Condividi tramite


Aggiungere l'autenticazione a più fattori (MFA) a un'app

Si applica a: Cerchio bianco con un simbolo X grigio. Tenant della forza lavoro Cerchio verde con segno di spunta bianco. Tenant esterni (altre informazioni)

L'autenticazione a più fattori (MFA) aggiunge un livello di sicurezza alle applicazioni richiedendo agli utenti di fornire un secondo metodo per verificare l'identità durante l'iscrizione o l'accesso. I tenant esterni supportano due metodi per l'autenticazione come secondo fattore:

  • Passcode monouso tramite email: dopo l'accesso dell'utente con email e password, viene richiesto un passcode inviato al suo indirizzo email. Per consentire l'uso di passcode monouso tramite posta elettronica per MFA, impostare il metodo di autenticazione dell'account locale su Posta elettronica con password. Se si sceglie Posta elettronica con passcode monouso, i clienti che usano questo metodo per l'accesso primario non potranno usarlo per la verifica secondaria MFA.
  • Autenticazione basata su SMS: anche se gli SMS non sono un'opzione per l'autenticazione a primo fattore, sono disponibili come secondo fattore per MFA. Agli utenti che accedono con posta elettronica e password, posta elettronica e passcode monouso o identità di social networking come Google, Facebook o Apple, viene richiesta la seconda verifica tramite SMS. La nostra MFA tramite SMS include controlli di frode automatici. Se si sospetta una frode, verrà chiesto all'utente di completare un CAPTCHA per confermare che non è un robot prima di inviare il codice SMS per la verifica. Fornisce inoltre misure di sicurezza contro le frodi telefoniche. SMS è una funzionalità del componente aggiuntivo. Il tenant deve essere collegato a una sottoscrizione attiva e valida. Ulteriori informazioni

Questo articolo descrive come applicare l'autenticazione a più fattori (MFA) per i clienti creando un criterio di accesso condizionale di Microsoft Entra e aggiungendo l'autenticazione a più fattori al flusso utente di iscrizione e accesso.

Suggerimento

Da provare subito

Per provare questa funzionalità, passare alla demo Woodgrove Groceries e avviare il caso d'uso "Autenticazione a più fattori".

Prerequisiti

  • Un tenant esterno di Microsoft Entra.
  • Un flusso utente di iscrizione e di accesso.
  • Un'app registrata nel tenant esterno, aggiunta al flusso utente di iscrizione e accesso.
  • Un account con almeno il ruolo di amministratore della sicurezza per configurare i criteri di accesso condizionale e l'autenticazione a più fattori.
  • SMS è una funzionalità di componente aggiuntivo e richiede una sottoscrizione collegata. Se la sottoscrizione scade o viene annullata, gli utenti finali non saranno più in grado di eseguire l'autenticazione tramite SMS, che potrebbero impedire l'accesso a seconda dei criteri di autenticazione a più fattori.

Creare criteri di accesso condizionale

Creare un criterio di accesso condizionale nel tenant esterno che richieda agli utenti di eseguire l'autenticazione a più fattori quando si iscrivono o accedono all'app. Per altre informazioni, vedere Criterio di accesso condizionale comune: Richiedere l'autenticazione a più fattori per tutti gli utenti.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.

  2. Se si ha accesso a più tenant, usare l'icona Impostazioni nel menu in alto per passare al tenant esterno dal menu Directory e sottoscrizioni.

  3. Passare a Protezione>Accesso condizionale>Criteri, e selezionare Nuovo criterio.

    Screenshot del pulsante Nuovo criterio.

  4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.

  5. In Assegnazioni selezionare il collegamento in Utenti.

    a. Nella scheda Includi selezionare Tutti gli utenti.

    b. Nella scheda Escludi selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione. Quindi, scegli Seleziona.

    Screenshot dell'assegnazione di utenti al nuovo criterio.

  6. Selezionare il collegamento in Risorse di destinazione.

    a. Nella scheda Includi scegliere una delle opzioni seguenti:

    • Scegliere Tutte le risorse (in precedenza "Tutte le app cloud").

    • Scegliere Seleziona risorse e selezionare il collegamento in Seleziona. Trovare l'app, selezionarla e quindi scegliere Seleziona.

    b. Nella scheda Escludi, selezionare tutte le applicazioni che non richiedono l'autenticazione a più fattori.

    Screenshot dell'assegnazione di app al nuovo criterio.

  7. In Controlli di accesso selezionare il collegamento in Concedi. Selezionare Concedi accesso, selezionare Richiedi autenticazione a più fattori e quindi scegliere Seleziona.

    Screenshot della richiesta di autenticazione a più fattori.

  8. Confermare le impostazioni e impostare Abilita criterio su Attivato.

  9. Selezionare Crea per creare e abilitare il criterio.

Abilitare il passcode monouso tramite posta elettronica come metodo di autenticazione a più fattori

Abilitare il metodo di autenticazione con passcode monouso tramite posta elettronica nel tenant esterno per tutti gli utenti.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.

  2. Passare a Protezione>Metodi di autenticazione

  3. Nell'elenco Metodo selezionare Email OTP.

    Screenshot dell'opzione Passcode monouso tramite posta elettronica.

  4. In Abilitare e impostare come destinazione attivare l'interruttore Abilita.

  5. In Includi accanto a Destinazione selezionare Tutti gli utenti.

    Screenshot dell'abilitazione del passcode monouso tramite posta elettronica.

  6. Seleziona Salva.

Abilitare SMS come metodo MFA

Abilitare il metodo di autenticazione con SMS nel tenant esterno per tutti gli utenti.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.

  2. Passare a Protezione>Metodi di autenticazione

  3. Nell'elenco Metodo, selezionare SMS.

    Screenshot dell'opzione SMS.

  4. In Abilitare e impostare come destinazione attivare l'interruttore Abilita.

  5. In Includi accanto a Destinazione selezionare Tutti gli utenti.

    Screenshot dell'abilitazione via SMS.

  6. Seleziona Salva.

Attivare telecomunicazioni per le aree di consenso esplicito

A partire da gennaio 2025, alcuni codici paese verranno disattivati per impostazione predefinita per la verifica DEGLI SMS. Se si vuole consentire il traffico dalle aree disattivate, è necessario attivarli per l'applicazione usando i criteri di Microsoft Graph onPhoneMethodLoadStartevent . Vedere Aree che richiedono il consenso esplicito per la verifica tramite SMS.

Testare l'accesso

In un browser privato aprire l'applicazione e selezionare Accedi. Verrà richiesto un altro metodo di autenticazione.