disponibili in Azure AD ed eventuali limitazioni o restrizioni specifiche.This article outlines these different authentication and verification methods available in Azure AD and any specific limitations or restrictions.

Metodi di autenticazione in uso nella schermata di accesso

PasswordPassword

La password di Azure AD è spesso uno dei principali metodi di autenticazione.An Azure AD password is often one of the primary authentication methods. Non è possibile disabilitare il metodo di autenticazione con password.You can't disable the password authentication method.

Anche se si usa un metodo di autenticazione come ad esempio l'accesso basato su SMS quando l'utente non usa la propria password per accedere, questa rimane disponibile come metodo di autenticazione.Even if you use an authentication method such as SMS-based sign-in when the user doesn't use their password to sign, a password remains as an available authentication method.

App Microsoft AuthenticatorMicrosoft Authenticator app

L'app Authenticator offre un livello di sicurezza aggiuntivo a un account aziendale o dell'istituto di istruzione Azure AD o all'account Microsoft ed è disponibile per Android, iOS e Windows Phone.The Authenticator app provides an additional level of security to your Azure AD work or school account or your Microsoft account and is available for Android, iOS, and Windows Phone. Con l'app Microsoft Authenticator, gli utenti possono eseguire l'autenticazione senza password durante l'accesso o come opzione di verifica aggiuntiva durante la reimpostazione della password self-service o gli eventi di Azure Multi-Factor Authentication.With the Microsoft Authenticator app, users can authenticate in a passwordless way during sign-in, or as an additional verification option during self-service password reset (SSPR) or Azure Multi-Factor Authentication events.

Gli utenti possono ricevere una notifica tramite l'app per dispositivi mobili da approvare o rifiutare, oppure possono usare l'app Authenticator per generare un codice di verifica OATH che può essere inserito in un'interfaccia di accesso.Users may receive a notification through the mobile app for them to approve or deny, or use the Authenticator app to generate an OATH verification code that can be entered in a sign-in interface. Se si abilitano sia la notifica che il codice di verifica, gli utenti che registrano l'app Authenticator possono usare uno dei due metodi per verificare la propria identità.If you enable both a notification and verification code, users who register the Authenticator app can use either method to verify their identity.

Per usare l'app Authenticator in un prompt di accesso invece di una combinazione di nome utente e password, vedere Abilitare l'accesso senza password con l'app Microsoft Authenticator (anteprima).To use the Authenticator app at a sign-in prompt rather than a username and password combination, see Enable passwordless sign-in with the Microsoft Authenticator app (preview).

Nota

Gli utenti non possono registrare l'app per dispositivi mobili quando abilitano la reimpostazione della password self-service.Users don't have the option to register their mobile app when they enable SSPR. Possono invece registrarla all'indirizzo https://aka.ms/mfasetup o come parte della registrazione delle informazioni di sicurezza combinate alla pagina https://aka.ms/setupsecurityinfo.Instead, users can register their mobile app at https://aka.ms/mfasetup or as part of the combined security info registration at https://aka.ms/setupsecurityinfo.

Notifica tramite app per dispositivi mobiliNotification through mobile app

L'app Authenticator consente di impedire l'accesso non autorizzato agli account e di arrestare le transazioni illecite eseguendo il push di una notifica allo smartphone o al tablet dell'utente.The Authenticator app can help prevent unauthorized access to accounts and stop fraudulent transactions by pushing a notification to your smartphone or tablet. Gli utenti visualizzano la notifica e, se legittima, selezionano Verifica.Users view the notification, and if it's legitimate, select Verify. Altrimenti possono selezionare Nega.Otherwise, they can select Deny.

Screenshot di un esempio di prompt del Web browser per la notifica dell'app Authenticator per completare il processo di accesso

Nota

Se l'organizzazione dispone di personale che lavora o viaggia in Cina, la notifica tramite il metodo di app per dispositivi mobili nei dispositivi Android non funziona in quel paese/area geografica perché i servizi Google Play (incluse le notifiche push) sono bloccati nell'area.If your organization has staff working in or traveling to China, the Notification through mobile app method on Android devices doesn't work in that country/region as Google play services(including push notifications) are blocked in the region. Tuttavia, le notifiche iOS funzionano.However iOS notification do work. Per i dispositivi Android, è necessario rendere disponibili metodi di autenticazione alternativi per tali utenti.For Android devices ,alternate authentication methods should be made available for those users.

