Abilitare l'accesso senza password con l'app Microsoft Authenticator (anteprima)Enable passwordless sign-in with the Microsoft Authenticator app (preview)

L'app Microsoft Authenticator consente di accedere a qualsiasi account di Azure AD senza usare la password.The Microsoft Authenticator app can be used to sign in to any Azure AD account without using a password. Analogamente alla tecnologia di Windows Hello for Business, Microsoft Authenticator usa l'autenticazione basata su chiavi per abilitare credenziali utente associate a un dispositivo e basate su un sensore biometrico o un PIN.Similar to the technology of Windows Hello for Business, the Microsoft Authenticator uses key-based authentication to enable a user credential that is tied to a device and uses a biometric or PIN. Questo metodo di autenticazione può essere usato in qualsiasi piattaforma per dispositivi, inclusi i dispositivi mobili e con qualsiasi app o sito Web che si integra con le librerie di autenticazione Microsoft.This authentication method can be used on any device platform, including mobile, and with any app or website that integrates with Microsoft authentication libraries.

Esempio di accesso del browser che richiede all'utente di approvare l'accesso

Anziché visualizzare la richiesta di una password dopo l'immissione di un nome utente, una persona che ha abilitato l'accesso tramite telefono dall'app Microsoft Authenticator visualizzerà un messaggio che informa di toccare un numero nell'app.Instead of seeing a prompt for a password after entering a username, a person who has enabled phone sign-in from the Microsoft Authenticator app will see a message telling them to tap a number in their app. L'utente dovrà quindi toccare il numero corrispondente nell'app, scegliere l'opzione di approvazione e fornire il codice PIN o la chiave biometrica e l'autenticazione verrà completata.In the app, the user must match the number, choose Approve, then provide their PIN or biometric, then the authentication will complete.

Nota

Questa funzionalità è stata rilevata nell'app Microsoft Authenticator da marzo 2017, quindi è possibile che, quando il criterio è abilitato per una directory, gli utenti possano riscontrare immediatamente questo flusso e visualizzare un messaggio di errore se non sono stati abilitati dai criteri.This capability has been in the Microsoft Authenticator app since March of 2017, so there is a possibility that when the policy is enabled for a directory, users may encounter this flow immediately, and see an error message if they have not been enabled by policy. Tenere presente queste informazioni e preparare gli utenti per questa modifica.Be aware and prepare your users for this change.

PrerequisitiPrerequisites

  • Autenticazione a più fattori di Azure, con notifiche push consentite come metodo di verificaAzure Multi-Factor Authentication, with push notifications allowed as a verification method
  • Accertarsi che sia installata la versione più recente di Microsoft Authenticator nei dispositivi che eseguono iOS 8.0 o versione successiva oppure Android 6.0 o versione successiva.Latest version of Microsoft Authenticator installed on devices running iOS 8.0 or greater, or Android 6.0 or greater.

Nota

Se è stata abilitata la precedente anteprima dell'accesso senza password dell'app Microsoft Authenticator usando Azure AD PowerShell, è stata abilitata per l'intera directory.If you enabled the previous Microsoft Authenticator app passwordless sign-in preview using Azure AD PowerShell, it was enabled for your entire directory. Se si Abilita utilizzando questo nuovo metodo, i criteri di PowerShell vengono sostituiti.If you enable using this new method, it will supercede the PowerShell policy. Si consiglia di abilitare per tutti gli utenti nel tenant tramite i nuovi metodi di autenticazione. in caso contrario, gli utenti non presenti nei nuovi criteri non saranno più in grado di accedere a passwordlessly.We recommend enabling for all users in your tenant via the new Authentication Methods, otherwise users not in the new policy will no longer be able to log in passwordlessly.

Abilita metodi di autenticazione con passwordEnable passwordless authentication methods

Abilitare l'esperienza di registrazione combinataEnable the combined registration experience

Le funzionalità di registrazione per i metodi di autenticazione con password si basano sull'anteprima della registrazione combinata.Registration features for passwordless authentication methods rely on the combined registration preview. Per abilitare l'anteprima della registrazione combinata, seguire la procedura descritta nell'articolo abilitare la registrazione delle informazioni di sicurezza combinata (anteprima).Follow the steps in the article Enable combined security information registration (preview), to enable the combined registration preview.

Abilitare i metodi di autenticazione per l'accesso tramite telefono senza passwordEnable passwordless phone sign-in authentication methods

  1. Accedere al portale di AzureSign in to the Azure portal
  2. Passare a Azure Active Directory > metodi > di autenticazionecriteri metodo di autenticazione (anteprima)Browse to Azure Active Directory > Authentication methods > Authentication method policy (Preview)
  3. In accesso con telefono senza passwordscegliere le opzioni seguentiUnder Passwordless phone sign-in, choose the following options
    1. Abilita -Sì o noEnable - Yes or No
    2. Destinazione -tutti gli utenti o utenti selezionatiTarget - All users or Select users
  4. Salva per impostare il nuovo criterioSave to set the new policy

Registrazione e gestione degli utenti dell'app Microsoft AuthenticatorUser registration and management of Microsoft Authenticator app

  1. Passare a https://aka.ms/mysecurityinfoBrowse to https://aka.ms/mysecurityinfo
  2. Accedi se non è già stato fattoSign in if not already
  3. Aggiungere un'app Authenticator facendo clic su Aggiungi metodo, scegliendo app autenticatoree facendo clic su Aggiungi .Add an authenticator app by clicking Add method, choosing Authenticator app, and clicking Add
  4. Seguire le istruzioni per installare e configurare l'app Microsoft Authenticator nel dispositivoFollow the instructions to install and configure the Microsoft Authenticator app on your device
  5. Fare clic su fine per completare il flusso di installazione dell'app autenticazione a più fattori.Click Done to complete Authenticator MFA app setup flow.
  6. In Microsoft Authenticatorscegliere Abilita l'accesso tramite telefono dal menu a discesa accountIn Microsoft Authenticator, choose Enable phone sign-in from the account drop-down menu
  7. Seguire le istruzioni nell'app per completare la registrazione per l'accesso tramite telefono senza password.Follow the instructions in the app to finish registering for passwordless phone sign-in.

Le organizzazioni possono indirizzare gli utenti all'articolo accesso con il telefono, non alla password per ulteriori interventi di configurazione nell'app Microsoft Authenticator e abilitazione dell'accesso tramite telefono.Organizations can point their users to the article Sign in with your phone, not your password for further assistance setting up in the Microsoft Authenticator app and enabling phone sign-in.

Accedi con credenziali senza passwordSign in with passwordless credential

Per l'anteprima pubblica, non è possibile obbligare gli utenti a creare o usare nuove credenziali.For public preview, there is no way to enforce users to create or use this new credential. Un utente troverà l'accesso senza password solo dopo che un amministratore ha abilitato il tenant e l'utente ha aggiornato l'app Microsoft Authenticator per abilitare l'accesso tramite telefono.A user will only encounter passwordless sign-in once an admin has enabled their tenant and the user has updated their Microsoft Authenticator app to enable phone sign-in.

Dopo aver digitato il nome utente sul Web e aver selezionato Avanti, gli utenti vengono presentati con un numero e vengono richiesti nell'app Microsoft Authenticator per selezionare il numero appropriato da autenticare invece di usare la password.After typing your username on the web and selecting Next, users are presented with a number and are prompted in their Microsoft Authenticator app to select the appropriate number to authenticate instead of using their password.

Esempio di accesso del browser con l'app Microsoft Authenticator

Problemi notiKnown Issues

L'utente non è abilitato dal criterio ma ha ancora un metodo di accesso telefonico senza password in Microsoft AuthenticatorUser is not enabled by policy but still has passwordless phone sign-in method in Microsoft Authenticator

È possibile che un utente abbia creato a un certo punto credenziali di accesso con telefono senza password nell'app Microsoft Authenticator corrente o in un dispositivo precedente.It is possible that a user has at some point created a passwordless phone sign-in credential in their current Microsoft Authenticator app, or on an earlier device. Quando un amministratore abilita i criteri del metodo di autenticazione per l'accesso tramite telefono senza password, qualsiasi utente con una credenziale registrata, inizierà a provare il nuovo prompt di accesso, indipendentemente dal fatto che sia stato abilitato o meno per l'uso del criterio.Once an admin enables the authentication method policy for passwordless phone sign-in, any user with a credential registered, will start to experience the new sign-in prompt, regardless of whether they have been enabled to use the policy or not. Se l'utente non è autorizzato a usare le credenziali per criterio, verrà visualizzato un errore dopo aver completato il flusso di autenticazione.If the user has not been allowed to use the credential by policy, they will see an error after completing the authentication flow.

L'amministratore può scegliere di consentire all'utente di usare l'accesso tramite telefono senza password oppure l'utente deve rimuovere il metodo.The admin can choose to enable the user to use passwordless phone sign-in, or the user must remove the method. Se l'utente non dispone più del dispositivo registrato, può accedervi https://aka.ms/mysecurityinfo e rimuoverlo.If the user no longer has the registered device, they can go to https://aka.ms/mysecurityinfo and remove it. Se usano ancora l'autenticatore per l'autenticazione a più fattori, possono scegliere di disabilitare l'accesso tramite telefono dall'interno del Microsoft Authenticator.If they are still using the Authenticator for MFA, they can choose Disable phone sign-in from within the Microsoft Authenticator.

Integrazione di AD FSAD FS integration

Se un utente ha abilitato le credenziali senza password di Microsoft Authenticator, per impostazione predefinita l'autenticazione per l'utente invierà sempre una notifica di approvazione.When a user has enabled the Microsoft Authenticator passwordless credential, authentication for that user will always default to sending a notification for approval. Questa logica impedisce agli utenti di un tenant ibrido di essere reindirizzati ad AD FS per la verifica di accesso senza dover prima fare clic su "Usa la tua password".This logic prevents users in a hybrid tenant from being directed to ADFS for sign-in verification without the user taking an additional step to click “Use your password instead.” Questo processo, inoltre, ignorerà eventuali criteri di accesso condizionale e flussi di autenticazione pass-through.This process will also bypass any on-premises Conditional Access policies, and Pass-through authentication flows.

Se un utente dispone di una verifica di accesso tramite telefono senza password senza risposta in sospeso e tenta di accedere di nuovo, è possibile che l'utente venga immesso in ADFS per immettere una password.If a user has an unanswered passwordless phone sign-in verification pending and attempts to sign in again, the user may be taken to ADFS to enter a password instead.

Server di Azure MFAAzure MFA server

Gli utenti finali abilitati per l'autenticazione a più fattori tramite il server Azure multi-factor authentication locale di un'organizzazione possono comunque creare e usare una sola credenziale di accesso con telefono senza password.End users who are enabled for MFA through an organization’s on-premises Azure MFA server can still create and use a single passwordless phone sign in credential. Se l'utente tenta di aggiornare più installazioni (più di 5) di Microsoft Authenticator con le credenziali create, questa modifica può determinare un errore.If the user attempts to upgrade multiple installations (5+) of the Microsoft Authenticator with the credential, this change may result in an error.

Registrazione del dispositivoDevice registration

Uno dei prerequisiti per creare la nuova credenziale avanzata è che il dispositivo, in cui è installata l'app Microsoft Authenticator, deve essere registrato anche all'interno del tenant di Azure AD a un singolo utente.One of the prerequisites to create this new strong credential, is that the device, where the Microsoft Authenticator app is installed, must also be registered within the Azure AD tenant to an individual user. A causa delle restrizioni di registrazione del dispositivo correnti, un dispositivo può essere registrato solo in un singolo tenant.Due to current device registration restrictions, a device can only be registered in a single tenant. A causa di questa limitazione, nell'app Microsoft Authenticator può essere abilitato per l'accesso tramite telefono un solo account aziendale o dell'istituto di istruzione.This limit means that only one work or school account in the Microsoft Authenticator app can be enabled for phone sign-in.

Nota

La registrazione del dispositivo non è identica alla gestione dei dispositivi o alla "MDM".Device registration is not the same as device management or "MDM." Associa solo un ID dispositivo e un ID utente insieme nella directory Azure AD.It only associates a device ID and a user ID together in the Azure AD directory.

Passaggi successiviNext steps

Che cosa sono le password?What is passwordless?

Informazioni sulla registrazione dei dispositiviLearn about device registration

Informazioni su Azure Multi-Factor AuthenticationLearn about Azure Multi-Factor Authentication