Raccomandazione di Microsoft Entra: Passare dall'autenticazione a più fattori per utente all'autenticazione a più fattori di accesso condizionale

Le raccomandazioni di Microsoft Entra sono una funzionalità che offre informazioni dettagliate personalizzate e indicazioni utili per allineare il tenant alle procedure consigliate.

Questo articolo illustra la raccomandazione di passare gli account di autenticazione a più fattori (MFA) per utente agli account MFA di accesso condizionale. Questa raccomandazione viene chiamata switchFromPerUserMFA nell'API recommendations in Microsoft Graph.

Descrizione

Gli amministratori vogliono mantenere la sicurezza per le risorse aziendali, ma si vuole anche che i dipendenti accevano facilmente le risorse in base alle esigenze. L'autenticazione a più fattori consente di migliorare il comportamento di sicurezza del tenant.

Nel tenant è possibile abilitare l'autenticazione a più fattori in base all'utente. In questo scenario, gli utenti eseguono l'autenticazione a più fattori ogni volta che accedono. Esistono alcune eccezioni, ad esempio quando effettuano l'accesso da indirizzi IP attendibili o quando la funzionalità di memorizzazione dell'autenticazione a più fattori nei dispositivi attendibili è attivata. Anche se l'abilitazione dell'autenticazione a più fattori è una procedura consigliata, il passaggio dell'autenticazione a più fattori per utente in base all'accesso condizionale può ridurre il numero di richieste di autenticazione a più fattori da parte degli utenti.

Questa raccomandazione viene visualizzata se:

• L'autenticazione a più fattori per utente è configurata per almeno il 5% degli utenti.
• I criteri di accesso condizionale sono attivi per più del 1% degli utenti (a indicare la familiarità con i criteri di accesso condizionale).

Valore

Questa raccomandazione migliora la produttività dell'utente e riduce al minimo il tempo di accesso con un minor numero di richieste di autenticazione a più fattori. L'accesso condizionale e l'autenticazione a più fattori usati insieme consentono di garantire che le risorse più sensibili possano avere i controlli più rigidi, mentre le risorse meno sensibili possono essere accessibili più liberamente. Per una panoramica delle funzionalità disponibili nell'accesso condizionale, vedere Creazione di criteri di accesso condizionale.

Piano d'azione

1. Verificare che siano presenti criteri di accesso condizionale esistenti con un requisito di autenticazione a più fattori. Assicurarsi di coprire tutte le risorse e gli utenti da proteggere con MFA.

   • Esaminare i criteri di accesso condizionale.

2. Richiedere l'autenticazione a più fattori usando un criterio di accesso condizionale.

   • Proteggere gli eventi di accesso utente con l'autenticazione a più fattori di Microsoft Entra.

3. Assicurarsi che la configurazione MFA per utente sia disattivata.

Dopo la migrazione di tutti gli utenti agli account MFA di accesso condizionale, lo stato della raccomandazione viene aggiornato automaticamente alla successiva esecuzione del servizio. Continuare a esaminare i criteri di accesso condizionale per migliorare l'integrità complessiva del tenant.

Passaggi successivi

• Esaminare la panoramica delle raccomandazioni di Microsoft Entra
• Informazioni su come usare le raccomandazioni di Microsoft Entra
• Esplorare le proprietà dell'API Microsoft Graph per le raccomandazioni
• Informazioni sulla richiesta di autenticazione a più fattori per tutti gli utenti che usano l'accesso condizionale
• Visualizzare l'esercitazione sui criteri di accesso condizionale MFA