Configurare Azure AD impostazioni di Multi-Factor Authentication

Per personalizzare l'esperienza dell'utente finale per Azure AD Multi-Factor Authentication, è possibile configurare opzioni per impostazioni come le soglie di blocco dell'account o gli avvisi e le notifiche di frode. Alcune impostazioni sono direttamente nella portale di Azure per Azure Active Directory (Azure AD) e altre in un portale Azure AD Multi-Factor Authentication separato.

Le impostazioni Azure AD Multi-Factor Authentication seguenti sono disponibili nel portale di Azure:

Funzionalità Descrizione
Blocco dell'account Bloccare temporaneamente gli account dall'Azure AD Multi-Factor Authentication se sono presenti troppi tentativi di autenticazione negati in una riga. Questa funzionalità si applica solo agli utenti che effettuano l'autenticazione tramite PIN (server MFA).
Blocca/Sblocca utenti Impedire a utenti specifici di ricevere richieste Azure AD Multi-Factor Authentication. Eventuali tentativi di autenticazione per gli utenti bloccati vengono negati automaticamente. Gli utenti rimangono bloccati per 90 giorni dal momento in cui vengono bloccati o sbloccati manualmente.
Avviso di illecito Configurare le impostazioni che consentono agli utenti di segnalare richieste di verifica fraudolente.
Notifications Abilita le notifiche degli eventi dal server MFA.
Token OATH Usato negli ambienti di autenticazione Azure AD cloud per gestire i token OATH per gli utenti.
Impostazioni telefonata Permette di configurare le impostazioni correlate a chiamate telefoniche e messaggi di saluto per gli ambienti cloud e locali.
Providers Mostra tutti i provider di autenticazione esistenti che possono essere stati associati all'account. Non è stato possibile creare nuovi provider di autenticazione fino al 1° settembre 2018

Portale di Azure - Impostazioni di Azure AD Multi-Factor Authentication

Blocco dell'account

Per impedire tentativi di autenticazione a più fattori ripetuti come parte di un attacco, le impostazioni di blocco dell'account consentono di specificare il numero di tentativi non riusciti consentiti prima che l'account venga bloccato per un periodo di tempo. Le impostazioni di blocco dell'account vengono applicate solo quando viene immesso un codice PIN per la richiesta MFA.

Sono disponibili le impostazioni seguenti:

  • Numero di attacchi di tipo MFA negati per attivare il blocco dell'account
  • Minuti di reimpostazione del contatore di blocco dell'account
  • Minuti di sblocco automatico dell'account

Per configurare le impostazioni di blocco dell'account, completare le impostazioni seguenti:

  1. Accedere al portale di Azure come amministratore.

  2. Passare a Azure Active Directory > blocco > dell'account MFA > per la sicurezza.

  3. Immettere i valori di richiesta per l'ambiente e quindi selezionare Salva.

    Screenshot delle impostazioni di blocco dell'account nel portale di Azure

Bloccare e sbloccare utenti

Se il dispositivo di un utente è stato smarrito o rubato, è possibile Azure AD tentativi di Autenticazione a più fattori per l'account associato. Tutti Azure AD tentativi di Autenticazione a più fattori per gli utenti bloccati vengono negati automaticamente. Gli utenti restano bloccati per 90 giorni dal momento in cui vengono bloccati. È stato pubblicato un video su come bloccare e sbloccare gli utenti nel tenant per illustrare come eseguire questa operazione.

Bloccare un utente

Per bloccare un utente, seguire questa procedura o guardare questo breve video

  1. Passare ad Azure Active Directory > Sicurezza > MFA > Blocca/Sblocca utenti.
  2. Selezionare Aggiungi per bloccare un utente.
  3. Immettere il nome utente per l'utente bloccato come username@domain.com , quindi specificare un commento nel campo Motivo.
  4. Quando si è pronti, selezionare OK per bloccare l'utente.

Sbloccare un utente

Per sbloccare un utente, seguire questa procedura:

  1. Passare ad Azure Active Directory > Sicurezza > MFA > Blocca/Sblocca utenti.
  2. Nella colonna Azione accanto all'utente desiderato selezionare Sblocca.
  3. Immettere un commento nel campo Motivo dello sblocco.
  4. Quando si è pronti, selezionare OK per sbloccare l'utente.

Avviso di illecito

La funzionalità di avviso di illecito consente agli utenti di segnalare tentativi fraudolenti di accesso alle risorse. Quando viene ricevuta una richiesta di autenticazione a più fattori sconosciuta e sospetta, gli utenti possono segnalare il tentativo di frode usando l'app Microsoft Authenticator o tramite il telefono.

Sono disponibili le opzioni di configurazione degli avvisi di frode seguenti:

  • Blocca automaticamente gli utenti che segnalano frodi: se un utente segnala un'frode, i tentativi di autenticazione Azure AD MFA per l'account utente vengono bloccati per 90 giorni o fino a quando un amministratore non sblocca il proprio account. Un amministratore può verificare gli accessi usando il report sugli accessi ed eseguire le azioni necessarie per prevenire illeciti nel futuro. Un amministratore può quindi sbloccare l'account dell'utente.

  • Codice per segnalare un errore durante il messaggio di saluto iniziale: quando gli utenti ricevono una telefonata per eseguire l'autenticazione a più fattori, in genere premono per confermare # l'accesso. Per segnalare un illecito, l'utente immette un codice prima di premere # . Il codice predefinito è 0, ma è possibile personalizzarlo.

    Nota

    I messaggi vocali predefiniti di Microsoft invitano gli utenti a premere 0# per inviare un avviso di illecito. Se si vuole usare un codice diverso da 0, registrare e caricare messaggi vocali personalizzati con istruzioni adeguate per l'utente.

Per abilitare e configurare gli avvisi di frode, seguire questa procedura:

  1. Passare ad Azure Active Directory > Sicurezza > MFA > Avviso di illecito.
  2. Impostare l'impostazione Consenti agli utenti di inviare avvisi di illeciti su Attivo.
  3. Configurare l'impostazione Blocca automaticamente gli utenti che segnalano frodi o Codice per segnalare frodi durante il messaggio di saluto iniziale in base alle esigenze.
  4. Al termine, selezionare Salva.

Visualizzare le segnalazioni di illeciti

Quando un utente segnala una frode, l'evento viene visualizzato nel report Degli account di accesso (come accesso rifiutato dall'utente) e nei log di controllo.

  • Per visualizzare i report sulle frodi nel report Degli account di accesso, fare clic Azure Active Directory dettagli di autenticazione > > degli account di accesso. Il report delle frodi fa parte del report standard degli Azure AD e viene visualizzato in Dettagli risultato come MFA negato, Codice di frode immesso.

  • Per visualizzare i report sulle frodi nei log di controllo, fare clic Azure Active Directory > log di controllo. Il report sulle frodi viene visualizzato in Activity type Fraud reported - user is blocked for MFA or Fraud reported - no action taken based on the tenant-level settings for fraud report (Segnalazione di frodi a livello di attività: l'utente è bloccato per MFA o Frodi segnalate) e non viene eseguita alcuna azione in base alle impostazioni a livello di tenant per il report sulle frodi.

Notifiche

Le notifiche tramite posta elettronica possono essere configurate quando gli utenti segnalano avvisi di frode. Queste notifiche vengono in genere inviate agli amministratori delle identità, in quanto è probabile che le credenziali dell'account dell'utente siano compromesse. L'esempio seguente mostra l'aspetto di un messaggio di posta elettronica di notifica di avviso di frode:

Messaggio di posta elettronica di notifica di avviso di frode di esempio

Per configurare le notifiche di avviso di frode, completare le impostazioni seguenti:

  1. Passare a Azure Active Directory > Notifiche > di Multi-Factor Authentication per la > sicurezza.
  2. Immettere l'indirizzo di posta elettronica da aggiungere nella casella successiva.
  3. Per rimuovere un indirizzo di posta elettronica esistente, selezionare l'opzione ... accanto all'indirizzo di posta elettronica desiderato, quindi selezionare Elimina.
  4. Al termine, selezionare Salva.