Codice di verifica dall'app per dispositivi mobiliVerification code from mobile app

L'app Authenticator può essere usata come token software per generare un codice di verifica OATH.The Authenticator app can be used as a software token to generate an OATH verification code. Dopo aver inserito il nome utente e la password, si immette il codice inviato dall'app Authenticator nell'interfaccia di accesso.After entering your username and password, you enter the code provided by the Authenticator app into the sign-in interface. Il codice di verifica offre una seconda forma di autenticazione.The verification code provides a second form of authentication.

Gli utenti possono avere una combinazione composta da fino a cinque token hardware OATH o applicazioni di autenticazione, quali l'app Microsoft Authenticator, configurate per l'uso in qualsiasi momento.Users may have a combination of up to five OATH hardware tokens or authenticator applications, such as the Microsoft Authenticator app, configured for use at any time.

Avviso

Per garantire il livello di sicurezza più elevato per la reimpostazione della password self-service quando viene richiesto un solo metodo di ripristino, il codice di verifica rappresenta l'unica opzione disponibile per gli utenti.To ensure the highest level of security for self-service password reset when only one method is required for reset, a verification code is the only option available to users.

Quando vengono richiesti due metodi, gli utenti possono eseguire la reimpostazione usando la notifica o il codice di verifica, oltre a un altro metodo abilitato.When two methods are required, users can reset using either a notification or verification code in addition to any other enabled methods.

Chiavi di sicurezza FIDO2FIDO2 security keys

FIDO (Fast Identity Online) Alliance promuove gli standard di autenticazione aperti e limita l'uso delle password come forma di autenticazione.The FIDO (Fast IDentity Online) Alliance helps to promote open authentication standards and reduce the user of passwords as a form of authentication. FIDO2 è lo standard più recente che incorpora lo standard di autenticazione Web (WebAuthn).FIDO2 is the latest standard that incorporates the web authentication (WebAuthn) standard.

Per usare le chiavi di sicurezza di FIDO2 in un prompt di accesso anziché una combinazione di nome utente e password, vedere Abilitare l'accesso con chiave di sicurezza FIDO2 senza password (anteprima).To use FIDO2 security keys at a sign-in prompt rather than a username and password combination, see Enable passwordless FIDO2 security key sign-in (preview).

Gli utenti possono registrarsi e quindi selezionare una chiave di sicurezza FIDO2 nell'interfaccia di accesso come mezzo di autenticazione principale.Users can register and then select a FIDO2 security key at the sign-in interface as their main means of authentication. Le chiavi di sicurezza di FIDO2 sono in genere dispositivi USB, ma possono anche usare il Bluetooth o l'NFC.These FIDO2 security keys are typically USB devices, but could also use Bluetooth or NFC. Grazie a un dispositivo hardware che gestisce l'autenticazione, la sicurezza di un account viene aumentata poiché non vi è una password che può essere esposta o individuata.With a hardware device that handles the authentication, the security of an account is increased as there's no password that could be exposed or guessed.

Le chiavi di sicurezza FIDO2 in Azure AD sono attualmente in anteprima.FIDO2 security keys in Azure AD are currently in preview. Per altre informazioni sulle anteprime, vedere Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

Token OATHOATH tokens

OATH TOTP (Time-Based One-Time Passwords) è uno standard aperto che specifica come vengono generati i codici per password monouso (OTP).OATH TOTP (Time-based One Time Password) is an open standard that specifies how one-time password (OTP) codes are generated. OATH TOTP può essere implementato usando un software o un hardware per generare i codici.OATH TOTP can be implemented using either software or hardware to generate the codes. Azure AD non supporta OATH HOTP, uno standard di generazione del codice diverso.Azure AD doesn't support OATH HOTP, a different code generation standard.

Token software OATHOATH software tokens

I token software OATH sono in genere applicazioni quali l'app Microsoft Authenticator e altre app di autenticazione.Software OATH tokens are typically applications such as the Microsoft Authenticator app and other authenticator apps. Azure AD genera la chiave privata, o il seme, che rappresenta l'input nell'app ed è usato per generare ciascun OTP.Azure AD generates the secret key, or seed, that's input into the app and used to generate each OTP.

L'app Authenticator genera automaticamente i codici quando è configurata per generare notifiche push, in modo che un utente abbia un backup anche se il dispositivo non è connesso.The Authenticator app automatically generates codes when set up to do push notifications so a user has a backup even if their device doesn't have connectivity. Possono essere usate anche applicazioni di terze parti che usano OATH TOTP per generare i codici.Third-party applications that use OATH TOTP to generate codes can also be used.

