Come richiedere la verifica in due passaggi per un utente o un gruppoHow to require two-step verification for a user or group

Sono disponibili due modi per richiedere la verifica in due passaggi.There are two approaches for requiring two-step verification. Il primo prevede l'abilitazione di ogni singolo utente per Azure Multi-Factor Authentication (MFA).The first option is to enable each individual user for Azure Multi-Factor Authentication (MFA). Gli utenti abilitati singolarmente devono sempre eseguire la verifica in due passaggi (con alcune eccezioni, ad esempio se accedono da indirizzi IP attendibili o se è attiva la funzionalità relativa ai dispositivi memorizzati).When users are enabled individually, they always perform two-step verification (with some exceptions, like when they sign in from trusted IP addresses or if the remembered devices feature is turned on). Il secondo modo prevede la configurazione di criteri di accesso condizionale che richiedano la verifica in due passaggi in presenza di determinate condizioni.The second option is to set up a conditional access policy that requires two-step verification under certain conditions.

Suggerimento

Scegliere uno dei due metodi per richiedere la verifica in due passaggi, non entrambi.Choose one of these methods to require two-step verification, not both. L'abilitazione di un utente per Azure MFA sostituisce infatti eventuali criteri di accesso condizionale.Enabling a user for Azure MFA overrides any conditional access policies.

Scelta dell'opzione più adatta alle proprie esigenzeWhich option is right for you

L'abilitazione di Azure MFA modificando gli stati utente è l'approccio tradizionalmente usato per richiedere la verifica in due passaggi.Enabling Azure MFA by changing user states is the traditional approach for requiring two-step verification. Può essere usato sia per Azure MFA nel cloud sia per Azure MFA Server.It works for both Azure MFA in the cloud and Azure MFA Server. Tutti gli utenti abilitati devono seguire la stessa procedura, ovvero effettuare la verifica in due passaggi ogni volta che accedono.All the users that you enable have the same experience, which is to perform two-step verification every time they sign in. L'abilitazione di un utente sostituisce eventuali criteri di accesso condizionale in vigore per l'utente.Enabling a user overrides any conditional access policies that may affect that user.

L'abilitazione di Azure MFA con criteri di accesso condizionale è un approccio più flessibile per richiedere la verifica in due passaggi.Enabling Azure MFA with a conditional access policy is a more flexible approach for requiring two-step verification. Può essere tuttavia usato solo per Azure MFA nel cloud e l'accesso condizionale è una funzionalità a pagamento di Azure Active Directory.It only work for Azure MFA in the cloud, though, and conditional access is a paid feature of Azure Active Directory. È possibile creare criteri di accesso condizionale da applicare sia a gruppi che a singoli utenti.You can create conditional access policies that apply to groups as well as individual users. È possibile, ad esempio, assegnare ai gruppi ad alto rischio più restrizioni rispetto ai gruppi a basso rischio oppure richiedere la verifica in due passaggi solo per le app cloud ad alto rischio e non per quelle a basso rischio.High-risk groups can be given more restrictions than low-risk groups, or two-step verification can be required only for high-risk cloud apps and skipped for low-risk ones.

In entrambi i casi, gli utenti devono registrarsi ad Azure Multi-Factor Authentication la prima volta che accedono dopo l'attivazione dei requisiti.Both of these options prompt users to register for Azure Multi-Factor Authentication the first time that they sign in after the requirements turn on. Entrambe le opzioni, inoltre, possono interagire con le impostazioni di Azure Multi-Factor Authentication configurabili.Both options also work with the configurable Azure Multi-Factor Authentication settings

Abilitare Azure MFA modificando lo stato utenteEnable Azure MFA by changing user status

Gli account utente in modalità Multi-Factor Authentication di Azure presentano i seguenti tre stati distinti:User accounts in Azure Multi-Factor Authentication have the following three distinct states:

StatoStatus DescrizioneDescription App interessate non basate su browserNon-browser apps affected Autenticazione moderna e app interessate basate su browserBrowser apps and modern auth affected
DisabledDisabled Lo stato predefinito per un nuovo utente non registrato alla modalità Multi-Factor Authentication (MFA).The default state for a new user not enrolled Azure Multi-Factor Authentication (MFA). NoNo NoNo
EnabledEnabled L'utente è stato iscritto ad Azure MFA, ma non ha eseguito la registrazione.The user has been enrolled in Azure MFA, but has not registered. Verrà richiesto di eseguire la registrazione al successivo accesso.They will be prompted to register the next time they sign in. No.No. Continuano a funzionare fino al completamento della registrazione.They continue to work until the registration process is completed. Sì.Yes. Quando il token di aggiornamento per la sessione scade, è richiesta la registrazione MFA.Once the refresh token for the session expires, MFA registration will be required.
EnforcedEnforced L'utente è stato iscritto e ha completato il processo di registrazione per Azure MFA.The user has been enrolled and has completed the registration process for Azure MFA. Sì.Yes. Le app richiedono password per le app.Apps require app passwords. Sì.Yes. Autenticazione a più fattori obbligatoria all'accesso.MFA required at login.

Lo stato dell'utente indica se un amministratore ha eseguito la relativa iscrizione in Azure MFA e se l'utente ha completato il processo di registrazione.A user's state reflects whether an admin has enrolled them in Azure MFA, and whether they completed the registration process.

Tutti gli utenti iniziano con disabilitato.All users start out disabled. Quando si registrano gli utenti in Azure MFA, il relativo stato cambia in abilitato.When you enroll users in Azure MFA, their state changes enabled. Quando gli utenti abilitati accedono e completano il processo di registrazione, il relativo stato viene modificato in applicato.When enabled users sign in and complete the registration process, their state changes to enforced.

Visualizzare lo stato di un utenteView the status for a user

Per accedere alla pagina in cui è possibile visualizzare e gestire gli stati utente, procedere come segue:Use the following steps to access the page where you can view and manage user states:

  1. Accedere al portale di Azure come amministratore.Sign in to the Azure portal as an administrator.
  2. Passare ad Azure Active Directory > Utenti e gruppi > Tutti gli utenti.Go to Azure Active Directory > Users and groups > All users.
  3. Selezionare Multi-Factor Authentication.Select Multi-Factor Authentication. Selezionare Multi-Factor AuthenticationSelect Multi-Factor Authentication
  4. Verrà visualizzata una nuova pagina in cui sono elencati gli stati utente.A new page, which displays the user states, opens. Stati utente in Microsoft Azure Multi-Factor Authentication - screenshotmulti-factor authentication user status - screenshot

Modificare lo stato di un utenteChange the status for a user

  1. Usare la procedura precedente per visualizzare la pagina Utenti Multi-Factor Authentication.Use the preceding steps to get to the multi-factor authentication users page.
  2. Trovare l'utente che si vuole abilitare per Azure MFA.Find the user that you want to enable for Azure MFA. Potrebbe essere necessario modificare la visualizzazione nella parte superiore.You may need to change the view at the top. Trova utente - screenshotFind user - screenshot
  3. Selezionare la casella accanto al nome.Check the box next to their name.
  4. A destra, sotto Azioni rapide, scegliere Abilita o Disabilita.On the right, under quick steps, choose Enable or Disable. Abilitare l'utente selezionato - screenshotEnable selected user - screenshot

    Suggerimento

    Gli utenti abilitati diventano automaticamente applicati quando si registrano ad Azure MFA.Enabled users automatically switch to enforced when they register for Azure MFA. Non è possibile modificare manualmente lo stato di un utente su applicato.You shouldn't manually change the user state to enforced.

  5. Confermare la selezione nella finestra popup che viene visualizzata.Confirm your selection in the pop-up window that opens.

È consigliabile inviare una notifica tramite posta elettronica agli utenti dopo averli abilitati.After you enable users, you should notify them via email. Informarli anche che verrà chiesto loro di eseguire la registrazione al successivo accesso e che,Tell them that they'll be asked to register the next time they sign in. se l'organizzazione usa app non basate su browser che non supportano l'autenticazione moderna, dovranno creare password per l'app.Also, if your organization uses non-browser apps that don't support modern authentication, they'll need to create app passwords. È possibile anche includere un collegamento alla guida dell'utente finale ad Azure MFA con informazioni utili per iniziare.You can also include a link to our Azure MFA end-user guide to help them get started.

Usare PowerShellUse PowerShell

Per modificare lo stato dell'utente usando Azure AD PowerShell, modificare $st.State.To change the user status state using Azure AD PowerShell, change $st.State. Esistono tre possibili stati:There are three possible states:

  • EnabledEnabled
  • EnforcedEnforced
  • DisabledDisabled

Un utente non può essere spostato direttamente sullo stato Applicato.Don't move users directly to the Enforced state. Le app non basate su browser smettono di funzionare poiché l'utente non ha effettuato la registrazione a MFA e non ha ottenuto una password delle app.Non-browser-based apps will stop working because the user has not gone through MFA registration and obtained an app password.

L'uso di PowerShell è la scelta migliore quando è necessario abilitare utenti in massa.Using PowerShell is a good option when you need to bulk enabling users. Creare uno script di PowerShell che scorra un intero elenco di utenti e li abiliti:Create a PowerShell script that loops through a list of users and enables them:

    $st = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
    $st.RelyingParty = "*"
    $st.State = “Enabled”
    $sta = @($st)
    Set-MsolUser -UserPrincipalName bsimon@contoso.com -StrongAuthenticationRequirements $sta

Di seguito è fornito un esempio:Here is an example:

$users = "bsimon@contoso.com","jsmith@contoso.com","ljacobson@contoso.com"
foreach ($user in $users)
{
    $st = New-Object -TypeName Microsoft.Online.Administration.StrongAuthenticationRequirement
    $st.RelyingParty = "*"
    $st.State = “Enabled”
    $sta = @($st)
    Set-MsolUser -UserPrincipalName $user -StrongAuthenticationRequirements $sta
}

Abilitare Azure MFA con criteri di accesso condizionaleEnable Azure MFA with a conditional access policy

L'accesso condizionale è una funzionalità a pagamento di Azure Active Directory caratterizzata da numerose opzioni di configurazione.Conditional access is a paid feature of Azure Active Directory, with many possible configuration options. Per creare criteri di accesso condizionale, seguire questa procedura.These steps walk through one way to create a policy. Per altre informazioni, vedere Accesso condizionale in Azure Active Directory.For more information, read about Conditional Access in Azure Active Directory.

  1. Accedere al portale di Azure come amministratore.Sign in to the Azure portal as an administrator.
  2. Passare Azure Active Directory > Accesso condizionale.Go to Azure Active Directory > Conditional access.
  3. Selezionare Nuovi criteri.Select New policy.
  4. In Assegnazioni selezionare Utenti e gruppi.Under Assignments, select Users and groups. Usare le schede Includi ed Escludi per specificare quali utenti e i gruppi dovranno essere gestiti dai criteri.Use the Include and Exclude tabs to specify which users and groups will be managed by the policy.
  5. In Assegnazioni selezionare App cloud.Under Assignments, select Cloud apps. Scegliere di includere Tutte le app cloud.Choose to include All cloud apps.
  6. In Controlli di accesso selezionare Concedi.Under Access controls, select Grant. Selezionare Richiedi autenticazione a più fattori.Choose Require multi-factor authentication.
  7. Impostare Abilita criterio su On e quindi selezionare Salva.Turn Enable policy to On and then select Save.

Le altre opzioni relative ai criteri di accesso condizionale consentono di specificare esattamente quando deve essere richiesta la verifica in due passaggi.The other options in the conditional access policy allow you to specify exactly when two-step verification should be required. È possibile, ad esempio, creare criteri in base ai quali se un terzista tenta di accedere all'app per gli acquisti da reti non attendibili su dispositivi non appartenenti al dominio, è necessario richiedere la verifica in due passaggi.For example, you could make a policy that states: when contractors try to access our procurement app from untrusted networks on devices that are not domain-joined, require two-step verification.

Passaggi successiviNext steps