Abilitare l'accesso senza password con Microsoft Authenticator

  • Articolo

Microsoft Authenticator può essere usato per accedere a qualsiasi account Microsoft Entra senza usare una password. Microsoft Authenticator usa l'autenticazione basata su chiave per abilitare le credenziali utente associate a un dispositivo, in cui il dispositivo usa un PIN o una biometria. Windows Hello for Business usa una tecnologia simile.

Questa tecnologia di autenticazione può essere usata in qualsiasi piattaforma del dispositivo, tra cui dispositivi mobili. Questa tecnologia può essere usata anche con qualsiasi app o sito Web che si integra con le librerie di autenticazione Microsoft.

Screenshot che mostra un esempio di accesso del browser che richiede all'utente di approvare l'accesso.

Persone chi ha abilitato l'accesso tramite telefono da Microsoft Authenticator visualizza un messaggio che chiede loro di toccare un numero nell'app. Non viene richiesto alcun nome utente o password. Per completare il processo di accesso nell'app, un utente deve eseguire le azioni seguenti:

  1. Immettere il numero visualizzato nella schermata di accesso nella finestra di dialogo Microsoft Authenticator.
  2. Scegliere Approva.
  3. Specificare il PIN o la biometria.

Più account in iOS

È possibile abilitare l'accesso tramite telefono senza password per più account in Microsoft Authenticator in qualsiasi dispositivo iOS supportato. Consulenti, studenti e altri con più account in Microsoft Entra ID possono aggiungere ogni account a Microsoft Authenticator e usare l'accesso tramite telefono senza password per tutti dallo stesso dispositivo iOS.

In precedenza, gli amministratori potrebbero non richiedere l'accesso senza password per gli utenti con più account, perché richiede loro di portare più dispositivi per l'accesso. Rimuovendo la limitazione dell'accesso di un utente da un dispositivo, gli amministratori possono incoraggiare gli utenti a registrare l'accesso tramite telefono senza password e usarlo come metodo di accesso predefinito.

Gli account Microsoft Entra possono trovarsi nello stesso tenant o in tenant diversi. Gli account guest non sono supportati per più accessi di account da un dispositivo.

Prerequisiti

Per usare l'accesso tramite telefono senza password con Microsoft Authenticator, è necessario soddisfare i prerequisiti seguenti:

  • Consigliata: autenticazione a più fattori Microsoft Entra, con notifiche push consentite come metodo di verifica. Le notifiche push sullo smartphone o sul tablet consentono all'app Authenticator di impedire l'accesso non autorizzato agli account e arrestare le transazioni fraudolente. L'app Authenticator genera automaticamente codici durante la configurazione per eseguire notifiche push. Un utente ha un metodo di accesso di backup anche se il dispositivo non ha connettività.
  • Versione più recente di Microsoft Authenticator installata nei dispositivi che eseguono iOS o Android.
  • Per Android, il dispositivo che esegue Microsoft Authenticator deve essere registrato in un singolo utente. Stiamo lavorando attivamente per abilitare più account in Android.
  • Per iOS, il dispositivo deve essere registrato con ogni tenant in cui viene usato per accedere. Ad esempio, il dispositivo seguente deve essere registrato con Contoso e Wingtiptoys per consentire a tutti gli account di accedere:
    • balas@contoso.com
    • balas@wingtiptoys.com e bsandhu@wingtiptoys

Per usare l'autenticazione senza password in Microsoft Entra ID, abilitare prima l'esperienza di registrazione combinata, quindi abilitare gli utenti per il metodo senza password.

Abilitare i metodi di autenticazione di accesso tramite telefono senza password

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Microsoft Entra ID consente di scegliere i metodi di autenticazione che è possibile usare durante il processo di accesso. Gli utenti eseguono quindi la registrazione per i metodi che vogliono usare. I criteri del metodo di autenticazione Microsoft Authenticator gestiscono sia il metodo MFA push tradizionale che il metodo di autenticazione senza password.

Nota

Se è stato abilitato l'accesso senza password di Microsoft Authenticator tramite PowerShell, è stato abilitato per l'intera directory. Se si abilita l'uso di questo nuovo metodo, sostituisce i criteri di PowerShell. È consigliabile abilitare per tutti gli utenti nel tenant tramite il nuovo menu Metodi di autenticazione. In caso contrario, gli utenti che non si trovano nel nuovo criterio non possono accedere senza password.