Alcuni token hardware OATH TOTP sono programmabili, ovvero non contengono una chiave privata o un seme pre-programmato.Some OATH TOTP hardware tokens are programmable, meaning they don't come with a secret key or seed pre-programmed. Questi token hardware programmabili possono essere configurati usando la chiave privata o il seme ottenuto dal flusso di configurazione del token software.These programmable hardware tokens can be set up using the secret key or seed obtained from the software token setup flow. I clienti possono acquistare i token dal fornitore di propria scelta e usare la chiave privata o il seme nel processo di configurazione del fornitore.Customers can purchase these tokens from the vendor of their choice and use the secret key or seed in their vendor's setup process.

Token hardware OATH (anteprima)OATH hardware tokens (preview)

Azure AD supporta l'uso di token SHA-1 OATH-TOTP che aggiornano i codici ogni 30 o 60 secondi.Azure AD supports the use of OATH-TOTP SHA-1 tokens that refresh codes every 30 or 60 seconds. I clienti possono acquistare questi token dal fornitore preferito.Customers can purchase these tokens from the vendor of their choice.

I token hardware OATH TOTP sono in genere dotati di una chiave privata o di un seme pre-programmato nel token.OATH TOTP hardware tokens typically come with a secret key, or seed, pre-programmed in the token. Queste chiavi devono essere inserite in Azure AD come descritto nella procedura seguente.These keys must be input into Azure AD as described in the following steps. Le chiavi private sono limitate a 128 caratteri e ciò potrebbe non essere compatibile con tutti i token.Secret keys are limited to 128 characters, which may not be compatible with all tokens. La chiave privata può contenere solo i caratteri a-z o A-Z e i numeri 1-7 e deve essere codificata in Base32.The secret key can only contain the characters a-z or A-Z and digits 1-7, and must be encoded in Base32.

I token hardware OATH TOTP programmabili di cui è possibile generare un nuovo seme possono anche essere configurati con Azure AD nel flusso di configurazione del token software.Programmable OATH TOTP hardware tokens that can be reseeded can also be set up with Azure AD in the software token setup flow.

I token hardware OATH sono supportati come parte di un'anteprima pubblica.OATH hardware tokens are supported as part of a public preview. Per altre informazioni sulle funzioni in anteprima, vedere Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews

Pannello di caricamento dei token OATH nei token OATH di MFA

Dopo aver acquisito i token, è necessario caricarli in un formato di file con valori delimitati da virgole (CSV) includendo l'UPN, il numero di serie, la chiave privata, l'intervallo di tempo, il produttore e il modello come illustrato nell'esempio seguente:Once tokens are acquired they must be uploaded in a comma-separated values (CSV) file format including the UPN, serial number, secret key, time interval, manufacturer, and model as shown in the following example:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Nota

Assicurarsi di includere la riga di intestazione nel file CSV.Make sure you include the header row in your CSV file.

Dopo aver formattato correttamente il file CSV, un amministratore può accedere al portale di Azure e passare ad Azure Active Directory > Sicurezza > MFA > Token OATH e caricare il file CSV risultante.Once properly formatted as a CSV file, an administrator can then sign in to the Azure portal, navigate to Azure Active Directory > Security > MFA > OATH tokens, and upload the resulting CSV file.

A seconda delle dimensioni del file CSV, potrebbero essere richiesti alcuni minuti per l'elaborazione.Depending on the size of the CSV file, it may take a few minutes to process. Per ottenere lo stato corrente, selezionare il pulsante Aggiorna.Select the Refresh button to get the current status. Se sono presenti errori nel file, è possibile scaricare un file CSV che elenca gli eventuali errori da risolvere.If there are any errors in the file, you can download a CSV file that lists any errors for you to resolve. I nomi dei campi nel file CSV scaricato sono diversi da quelli della versione caricata.The field names in the downloaded CSV file are different than the uploaded version.

Dopo aver risolto eventuali errori, l'amministratore può quindi attivare ogni chiave selezionando Attiva per il token da attivare e immettendo l'OTP visualizzato nel token.Once any errors have been addressed, the administrator then can activate each key by selecting Activate for the token and entering the OTP displayed on the token.

Gli utenti possono avere una combinazione composta da fino a cinque token hardware OATH o applicazioni di autenticazione, quali l'app Microsoft Authenticator, configurate per l'uso in qualsiasi momento.Users may have a combination of up to five OATH hardware tokens or authenticator applications, such as the Microsoft Authenticator app, configured for use at any time.

