Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'autenticazione è un processo di sicurezza che verifica l'identità di un utente prima di concedere l'accesso ad app, servizi, dispositivi o reti.
Metodi di autenticazione supportati da Microsoft Entra ID
La tabella seguente illustra quando è possibile usare un metodo di autenticazione per l'autenticazione primaria (primo fattore), l'autenticazione secondaria con Microsoft Entra l'autenticazione a più fattori (MFA), la reimpostazione della password self-service o il ripristino dell'account.
| Metodo | Autenticazione principale | Autenticazione secondaria | Reimpostazione della password in autoservizio/ripristino dell'account |
|---|---|---|---|
| Autenticatore Lite | NO | Autenticazione a più fattori (MFA) | NO |
| Autenticazione basata su certificati | Yes | Autenticazione a più fattori (MFA) | NO |
| OTP di posta elettronica | NO | Reimpostazione della password self-service e accesso2 | Reimpostazione automatica della password |
| MFA esterna | NO | Autenticazione a più fattori (MFA) | NO |
| Token hardware OATH (anteprima) | NO | Autenticazione a più fattori (MFA) | Reimpostazione automatica della password |
| Microsoft Authenticator senza password | Yes | NO | NO |
| Notifiche push di Microsoft Authenticator | Yes | Autenticazione a più fattori (MFA) | Reimpostazione automatica della password |
| Passkey (FIDO2) | Yes | Autenticazione a più fattori (MFA) | NO |
| Passkey in Microsoft Authenticator | Yes | Autenticazione a più fattori (MFA) | NO |
| Parola chiave | Yes | NO | NO |
| Credenziale di Piattaforma per macOS | Yes | Autenticazione a più fattori (MFA) | NO |
| Codice QR | Yes | NO | NO |
| Accesso tramite SMS | Yes | Autenticazione a più fattori (MFA) | Reimpostazione automatica della password |
| Token software OATH | NO | Autenticazione a più fattori (MFA) | Reimpostazione automatica della password |
| Passkey sincronizzato | Yes | Autenticazione a più fattori (MFA) | NO |
| Pass di accesso temporaneo (TAP) | Yes | Autenticazione a più fattori (MFA) | NO |
| ID verificato3 | NO | NO | Ripristino dell'account |
| Chiamata vocale | NO | Autenticazione a più fattori (MFA) | Reimpostazione automatica della password |
| Windows Hello for Business (Configurare Windows Hello for Business) | Yes | MFA1 | NO |
1Windows Hello for Business può servire come autenticazione a più fattori avanzata se un utente è abilitato per passkey (FIDO2) e ha una passkey registrata.
2La posta elettronica OTP è disponibile per i membri del tenant per la reimpostazione della password self-service. È anche possibile configurarlo per l'accesso da parte degli utenti guest.
3L'ID verificato è una funzionalità di verifica dell'identità, non un metodo di autenticazione tradizionale. Fornisce la prova dell'identità per il ripristino dell'account, ma non può essere utilizzata per l'accesso, l'autenticazione a più fattori o la reimpostazione della password self-service.
Metodi di autenticazione resistenti al phishing
Anche se l'autenticazione a più fattori tradizionale con SMS, posta elettronica OTP o app di autenticazione migliora significativamente la sicurezza sui sistemi solo password, queste opzioni introducono attriti, richiedendo passaggi aggiuntivi per gli utenti, ad esempio l'immissione di codici, l'approvazione delle notifiche push o l'uso di app di autenticazione. Inoltre, queste opzioni di autenticazione a più fattori sono soggette a attacchi di phishing remoti. In un attacco di phishing remoto, gli utenti malintenzionati usano strumenti di ingegneria sociale e basati sull'intelligenza artificiale per rubare le credenziali di identità, ad esempio password o codici monouso, senza accesso fisico al dispositivo di un utente.
Microsoft consiglia di usare metodi di autenticazione resistenti al phishing, ad esempio Windows Hello for Business, passkeys (FIDO2) e chiavi di sicurezza FIDO2 o autenticazione basata su certificati (CBA) perché offrono l'esperienza di accesso più sicura.
I metodi di autenticazione resistenti al phishing seguenti sono disponibili in Microsoft Entra ID:
- Windows Hello per le aziende
- Credenziali della piattaforma per macOS
- Passkey sincronizzati (FIDO2)
- Chiavi di sicurezza FIDO2
- Chiavi di accesso in Microsoft Authenticator
- Autenticazione basata su certificati (CBA)
Verifica dell'identità ID verificato
L'ID verificato è una funzionalità di verifica dell'identità in Microsoft Entra ID, non un metodo di autenticazione tradizionale. Non può essere usato per soddisfare i requisiti di autenticazione, ad esempio accesso, autenticazione a più fattori o reimpostazione self-service della password. L'ID verificato fornisce invece la prova crittografica dell'identità verificata di un utente per gli scenari in cui è necessario ristabilire l'attendibilità, ad esempio il ripristino dell'account quando tutti i metodi di autenticazione vengono persi.
I profili di verifica delle identità controllano quali utenti possono partecipare ai flussi ID verificati, quale provider esegue la verifica e come vengono convalidate le attestazioni di identità. Gli amministratori configurano i profili tramite l'installazione guidata di Ripristino account nel centro di amministrazione di Microsoft Entra, e la pagina dei criteri ID verificati fornisce visibilità sulle assegnazioni dei profili e sulle esclusioni globali.
Per ulteriori informazioni, consulta la Panoramica della verifica dell'identità verificata.
Ripristino dell'account a garanzia elevata
Il ripristino dell'account è il processo di aiutare gli utenti che hanno perso tutte le credenziali e non possono più accedere al proprio account. Tradizionalmente, un utente chiama l'help desk, risponde alle domande per verificare la propria identità e l'help desk reimposta le credenziali. Microsoft Entra ID ora supporta la verifica dell'ID rilasciata dal governo con la corrispondenza biometrica per il recupero di account ad alta garanzia, eliminando la necessità di intervento dell'help desk ed eliminando i rischi di ingegneria sociale.
Le organizzazioni possono scegliere tra provider di verifica delle identità leader (IDV) tramite Microsoft Security Store. Questi partner offrono copertura in 192 paesi/aree geografiche e verifica remota per la maggior parte dei documenti ID rilasciati dal governo, incluse le licenze e i passaporti del conducente. ID verificato di Microsoft Entra Face Check, con tecnologia Servizi di Azure AI, verifica la presenza abbinando il selfie in tempo reale di un utente alla foto dal documento di identità. Solo il risultato della corrispondenza viene condiviso, senza dati di identità sensibili, preservando così la privacy degli utenti e fornendo una forte sicurezza dell'identità.