Per abilitare il metodo di autenticazione per l'accesso tramite telefono senza password, completare la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.

  2. Passare a Criteri dei metodi> di autenticazione di protezione.>

  3. In Microsoft Authenticator scegliere le opzioni seguenti:

    1. Abilitare - Sì o No
    2. Destinazione - Tutti gli utenti o Seleziona utenti

  4. Ogni gruppo o utente aggiunto è abilitato per impostazione predefinita per l'uso di Microsoft Authenticator in modalità di notifica push e senza password ("Qualsiasi"). Per modificare la modalità, per ogni riga per modalità di autenticazione scegliere Qualsiasi o Senza password. La scelta di Push impedisce l'uso delle credenziali di accesso tramite telefono senza password.

  5. Per applicare i nuovi criteri, fare clic su Salva.

    Nota

    Se viene visualizzato un errore quando si tenta di salvare, la causa potrebbe essere dovuta al numero di utenti o gruppi aggiunti. Come soluzione alternativa, sostituire gli utenti e i gruppi che si sta tentando di aggiungere con un singolo gruppo, nella stessa operazione e quindi selezionare di nuovo Salva .

Registrazione utente

Gli utenti si registrano per il metodo di autenticazione senza password di Microsoft Entra ID. Per gli utenti che hanno già registrato l'app Microsoft Authenticator per l'autenticazione a più fattori, passare alla sezione successiva, abilitare l'accesso tramite telefono.

Registrazione diretta dell'accesso tramite telefono

Gli utenti possono registrarsi per l'accesso tramite telefono senza password direttamente all'interno dell'app Microsoft Authenticator senza dover prima registrare Microsoft Authenticator con il proprio account, senza mai accumulare una password. In tal caso, eseguire la procedura seguente:

  1. Acquisire un pass di accesso temporaneo dall'Amministrazione o dall'organizzazione.
  2. Scaricare e installare l'app Microsoft Authenticator nel dispositivo mobile.
  3. Aprire Microsoft Authenticator e fare clic su Aggiungi account e quindi scegliere Account aziendale o dell'istituto di istruzione.
  4. Scegliere Accedi.
  5. Seguire le istruzioni per accedere con l'account usando il pass di accesso temporaneo fornito dal Amministrazione o dall'organizzazione.
  6. Dopo l'accesso, continuare seguendo i passaggi aggiuntivi per configurare l'accesso tramite telefono.

Registrazione guidata con gli accessi personali

Nota

Gli utenti potranno registrare Microsoft Authenticator solo tramite registrazione combinata se la modalità di autenticazione di Microsoft Authenticator è qualsiasi o push.

Per registrare l'app Microsoft Authenticator, seguire questa procedura:

  1. Passa a https://aka.ms/mysecurityinfo.
  2. Accedere, quindi selezionare Aggiungi app>Authenticator metodo>Aggiungi per aggiungere Microsoft Authenticator.
  3. Seguire le istruzioni per installare e configurare l'app Microsoft Authenticator nel dispositivo.
  4. Selezionare Fine per completare la configurazione di Microsoft Authenticator.

Abilitare l'accesso tramite telefono

Dopo che gli utenti si sono registrati per l'app Microsoft Authenticator, devono abilitare l'accesso tramite telefono:

  1. In Microsoft Authenticator selezionare l'account registrato.
  2. Selezionare Abilita accesso tramite telefono.
  3. Seguire le istruzioni nell'app per completare la registrazione dell'account per l'accesso tramite telefono senza password.

Un'organizzazione può indirizzare gli utenti ad accedere con i propri telefoni, senza usare una password. Per altre informazioni sulla configurazione di Microsoft Authenticator e sull'abilitazione dell'accesso tramite telefono, vedere Accedere agli account usando l'app Microsoft Authenticator.

Nota

Gli utenti che non sono autorizzati dai criteri a usare l'accesso tramite telefono non sono più in grado di abilitarlo all'interno di Microsoft Authenticator.

Accedere con credenziali senza password

Un utente può iniziare a usare l'accesso senza password dopo il completamento di tutte le azioni seguenti:

  • Un amministratore ha abilitato il tenant dell'utente.
  • L'utente ha aggiunto Microsoft Authenticator come metodo di accesso.

