Abilitare l'accesso senza password con Microsoft Authenticator

Microsoft Authenticator può essere usato per accedere a qualsiasi account Microsoft Entra senza usare una password. Microsoft Authenticator usa l'autenticazione basata su chiavi per abilitare le credenziali utente associate a un dispositivo, che usa un PIN o una informazione biometrica. Windows Hello for Business usa una tecnologia simile.

Questa tecnologia di autenticazione può essere usata in qualsiasi piattaforma di dispositivi, inclusi i dispositivi mobili. Questa tecnologia può essere inoltre usata con qualsiasi app o sito Web che si integra con le librerie di autenticazione Microsoft.

Gli utenti che hanno abilitato l'accesso tramite smartphone da Microsoft Authenticator visualizzano un messaggio che chiede loro di toccare un numero all’interno dell’app. Non viene richiesto alcun nome utente o password. Per completare il processo di accesso nell'app, un utente deve eseguire le azioni seguenti:

1. Immettere il numero visualizzato nella schermata del browser o dell'app in Microsoft Authenticator.
2. Scegliere Approva.
3. Fornire il PIN o la biometria.

Più account

Ora è possibile abilitare l'accesso tramite telefono senza password per più account in Microsoft Authenticator su qualsiasi dispositivo Android o iOS supportato. Consulenti, studenti e altri utenti con più account in Microsoft Entra possono aggiungere ogni account a Microsoft Authenticator e usare l'accesso tramite telefono senza password per tutti gli account dallo stesso dispositivo.

In precedenza, accadeva che gli amministratori non richiedessero l'accesso senza password per utenti con più account, poiché questo richiedeva loro di disporre di più dispositivi per l'accesso. Rimuovendo la limitazione di accesso di un singolo utente per dispositivo, gli amministratori possono ora incoraggiare gli utenti a registrarsi per l'accesso tramite telefono senza password e ad usare questo metodo di accesso come predefinito.

Gli account Microsoft Entra possono trovarsi nello stesso tenant o in tenant diversi. Gli account guest non sono supportati per gli accessi di più account da un dispositivo.

Prerequisiti

Per usare l'accesso tramite telefono senza password con Microsoft Authenticator, è necessario che i seguenti requisiti siano soddisfatti:

• Consigliato: autenticazione a più fattori Microsoft Entra, con notifiche push consentite come metodo di verifica. Le notifiche push inviate allo smartphone o tablet consentono all’app Authenticator di impedire l'accesso non autorizzato ad account e le transazioni illecite. Quando configurata per inviare notifiche pus, l'app Authenticator genera automaticamente codici. Un utente dispone di un metodo di accesso alternativo nel caso in cui il dispositivo non dovesse avere connettività.
• Accertarsi che sia installata la versione più recente di Microsoft Authenticator nei dispositivi che eseguono iOS o Android.
• Il dispositivo deve essere registrato in ogni tenant in cui viene usato per accedere. Ad esempio, il dispositivo seguente deve essere registrato con Contoso e Wingtiptoys per consentire l’accesso a tutti gli account:
  • balas@contoso.com
  • balas@wingtiptoys.com e bsandhu@wingtiptoys

Per usare l'autenticazione senza password in Microsoft Entra ID, abilitare prima di tutto l'esperienza di registrazione combinata, quindi abilitare gli utenti per il metodo senza password.

Abilitare i metodi di autenticazione per l’accesso tramite telefono senza password

Microsoft Entra ID consente agli Amministratori dei criteri di autenticazione di scegliere quali metodi di autenticazione passono essere usati per l’accesso. Possono abilitare Microsoft Authenticator nel criterio dei Metodi di autenticazione per gestire sia il metodo di autenticazione a più fattori push tradizionale che il metodo di autenticazione senza password.

Dopo aver abilitato Microsoft Authenticator come metodo di autenticazione, gli utenti possono accedere alle Informazioni di sicurezza per registrare Microsoft Authenticator come metodo di accesso. Microsoft Authenticator verrà visualizzato come metodo nell’elenco in Informazioni di sicurezza. Ad esempio, verranno visualizzati Microsoft Authenticator-Passwordless o Microsoft Authenticator-MFA Push a seconda di quale sia abilitato e registrato.

