Panoramica della registrazione combinata delle informazioni Azure Active Directory sicurezza

Prima della registrazione combinata, gli utenti hanno registrato i metodi di autenticazione per Azure AD multi-factor authentication e la reimpostazione della password self-service separatamente. Gli utenti erano confusi che metodi simili venivano usati per Multi-Factor Authentication e SSPR, ma dovevano registrarsi per entrambe le funzionalità. Ora, con la registrazione combinata, gli utenti possono registrarsi una sola volta e ottenere i vantaggi di Multi-Factor Authentication e di SSPR. È consigliabile questo video su come abilitare e configurare la funzionalità di SSPR in Azure AD

Nota

A partire dal 15 agosto 2020, tutti i nuovi tenant Azure AD verranno abilitati automaticamente per la registrazione combinata.

Questo articolo descrive la registrazione combinata per la sicurezza. Per iniziare a usare la registrazione di sicurezza combinata, vedere l'articolo seguente:

Account personale che mostra le informazioni di sicurezza registrate per un utente

Prima di abilitare la nuova esperienza, consultare questa documentazione incentrata sull'amministratore e la documentazione incentrata sull'utente per assicurarsi di comprendere la funzionalità e l'effetto di questa funzionalità. Basare il training sulla documentazione dell'utente per preparare gli utenti per la nuova esperienza e garantire un'implementazione corretta.

Azure AD la registrazione combinata delle informazioni di sicurezza è disponibile per Azure US Government, ma non Azure Germania o Azure China (21Vianet).

Importante

Gli utenti abilitati sia per l'anteprima originale che per l'esperienza di registrazione combinata avanzata visualizzano il nuovo comportamento. Gli utenti abilitati per entrambe le esperienze visualizzano solo l'esperienza Account personale. L'account personale è allineato all'aspetto della registrazione combinata e offre agli utenti un'esperienza uniforme. Gli utenti possono visualizzare Account personale da https://myaccount.microsoft.com .

È possibile che venga visualizzato un messaggio di errore durante il tentativo di accesso all'opzione Informazioni di sicurezza, ad esempio "Non è possibile eseguire l'accesso". Verificare che non sia presente alcun oggetto Configurazione o Criteri di gruppo che blocchi i cookie di terze parti nel Web browser.

Le pagine Account personale vengono localizzate in base alle impostazioni della lingua del computer che accede alla pagina. Microsoft archivia la lingua più recente usata nella cache del browser, quindi i tentativi successivi di accedere alle pagine continuano a essere eseguono il rendering nell'ultima lingua usata. Se si cancella la cache, viene eseguito di nuovo il rendering delle pagine.

Se si vuole forzare una lingua specifica, è possibile aggiungere alla fine dell'URL, dove è il codice del linguaggio di ?lng=<language> cui si vuole eseguire il <language> rendering.

Configurare la password SSPR o altri metodi di verifica della sicurezza

Metodi disponibili nella registrazione combinata

La registrazione combinata supporta i metodi e le azioni di autenticazione seguenti:

Metodo Registrazione Modifica Elimina
Microsoft Authenticator Sì (massimo 5) No
Altra app di autenticazione Sì (massimo 5) No
Token hardware No No
Telefono
Telefono alternativo
Telefono ufficio
E-mail
Domande di sicurezza No
Password dell'app No
Chiavi di sicurezza FIDO2
Modalità gestita solo dalla pagina Informazioni di sicurezza

Nota

Le password delle app sono disponibili solo per gli utenti che sono stati applicati per Multi-Factor Authentication. Le password delle app non sono disponibili per gli utenti abilitati per Multi-Factor Authentication tramite criteri di accesso condizionale.

Gli utenti possono impostare una delle opzioni seguenti come metodo di Multi-Factor Authentication predefinito:

  • Microsoft Authenticator: notifica push
  • Authenticator'app o il token hardware : codice
  • Chiamata telefonica
  • SMS

Le app di autenticazione di terze parti non forniscono notifiche push. Man appena si aggiungono altri metodi di autenticazione Azure AD, questi metodi diventano disponibili nella registrazione combinata.

Modalità di registrazione combinate

Esistono due modalità di registrazione combinata: interrupt e gestione.

  • La modalità interrupt è un'esperienza simile a una procedura guidata, presentata agli utenti quando registrano o aggiornano le informazioni di sicurezza al momento dell'accesso.
  • La modalità di gestione fa parte del profilo utente e consente agli utenti di gestire le informazioni di sicurezza.

Per entrambe le modalità, gli utenti che hanno registrato in precedenza un metodo che può essere usato per Multi-Factor Authentication devono eseguire Multi-Factor Authentication prima di poter accedere alle informazioni di sicurezza. Gli utenti devono confermare le proprie informazioni prima di continuare a usare i metodi registrati in precedenza.

Modalità interrupt

La registrazione combinata è conforme ai criteri di Multi-Factor Authentication e SSPR, se entrambi sono abilitati per il tenant. Questi criteri controllano se un utente viene interrotto per la registrazione durante l'accesso e quali metodi sono disponibili per la registrazione. Se è abilitato solo un criterio di SSPR, gli utenti potranno ignorare l'interruzione della registrazione e completarla in un secondo momento.

Di seguito sono riportati scenari di esempio in cui agli utenti potrebbe essere richiesto di registrare o aggiornare le informazioni di sicurezza:

  • Registrazione di Multi-Factor Authentication applicata tramite Identity Protection: Agli utenti viene richiesto di eseguire la registrazione durante l'accesso. Registrano i metodi di Multi-Factor Authentication e i metodi SSPR (se l'utente è abilitato per la password SSPR).
  • Registrazione di Multi-Factor Authentication applicata tramite Multi-Factor Authentication per utente: Agli utenti viene richiesto di registrarsi durante l'accesso. Registrano i metodi di Multi-Factor Authentication e i metodi SSPR (se l'utente è abilitato per la password SSPR).
  • Registrazione di Multi-Factor Authentication applicata tramite l'accesso condizionale o altri criteri: Agli utenti viene richiesto di registrarsi quando usano una risorsa che richiede Multi-Factor Authentication. Registrano i metodi di Multi-Factor Authentication e i metodi SSPR (se l'utente è abilitato per la password SSPR).
  • Registrazione SSPR applicata: Agli utenti viene richiesto di registrarsi durante l'accesso. Registrano solo i metodi SSPR.
  • Aggiornamento SSPR applicato: Gli utenti devono esaminare le informazioni di sicurezza a un intervallo impostato dall'amministratore. Gli utenti vengono visualizzate le informazioni e possono confermare le informazioni correnti o apportare modifiche, se necessario.

Quando viene applicata la registrazione, agli utenti viene visualizzato il numero minimo di metodi necessari per essere conformi ai criteri di Multi-Factor Authentication e SSPR, dal più sicuro al meno sicuro.

Si consideri lo scenario di esempio seguente:

  • Un utente è abilitato per la password SSPR. I criteri SSPR richiedono due metodi per la reimpostazione e hanno abilitato Authenticator app, posta elettronica e telefono.
  • Quando l'utente sceglie di eseguire la registrazione, sono necessari due metodi:
    • L'utente viene visualizzato Authenticator'app e il telefono per impostazione predefinita.
    • L'utente può scegliere di registrare la posta elettronica anziché Authenticator app o telefono.

Il diagramma di flusso seguente descrive i metodi visualizzati a un utente quando viene interrotto per la registrazione durante l'accesso:

Diagramma di flusso combinato delle informazioni di sicurezza

Se sono abilitati sia Multi-Factor Authentication che SSPR, è consigliabile applicare la registrazione di Multi-Factor Authentication.

Se i criteri SSPR richiedono agli utenti di esaminare le informazioni di sicurezza a intervalli regolari, gli utenti vengono interrotti durante l'accesso e vengono visualizzati tutti i metodi registrati. Possono confermare le informazioni correnti se sono aggiornate o possono apportare modifiche, se necessario. Gli utenti devono eseguire l'autenticazione a più fattori quando accedono a questa pagina.

Modalità di gestione

Gli utenti possono accedere alla modalità di gestione accedendo https://aka.ms/mysecurityinfo a o selezionando Informazioni di sicurezza da Account personale. Da qui, gli utenti possono aggiungere metodi, eliminare o modificare i metodi esistenti, modificare il metodo predefinito e altro ancora.

Scenari di utilizzo chiave

Configurare le informazioni di sicurezza durante l'accesso

Un amministratore ha applicato la registrazione.

Un utente non ha configurato tutte le informazioni di sicurezza necessarie e passa alla portale di Azure. Dopo aver immesso il nome utente e la password, all'utente viene richiesto di configurare le informazioni di sicurezza. L'utente segue quindi i passaggi illustrati nella procedura guidata per configurare le informazioni di sicurezza necessarie. Se le impostazioni lo consentono, l'utente può scegliere di configurare metodi diversi da quelli visualizzati per impostazione predefinita. Dopo aver completato la procedura guidata, gli utenti esaminano i metodi che configurano e il metodo predefinito per Multi-Factor Authentication. Per completare il processo di configurazione, l'utente conferma le informazioni e continua l'portale di Azure.

Configurare le informazioni di sicurezza da Account personale

Un amministratore non ha applicato la registrazione.

Un utente che non ha ancora configurato tutte le informazioni di sicurezza necessarie passa a https://myaccount.microsoft.com . L'utente seleziona Informazioni di sicurezza nel riquadro sinistro. A questo punto, l'utente sceglie di aggiungere un metodo, seleziona uno dei metodi disponibili e segue la procedura per configurare tale metodo. Al termine, l'utente vede il metodo configurato nella pagina Informazioni di sicurezza.

Eliminare le informazioni di sicurezza dall'account personale

Un utente che in precedenza ha configurato almeno un metodo passa a https://aka.ms/mysecurityinfo . L'utente sceglie di eliminare uno dei metodi registrati in precedenza. Al termine, l'utente non vede più il metodo nella pagina Informazioni di sicurezza.

Modificare il metodo predefinito da Account personale

Un utente che in precedenza ha configurato almeno un metodo che può essere usato per Multi-Factor Authentication passa a https://aka.ms/mysecurityinfo . L'utente modifica il metodo predefinito corrente in un metodo predefinito diverso. Al termine, l'utente visualizza il nuovo metodo predefinito nella pagina Informazioni di sicurezza.

Cambia directory

Un'identità esterna, ad esempio un utente B2B, potrebbe dover cambiare la directory per modificare le informazioni di registrazione della sicurezza per un tenant di terze parti. Inoltre, gli utenti che accedono a un tenant delle risorse possono essere confusi quando modificano le impostazioni nel tenant principale, ma non vedono le modifiche riflesse nel tenant delle risorse.

Ad esempio, un utente imposta Microsoft Authenticator push dell'app come autenticazione primaria per l'accesso al tenant principale e ha anche SMS/Text come altra opzione. Questo utente è configurato anche con l'opzione SMS/Text in un tenant di risorse. Se l'utente rimuove SMS/Text come una delle opzioni di autenticazione nel tenant principale, si confonde quando l'accesso al tenant della risorsa chiede di rispondere a SMS/SMS.

Per cambiare la directory nel portale di Azure, fare clic sul nome dell'account utente nell'angolo in alto a destra e fare clic su Cambia directory.

Gli utenti esterni possono cambiare directory.

Passaggi successivi

Per iniziare, vedere le esercitazioni per abilitare la reimpostazione della password self-service e abilitare Azure AD Multi-Factor Authentication.

Informazioni su come abilitare la registrazione combinata nel tenant o forzare gli utenti a registrare nuovamente i metodi di autenticazione.

È anche possibile esaminare i metodi disponibili per Azure AD Multi-Factor Authentication e SSPR.