Opzioni con il telefonoPhone options

Per l'autenticazione diretta tramite SMS, è possibile configurare e abilitare gli utenti per l'autenticazione basata su SMS (anteprima).For direct authentication using text message, you can Configure and enable users for SMS-based authentication(preview). L'accesso basato su SMS è ideale per chi lavora a contatto con il pubblico.SMS-based sign-in is great for front-line workers. Con l'accesso basato su SMS, non è necessario che l'utente conosca nome utente e password per accedere alle applicazioni e ai servizi.With SMS-based sign-in, users don't need to know a username and password to access applications and services. Può immettere invece il numero di telefono cellulare registrato, ricevere un SMS con un codice di verifica e inserirlo nell'interfaccia di accesso.The user instead enters their registered mobile phone number, receives a text message with a verification code, and enters that in the sign-in interface.

Gli utenti possono autenticarsi anche usando un telefono cellulare o un telefono dell'ufficio come forma di autenticazione secondaria durante l'autenticazione a più fattori di Azure o la reimpostazione della password self-service.Users can also verify themselves using a mobile phone or office phone as secondary form of authentication used during Azure Multi-Factor Authentication or self-service password reset (SSPR).

Per garantirne il corretto funzionamento, i numeri di telefono devono essere nel formato +PrefissoInternazionale NumeroTelefonico, ad esempio +1 4251234567.To work properly, phone numbers must be in the format +CountryCode PhoneNumber, for example, +1 4251234567.

Nota

È necessario uno spazio tra il prefisso internazionale o della regione e il numero di telefono.There needs to be a space between the country/region code and the phone number.

La reimpostazione della password non supporta le estensioni del telefono.Password reset doesn't support phone extensions. Anche nel formato +1 4251234567X12345, le estensioni vengono rimosse prima della chiamata.Even in the +1 4251234567X12345 format, extensions are removed before the call is placed.

Verifica tramite telefono cellulareMobile phone verification

Per Azure Multi-Factor Authentication o la reimpostazione della password self-service, gli utenti possono scegliere di ricevere un SMS con un codice di verifica da immettere nell'interfaccia di accesso oppure una telefonata in cui si richiedere di immettere il codice PIN definito.For Azure Multi-Factor Authentication or SSPR, users can choose to receive a text message with a verification code to enter in the sign-in interface, or receive a phone call with a prompt to enter their defined pin code.

Se gli utenti non desiderano che il numero di telefono cellulare sia visibile nella directory, ma vogliono comunque usarlo per la reimpostazione della password, gli amministratori non devono inserirlo nella directory.If users don't want their mobile phone number to be visible in the directory but want to use it for password reset, administrators shouldn't populate the phone number in the directory. Gli utenti devono invece popolare il proprio attributo Telefono per l'autenticazione tramite la registrazione delle informazioni di sicurezza combinate all'indirizzo https://aka.ms/setupsecurityinfo.Instead, users should populate their Authentication Phone attribute via the combined security info registration at https://aka.ms/setupsecurityinfo. Gli amministratori possono visualizzare queste informazioni nel profilo dell'utente, ma non vengono pubblicate altrove.Administrators can see this information in the user's profile, but it's not published elsewhere.

Screenshot del portale di Azure che mostra i metodi di autenticazione con un numero di telefono inserito

Microsoft non garantisce l'invio coerente di prompt Azure Multi-Factor Authentication via SMS o tramite messaggio vocale allo stesso numero.Microsoft doesn't guarantee consistent SMS or voice-based Azure Multi-Factor Authentication prompt delivery by the same number. Nell'interesse degli utenti, Microsoft può aggiungere o rimuovere codici brevi in qualsiasi momento per eseguire modifiche di route e migliorare il recapito degli SMS.In the interest of our users, we may add or remove short codes at any time as we make route adjustments to improve SMS deliverability. Microsoft non supporta i codici brevi in paesi o aree geografiche diversi da Stati Uniti e Canada.Microsoft doesn't support short codes for countries / regions besides the United States and Canada.

Verifica tramite SMSText message verification

Con la verifica tramite SMS durante la reimpostazione della password self-service o l'uso di Azure Multi-Factor Authentication, viene inviato un SMS al numero di telefono cellulare contenente un codice di verifica.With text message verification during SSPR or Azure Multi-Factor Authentication, an SMS is sent to the mobile phone number containing a verification code. Per completare il processo di accesso, il codice di verifica inviato viene immesso nell'interfaccia di accesso.To complete the sign-in process, the verification code provided is entered into the sign-in interface.

