Configurare le impostazioni di Azure Multi-Factor Authentication: anteprima pubblicaConfigure Azure Multi-Factor Authentication settings - Public preview

Le informazioni in questo articolo sono utili per gestire Azure Multi-Factor Authentication ora che si è operativi.This article helps you manage Azure Multi-Factor Authentication now that you are up and running. L'articolo illustra diversi argomenti che permettono di ottenere il massimo da Azure Multi-Factor Authentication.It covers various topics that help you to get the most out of Azure Multi-Factor Authentication. Non tutte queste funzionalità sono disponibili in ogni versione di Azure Multi-Factor Authentication.Not all these features are available in every version of Azure Multi-Factor Authentication.

Nota

Queste impostazioni sono in anteprima pubblica nel portale di Azure.These settings are in public preview in the Azure portal. Per informazioni su come gestire le impostazioni di Azure Multi-Factor Authentication nel portale pfweb, vedere Configure Azure Multi-Factor Authentication settings (Configurare le impostazioni di Azure Multi-Factor Authentication).For documentation on how to manage Azure Multi-Factor Authentication settings in the pfweb portal, see Configure Azure Multi-Factor Authentication settings.

FunzionalitàFeature DescrizioneDescription
Bloccare e sbloccare utentiBlock and unblock users La funzionalità Blocca/Sblocca utenti può impedire agli utenti di ricevere le richieste di autenticazione.Block/unblock users can prevent users from receiving authentication requests.
Avviso di illecitoFraud alert È possibile configurare e impostare un avviso di illecito in modo che gli utenti possano segnalare i tentativi illeciti di accedere alle loro risorse.Fraud alert can be configured and set up so that your users can report fraudulent attempts to access their resources.
Bypass monousoOne-time bypass Un bypass monouso consente a un utente di eseguire l'autenticazione una sola volta "ignorando" Multi-Factor Authentication.A one-time bypass allows a user to authenticate a single time by "bypassing" multi-factor authentication.
Messaggi vocali personalizzatiCustom Voice Messages I messaggi vocali personalizzati consentono di usare registrazioni o messaggi introduttivi personalizzati con Multi-Factor Authentication.Custom voice messages allow you to use your own recordings or greetings with multi-factor authentication.
Memorizzazione nella cacheCaching La memorizzazione nella cache consente di impostare uno specifico periodo di tempo in modo che i tentativi di autenticazione successivi abbiano automaticamente esito positivo.Caching allows you to set a specific time period so that subsequent authentication attempts succeed automatically.
Indirizzi IP attendibiliTrusted IPs Gli amministratori di un tenant federato o gestito possono usare gli IP attendibili per ignorare la verifica in due passaggi per gli utenti che accedono dalla rete Intranet locale dell'azienda.Administrators of a managed or federated tenant can use Trusted IPs to bypass two-step verification for users that sign in from the company’s local intranet.
Password dell'appApp Passwords Una password dell'app consente a un'applicazione che non è in grado di riconoscere MFA di ignorare questa funzionalità e continuare a funzionare.An app password allows an application that is not MFA-aware to bypass multi-factor authentication and continue working.
Memorizzare Multi-Factor Authentication per dispositivi e browser memorizzatiRemember Multi-Factor Authentication for remembered devices and browsers Consente di memorizzare dispositivi per un determinato numero di giorni dopo che un utente ha effettuato correttamente l'accesso tramite MFA.Allows you to remember devices for a set number of days after a user has successfully signed in using MFA.
Metodi di verifica selezionabiliSelectable Verification Methods Consente di scegliere i metodi di autenticazione disponibili per gli utenti.Allows you to choose the authentication methods that are available for users to use.

Bloccare e sbloccareBlock and unblock

La funzionalità Blocca/Sblocca utenti può essere usata per impedire agli utenti di ricevere le richieste di autenticazione.Block/unblock users can be used to prevent users from receiving authentication requests. Eventuali tentativi di autenticazione per gli utenti bloccati vengono negati automaticamente.Any authentication attempts for blocked users are automatically denied. Gli utenti bloccati restano tali per 90 giorni dal momento in cui vengono bloccati.Blocked users remain blocked for 90 days from the time they are blocked.

Bloccare un utenteBlock a user

  1. Accedere al portale di Azure come amministratore.Sign in to the Azure portal as an administrator.
  2. Passare ad Azure Active Directory > MFA Server (Server MFA) > Blocca/Sblocca utenti.Navigate to Azure Active Directory > MFA Server > Block/unblock users.
  3. Fare clic su Aggiungi per bloccare un utente.Click Add to block a user.
  4. Selezionare il Gruppo di replica, immettere il nome utente bloccato come username@domain.com e un commento nel campo Motivo.Select the Replication Group, input the blocked username as username@domain.com, and enter a comment in the Reason field.
  5. Fare clic su Aggiungi per completare il blocco dell'utente.Click Add to finish blocking the user.

Sbloccare un utenteUnblock a user

  1. Accedere al portale di Azure come amministratore.Sign in to the Azure portal as an administrator.
  2. Passare ad Azure Active Directory > MFA Server (Server MFA) > Blocca/Sblocca utenti.Navigate to Azure Active Directory > MFA Server > Block/unblock users.
  3. Fare clic su Sblocca nella colonna Azione accanto all'utente che si desidera sbloccare.Click Unblock in the Action column next to the user you want to unblock.
  4. Immettere un commento nel campo Motivo dello sblocco.Enter a comment in the Reason for unblocking field.
  5. Fare clic su Sblocca per completare lo sblocco dell'utente.Click Unblock to finish unblocking the user.

Avviso di illecitoFraud Alert

È possibile configurare e impostare un avviso di illecito in modo che gli utenti possano segnalare i tentativi illeciti di accedere alle loro risorse.Fraud alert can be configured and set up so that your users can report fraudulent attempts to access their resources. Gli utenti possono segnalare gli illeciti con l'app per dispositivi mobili o tramite il telefono.Users can report fraud either with the mobile app or through their phone.

Attivare un avviso di illecitoTurn on fraud alert

  1. Accedere al portale di Azure come amministratore.Sign in to the Azure portal as an administrator.
  2. Passare ad Azure Active Directory > MFA Server (Server MFA) > Avviso di illecito.Navigate to Azure Active Directory > MFA Server > Fraud alert.

    Avviso di illecito

  3. Impostare Consenti agli utenti di inviare avvisi di illeciti su .Turn Allow users to submit fraud alerts to On.

  4. Selezionare Salva.Select Save.

Opzioni di configurazioneConfiguration options

  • Blocca utente se viene segnalato un illecito: se un utente segnala un illecito, il relativo account viene bloccato per 90 giorni o finché l'amministratore non sblocca l'account.Block user when fraud is reported - If a user reports fraud, their account is blocked for 90 days or until an administrator unblocks their account. Un amministratore può verificare gli accessi usando il report sugli accessi ed eseguire le azioni necessarie per prevenire illeciti nel futuro.An administrator can review sign-ins using the sign-in report, and take appropriate action to prevent future fraud. Un amministratore può quindi sbloccare l'account dell'utente.An administrator can then unblock the user's account.
  • Codice per la segnalazione di illeciti durante il messaggio introduttivo iniziale: quando gli utenti ricevono una chiamata telefonica per eseguire la verifica in due passaggi, in genere premono # per confermare l'accesso.Code to report fraud during initial greeting - When users receive a phone call to perform two-step verification, they normally press # to confirm their sign-in. Se vogliono segnalare un illecito, devono immettere un codice prima di premere #.If they want to report fraud, they enter a code before pressing #. Il codice predefinito è 0, ma è possibile personalizzarlo.This code is 0 by default, but you can customize it.

Nota

I messaggi vocali predefiniti di Microsoft invitano gli utenti a premere 0# per inviare un avviso di illecito.Microsoft’s default voice greetings instruct users to press 0# to submit a fraud alert. Se si vuole usare un codice diverso da 0, è necessario registrare e caricare messaggi vocali personalizzati con le istruzioni appropriate.If you want to use a code other than 0, you should record and upload your own custom voice greetings with appropriate instructions.

Visualizzare le segnalazioni di illecitiView fraud reports

  1. Accedere al portale di Azure classico.Sign in to the Azure classic portal.
  2. A sinistra, selezionare Active Directory.On the left, select Active Directory.
  3. Selezionare la directory da gestire.Select the directory you want to manage.
  4. Selezionare ConfiguraSelect Configure
  5. In Multi-Factor Authentication selezionare Gestisci impostazioni del servizio.Under Multi-Factor Authentication, select Manage service settings.
  6. Nella parte inferiore della pagina Impostazioni servizio selezionare Vai al portale.At the bottom of the Service Settings page, select Go to the portal.
  7. Nel portale di gestione di Azure Multi-Factor Authentication fare clic su Avviso di illecito in Visualizza un report.In the Azure Multi-Factor Authentication Management Portal, under View A Report, click Fraud Alert.
  8. Specificare l'intervallo di date che si desidera visualizzare nel report.Specify the date range that you wish to view in the report. È anche possibile specificare nomi utente, numeri di telefono e lo stato dell'utente.You can also specify usernames, phone numbers, and the user's status.
  9. Fare clic su Esegui per visualizzare un report degli avvisi di illecito.Click Run to bring up a report of fraud alerts. Per esportare il report, fare clic su Esporta in CSV.Click Export to CSV if you wish to export the report.

Bypass monousoOne-time bypass

Un bypass monouso consente all'utente di eseguire l'autenticazione una sola volta senza eseguire la verifica in due passaggi.A one-time bypass allows a user to authenticate a single time without performing two-step verification. Il bypass è temporaneo e scade dopo un numero di secondi specificato.The bypass is temporary and expires after a specified number of seconds. In situazioni in cui l'app per dispositivi mobili o il telefono non riceve una notifica o una chiamata telefonica, è possibile abilitare un bypass monouso in modo che l'utente possa accedere alla risorsa.In situations where the mobile app or phone is not receiving a notification or phone-call, you can enable a one-time bypass so the user can access the desired resource.

Creare un bypass monousoCreate a one-time bypass

  1. Accedere al portale di Azure come amministratore.Sign in to the Azure portal as an administrator.
  2. Passare ad Azure Active Directory > MFA Server (Server MFA) > Bypass monouso.Navigate to Azure Active Directory > MFA Server > One-time bypass.

    Bypass monouso

  3. Selezionare Aggiungi.Select Add.
  4. Se necessario, selezionare il gruppo di replica per questo bypass.If necessary, select the replication group for this bypass.
  5. Immettere il nome utente (come username@domain.com), il numero di secondi per il bypass e il motivo del bypass.Enter the username (in the form of username@domain.com), the number of seconds that the bypass should last for, and the reason for the bypass.
  6. Selezionare Aggiungi.Select Add. Il limite di tempo diventa effettivo immediatamente, quindi l'utente deve eseguire l'accesso prima della scadenza del bypass monouso.The time limit goes into effect immediately, so the user needs to sign in before the one-time bypass expires.