Per abilitare il metodo di autenticazione per l'accesso tramite telefono senza password, completare la procedura seguente:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

2. Passare a Protezione>Metodi di autenticazione>Criteri.

3. In Microsoft Authenticator, scegliere le opzioni seguenti:

   1. Abilita - Sì o No
   2. Destinazione - Tutti gli utenti o Seleziona utenti

4. Ogni gruppo o utente aggiunto è abilitato per impostazione predefinita per l'uso di Microsoft Authenticator sia in modalità senza password che con notifiche push ("Qualsiasi"). Per modificare la modalità, per Modalità di autenticazione scegliere per ogni riga Qualsiasi o Senza password. La scelta di Push impedisce l'uso delle credenziali di accesso tramite telefono senza password.

5. Per applicare i nuovi criteri, fare clic su Salva.

   Nota

   Se viene visualizzato un errore quando si tenta di salvare, la causa potrebbe essere dovuta al numero di utenti o gruppi aggiunti. Come soluzione alternativa, sostituire gli utenti e i gruppi che si sta tentando di aggiungere con un singolo gruppo nella stessa operazione e quindi selezionare di nuovo Salva .

Registrazione utente

Gli utenti si registrano per il metodo di autenticazione senza password di Microsoft Entra ID. Per gli utenti che hanno già registrato l'app Microsoft Authenticator per l’autenticazione a più fattori, passare alla sezione successiva: abilitare l'accesso tramite telefono.

Registrazione dell'accesso diretto tramite telefono

Gli utenti possono registrarsi per l'accesso tramite telefono senza password direttamente all'interno dell'app Microsoft Authenticator, senza bisogno di prima registrare Microsoft Authenticator con il proprio account, il tutto senza mai ottenere una password. Ecco come fare:

1. Acquisire un Pass di accesso temporaneo dall'Amministratore o dall'Organizzazione.
2. Scaricare e installare l'app Microsoft Authenticator sul proprio dispositivo mobile.
3. Aprire Microsoft Authenticator e fare clic su Aggiungi account, quindi scegliere Account aziendale o dell'istituto di istruzione.
4. Scegliere Accedi.
5. Seguire le istruzioni per accedere con l'account usando il pass di accesso temporaneo fornito dall'amministratore o dall'organizzazione.
6. Una volta eseguito l'accesso, continuare seguendo i passaggi aggiuntivi per configurare l'accesso tramite telefono.

Registrazione guidata con gli accessi personali

Per registrare l'app Microsoft Authenticator, seguire questa procedura:

1. Passa a https://aka.ms/mysecurityinfo.
2. Accedere, quindi selezionare Aggiungi metodo>App Authenticator>Aggiungi per aggiungere Microsoft Authenticator.
3. Seguire le istruzioni per installare e configurare l'app Microsoft Authenticator nel dispositivo.
4. Selezionare Fine per completare la configurazione di Microsoft Authenticator.

Abilitare l'accesso tramite telefono

Dopo essersi registrati per l'app Microsoft Authenticator, gli utenti devono abilitare l'accesso tramite telefono:

1. In Microsoft Authenticator, selezionare l'account registrato.
2. Selezionare Abilita accesso tramite telefono.
3. Seguire le istruzioni nell'app per completare la registrazione dell'account per l'accesso tramite telefono senza password.

Un'organizzazione può indirizzare i propri utenti ad eseguire l’accesso con i propri telefoni, senza usare una password. Per altre informazioni sulla configurazione di Microsoft Authenticator e sull'abilitazione dell'accesso tramite telefono, vedere Accedere agli account usando l'app Microsoft Authenticator.

Accedere con credenziali senza password

Un utente può iniziare a usare l'accesso senza password dopo aver completato tutte le azioni seguenti:

• Un amministratore ha abilitato il tenant dell'utente.
• L'utente ha aggiunto Microsoft Authenticator come metodo di accesso.