Verifica tramite telefonataPhone call verification

Con la verifica tramite telefonata durante la reimpostazione della password self-service o l'uso di Azure Multi-Factor Authentication, viene eseguita una chiamata vocale automatica al numero di telefono registrato dall'utente.With phone call verification during SSPR or Azure Multi-Factor Authentication, an automated voice call is made to the phone number registered by the user. Per completare il processo di accesso, all'utente viene richiesto di immettere il numero PIN seguito da # sul tastierino.To complete the sign-in process, the user is prompted to enter their pin number followed by # on their keypad.

Verifica tramite telefono dell'ufficioOffice phone verification

L'attributo telefono dell'ufficio viene gestito dall'amministratore di Azure AD e non può essere registrato dall'utente stesso.The office phone attribute is managed by the Azure AD administrator and can't be registered by a user themselves.

Con la verifica tramite telefonata durante la reimpostazione della password self-service o l'uso di Azure Multi-Factor Authentication, viene eseguita una chiamata vocale automatica al numero di telefono registrato dall'utente.With phone call verification during SSPR or Azure Multi-Factor Authentication, an automated voice call is made to the phone number registered by the user. Per completare il processo di accesso, all'utente viene richiesto di immettere il numero PIN seguito da # sul tastierino.To complete the sign-in process, the user is prompted to enter their pin number followed by # on their keypad.

Risoluzione dei problemi delle opzioni che si servono del telefonoTroubleshooting phone options

In caso di problemi con l'autenticazione tramite telefono in Azure AD, esaminare la procedura per la risoluzione dei problemi seguente:If you have problems with phone authentication for Azure AD, review the following troubleshooting steps:

  • ID del chiamante bloccato su un solo dispositivo.Blocked caller ID on a single device.
    • Esaminare i numeri bloccati configurati sul dispositivo.Review any blocked numbers configured on the device.
  • Numero di telefono errato o codice internazionale o dell'area errato, oppure confusione tra il numero di telefono personale e il numero di telefono dell'ufficio.Wrong phone number or incorrect country/region code, or confusion between personal phone number versus work phone number.
    • Risolvere i problemi relativi all'oggetto utente e ai metodi di autenticazione configurati.Troubleshoot the user object and configured authentication methods. Assicurarsi che siano registrati i numeri di telefono corretti.Make sure that the correct phone numbers are registered.
  • PIN immesso errato.Wrong PIN entered.
    • Verificare che l'utente abbia usato il PIN corretto registrato per il proprio account.Confirm the user has used the correct PIN as registered for their account.
  • Chiamata inoltrata alla segreteria telefonica.Call forwarded to voicemail.
    • Verificare che il telefono dell'utente sia acceso e che il servizio sia disponibile nella propria area oppure usare un altro metodo.Ensure that the user has their phone turned on and that service is available in their area, or use alternate method.
  • L'utente è bloccatoUser is blocked
    • Chiedere a un amministratore di Azure AD di sbloccare l'utente nel portale di Azure.Have an Azure AD administrator unblock the user in the Azure portal.
  • Il metodo con SMS non è stato sottoscritto sul dispositivo.SMS is not subscribed on the device.
    • Chiedere all'utente di modificare i metodi o di attivare il metodo con SMS sul dispositivo.Have the user change methods or activate SMS on the device.
  • Servizi di telecomunicazione non funzionanti correttamente, ad esempio input del telefono mancanti, problemi di toni DTMF mancanti, ID del chiamante bloccato oppure SMS bloccati in più dispositivi.Faulty telecom providers such as no phone input detected, missing DTMF tones issues, blocked caller ID on multiple devices, or blocked SMS across multiple devices.
    • Microsoft usa più provider di telecomunicazioni per instradare telefonate e messaggi SMS per l'autenticazione.Microsoft uses multiple telecom providers to route phone calls and SMS messages for authentication. Se si nota uno dei problemi descritti in precedenza, chiedere all'utente di provare a usare il metodo almeno cinque volte in 5 minuti e recuperare le informazioni dell'utente prima di contattare il supporto tecnico Microsoft.If you see any of the above issues, have a user attempt to use the method at least five times within 5 minutes and have that user's information available when contacting Microsoft support.

Domande di sicurezzaSecurity questions

Le domande di sicurezza non vengono usate come metodo di autenticazione durante un evento di accesso.Security questions aren't used as an authentication method during a sign-in event. Possono invece essere usate durante il processo di reimpostazione della password self-service per confermare l'identità dell'utente.Instead, security questions can be used during the self-service password reset (SSPR) process to confirm who you are. Gli account amministratore non possono usare le domande di sicurezza come metodo di verifica con la reimpostazione della password self-service.Administrator accounts can't use security questions as verification method with SSPR.

Quando gli utenti si registrano per la reimpostazione della password self-service, viene richiesto loro di scegliere i metodi di autenticazione da usare.When users register for SSPR, they're prompted to choose the authentication methods to use. Se decidono di usare le domande di sicurezza, scelgono tra una serie di domande e quindi inseriscono le proprie risposte.If they choose to use security questions, they pick from a set of questions to prompt for and then provide their own answers.

Screenshot del portale di Azure che mostra i metodi di autenticazione e le opzioni per le domande di sicurezza

Nota

Le domande di sicurezza vengono archiviate privatamente e in modo sicuro in un oggetto utente nella directory e gli utenti possono rispondere a tali domande solo durante la registrazione.Security questions are stored privately and securely on a user object in the directory and can only be answered by users during registration. All'amministratore non è consentito leggere o modificare le domande e le risposte di un utente.There's no way for an administrator to read or modify a user's questions or answers.

Le domande di sicurezza possono risultare meno sicure rispetto ad altri metodi perché alcuni utenti potrebbero conoscere le risposte alle domande di un altro utente.Security questions can be less secure than other methods because some people might know the answers to another user's questions. Se vengono usate le domande di sicurezza con la reimpostazione della password self-service, è consigliabile combinare questo metodo con un altro.If you use security questions with SSPR, it's recommended to use them in conjunction with another method. A un utente può essere richiesto di usare l'app Microsoft Authenticator oppure l'autenticazione tramite telefono per confermare la propria identità durante il processo di reimpostazione della password self-service e di scegliere le domande di sicurezza solo se non ha il telefono o il dispositivo registrato a portata di mano.A user can be prompted to use the Microsoft Authenticator App or phone authentication to verify their identity during the SSPR process, and choose security questions only if they don't have their phone or registered device with them.

Domande predefinitePredefined questions

Le domande di sicurezza predefinite seguenti sono disponibili per essere usate come metodo di verifica con la reimpostazione della password self-service.The following predefined security questions are available for use as a verification method with SSPR. Tutte le domande di sicurezza sono tradotte e localizzate nel set completo delle lingue di Office 365 in base alle impostazioni locali del browser dell'utente:All of these security questions are translated and localized into the full set of Office 365 languages based on the user's browser locale:

  • In quale città hai incontrato tuo marito o il tuo partner?In what city did you meet your first spouse/partner?
  • In quale città si sono incontrati i tuoi genitori?In what city did your parents meet?
  • In quale città vive tuo fratello/sorella più vicino/a?In what city does your nearest sibling live?
  • In quale città è nato tuo padre?In what city was your father born?
  • In quale città hai avuto il tuo primo lavoro?In what city was your first job?
  • In quale città è nata tua madre?In what city was your mother born?
  • In quale città hai trascorso il Capodanno del 2000?What city were you in on New Year's 2000?
  • Qual è il cognome del tuo insegnante preferito delle scuole superiori?What is the last name of your favorite teacher in high school?
  • Qual è il nome di una delle università a cui hai inviato una richiesta di iscrizione ma che non hai frequentato?What is the name of a college you applied to but didn't attend?
  • In quale luogo si è tenuto il tuo primo ricevimento di matrimonio?What is the name of the place in which you held your first wedding reception?
  • Qual è il secondo nome di tuo padre?What is your father's middle name?
  • Qual è il tuo piatto preferito?What is your favorite food?
  • Qual è il nome e il cognome della nonna materna?What is your maternal grandmother's first and last name?
  • Qual è il secondo nome di tua madre?What is your mother's middle name?
  • Qual è l'anno e il mese di nascita di tuo/a fratello/sorella maggiore?What is your oldest sibling's birthday month and year? (ad esempio, novembre 1985)(for example, November 1985)
  • Qual è il secondo nome di tuo/a fratello/sorella maggiore?What is your oldest sibling's middle name?
  • Qual è il nome e il cognome del nonno paterno?What is your paternal grandfather's first and last name?
  • Qual è il secondo nome di tuo/a fratello/sorella minore?What is your youngest sibling's middle name?
  • Quale scuola hai frequentato in prima media?What school did you attend for sixth grade?
  • Qual è il nome e il cognome del tuo/a migliore amico/a di infanzia?What was the first and last name of your childhood best friend?
  • Qual è il nome e il cognome del primo/a fidanzato/a?What was the first and last name of your first significant other?
  • Qual è il nome del tuo insegnante preferito delle scuole elementari?What was the last name of your favorite grade school teacher?
  • Qual è la marca e il modello della tua prima auto o moto?What was the make and model of your first car or motorcycle?
  • Qual è il nome della prima scuola che hai frequentato?What was the name of the first school you attended?
  • Qual è il nome dell'ospedale in cui sei nato?What was the name of the hospital in which you were born?
  • Qual è il nome della via della tua prima casa di infanzia?What was the name of the street of your first childhood home?
  • Qual è il nome del tuo supereroe preferito dell'infanzia?What was the name of your childhood hero?
  • Qual è il nome del tuo animale di peluche preferito?What was the name of your favorite stuffed animal?
  • Qual è il nome del primo animale domestico?What was the name of your first pet?
  • Qual era il tuo soprannome da bambino?What was your childhood nickname?
  • Qual è il tuo sport preferito alle scuole superiori?What was your favorite sport in high school?
  • Qual è stato il tuo primo lavoro?What was your first job?
  • Quali erano le ultime quattro cifre del tuo numero di telefono quando eri bambino/a?What were the last four digits of your childhood telephone number?
  • Cosa volevi fare da grande quando eri piccolo?When you were young, what did you want to be when you grew up?
  • Qual è la persona più famosa che hai mai incontrato?Who is the most famous person you have ever met?