La prima volta che un utente avvia il processo di accesso tramite telefono, l'utente esegue i passaggi seguenti:

  1. Immette il nome nella pagina di accesso.
  2. Seleziona Avanti.
  3. Se necessario, seleziona Altri modi per accedere.
  4. Seleziona Approva una richiesta nell'app Authenticator.

L'utente viene quindi presentato con un numero. L'app richiede all'utente di eseguire l'autenticazione digitando il numero appropriato anziché immettendo una password.

Dopo che l'utente ha utilizzato l'accesso tramite telefono senza password, l'app continua a guidare l'utente tramite questo metodo. Tuttavia, l'utente visualizzerà l'opzione per scegliere un altro metodo.

Screenshot che mostra un esempio di accesso al browser usando l'app Microsoft Authenticator.

Pass di accesso temporaneo

Se l'amministratore tenant ha abilitato la reimpostazione della password self-service e un utente sta configurando l'accesso senza password con l'app Authenticator per la prima volta usando una password di accesso temporaneo, è necessario seguire questa procedura:

  1. L'utente deve aprire un browser in un dispositivo mobile o desktop e passare alla pagina mySecurity info (Informazioni di sicurezza).
  2. L'utente deve registrare l'app Authenticator come metodo di accesso. Questa azione collega l'account dell'utente all'app.
  3. L'utente deve quindi tornare al dispositivo mobile e attivare l'accesso senza password tramite l'app Authenticator.

Gestione

I criteri dei metodi di autenticazione sono il modo consigliato per gestire Microsoft Authenticator. I criteri di autenticazione Amministrazione istrator possono modificare questo criterio per abilitare o disabilitare Microsoft Authenticator. Amministrazione possono includere o escludere utenti e gruppi specifici dall'uso.

Amministrazione possono anche configurare parametri per controllare meglio il modo in cui è possibile usare Microsoft Authenticator. Ad esempio, possono aggiungere il percorso o il nome dell'app alla richiesta di accesso in modo che gli utenti abbiano un contesto maggiore prima di approvare.

I Amministrazione istrator globali possono anche gestire Microsoft Authenticator a livello di tenant usando i criteri legacy di autenticazione a più fattori e reimpostazione della password self-service. Questi criteri consentono di abilitare o disabilitare Microsoft Authenticator per tutti gli utenti nel tenant. Non sono disponibili opzioni per includere o escludere nessuno o controllare il modo in cui è possibile usare Microsoft Authenticator per l'accesso.

Problemi noti

Esistono i problemi noti seguenti.

Opzione non visualizzata per l'accesso tramite telefono senza password

In uno scenario, un utente può avere una verifica di accesso tramite telefono senza password senza risposta in sospeso. Se l'utente tenta di accedere di nuovo, potrebbe essere visualizzata solo l'opzione per immettere una password.

Per risolvere questo scenario, seguire questa procedura:

  1. Aprire Microsoft Authenticator.
  2. Rispondere a eventuali richieste di notifica.

L'utente può quindi continuare a usare l'accesso tramite telefono senza password.

AuthenticatorAppSignInPolicy non supportato

AuthenticatorAppSignInPolicy è un criterio legacy non supportato con Microsoft Authenticator. Per abilitare gli utenti per le notifiche push o l'accesso tramite telefono senza password con l'app Authenticator, usare i criteri Metodi di autenticazione.

Account federati

Quando un utente ha abilitato le credenziali senza password, il processo di accesso di Microsoft Entra smette di usare il login_hint. Di conseguenza, il processo non accelera più l'utente verso un percorso di accesso federato.

Questa logica impedisce in genere a un utente in un tenant ibrido di essere indirizzato ad Active Directory Federated Services (AD FS) per la verifica dell'accesso. Tuttavia, l'utente mantiene l'opzione di fare clic su Usa la password.

Utenti locali

Un utente finale può essere abilitato per l'autenticazione a più fattori tramite un provider di identità locale. L'utente può comunque creare e usare una singola credenziale di accesso tramite telefono senza password.

Se l'utente tenta di aggiornare più installazioni (5+) di Microsoft Authenticator con le credenziali di accesso tramite telefono senza password, questa modifica potrebbe generare un errore.

Passaggi successivi

Per informazioni sull'autenticazione di Microsoft Entra e sui metodi senza password, vedere gli articoli seguenti: