Share via

Aggiungere l'autenticazione a più fattori (MFA) a un'app

  • Articolo

In un tenant esterno Microsoft Entra per ID esterno è possibile aggiungere un livello di sicurezza alle applicazioni rivolte ai clienti consumer e aziendali applicando l'autenticazione a più fattori (MFA). Con L'autenticazione a più fattori, ogni volta che un utente accede, è necessario fornire un passcode monouso tramite posta elettronica. Questo articolo descrive come applicare l'autenticazione a più fattori per i clienti creando un criterio di accesso condizionale di Microsoft Entra e aggiungendo MFA al flusso utente di iscrizione e accesso.

Importante

Se si vuole abilitare l'autenticazione a più fattori, impostare il metodo di autenticazione dell'account locale su Posta elettronica con password. Se si imposta l'opzione account locale su Email with one-time passcode (Posta elettronica con passcode monouso), i clienti che usano questo metodo non potranno accedere perché il passcode monouso è già il metodo di accesso di primo fattore e non può essere usato come secondo fattore. Attualmente, il passcode monouso è l'unico metodo disponibile per L'autenticazione a più fattori in tenant esterni.

Suggerimento

Da provare subito

Per provare questa funzionalità, passare alla demo di Woodgrove Groceries e avviare il caso d'uso "Multi-Factor Authentication".

Prerequisiti

  • Un tenant esterno di Microsoft Entra (se non si ha un tenant, è possibile avviare una versione di valutazione gratuita.
  • Flusso utente di iscrizione e accesso con il metodo di autenticazione dell'account locale impostato su Posta elettronica con password.
  • Un'app registrata nel tenant esterno, aggiunta al flusso utente di iscrizione e accesso e aggiornata per puntare al flusso utente per l'autenticazione.
  • Un account con almeno il ruolo Security Amministrazione istrator per configurare i criteri di accesso condizionale e MFA.

Creare criteri di accesso condizionale

Creare un criterio di accesso condizionale nel tenant esterno che richiede agli utenti di eseguire l'autenticazione a più fattori quando si registrano o accedono all'app. Per altre informazioni, vedere Criteri di accesso condizionale comuni: richiedere l'autenticazione a più fattori per tutti gli utenti.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare al Centro sicurezza di Identity>Protection.>

  4. Selezionare Criteri di accesso>condizionale e quindi Nuovo criterio.

    Screenshot del pulsante nuovo criterio.

  5. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  6. In Assegnazioni selezionare il collegamento in Utenti.

    a. Nella scheda Includi selezionare Tutti gli utenti.

    b. Nella scheda Escludi selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.

    Screenshot dell'assegnazione di utenti al nuovo criterio.

  7. Selezionare il collegamento in App o azioni cloud.

    a. Nella scheda Includi scegliere una delle opzioni seguenti:

    • Scegliere Tutte le app cloud.

    • Scegliere Seleziona app e selezionare il collegamento in Seleziona. Trovare l'app, selezionarla e quindi scegliere Seleziona.

    b. In Escludi selezionare tutte le applicazioni che non richiedono l'autenticazione a più fattori.

    Screenshot dell'assegnazione delle app al nuovo criterio.

  8. In Controlli di accesso selezionare il collegamento in Concedi. Selezionare Concedi accesso, selezionare Richiedi autenticazione a più fattori e quindi scegliere Seleziona.

    Screenshot della richiesta di autenticazione a più fattori.

  9. Confermare le impostazioni e impostare Abilita criterio su Attivato.

  10. Selezionare Crea per creare e abilitare il criterio.

Abilitare il passcode monouso tramite posta elettronica come metodo MFA

Abilitare il metodo di autenticazione con passcode monouso tramite posta elettronica nel tenant esterno per tutti gli utenti.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.

  2. Passare a Metodi di autenticazione di Identity>Protection.>

  3. Nell'elenco Metodo selezionare OTP di posta elettronica.

    Screenshot dell'opzione passcode monouso tramite posta elettronica.

  4. In Abilita e destinazione attivare l'interruttore Abilita .

  5. In Includi accanto a Destinazione selezionare Tutti gli utenti.

    Screenshot dell'abilitazione del passcode monouso della posta elettronica.

  6. Seleziona Salva.

Testare l'accesso

In un browser privato aprire l'applicazione e selezionare Accedi. Verrà richiesto un altro metodo di autenticazione.