Visualizzare il report del bypass monousoView the one-time bypass report

  1. Accedere al portale di Azure classico.Sign in to the Azure classic portal.
  2. A sinistra, selezionare Active Directory.On the left, select Active Directory.
  3. Selezionare la directory da gestire.Select the directory you want to manage.
  4. Selezionare ConfiguraSelect Configure
  5. In Multi-Factor Authentication selezionare Gestisci impostazioni del servizio.Under Multi-Factor Authentication, select Manage service settings.
  6. Nella parte inferiore della pagina Impostazioni servizio selezionare Vai al portale.At the bottom of the Service Settings page, select Go to the portal.
  7. Nel portale di gestione di Azure Multi-Factor Authentication fare clic su Bypass monouso in Visualizza un report.In the Azure Multi-Factor Authentication Management Portal, under View A Report, click One-Time Bypass.
  8. Specificare l'intervallo di date che si desidera visualizzare nel report.Specify the date range that you wish to view in the report. È anche possibile specificare nomi utente, numeri di telefono e lo stato dell'utente.You can also specify usernames, phone numbers, and the user's status.
  9. Fare clic su Esegui per visualizzare un report dei bypass.Click Run to bring up a report of bypasses. Per esportare il report, fare clic su Esporta in CSV.Click Export to CSV if you wish to export the report.

Messaggi vocali personalizzatiCustom voice messages

I messaggi vocali personalizzati consentono di usare registrazioni o messaggi introduttivi personalizzati per la verifica in due passaggi.Custom voice messages allow you to use your own recordings or greetings for two-step verification. Possono essere usati in aggiunta alle registrazioni di Microsoft o per sostituirle.These can be used in addition to or to replace the Microsoft records.

Prima di iniziare, tenere presente le seguenti restrizioni:Before you begin be aware of the following restrictions:

  • I formati di file supportati sono WAV e MP3.The supported file formats are .wav and .mp3.
  • La dimensione massima dei file è 5 MB.The file size limit is 5 MB.
  • I messaggi di autenticazione devono avere una durata inferiore a 20 secondi.Authentication messages should be shorter than 20 seconds. Un messaggio più lungo di 20 secondi può causare l'esito negativo della verifica, perché l'utente potrebbe non riuscire a rispondere prima della fine del messaggio, con conseguente timeout della verifica.Anything longer than 20 seconds could cause the verification to fail because the user may not respond before the message finishes, causing the verification to time out.

Configurare un messaggio personalizzatoSet up a custom message

  1. Accedere al portale di Azure come amministratore.Sign in to the Azure portal as an administrator.
  2. Passare ad Azure Active Directory > MFA Server (Server MFA) > Impostazioni telefonata.Navigate to Azure Active Directory > MFA Server > Phone call settings.

    Impostazioni telefonata

  3. Selezionare Aggiungi messaggio di saluto.Select Add greeting.

  4. Scegliere il tipo di messaggio di saluto e la lingua.Choose the type of greeting and the language.
  5. Selezionare un file audio MP3 o WAV da caricare.Select an .mp3 or .wav sound file to upload.
  6. Selezionare Aggiungi.Select Add.

Memorizzazione nella cache in Azure Multi-Factor AuthenticationCaching in Azure Multi-Factor Authentication

La memorizzazione nella cache consente di impostare un periodo di tempo specifico in modo che i tentativi di autenticazione successivi, eseguiti in tale intervallo di tempo, abbiano automaticamente esito positivo.Caching allows you to set a specific time period so that subsequent authentication attempts within that time period succeed automatically. Questa opzione viene usata principalmente quando i sistemi locali, ad esempio VPN, inviano più richieste di verifica mentre la prima richiesta è ancora in corso.This is primarily used when on-premises systems such as VPN send multiple verification requests while the first request is still in progress. La memorizzazione nella cache fa sì che, dopo che l'utente ha completato la prima verifica in corso, le richieste successive abbiano automaticamente esito positivo.Caching allows the subsequent requests to succeed automatically after the user succeeds the first verification in progress.

La memorizzazione nella cache non può essere usata per gli accessi ad Azure AD.Caching is not intended to be used for sign-ins to Azure AD.

Configurare la memorizzazione nella cacheSet up caching

  1. Accedere al portale di Azure come amministratore.Sign in to the Azure portal as an administrator.
  2. Passare ad Azure Active Directory > MFA Server (Server MFA) > Regole di memorizzazione nella cache.Navigate to Azure Active Directory > MFA Server > Caching rules.

    Regole di memorizzazione nella cache

  3. Selezionare Aggiungi.Select Add.

  4. Selezionare il tipo di cache dall'elenco a discesa e specificare il numero di secondi per la durata massima della cache.Select the cache type from the dropdown list, and specify the number of max cache seconds.
  5. Se necessario, selezionare un tipo di autenticazione e specificare un'applicazione.If necessary, select an auth type and specify an application.
  6. Selezionare Aggiungi.Select Add.

IP attendibiliTrusted IPs

Indirizzi IP attendibili è una funzionalità di Azure MFA che consente agli amministratori di un tenant gestito o federato di ignorare la verifica in due passaggi per gli utenti che accedono dalla rete Intranet locale dell'azienda.Trusted IPs is a feature of Azure MFA that administrators of a managed or federated tenant can use to bypass two-step verification for users that are signing in from the company’s local intranet. Questa funzionalità è disponibile con la versione completa di Azure Multi-Factor Authentication, ma non nella versione gratuita per amministratori.This feature is available with the full version of Azure Multi-Factor Authentication, not the free version for administrators. Per informazioni dettagliate su come ottenere la versione completa di Azure Multi-Factor Authentication, vedere Azure Multi-Factor Authentication.For details on how to get the full version of Azure Multi-Factor Authentication, see Azure Multi-Factor Authentication.

Tipo di tenant di Azure ADType of Azure AD Tenant Opzioni disponibili per gli indirizzi IP attendibiliAvailable Trusted IP options
GestitoManaged
  • Intervalli di indirizzi IP specifici: gli amministratori possono specificare un intervallo di indirizzi IP che possono ignorare la verifica in due passaggi per gli utenti che accedono dalla rete Intranet dell'azienda.Specific IP address ranges – Administrators can specify a range of IP addresses that can bypass two-step verification for users that are signing in from the company’s intranet.
  • FederatoFederated
  • Tutti gli utenti federati: tutti gli utenti federati che eseguono l'accesso dall'interno dell'organizzazione possono ignorare la verifica in due passaggi usando un'attestazione rilasciata da AD FS.All Federated Users - All federated users who are signing in from inside the organization will bypass two-step verification using a claim issued by AD FS.