Domande di sicurezza personalizzateCustom security questions

Per una maggiore flessibilità, è possibile definire domande di sicurezza personalizzate.For additional flexibility, you can define your own custom security questions. La lunghezza massima di una domanda di sicurezza personalizzata è di 200 caratteri.The maximum length of a custom security question is 200 characters.

Le domande di sicurezza personalizzate non vengono localizzate automaticamente come avviene con le domande di sicurezza predefinite.Custom security questions aren't automatically localized like with the default security questions. Tutte le domande personalizzate vengono visualizzate nella lingua in cui vengono immesse nell'interfaccia utente di amministrazione, anche se le impostazioni locali del browser dell'utente sono diverse.All custom questions are displayed in the same language as they're entered in the administrative user interface, even if the user's browser locale is different. Se si desidera disporre domande localizzate, è consigliabile usare le domande predefinite.If you need localized questions, you should use the predefined questions.

Requisiti della domanda di sicurezzaSecurity question requirements

Sia per le domande di sicurezza predefinite che per quelle personalizzate, si applicano i requisiti e le limitazioni seguenti:For both default and custom security questions, the following requirements and limitations apply:

  • Il limite minimo di caratteri della risposta è 3 caratteri.The minimum answer character limit is three characters.
  • Il limite massimo di caratteri della risposta è 40 caratteri.The maximum answer character limit is 40 characters.
  • Gli utenti non possono rispondere alla stessa domanda due volte.Users can't answer the same question more than one time.
  • Gli utenti non possono dare la stessa risposta a due diverse domande.Users can't provide the same answer to more than one question.
  • È possibile usare qualsiasi set di caratteri per definire domande e risposte, compresi i caratteri Unicode.Any character set can be used to define the questions and the answers, including Unicode characters.
  • Il numero di domande definite deve essere maggiore o uguale al numero di domande necessarie per la registrazione.The number of questions defined must be greater than or equal to the number of questions that were required to register.

Indirizzo di posta elettronicaEmail address

Non è possibile usare un indirizzo di posta elettronica come metodo di autenticazione diretta.An email address can't be used as a direct authentication method. L'indirizzo di posta elettronica è disponibile solo come opzione di verifica per la reimpostazione della password self-service.Email address is only available as a verification option for self-service password reset (SSPR). Quando l'indirizzo di posta elettronica viene selezionato durante la reimpostazione della password self-service, viene inviato un messaggio di posta elettronica all'utente per completare il processo di autenticazione/verifica.When email address is selected during SSPR, an email is sent to the user to complete the authentication / verification process.

Durante la registrazione per la reimpostazione della password self-service, un utente inserisce l'indirizzo di posta elettronica da usare.During registration for SSPR, a user provides the email address to use. È consigliabile usare un account di posta elettronica diverso dal proprio account aziendale per assicurarsi di potervi accedere durante la reimpostazione della password self-service.It's recommended that they use a different email account than their corporate account to make sure they can access it during SSPR.

Password dell'appApp passwords

Alcune app meno recenti non basate su browser non comprendono le pause o le interruzioni nel processo di autenticazione.Certain older, non-browser apps don't understand pauses or breaks in the authentication process. Se un utente è abilitato per l'autenticazione a più fattori e tenta di usare una di queste app meno recenti non basate su browser, in genere non riesce a eseguire l'autenticazione.If a user is enabled for multi-factor authentication and attempts to use one of these older, non-browser apps, they usually can't successfully authenticate. Una password dell'app consente agli utenti di continuare a eseguire correttamente l'autenticazione con le app meno recenti non basate su browser senza interruzioni.An app password allows users to continue to successfully authenticate with older, non-browser apps without interruption.

Per impostazione predefinita, gli utenti non possono creare password dell'app.By default, users can't create app passwords. Se si desidera consentire agli utenti di creare password dell'app, selezionare l'opzione Allow users to create app passwords to sign into non-browser apps (Consenti agli utenti di creare password dell'app per accedere alle app non basate su browser) in Impostazioni del servizio per le proprietà di Azure Multi-Factor Authentication dell'utente.If you need to allow users to create app passwords, select the Allow users to create app passwords to sign into non-browser apps under Service settings for user's Azure Multi-Factor Authentication properties.

Screenshot del portale di Azure che mostra le impostazioni del servizio per l'autenticazione a più fattori per consentire all'utente di creare password dell'app

Se si applica Azure Multi-Factor Authentication usando i criteri di accesso condizionale e non tramite MFA per utente, è possibile creare le password dell'app.If you enforce Azure Multi-Factor Authentication using Conditional Access policies and not through per-user MFA, you can't create app passwords. Le applicazioni moderne che usano i criteri di accesso condizionale per controllare l'accesso non hanno bisogno di password dell'app.Modern applications that use Conditional Access policies to control access don't need app passwords.

Se l'organizzazione è federata per l'accesso Single Sign-On (SSO) con Azure AD e si usa Azure Multi-Factor Authentication, tenere presente le considerazioni seguenti:If your organization is federated for single sign-on (SSO) with Azure AD and you use Azure Multi-Factor Authentication, the following considerations apply:

  • La password dell'app è verificata da Azure AD e di conseguenza ignora la federazione.The app password is verified by Azure AD, so bypasses federation. La federazione viene usata solo quando si configura la password dell'app.Federation is only used when setting up app passwords. Per gli utenti federati (SSO) le password vengono archiviate nell'ID dell'organizzazione.For federated (SSO) users, passwords are stored in the organizational ID. Se l'utente lascia l'azienda, tali informazioni devono essere trasmesse nell'ID organizzazione tramite DirSync.If the user leaves the company, that info has to flow to organizational ID using DirSync. Gli eventi di disabilitazione o eliminazione dell'account possono richiedere fino a 3 ore per la sincronizzazione, ritardando la disabilitazione o l'eliminazione delle password dell'app in Azure AD.Account disable or deletion events may take up to three hours to sync, which delays the disabling / deletion of app passwords in Azure AD.
  • Le impostazioni locali di controllo di accesso client non vengono rispettate dalle password dell'app.On-premises Client Access Control settings aren't honored by app passwords.
  • Per le password dell'app non è disponibile alcuna funzionalità di registrazione o controllo dell'autenticazione in locale.No on-premises authentication logging or auditing capability is available for app passwords.
  • Alcune architetture avanzate possono richiedere una combinazione di nome utente e password dell'organizzazione e password dell'app quando si usa l'autenticazione a più fattori, a seconda della posizione in cui viene eseguita l'autenticazione.Certain advanced architectural designs may require using a combination of organizational username and passwords and app passwords when using multi-factor authentication, depending on where they authenticate.
    • Per i client che si autenticano con un'infrastruttura locale, verranno usati un nome utente e una password dell'organizzazione.For clients that authenticate against an on-premises infrastructure, you would use an organizational username and password.
    • Per i client che eseguono l'autenticazione con AD Azure, verrà usata la password dell'app.For clients that authenticate against Azure AD, you would use the app password.

Passaggi successiviNext steps

Per iniziare, vedere l'esercitazione sulla reimpostazione della password self-service e Azure Multi-Factor Authentication.To get started, see the tutorial for self-service password reset (SSPR) and Azure Multi-Factor Authentication.

Per altre informazioni sui concetti di reimpostazione della password self-service, vedere Come funziona la reimpostazione della password self-service di Azure AD.To learn more about SSPR concepts, see How Azure AD self-service password reset works.

Per altre informazioni sui concetti di MFA, vedere Come funziona Azure Multi-Factor Authentication.To learn more about MFA concepts, see How Azure Multi-Factor Authentication works.