Token OATH

Azure AD supporta l'uso di token SHA-1 OATH-TOTP che aggiornano i codici ogni 30 o 60 secondi. I clienti possono acquistare questi token dal fornitore preferito.

I token hardware OATH TOTP sono in genere dotati di una chiave privata o di un seme pre-programmato nel token. Queste chiavi devono essere inserite in Azure AD come descritto nella procedura seguente. Le chiavi private sono limitate a 128 caratteri e ciò potrebbe non essere compatibile con tutti i token. La chiave privata può contenere solo i caratteri a-z o A-Z e i numeri 1-7 e deve essere codificata in Base32.

I token hardware OATH TOTP programmabili di cui è possibile generare un nuovo seme possono anche essere configurati con Azure AD nel flusso di configurazione del token software.

I token hardware OATH sono supportati come parte di un'anteprima pubblica. Per altre informazioni sulle anteprime, vedere Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure

Pannello di caricamento dei token OATH nei token OATH di MFA

Dopo aver acquisito i token, è necessario caricarli in un formato di file con valori delimitati da virgole (CSV) includendo l'UPN, il numero di serie, la chiave privata, l'intervallo di tempo, il produttore e il modello come illustrato nell'esempio seguente:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey

Nota

Assicurarsi di includere la riga di intestazione nel file CSV.

Dopo aver formattato correttamente il file CSV, un amministratore può accedere al portale di Azure e passare ad Azure Active Directory > Sicurezza > MFA > Token OATH e caricare il file CSV risultante.

A seconda delle dimensioni del file CSV, potrebbero essere richiesti alcuni minuti per l'elaborazione. Per ottenere lo stato corrente, selezionare il pulsante Aggiorna. Se sono presenti errori nel file, è possibile scaricare un file CSV che elenca gli eventuali errori da risolvere. I nomi dei campi nel file CSV scaricato sono diversi da quelli della versione caricata.

Dopo aver risolto eventuali errori, l'amministratore può quindi attivare ogni chiave selezionando Attiva per il token da attivare e immettendo l'OTP visualizzato nel token.

Gli utenti possono avere una combinazione composta da fino a cinque token hardware OATH o applicazioni di autenticazione, quali l'app Microsoft Authenticator, configurate per l'uso in qualsiasi momento.

Impostazioni telefonata

Se gli utenti ricevono chiamate telefoniche per le richieste MFA, è possibile configurarne l'esperienza, ad esempio l'ID chiamante o il saluto vocale che ricevono.

Nel Stati Uniti, se non è stato configurato l'ID chiamante MFA, le chiamate vocali da Microsoft provengono dal numero seguente. Se si usano filtri per la posta indesiderata, assicurarsi di escludere questo numero:

  • +1 (855) 330 8653

Nota

Quando Azure AD chiamate Multi-Factor Authentication vengono effettuate attraverso la rete telefonica pubblica, a volte le chiamate vengono instradati attraverso un gestore telefonico che non supporta l'ID chiamante. Per questo, l'ID chiamante non è garantito, anche se Azure AD Multi-Factor Authentication lo invia sempre. Questo vale sia per le telefonate che per gli SMS forniti da Azure AD Multi-Factor Authentication. Se è necessario verificare che un SMS sia di Azure AD Multi-Factor Authentication, vedere Quali codici brevi SMS vengono usati per l'invio di messaggi?

Per configurare il proprio numero ID chiamante, seguire questa procedura:

  1. Passare a Azure Active Directory > Sicurezza > MFA > Impostazioni telefonata.
  2. Impostare il numero ID chiamante MFA sul numero che si vuole che gli utenti vedano sul telefono. Sono consentiti solo numeri degli Stati Uniti.
  3. Al termine, selezionare Salva.

Messaggi vocali personalizzati

È possibile usare registrazioni o messaggi di saluto personalizzati per Azure AD Multi-Factor Authentication con la funzionalità di messaggi vocali personalizzati. Questi messaggi possono essere usati in aggiunta o per sostituire le registrazioni Microsoft predefinite.

Prima di iniziare, tenere presente le seguenti restrizioni:

  • I formati di file supportati sono wav e.mp3.
  • La dimensione massima dei file è 1 MB.
  • I messaggi di autenticazione devono avere una durata inferiore a 20 secondi. Se i messaggi durano più di 20 secondi, è possibile che la verifica abbia esito negativo. L'utente potrebbe non rispondere prima della fine del messaggio e la verifica potrebbe scadere.

Comportamento per la lingua del messaggio personalizzato

Quando un messaggio vocale personalizzato viene riprodotto all'utente, la lingua del messaggio dipende dai fattori seguenti:

  • Lingua dell'utente corrente.
    • Lingua rilevata dal browser dell'utente.
    • Altri scenari di autenticazione possono presentare comportamenti diversi.
  • Lingua degli eventuali messaggi personalizzati disponibili.
    • Questa lingua viene scelta dall'amministratore, quando viene aggiunto un messaggio personalizzato.

Ad esempio, se è presente un solo messaggio personalizzato, con la lingua tedesca:

  • Un utente che esegue l'autenticazione in lingua tedesca ascolterà il messaggio personalizzato in tedesco.
  • Il messaggio inglese standard verrà riprodotto per un utente che esegue l'autenticazione in lingua inglese.

Valori predefiniti dei messaggi vocali personalizzati

Gli script di esempio seguenti possono essere usati per creare messaggi personalizzati. Queste frasi sono le impostazioni predefinite se non si configurano messaggi personalizzati:

Nome messaggio Script
Autenticazione riuscita L'accesso è stato verificato correttamente. Arrivederci.
Richiesta interno Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per continuare.
Conferma illecito È stato inviato un avviso di illecito. Per sbloccare l'account, contattare l'help desk IT della società.
Messaggio introduttivo illecito (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica. Se non si è avviato personalmente la procedura di verifica, è possibile che qualcuno stia tentando di accedere all'account. Premere 0 seguito da cancelletto per inviare un avviso di illecito, in modo da informare il team IT della società e bloccare ulteriori tentativi di verifica.
Segnalato illecito - È stato inviato un avviso di illecito. Per sbloccare l'account, contattare l'help desk IT della società.
Activation Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Autenticazione negata - Nuovo tentativo Verifica non consentita.
Nuovo tentativo (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Messaggio introduttivo (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Messaggio introduttivo (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica.
Messaggio introduttivo illecito (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica. Se non si è avviato personalmente la procedura di verifica, è possibile che qualcuno stia tentando di accedere all'account. Premere 0 seguito da cancelletto per inviare un avviso di illecito, in modo da informare il team IT della società e bloccare ulteriori tentativi di verifica.
Nuovo tentativo (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica.
Richiesta interno dopo i numeri Se si risponde già a questo interno, premere cancelletto per continuare.
Autenticazione negata Al momento non è possibile effettuare l'accesso. Riprovare più tardi.
Messaggio introduttivo di attivazione (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Nuovo tentativo di attivazione (standard) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Premere cancelletto per completare la verifica.
Messaggio introduttivo di attivazione (PIN) Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Immettere il PIN seguito da cancelletto per completare la verifica.
Richiesta interno prima dei numeri Grazie per aver usato il sistema di verifica dell'accesso Microsoft. Trasferire la chiamata all'interno...

Configurare un messaggio personalizzato

Per usare messaggi personalizzati, seguire questa procedura:

  1. Passare a Azure Active Directory > Sicurezza > MFA > Impostazioni telefonata.
  2. Selezionare Aggiungi messaggio di saluto.
  3. Scegliere il Tipo di messaggio di saluto, ad esempio Messaggio di saluto (standard) o Autenticazione riuscita.
  4. Selezionare la lingua, in base alla sezione precedente sul comportamento del linguaggio dei messaggi personalizzato.
  5. Cercare e selezionare un file audio.mp3 o wav da caricare.
  6. Quando si è pronti, selezionare Aggiungi e quindi Salva.

Impostazioni del servizio MFA

Impostazioni password dell'app, indirizzi IP attendibili, opzioni di verifica e ricordare l'autenticazione a più fattori per Azure AD Multi-Factor Authentication è disponibile nelle impostazioni del servizio. Questo è più di un portale legacy e non fa parte del normale portale Azure AD.

Per accedere alle impostazioni del servizio, è possibile usare il portale di Azure passando a Azure Active Directory > Sicurezza > MFA > Attività iniziali > Configura > Altre impostazioni di MFA basate sul cloud. Verrà visualizzata una nuova finestra o scheda con opzioni aggiuntive per le impostazioni del servizio.

Indirizzi IP attendibili

La funzionalità Indirizzi IP attendibili di Azure AD Multi-Factor Authentication ignora le richieste di autenticazione a più fattori per gli utenti che a un intervallo di indirizzi IP definito. È possibile impostare intervalli IP attendibili per gli ambienti locali in modo che, quando gli utenti si trovare in una di queste posizioni, non Azure AD richiesta multi-factor authentication. La funzionalità Indirizzi IP attendibili di Azure AD Multi-Factor Authentication richiede Azure AD Premium P1 edizione.

Nota

Gli indirizzi IP attendibili possono includere intervalli IP privati solo quando si usa il server MFA. Per le applicazioni basate Azure AD Multi-Factor Authentication, è possibile usare solo intervalli di indirizzi IP pubblici.

Gli intervalli IPv6 sono supportati solo nell'interfaccia Posizione denominata (anteprima).

Se l'organizzazione distribuisce l'estensione del server dei criteri di rete per garantire l'autenticazione a più fattori ad applicazioni locali, si prega di notare che gli indirizzi IP originali sembreranno sempre il server dei criteri di rete attraverso cui passa il tentativo di autenticazione.

Tipo di tenant di Azure AD Opzioni della funzionalità IP attendibile
Gestita Intervallo specifico di indirizzi IP: gli amministratori specificano un intervallo di indirizzi IP che possono ignorare l'autenticazione a più fattori per gli utenti che a loro accesso dalla intranet aziendale. È possibile configurare un massimo di 50 intervalli IP attendibili.
Federato Tutti gli utenti federati: tutti gli utenti federati che a un accesso dall'interno dell'organizzazione possono ignorare l'autenticazione a più fattori. Gli utenti ignorano la verifica usando un'attestazione emessa da Active Directory Federation Services (AD FS).
Intervallo specifico di indirizzi IP: gli amministratori specificano un intervallo di indirizzi IP che possono ignorare l'autenticazione a più fattori per gli utenti che a loro accesso dalla intranet aziendale.

Il bypass IP attendibile funziona solo dall'interno della intranet aziendale. Se si seleziona l'opzione Tutti gli utenti federati e un utente accede dall'esterno della intranet aziendale, l'utente deve eseguire l'autenticazione usando l'autenticazione a più fattori. Il processo è lo stesso anche se l'utente presenta un'attestazione AD FS.

Esperienza dell'utente finale all'interno della rete aziendale

Quando la funzionalità indirizzi IP attendibili è disabilitata, è necessaria l'autenticazione a più fattori per i flussi del browser. Le password dell'app sono necessarie per applicazioni rich client meno recenti.

Quando vengono usati indirizzi IP attendibili, l'autenticazione a più fattori non è necessaria per i flussi del browser. Le password dell'app non sono necessarie per le applicazioni rich client meno recenti, a condizione che l'utente non abbia creato una password dell'app. Quando si usa una password dell'app, questa rimane obbligatoria.