  • Intervalli di indirizzi IP specifici: gli amministratori possono specificare un intervallo di indirizzi IP che possono ignorare la verifica in due passaggi per gli utenti che accedono dalla rete Intranet dell'azienda.Specific IP address ranges – Administrators can specify a range of IP addresses that can bypass two-step verification for users that are signing in from the company’s intranet.
  • Questo bypass può essere usato solo all'interno della rete Intranet di un'azienda.This bypass only works from inside a company’s intranet. Ad esempio, se sono stati selezionati solo tutti gli utenti federati e un utente accede dall'esterno della rete Intranet aziendale, tale utente deve eseguire l'autenticazione con la verifica in due passaggi anche se ha un'attestazione AD FS.For example, if you selected all federated users, and a user signs in from outside the company’s intranet, that user has to authenticate using two-step verification even if the user presents an AD FS claim.

    Esperienza dell'utente finale all'interno della rete aziendale:End-user experience inside corpnet:

    Quando la funzionalità Indirizzi IP attendibili è disabilitata, è necessario usare la verifica in due passaggi per i flussi del browser e le password dell'app per le applicazioni rich client meno recenti.When Trusted IPs is disabled, two-step verification is required for browser flows, and app passwords are required for older rich client apps.

    Quando la funzionalità Indirizzi IP attendibili è abilitata, non è necessario usare la verifica in due passaggi per i flussi del browser e non è necessario usare le password dell'app per le applicazioni rich client meno recenti, purché l'utente non abbia già creato una password dell'app.When Trusted IPs is enabled, two-step verification is not required for browser flows, and app passwords are not required for older rich client apps, provided that the user hasn't already created an app password. Se si inizia a usare una password dell'app, questa rimane obbligatoria.Once an app password is in use, it remains required.

    Esperienza dell'utente finale all'esterno della rete aziendale:End-user experience outside corpnet:

    Sia che la funzionalità Indirizzi IP attendibili sia abilitata o meno, è necessario usare la verifica in due passaggi per i flussi del browser e le password dell'app per le applicazioni rich client meno recenti.Whether Trusted IPs is enabled or not, two-step verification is required for browser flows, and app passwords are required for older rich client apps.

    Abilitare le posizioni specifiche usando l'accesso condizionaleEnable named locations using conditional access

    1. Accedere al portale di Azure.Sign in to the Azure portal.
    2. Sulla sinistra selezionare Azure Active Directory > Accesso condizionale > Posizioni specificheOn the left, select Azure Active Directory > Conditional access > Named locations
    3. Selezionare Nuovo percorsoSelect New location
    4. Specificare un nome per il percorsoProvide a name for the location
    5. Selezionare Contrassegna come posizione attendibileSelect Mark as trusted location
    6. Specificare l'intervallo di indirizzi IP nella notazione CIDR (Ad esempio, 192.168.1.1/24)Specify the IP Range in CIDR notation (Example 192.168.1.1/24)
    7. Selezionare CreaSelect Create

    Abilitare gli indirizzi IP attendibili usando l'accesso condizionaleEnable Trusted IPs using conditional access

    1. Accedere al portale di Azure.Sign in to the Azure portal.
    2. Sulla sinistra selezionare Azure Active Directory > Accesso condizionale > Posizioni specificheOn the left, select Azure Active Directory > Conditional access > Named locations
    3. Selezionare Configura indirizzi IP attendibili MFASelect Configure MFA trusted IPs
    4. Nella pagina Impostazioni servizio in Indirizzi IP attendibili sono disponibili due opzioni:On the Service Settings page, under Trusted IPs, you have two options:

      • Casella di controllo For requests from federated users originating from my intranet (Per le richieste provenienti da utenti federati nella Intranet).For requests from federated users originating from my intranet – Check the box. Tutti gli utenti federati che eseguono l'accesso dalla rete aziendale possono ignorare la verifica in due passaggi usando un'attestazione rilasciata da AD FS.All federated users who are signing in from the corporate network will bypass two-step verification using a claim issued by AD FS. Assicurarsi che AD FS abbia una regola per aggiungere l'attestazione intranet al traffico appropriato.Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. Se la regola non esiste, creare la seguente regola in AD FS: "c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);"If the rule does not exist, create the following rule in AD FS: "c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);"

      • For requests from a specific range of public IPs (Per le richieste da un intervallo specifico di IP pubblici): immettere gli indirizzi IP nella casella disponibile usando la notazione CIDR.For requests from a specific range of public IPs – Enter the IP addresses in the text box provided using CIDR notation. Ad esempio: xxx.xxx.xxx.0/24 per gli indirizzi IP nell'intervallo xxx.xxx.xxx.1 – xxx.xxx.xxx.254 oppure xxx.xxx.xxx.xxx/32 per un singolo indirizzo IP.For example: xxx.xxx.xxx.0/24 for IP addresses in the range xxx.xxx.xxx.1 – xxx.xxx.xxx.254, or xxx.xxx.xxx.xxx/32 for a single IP address. È possibile immettere fino a 50 intervalli di indirizzi IP.You can enter up to 50 IP address ranges. Gli utenti che accedono da tali indirizzi IP possono ignorare la verifica in due passaggi.Users who sign in from these IP addresses bypass two-step verification.

    5. Selezionare Salva.Select Save.

    Abilitare gli indirizzi IP attendibili usando le impostazioni di servizioEnable Trusted IPs using service settings

    1. Accedere al portale di Azure.Sign in to the Azure portal.
    2. Sulla sinistra selezionare Azure Active Directory > Utenti e gruppi > Tutti gli utentiOn the left, select Azure Active Directory > Users and groups > All users
    3. Selezionare Multi-Factor AuthenticationSelect Multi-Factor Authentication
    4. In Multi-Factor Authentication selezionare Impostazioni servizio.Under Multi-Factor Authentication, select service settings.
    5. Nella pagina Impostazioni servizio in Indirizzi IP attendibili sono disponibili due opzioni:On the Service Settings page, under Trusted IPs, you have two options:

      • Casella di controllo For requests from federated users originating from my intranet (Per le richieste provenienti da utenti federati nella Intranet).For requests from federated users originating from my intranet – Check the box. Tutti gli utenti federati che eseguono l'accesso dalla rete aziendale possono ignorare la verifica in due passaggi usando un'attestazione rilasciata da AD FS.All federated users who are signing in from the corporate network will bypass two-step verification using a claim issued by AD FS. Assicurarsi che AD FS abbia una regola per aggiungere l'attestazione intranet al traffico appropriato.Ensure that AD FS has a rule to add the intranet claim to the appropriate traffic. Se la regola non esiste, creare la seguente regola in AD FS: "c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);"If the rule does not exist, create the following rule in AD FS: "c:[Type== "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);"

      • For requests from a specific range of public IPs (Per le richieste da un intervallo specifico di IP pubblici): immettere gli indirizzi IP nella casella disponibile usando la notazione CIDR.For requests from a specific range of public IPs – Enter the IP addresses in the text box provided using CIDR notation. Ad esempio: xxx.xxx.xxx.0/24 per gli indirizzi IP nell'intervallo xxx.xxx.xxx.1 – xxx.xxx.xxx.254 oppure xxx.xxx.xxx.xxx/32 per un singolo indirizzo IP.For example: xxx.xxx.xxx.0/24 for IP addresses in the range xxx.xxx.xxx.1 – xxx.xxx.xxx.254, or xxx.xxx.xxx.xxx/32 for a single IP address. È possibile immettere fino a 50 intervalli di indirizzi IP.You can enter up to 50 IP address ranges. Gli utenti che accedono da tali indirizzi IP possono ignorare la verifica in due passaggi.Users who sign in from these IP addresses bypass two-step verification.

    6. Selezionare Salva.Select Save.

    IP attendibili

    Password dell'appApp Passwords

    Alcune applicazioni, come Office 2010 o le versioni meno recenti di Apple Mail, non supportano la verifica in due passaggiSome apps, like Office 2010 or older and Apple Mail, don't support two-step verification. e non sono configurate per accettare una seconda verifica.They aren't configured to accept a second verification. Per usare queste app, è necessario usare le password dell'app al posto della password tradizionale.To use these apps, you need to use "app passwords" in place of your traditional password. La password dell'app consente all'applicazione di ignorare la verifica in due passaggi e continuare a funzionare.The app password allows the application to bypass two-step verification and continue working.

    Nota

    Autenticazione moderna per i client di Office 2013Modern Authentication for the Office 2013 Clients

    I client di Office 2013, tra cui Outlook, e le versioni più recenti supportano i protocolli di autenticazione moderni e possono essere abilitati per la verifica in due passaggi.Office 2013 clients (including Outlook) and newer support modern authentication protocols and can be enabled to work with two-step verification. Dopo aver abilitato la verifica in due passaggi, non è più necessario usare le password dell'app per questi client.Once enabled, app passwords are not required for these clients. Per altre informazioni, vedere l'annuncio dell'anteprima pubblica dell'autenticazione moderna di Office 2013.For more information, see Office 2013 modern authentication public preview announced.

    Informazioni importanti sulle password dell'appImportant things to know about app passwords

    Di seguito è riportato un elenco delle informazioni importanti da conoscere sulle password dell'app.The following is an important list of things that you should know about app passwords.

    • Le password dell'app devono essere immesse una sola volta per ogni app.App passwords only need to be entered once per app. Non è necessario tenerne traccia e immetterle ogni volta.Users don't have to keep track of them and enter them every time.
    • La password effettiva viene generata automaticamente e non viene fornita dall'utente.The actual password is automatically generated and is not supplied by the user. Questo avviene perché è più difficile per un utente malintenzionato indovinare una password generata automaticamente, aumentando quindi la sicurezza.This is because the automatically generated password is harder for an attacker to guess and is more secure.
    • Il limite è di 40 password per utente.There is a limit of 40 passwords per user.
    • Le app che memorizzano le password nella cache e le usano in scenari locali potrebbero smettere di funzionare, perché la password dell'app non è nota all'esterno dell'ID organizzazione. Un esempio sono i messaggi di posta elettronica di Exchange in locale, mentre la posta archiviata si trova nel cloud.Apps which cache passwords and use it in on-premises scenarios might start failing since the app password isn't known outside of the organizational id. An example is Exchange emails that are on-premises but the archived mail is in the cloud. Non funziona la stessa password.The same password doesn't work.
    • Dopo l'abilitazione dell'autenticazione a più fattori per un account utente, le password dell'app possono essere usate con la maggior parte dei client non basati su browser, ad esempio Outlook e Lync.Once multi-factor authentication is enabled on a user's account, app passwords can be used with most non-browser clients such as Outlook and Lync. Impossibile eseguire le azioni amministrative usando le password dell'app tramite applicazioni non basate su browser, ad esempio Windows PowerShell, anche se tale utente dispone di un account amministrativo.Administrative actions cannot be performed using app passwords through non-browser applications such as Windows PowerShell even if that user has an administrative account. Creare un account di servizio con una password complessa per l'esecuzione degli script di PowerShell e non abilitare tale account per la verifica in due passaggi.Create a service account with a strong password to run PowerShell scripts and do not enable that account for two-step verification.

    Avviso

    Le password di app non funzionano in ambienti ibridi dove i client comunicano con endpoint di individuazione automatica sia locali che nel cloud.App passwords don't work in hybrid environments where clients communicate with both on-premises and cloud autodiscover endpoints. Questo perché sono necessarie password di dominio per l'autenticazione locale e le password di app sono necessarie per l'autenticazione nel cloud.This is because domain passwords are required to authenticate on-premises and app passwords are required to authenticate with the cloud.

    Indicazioni per la denominazione delle password dell'appNaming Guidance for App Passwords

    Per le password dell'app è consigliabile usare nomi che riflettano il dispositivo in cui vengono usate.App password names should reflect the device on which they are used. Ad esempio, se si usa un portatile con app non basate su browser come Outlook, Word ed Excel, è sufficiente creare una sola password dell'app denominata Portatile e usarla in queste applicazioni.For instance, if you have a laptop that has non-browser apps such as Outlook, Word, and Excel, create one app password named Laptop and use that app password in these applications. Creare quindi un'altra password dell'app denominata Desktop per le stesse applicazioni nel computer desktop.Then, create another app password named Desktop for the same applications on your desktop computer.

    È consigliabile creare una password dell'app per ogni dispositivo, anziché una password dell'app per ogni applicazione.Microsoft recommends creating one app password per device, not one app password per application.

    Password dell'app federate (SSO)Federated (SSO) App Passwords

    Azure AD supporta la federazione (Single Sign-On) con Active Directory Domain Services (AD DS) di Windows Server in locale.Azure AD supports federation (single sign-on) with on-premises Windows Server Active Directory Domain Services (AD DS). Se l'organizzazione è federata con Azure AD e si intende usare Azure Multi-Factor Authentication, tenere presente le informazioni importanti sulle password dell'app riportate di seguito.If your organization is federated with Azure AD and you are going to be using Azure Multi-Factor Authentication, then the following information about app passwords is important for you. Questa sezione si applica solo agli utenti federati (SSO).This section only applies to federated (SSO) customers.

    • Le password dell'app vengono verificate da Azure AD e di conseguenza ignorano la federazione.App passwords are verified by Azure AD and therefore bypass federation. La federazione viene usata attivamente solo durante l'impostazione delle password dell'app.Federation is only actively used when setting up app passwords.
    • Per gli utenti federati (SSO) non viene contattato il provider di identità (IdP), a differenza del flusso passivo.For federated (SSO) users, the Identity Provider (IdP) is not contacted, unlike the passive flow. Le password vengono archiviate nell'ID organizzazione. Se l'utente lascia l'azienda, tali informazioni devono essere trasmesse nell'ID organizzazione tramite DirSync in tempo reale.The passwords are stored in the organizational id. If the user leaves the company, that info has to flow to organizational id using DirSync in real time. La disabilitazione o l'eliminazione dell'account può richiedere fino a 3 ore per la sincronizzazione, ritardando la disabilitazione o l'eliminazione della password dell'app in Azure AD.Account disable/deletion may take up to three hours to sync, delaying disable/deletion of App Password in Azure AD.
    • Le impostazioni locali di Controllo dell'accesso Client non vengono rispettate dalla password dell'app.On-premises Client Access Control settings are not honored by App Password.
    • Per la password dell'app non è disponibile alcuna funzionalità di registrazione o controllo dell'autenticazione in locale.No on-premises authentication logging/auditing capability is available for App Password.
    • Alcune architetture avanzate possono richiedere una combinazione di nome utente e password dell'organizzazione e password dell'app quando si usa la verifica in due passaggi con i client, a seconda della posizione in cui viene eseguita l'autenticazione.Certain advanced architectural designs may require a combination of organizational username and passwords and app passwords when using two-step verification with clients, depending on where they authenticate. Per i client che si autenticano con un'infrastruttura locale, verranno usati un nome utente e una password dell'organizzazione.For clients that authenticate against an on-premises infrastructure, you would use an organizational username and password. Per i client che eseguono l'autenticazione con AD Azure, verrà usata la password dell'app.For clients that authenticate against Azure AD, you would use the app password.

      Si supponga ad esempio di avere un'architettura costituita dagli elementi seguenti:For example, suppose you have an architecture that consists of the following:

      • Si sta eseguendo la federazione dell'istanza locale di Active Directory con Azure ADYou are federating your on-premises instance of Active Directory with Azure AD
      • Si usa Exchange OnlineYou are using Exchange online
      • Si usa Lync, specificamente in localeYou are using Lync that is specifically on-premises
      • Si usa Azure Multi-Factor AuthenticationYou are using Azure Multi-Factor Authentication

      Verifica

      In questi casi, è necessario eseguire le operazioni seguenti:In these instances, you must do the following:

      • Quando si esegue l'accesso a Lync, usare il nome utente e la password dell'organizzazione.When signing-in to Lync, use your organizations’ username and password.
      • Quando si tenta di accedere alla Rubrica tramite un client Outlook che si connette a Exchange Online, usare una password dell'app.When attempting to access the address book via an Outlook client that connects to Exchange online, use an app password.

    Consentire la creazione di password dell'appAllow app password creation

    Per impostazione predefinita, gli utenti non possono creare password dell'app.By default, users cannot create app passwords. Questa funzionalità deve essere abilitata.This feature must be enabled. Per consentire agli utenti di creare password dell'app, seguire questa procedura:To allow users the ability to create app passwords, use the following procedure:

    1. Accedere al portale di Azure.Sign in to the Azure portal.
    2. Sulla sinistra selezionare Azure Active Directory > Utenti e gruppi > Tutti gli utentiOn the left, select Azure Active Directory > Users and groups > All users
    3. Selezionare Multi-Factor AuthenticationSelect Multi-Factor Authentication
    4. In Multi-Factor Authentication selezionare Impostazioni servizio.Under Multi-Factor Authentication, select service settings.
    5. Selezionare il pulsante di opzione Consenti agli utenti di creare password dell'app per accedere alle app non basate su browser.Select the radio button next to Allow users to create app passwords to sign into non-browser apps.

