Autenticazione a più fattori da tenant esterni
Si applica a: 
Tenant delle risorse 
Tenant esterni (altre informazioni)
L'autenticazione a più fattori (MFA) aggiunge un livello di sicurezza alle applicazioni richiedendo agli utenti di fornire un secondo metodo per verificare l'identità durante l'iscrizione o l'accesso. I tenant esterni supportano due metodi per l'autenticazione come secondo fattore:
- Passcode monouso tramite email
- Autenticazione basata su SMS, disponibile come componente aggiuntivo: vedi i dettagli.
L'applicazione dell'autenticazione a più fattori migliora la sicurezza dell'organizzazione aggiungendo un ulteriore livello di verifica, complicando l'accesso agli utenti non autorizzati.
Creazione di un criterio MFA
In un tenant esterno, è possibile usare l'accesso condizionale di Microsoft Entra per creare un criterio di accesso condizionale che richieda agli utenti di eseguire l'autenticazione a più fattori quando si iscrivono o accedono all'app. Creare questo criterio nell'interfaccia di amministrazione di Microsoft Entra, nella sezione Protezione in Accesso condizionale. È possibile specificare a quali utenti e gruppi si applicano i criteri, includere tutti gli utenti ed escludere eventuali account di accesso di emergenza.
Nei criteri si definiscono le applicazioni che richiedono l'autenticazione a più fattori. È possibile applicare i criteri a tutte le app cloud o selezionare app specifiche, escludendo tutte le applicazioni che non richiedono l'autenticazione a più fattori. Configurare quindi i criteri per concedere l'accesso solo se gli utenti completano il requisito MFA.
Per informazioni dettagliate, vedere Come creare criteri di accesso condizionale in un tenant esterno.
Abilitazione dei metodi MFA
Quando si selezionano le opzioni del provider di identità nei flussi utente, si definiscono i metodi di autenticazione a primo fattore per l'iscrizione e l'accesso. I metodi di verifica a secondo fattore per MFA vengono configurati in una sezione separata dell'interfaccia di amministrazione di Microsoft Entra, in Metodi di autenticazione nella sezione Protezione.
A seconda dell'opzione scelta come primo fattore, per l'autenticazione a più fattori (MFA) sono disponibili diversi metodi di verifica a secondo fattore.
- Posta elettronica con password e provider di identità esterni: per uno di questi metodi di primo fattore, è possibile abilitare passcode monouso tramite posta elettronica, SMS o entrambi come metodi di verifica a due fattori per MFA.
- Passcode monouso tramite posta elettronica: se si seleziona la posta elettronica con passcode monouso come metodo di autenticazione a primo fattore, non è possibile usare questo metodo per la verifica a secondo fattore. Sarà quindi possibile abilitare solo la verifica basata su SMS per la MFA.
Per informazioni dettagliate, vedere Come abilitare i metodi MFA in un tenant esterno.
Passcode monouso tramite email
L'autenticazione con passcode monouso tramite posta elettronica è disponibile in un tenant esterno sia come metodo di verifica del primo che del secondo fattore. Per consentire l'uso di passcode monouso tramite posta elettronica per MFA, il metodo di autenticazione dell'account locale deve essere impostato su Posta elettronica con password. Se si sceglie Posta elettronica con passcode monouso, chi usa questo metodo per l'accesso primario non può usarlo per la verifica secondaria MFA.
Quando il passcode monouso della posta elettronica è abilitato per MFA, l'utente accede con il metodo di accesso primario e riceve una notifica che un codice verrà inviato all'indirizzo di posta elettronica dell'utente. L'utente sceglie di inviare il codice, recupera il passcode dalla posta in arrivo e lo immette nella finestra di accesso. L'utente deve completare questo processo di verifica entro 10 minuti.
autenticazione basata su SMS
SMS è disponibile a costi aggiuntivi per la verifica del secondo fattore nei tenant esterni. Attualmente, il servizio SMS non è disponibile per l'autenticazione del primo fattore o la reimpostazione della password self-service nei tenant esterni.
Quando SMS è abilitato per l'autenticazione a più fattori, gli utenti accedono con il metodo primario e ricevono una richiesta di verificare la propria identità con un codice inviato tramite testo. Immettendo il numero di telefono si riceve un SMS con il codice di verifica.
L'ID esterno riduce le registrazioni e gli accessi fraudolenti tramite SMS applicando le misure seguenti:
- I limiti di limitazione della telefonia consentono di evitare interruzioni e rallentamenti. Consultare Limiti e restrizioni del servizio.
- L’MFA CAPTCHA per SMS consente di evitare attacchi automatizzati distinguendo gli utenti umani dai bot automatizzati. Se viene rilevato un utente a rischio, il suo accesso viene bloccato o si chiede all'utente di completare un CAPTCHA prima di inviare un codice di verifica tramite SMS.
Piani tariffari SMS per Paese/area geografica
La tabella seguente fornisce informazioni dettagliate sui diversi piani tariffari per i servizi di autenticazione basati su SMS in diversi Paesi o aree geografiche. Per i dettagli sui prezzi, consultare Prezzi di Microsoft Entra per ID esterno.
SMS è una funzionalità di componente aggiuntivo e richiede una sottoscrizione collegata. Se la sottoscrizione scade o viene annullata, gli utenti finali non saranno più in grado di eseguire l'autenticazione tramite SMS, in modo da impedire l'accesso a seconda dei criteri di autenticazione a più fattori.
| Livello | Paesi/Aree geografiche |
|---|---|
| Autenticazione telefonica a basso costo | Australia, Brasile, Brunei, Canada, Cile, Cina, Colombia, Cipro, Macedonia del Nord, Polonia, Portogallo, Corea del Sud, Thailandia, Türkiye, Stati Uniti |
| Autenticazione telefonica a costo medio-basso | Groenlandia, Albania, Samoa americane, Austria, Bahamas, Bahrein, Bosnia & Erzegovina, Erzegovina, Slovacchia, Costa Rica, Repubblica Ceca, Danimarca, Estonia, Faroe Islands, Finlandia, Francia, Grecia, Hong Kong SAR, Ungheria, Islanda, Irlanda, Italia, Giappone, Lettonia, Lussemburgo, Macao SAR, Malta, Messico, Micronesia, Moldova, Namibia, Nuova Zelanda, Nicaragua, Norvegia, Romania, São Tomé e Príncipe, Repubblica delle Filippine, Singapore, Slovacchia, Isole Solomon, Spagna, Spagna, Svezia, Svizzera, Taiwan, Regno Unito, Isole Vergini degli Stati Uniti, Uruguay |
| Autenticazione telefonica a costo medio-alto | Alessandria, Angola, Cortana, Antartide, Antigua e Barbuda, Argentina, Armenia, Aruba, Scozia, Belgio, Perù, Bolivia, Bonaire, Curaçao, Saba, Sint Eustatius e Sint Maarten, Isole Vergini Britanniche, Bulgaria, Emirati Arabi, Camerun, Isole Cayman, Repubblica Centrale Africana, Isole Cook, Côte d'Ivoire, Croazia, Diego Garcia, Djibouti, Repubblica Dominicana, Repubblica Dominicana, Repubblica Dominicana, Ecuador, El Salvador, Eritrea, Isole Falkland, Figi, Francese Guiana, Polinesia francese, Gambia, Georgia, Germania, Gibilterra, Grenada, Guadeloupe, Guam, Guinea, Guinea, Honduras, India, Kenya, Kiribati, Laos, Liberia, Malaysia, Marshall Islands, Martinique, Mauritius, Monaco, Montenegro, Netherlands, Paesi Bassi, New Caledonia, Niue, Oman, Panama, Panama, Perù, PortoRico, PortoRico, Réunion, Ruanda, Sant'Helena, Ascensione e Tristan de Cunha, Saint Kitts & Nevis, Saint Lucia, Saint Pierre & Miquelon, Saint Vincent e grenadine, Saipan, Samoa, San Marino, Arabia Saudita, Sint Maarten, Slovenia, Sudafrica, Sud Sudan, Suriname, Swaziland (Nuovo nome è Regno di Eswatini), Timor-Leste, Tokelau, Tonga, Turks & Caicos, Tuvalu, Emirati Arabi Uniti, Vanuatu, Venezuela, Vietnam, Wallis e Futuna |
| Costo elevato per l'autenticazione telefonica | Liechtenstein, Bermuda, Cabo Verde, Cambogia, Repubblica Democratica del Congo, Dominica, Egitto, Guinea Equatoriale, Ghana, Guatemala, Guinea-B distribuita, Israele, Giamaica, Giamaica, Kosovo, Kosovo, Lesotho, Maldive, Mali, Armenia, Marocco, Mozambico, Guinea Nuova Guinea, Filippine, Qatar, Sierra Leone, Trinidad & Tobago, Ucraina, Zimbabwe, Afghanistan, Algeria, Azerbaigian, Bangladesh, Bielorussia, Bhutan, Canada, Chad, Comoros, Congo, Etiopia, Repubblica Gabonese, Haiti, Indonesia, Iraq, Giordania, Kuwait, Kirghizistan, Libano, Libia, Madagascar, Mongolia, Myanmar, Nauru, Nepal, Niger, Nigeria, Pakistan, Autorità nazionale palestinese, Russia, Senegal, Serbia, Somalia, Sri Lanka, Sudan, Tagikistan, Tanzania, Repubblica Togolese, Tunisia, Uganda, Uzbekistan, Yemen, Zambia |
Aree di consenso esplicito per SMS
A partire da gennaio 2025, alcuni codici paese verranno disattivati per impostazione predefinita per la verifica DEGLI SMS. Se si vuole consentire il traffico dalle aree disattivate, è necessario attivarli per l'applicazione usando i criteri di Microsoft Graph onPhoneMethodLoadStartevent . Vedere Aree che richiedono il consenso esplicito per la verifica tramite SMS.