Esperienza dell'utente finale all'esterno della rete aziendale

Indipendentemente dal fatto che siano definiti indirizzi IP attendibili, è necessaria l'autenticazione a più fattori per i flussi del browser. Le password dell'app sono necessarie per applicazioni rich client meno recenti.

Abilitare le località denominate con l'accesso condizionale

È possibile usare le regole di accesso condizionale per definire località denominate seguendo questa procedura:

  1. Nel portale di Azure cercare e selezionare Azure Active Directory , quindi passare a Sicurezza > Accesso condizionale Percorsi > denominati.
  2. Selezionare Nuova località.
  3. Immettere un nome per la località.
  4. Selezionare Contrassegna come posizione attendibile.
  5. Immettere l'intervallo IP nella notazione CIDR per l'ambiente, ad esempio 40.77.182.32/27.
  6. Selezionare Create (Crea).

Abilitare la funzionalità Indirizzi IP attendibili con l'accesso condizionale

Per abilitare gli ip attendibili usando i criteri di accesso condizionale, seguire questa procedura:

  1. Nel portale di Azure cercare e selezionare Azure Active Directory , quindi passare a Sicurezza > Accesso condizionale Percorsi > denominati.

  2. Selezionare Configura indirizzi IP attendibili MFA.

  3. Nella pagina Impostazioni servizio, in Indirizzi IP attendibili scegliere una delle due opzioni seguenti:

    • Per le richieste degli utenti federati originate dalla Intranet dell'utente: per scegliere questa opzione, selezionare la casella di controllo. Tutti gli utenti federati che a ogni accesso dalla rete aziendale ignorano l'autenticazione a più fattori usando un'attestazione rilasciata da AD FS. Assicurarsi che AD FS abbia una regola per aggiungere l'attestazione intranet al traffico appropriato. Se la regola non esiste, creare la regola seguente in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • Per le richieste da un intervallo specifico di IP pubblici: per scegliere questa opzione, immettere gli indirizzi IP nella casella di testo usando la notazione CIDR.

      • Per gli indirizzi IP nell'intervallo da xxx.xxx.xxx.1 a xxx.xxx.xxx.254, usare una notazione, ad esempio xxx.xxx.xxx.0/24.
      • Per un singolo indirizzo IP, usare una notazione simile a xxx.xxx.xxx.xxx/32.
      • Immettere fino a 50 intervalli di indirizzi IP. Gli utenti che a ogni accesso da questi indirizzi IP ignorano l'autenticazione a più fattori.
  4. Selezionare Salva.

Abilitare la funzionalità Indirizzi IP attendibili tramite le impostazioni del servizio

Se non si vogliono usare i criteri di accesso condizionale per abilitare gli indirizzi IP attendibili, è possibile configurare le impostazioni del servizio per Azure AD Multi-Factor Authentication seguendo questa procedura:

  1. Nel portale di Azure cercare e selezionare Azure Active Directory e quindi scegliere Utenti.

  2. Selezionare Multi-Factor Authentication.

  3. In Multi-Factor Authentication selezionare Impostazioni servizio.

  4. Nella pagina Impostazioni servizio, in Indirizzi IP attendibili scegliere una o entrambe le opzioni seguenti:

    • Per le richieste degli utenti federati originate dalla Intranet dell'utente: per scegliere questa opzione, selezionare la casella di controllo. Tutti gli utenti federati che a ogni accesso dalla rete aziendale ignorano l'autenticazione a più fattori usando un'attestazione rilasciata da AD FS. Assicurarsi che AD FS abbia una regola per aggiungere l'attestazione intranet al traffico appropriato. Se la regola non esiste, creare la regola seguente in AD FS:

      c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);

    • For requests from a specified range of IP address subnets (Per le richieste provenienti da un intervallo specificato di subnet di indirizzi IP): per scegliere questa opzione, immettere gli indirizzi IP nella casella di testo usando la notazione CIDR.

      • Per gli indirizzi IP nell'intervallo da xxx.xxx.xxx.1 a xxx.xxx.xxx.254, usare una notazione, ad esempio xxx.xxx.xxx.0/24.
      • Per un singolo indirizzo IP, usare una notazione simile a xxx.xxx.xxx.xxx/32.
      • Immettere fino a 50 intervalli di indirizzi IP. Gli utenti che a ogni accesso da questi indirizzi IP ignorano l'autenticazione a più fattori.
  5. Selezionare Salva.

Metodi di verifica

È possibile scegliere i metodi di verifica disponibili per gli utenti nel portale delle impostazioni del servizio. Quando gli utenti registrano i propri account per Azure AD Multi-Factor Authentication, scelgono il metodo di verifica preferito tra le opzioni abilitate. Le indicazioni per il processo di registrazione utente sono disponibili in Configurare l'account per l'autenticazione a più fattori.

Sono disponibili i metodi di verifica seguenti:

Metodo Descrizione
Chiamata al telefono Invia una chiamata vocale automatizzata. Per l’autenticazione, l'utente risponde alla chiamata e preme # sul tastierino telefonico. Il numero di telefono non viene sincronizzato con Active Directory locale.
SMS al telefono Invia un messaggio di testo contenente un codice di verifica. All'utente viene richiesto di immettere il codice di verifica nell'interfaccia di accesso. Questo processo è denominato SMS unidirezionale. L'SMS bidirezionale significa che l'utente deve disporre il testo in un codice specifico. L'SMS bidirezionale è deprecato e non è supportato a partire dal 14 novembre 2018. Gli amministratori devono abilitare un altro metodo per gli utenti che in precedenza usavano l'SMS bidirezionale.
Notifica tramite app per dispositivi mobili Invia una notifica push al telefono o al dispositivo registrato. L'utente visualizza la notifica e seleziona Verifica per completare la verifica. L'app Microsoft Authenticator è disponibile per Windows Phone, Android e IOS.
Codice di verifica dall'app per dispositivi mobili o dal token hardware L'app Microsoft Authenticator genera un nuovo codice di verifica OATH ogni 30 secondi. L'utente immette il codice di verifica nell'interfaccia di accesso. L'app Microsoft Authenticator è disponibile per Windows Phone, Android e IOS.

Per altre informazioni, vedere Quali metodi di autenticazione e verifica sono disponibili in Azure AD?

Abilitare e disabilitare i metodi di verifica

Per abilitare o disabilitare i metodi di verifica, seguire questa procedura:

  1. Nel portale di Azure cercare e selezionare Azure Active Directory e quindi scegliere Utenti.
  2. Selezionare Multi-Factor Authentication.
  3. In Multi-Factor Authentication selezionare Impostazioni servizio.
  4. Nella pagina Impostazioni servizio, in Opzioni di verifica selezionare o deselezionare i metodi da mettere a disposizione per gli utenti.
  5. Fare clic su Salva.

Memorizza Multi-Factor Authentication

La funzionalità remember Multi-Factor Authentication consente agli utenti di ignorare le verifiche successive per un numero specificato di giorni, dopo aver eseguito correttamente l'accesso a un dispositivo usando Multi-Factor Authentication. Per migliorare l'usabilità e ridurre al minimo il numero di volte in cui un utente deve eseguire l'autenticazione a più fattori nello stesso dispositivo, selezionare una durata di 90 giorni o più.

Importante

Se un dispositivo o un account viene compromesso, la memorizzazione di Multi-Factor Authentication per i dispositivi attendibili può influire sulla sicurezza. Se un account aziendale viene compromesso o un dispositivo attendibile viene smarrito o rubato, è necessario revocare le sessioni MFA.

L'azione di ripristino revoca lo stato attendibile a tutti i dispositivi e l'utente deve eseguire nuovamente l'autenticazione a più fattori. È anche possibile indicare agli utenti di ripristinare Multi-Factor Authentication nei propri dispositivi, come indicato in Gestire le impostazioni per l'autenticazione a più fattori.

Funzionamento della funzionalità

La funzionalità di memorizzazione di Multi-Factor Authentication imposta un cookie permanente nel browser quando l'utente seleziona l'opzione Don't ask again for X days (Non visualizzare più il messaggio per X giorni) al momento dell'accesso. L'utente non visualizza più la richiesta di Multi-Factor Authentication da questo browser fino alla scadenza del cookie. Se l'utente apre un altro browser sullo stesso dispositivo o cancella i cookie, la verifica verrà richiesta di nuovo.

L'opzione Don't ask again for X days (Non visualizzare più il messaggio per X giorni) non viene visualizzata nelle applicazioni non basate su browser, indipendentemente dal fatto che l'app supporti l'autenticazione moderna. Queste app usano token di aggiornamento che creano nuovi token di accesso ogni ora. Quando un token di aggiornamento viene convalidato, Azure AD verifica che l'ultima autenticazione a più fattori sia stata verificata entro il numero di giorni specificato.

La funzionalità riduce il numero di autenticazioni per le app Web, che in genere viene richiesta ogni volta. La funzionalità può aumentare il numero di autenticazioni per i client di autenticazione moderni che in genere richiede ogni 180 giorni, se è configurata una durata inferiore. Può anche aumentare il numero di autenticazioni in combinazione con i criteri di accesso condizionale.

Importante

La funzionalità memorizza Multi-Factor Authentication non è compatibile con la funzionalità Mantieni l'accesso di AD FS, quando gli utenti eseguono l'autenticazione a più fattori per AD FS tramite Azure server Multi-Factor Authentication o una soluzione di autenticazione a più fattori di terze parti.

Se si seleziona Mantieni l'accesso in AD FS e si contrassegna il dispositivo come attendibile per Multi-Factor Authentication, l'utente non esegue automaticamente la verifica quando terminano i giorni per la memorizzazione di Multi-Factor Authentication. Azure AD richiede una nuova autenticazione a più fattori, ma AD FS restituisce un token con l'attestazione e la data di Multi-Factor Authentication originali, anziché eseguire nuovamente l'autenticazione a più fattori. Questa reazione attiva un ciclo di verifica tra Azure AD e AD FS.

La funzionalità Memorizza Multi-Factor Authentication non è compatibile con gli utenti B2B e non sarà visibile per questi utenti durante l'accesso ai tenant invitati.

Abilitare la funzionalità Memorizza Multi-Factor Authentication

Per abilitare e configurare l'opzione che consente agli utenti di ricordare lo stato dell'autenticazione a più fattori e ignorare le richieste, seguire questa procedura:

  1. Nel portale di Azure cercare e selezionare Azure Active Directory e quindi scegliere Utenti.
  2. Selezionare Multi-Factor Authentication.
  3. In Multi-Factor Authentication selezionare Impostazioni servizio.
  4. Nella pagina Autenticazione Impostazioni, in Memorizza autenticazione a più fattori, selezionare l'opzione Consenti agli utenti di ricordare l'autenticazione a più fattori nei dispositivi che considera attendibili.
  5. Impostare il numero di giorni per consentire ai dispositivi attendibili di ignorare l'autenticazione a più fattori. Per un'esperienza utente ottimale, estendere la durata a 90 o più giorni.
  6. Selezionare Salva.

Contrassegnare un dispositivo come attendibile

Dopo aver abilitato la funzionalità memorizza Multi-Factor Authentication, gli utenti possono contrassegnare un dispositivo come attendibile all'accesso selezionando l'opzione Non chiedere più .

Passaggi successivi

Per altre informazioni sui metodi disponibili per l'uso in Azure AD Multi-Factor Authentication, vedere Quali metodi di autenticazione e verifica sono disponibili in Azure Active Directory?