    Creazione di password dell'app

    Creare password dell'appCreate app passwords

    Gli utenti possono creare password dell'app durante la registrazione iniziale.Users can create app passwords during their initial registration. Al termine del processo di registrazione, viene offerta loro un'opzione che consente di crearle.They are given an option at the end of the registration process that allows them to create app passwords.

    Gli utenti possono creare password dell'app anche dopo la registrazione, modificando le impostazioni nel portale di Azure o nel portale di Office 365.Users can also create app passwords after registration by changing their settings in the Azure portal or the Office 365 portal. Per altre informazioni e procedure dettagliate per gli utenti, vedere Che cosa sono le password per le app in Azure Multi-Factor Authentication.For more information and detailed steps for your users, see What are app passwords in Azure Multi-Factor Authentication.

    Memorizza Multi-Factor Authentication per i dispositivi considerati attendibili dagli utentiRemember Multi-Factor Authentication for devices that users trust

    La memorizzazione di Multi-Factor Authentication per i dispositivi e i browser che gli utenti considerano attendibili è una funzionalità disponibile gratuitamente per tutti gli utenti di MFA.Remembering Multi-Factor Authentication for devices and browsers that users trust is a free feature for all MFA users. Questa impostazione dà agli utenti la possibilità di scegliere di ignorare MFA per un numero determinato di giorni dopo l'esecuzione di un accesso tramite MFA.This setting gives users the option to bypass MFA for a set number of days after performing a successful sign-in using MFA. Questo permette di migliorare l'usabilità, riducendo al minimo il numero di volte in cui un utente può eseguire la verifica in due passaggi nello stesso dispositivo.This can enhance usability by minimizing the number of times a user may perform two-step verification on the same device.

    Tuttavia, se un dispositivo o un account viene compromesso, la memorizzazione di MFA per i dispositivi attendibili può influire sulla sicurezza.However, if an account or device is compromised, remembering MFA for trusted devices may affect security. Se viene compromesso un account aziendale o un dispositivo attendibile viene smarrito o rubato, è necessario ripristinare Multi-Factor Authentication su tutti i dispositivi.If a corporate account becomes compromised or a trusted device is lost or stolen, you should restore Multi-Factor Authentication on all devices. Questa azione revoca lo stato di attendibilità di tutti i dispositivi e l'utente deve eseguire nuovamente la verifica in due passaggi.This action revokes the trusted status from all devices, and the user is required to perform two-step verification again. È possibile anche istruire gli utenti a ripristinare Azure Multi-Factor Authentication sui propri dispositivi con le istruzioni disponibili in Gestire le impostazioni per la verifica in due passaggiYou can also instruct your users to restore MFA on their own devices with the instructions in Manage your settings for two-step verification

    FunzionamentoHow it works

    Si tenga presente che Multi-Factor Authentication imposta un cookie permanente nel browser quando l'utente seleziona la casella "Non visualizzare più il messaggio per X giorni" al momento dell'accesso.Remembering Multi-Factor Authentication works by setting a persistent cookie on the browser when a user checks the "Don't ask again for X days" box at sign-in. Fino alla scadenza del cookie, nel browser non verrà più visualizzato il messaggio relativo a MFA.The user won't be prompted for MFA again from that browser until the cookie expires. Se l'utente apre un altro browser sullo stesso dispositivo o cancella il cookie, la verifica verrà richiesta di nuovo.If the user opens a different browser on the same device or clears their cookies, they are prompted to verify again.

    La casella di controllo "Non visualizzare più il messaggio per X giorni" non viene visualizzata sulle applicazioni diverse dai browser, indipendentemente dal fatto che supportino l'autenticazione moderna.The "Don't ask again for X days" checkbox isn't shown on non-browser apps, whether or not they support modern authentication. Queste app usano token di aggiornamento che forniscono nuovi token di accesso ogni ora.These apps use refresh tokens that provide new access tokens every hour. Quando un token di aggiornamento viene convalidato, Azure AD controlla che l'ultima verifica in due passaggi sia stata eseguita entro il numero di giorni configurato.When a refresh token is validated, Azure AD checks that the last time two-step verification was performed was within the configured number of days.

    Pertanto si tenga presente che MFA sui dispositivi attendibili riduce il numero di autenticazioni di App Web (la richiesta avviene in genere ogni volta) ma aumenta il numero di autenticazioni per i client con autenticazione moderna (la richiesta avviene normalmente ogni 90 giorni).Therefore, remembering MFA on trusted devices reduces the number of authentications on web apps (which normally prompt every time) but increases the number of authentications for modern-auth clients (which normally prompt every 90 days).

    Nota

    Questa funzionalità non è compatibile con la funzionalità "Mantieni l'accesso" di ADFS quando gli utenti eseguono la verifica in due passaggi per ADFS tramite il Azure MFA Server o una soluzione MFA di terze parti.This feature is not compatible with the "Keep me signed in" feature of AD FS when users perform two-step verification for AD FS through the Azure MFA Server or a third-party MFA solution. Se gli utenti selezionano "Mantieni l'accesso" su AD FS e inoltre contrassegnano il dispositivo come attendibile per l'autenticazione a più fattori, non saranno in grado di eseguire la verifica dopo che è passato il numero di giorni "Memorizzazione di MFA".If your users select "Keep me signed in" on AD FS and also mark their device as trusted for MFA, they won't be able to verify after the "Remember MFA" number of days expires. Azure AD richiede una nuova verifica in due passaggi, ma AD FS restituisce un token con l'attestazione MFA e la data originali invece di eseguire di nuovo la verifica in due passaggi.Azure AD requests a fresh two-step verification, but AD FS returns a token with the original MFA claim and date instead of performing two-step verification again. Ciò attiva un ciclo di verifica tra Azure AD e AD FS.This sets off a verification loop between Azure AD and AD FS.