La prima volta che un utente avvia il processo di accesso tramite telefono, esegue i passaggi seguenti:

1. Immette il proprio nome nella pagina di accesso.
2. Seleziona Avanti.
3. Se necessario, seleziona Altri metodi per accedere.
4. Seleziona Approva una richiesta nell'app Authenticator.

Quindi, all’utente viene mostrato un numero. L'app richiede all'utente di eseguire l'autenticazione digitando il numero appropriato anziché immettendo una password.

Dopo che l'utente ha utilizzato l'accesso tramite telefono senza password, l'app continua a suggerire questo metodo all'utente. Tuttavia, l'utente visualizzerà l'opzione di scegliere un altro metodo.

Pass di accesso temporaneo

Se l'amministratore tenant ha abilitato la reimpostazione della password self-service e un utente sta configurando l'accesso senza password con l'app Authenticator per la prima volta usando una password di accesso temporaneo, è necessario seguire questa procedura:

1. L'utente deve aprire un browser in un dispositivo mobile o desktop e passare alla pagina info mySecurity.
2. L'utente deve registrare l'app Authenticator come metodo di accesso. Questa azione collega l'account dell'utente all'app.
3. L'utente deve quindi tornare al dispositivo mobile e attivare l'accesso senza password tramite l'app Authenticator.

Gestione

Il criterio dei Metodi di autenticazione metodo il modo consigliato per gestire Microsoft Authenticator. Gli Amministratori del criterio di autenticazione possono modificare questo criterio per abilitare o disabilitare Microsoft Authenticator. Gli amministratori possono includere o escludere utenti e gruppi specifici dall'uso.

Gli amministratori possono anche configurare parametri per controllare meglio come Microsoft Authenticator possa essere usato. Ad esempio, possono aggiungere il percorso o il nome dell'app alla richiesta di accesso in modo che gli utenti dispongano di maggiore contesto maggiore prima di approvare.

Problemi noti

Esistono i problemi noti seguenti.

L’opzione per l'accesso tramite telefono senza password non viene visualizzata

In uno scenario, un utente può avere una verifica di accesso tramite telefono senza password rimasta senza risposta e in sospeso. Se l'utente tenta di accedere di nuovo, potrebbe essere visualizzata solo l'opzione per immettere una password.

Per risolvere questo scenario, seguire questi passaggi:

1. Aprire Microsoft Authenticator.
2. Rispondere a eventuali notifiche di richiesta.

L'utente può quindi continuare a usare l'accesso tramite telefono senza password.

AuthenticatorAppSignInPolicy non supportato

AuthenticatorAppSignInPolicy è un criterio legacy non supportato con Microsoft Authenticator. Per abilitare gli utenti per notifiche push o accesso tramite telefono senza password con l'app Authenticator, usare il criterio di Metodi di autenticazione.

Account federati

Quando un utente ha abilitato delle credenziali senza password, il processo di accesso di Microsoft Entra smette di usare il login_hint. Di conseguenza, il processo non incoraggia più l'utente verso un percorso di accesso federato.

Generalmente, questa logica impedisce a un utente in un tenant ibrido di essere indirizzato ad Active Directory Federated Services (AD FS) per la verifica dell'accesso. Tuttavia, l'utente ha comunque l'opzione di fare clic su Usa invece la tua password.

Utenti in locale

Un utente finale può essere abilitato per l'autenticazione a più fattori tramite un provider di identità locale. L'utente può comunque creare e usare una singola credenziale di accesso tramite telefono senza password.

Se l'utente tenta di aggiornare più installazioni (più di 5) di Microsoft Authenticator con le credenziali create, questa modifica potrebbe causare un errore.

Passaggi successivi

Per informazioni sull'autenticazione di Microsoft Entra e sui metodi senza password, vedere gli articoli seguenti:

• Informazioni sul funzionamento dell'autenticazione senza password
• Informazioni sulla registrazione di dispositivi
• Istruzioni sull'utilizzo dell'autenticazione a più fattori di Microsoft Entra