    Abilitare la funzionalità Memorizza Multi-Factor AuthenticationEnable Remember multi-factor authentication

    1. Accedere al portale di Azure.Sign in to the Azure portal.
    2. Sulla sinistra selezionare Azure Active Directory > Utenti e gruppi > Tutti gli utentiOn the left, select Azure Active Directory > Users and groups > All users
    3. Selezionare Multi-Factor AuthenticationSelect Multi-Factor Authentication
    4. In Multi-Factor Authentication selezionare Impostazioni servizio.Under Multi-Factor Authentication, select service settings.
    5. Nella pagina Impostazioni servizio, in Memorizza Multi-Factor Authentication selezionare la casella Consenti agli utenti di memorizzare l'autenticazione a più fattori nei dispositivi attendibili.On the Service Settings page, under manage remember multi-factor authentication, check the Allow users to remember multi-factor authentication on devices they trust box.

      Memorizzare dispositivi

    6. Impostare il numero di giorni per cui consentire ai dispositivi attendibili di ignorare la verifica in due passaggi.Set the number of days that you want to allow the trusted devices to bypass two-step verification. Il valore predefinito è 14 giorni.The default is 14 days.

    7. Selezionare Salva.Select Save.

    Contrassegnare un dispositivo come attendibileMark a device as trusted

    Dopo aver abilitato questa funzionalità, gli utenti possono contrassegnare un dispositivo come attendibile al momento dell'accesso, selezionando l'opzione Non chiedere più.Once you enable this feature, users can mark a device as trusted when they sign in by checking Don't ask again.

    Screenshot di Non chiedere più

    Metodi di verifica selezionabiliSelectable Verification Methods

    È possibile scegliere quali metodi di verifica mettere a disposizione degli utenti.You can choose which verification methods are available for your users. La tabella seguente offre una breve panoramica di ogni metodo.The table following provides a brief overview of each method.

    Quando gli utenti registrano i propri account per l'autenticazione MFA, scelgono il metodo di verifica preferito tra le opzioni abilitate.When your users enroll their accounts for MFA, they choose their preferred verification method out of the options that you enabled. Le linee guida per il processo di registrazione sono disponibili in Configurare l'account per la verifica in due passaggiThe guidance for their enrollment process is covered in Set up my account for two-step verification

    MetodoMethod DescrizioneDescription
    Chiamata al telefonoCall to phone Invia una chiamata vocale automatizzata.Places an automated voice call. Per l’autenticazione, l'utente risponde alla chiamata e preme # sul tastierino telefonico.The user answers the call and presses # in the phone keypad to authenticate. Il numero di telefono non viene sincronizzato con Active Directory locale.This phone number is not synchronized to on-premises Active Directory.
    SMS al telefonoText message to phone Invia un messaggio di testo contenente un codice di verifica.Sends a text message containing a verification code. All'utente viene richiesto di immettere il codice di verifica nell'interfaccia di accesso.The user is prompted to enter the verification code into the sign-in interface. Questo processo è denominato SMS unidirezionale.This process is called one-way SMS. L'SMS bidirezionale significa che l'utente deve disporre il testo in un codice specifico.Two-way SMS means that the user must text back a particular code. L'SMS bidirezionale è stato deprecato e non sarà più supportato a partire dal 14 novembre 2018.Two-way SMS has been deprecated and will no longer be supported as of November 14, 2018. Gli utenti configurati per l'SMS bidirezionale passeranno automaticamente all'autenticazione "chiamare al telefono".Users configured for two-way SMS will be automatically switched to "call to phone" authentication at that time.
    Notifica tramite app per dispositivi mobiliNotification through mobile app Invia una notifica push al telefono o al dispositivo registrato.Sends a push notification to your phone or registered device. L'utente visualizza la notifica e seleziona Verifica per completare la verifica.The user views the notification and selects Verify to complete verification.
    L'app Microsoft Authenticator è disponibile per Windows Phone, Android e IOS.The Microsoft Authenticator app is available for Windows Phone, Android, and IOS.
    Codice di verifica dall'app per dispositivi mobiliVerification code from mobile app L'app Microsoft Authenticator genera un nuovo codice di verifica OATH ogni 30 secondi.The Microsoft Authenticator app generates a new OATH verification code every 30 seconds. L'utente immette il codice di verifica nell'interfaccia di accesso.The user enters this verification code into the sign-in interface.
    L'app Microsoft Authenticator è disponibile per Windows Phone, Android e IOS.The Microsoft Authenticator app is available for Windows Phone, Android, and IOS.

    Come abilitare o disabilitare i metodi di autenticazioneHow to enable/disable authentication methods

    1. Accedere al portale di Azure.Sign in to the Azure portal.
    2. Sulla sinistra selezionare Azure Active Directory > Utenti e gruppi > Tutti gli utentiOn the left, select Azure Active Directory > Users and groups > All users
    3. Selezionare Multi-Factor AuthenticationSelect Multi-Factor Authentication
    4. In Multi-Factor Authentication selezionare Impostazioni servizio.Under Multi-Factor Authentication, select service settings.
    5. Nella pagina Impostazioni servizio, nelle opzioni di verifica, selezionare o deselezionare le opzioni da usare.On the Service Settings page, under verification options, select/unselect the options you wish to use.

      Opzioni di verifica

    6. Fare clic su Salva.Click Save.