Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft si impegna a fornire ai clienti il massimo livello di sicurezza. Una delle misure di sicurezza più efficaci disponibili è l'autenticazione a più fattori (MFA). La ricerca di Microsoft mostra che l'autenticazione multi-fattore (MFA) può bloccare più del 99,2% degli attacchi di compromissione degli account.
Per questo motivo, a partire dal 2024, verrà applicata l'autenticazione a più fattori obbligatoria per tutti i tentativi di accesso Azure. Per ulteriori informazioni su questo requisito, vedere i post del blog Autenticazione multifattore obbligatoria di Azure: fase 2 a partire da ottobre 2025 e Annuncio dell'autenticazione multifattore obbligatoria per l'accesso a Azure. Questo argomento illustra le applicazioni e gli account interessati, come viene applicata l'attuazione ai tenant e altre domande e risposte comuni.
Non ci sono modifiche per gli utenti se l'organizzazione applica già MFA per loro o se accedono con metodi più efficaci, ad esempio passwordless o passkey (FIDO2). Per verificare che l'autenticazione a più fattori sia abilitata, vedere Come verificare che gli utenti siano configurati per l'autenticazione a più fattori obbligatoria.
Ambito di applicazione
L'ambito dell'applicazione copre i tempi di esecuzione, le applicazioni interessate e i requisiti dell'account utente.
Fasi di esecuzione
Note
La data di imposizione per la fase 2 è cambiata in 1 ottobre 2025.
L'applicazione dell'autenticazione a più fattori per le applicazioni viene eseguita in due fasi.
Applicazioni di fase 1
A partire da ottobre 2024, l'autenticazione multifattore è necessaria per gli account che accedono al portale di Azure, all'interfaccia di amministrazione di Microsoft Entra e all'interfaccia di amministrazione di Microsoft Intune per eseguire qualsiasi operazione di creazione, lettura, aggiornamento o eliminazione (CRUD). L'applicazione del regolamento verrà implementata gradualmente a tutti i clienti in tutto il mondo. A partire da febbraio 2025, l'applicazione dell'autenticazione a più fattori inizia gradualmente per l'accesso a Microsoft 365 admin center. La fase 1 non influisce su altri client Azure, ad esempio Azure CLI, Azure PowerShell, Azure app per dispositivi mobili o strumenti IaC.
Applicazioni della fase 2
A partire dal 1° ottobre 2025, l'applicazione dell'autenticazione a più fattori inizierà gradualmente per gli account che accedono a Azure CLI, Azure PowerShell, Azure'app per dispositivi mobili, strumenti IaC e endpoint API REST per eseguire qualsiasi operazione di creazione, aggiornamento o eliminazione. Le operazioni di lettura non richiedono l'autenticazione a più fattori.
Alcuni clienti possono usare un account utente in Microsoft Entra ID come account del servizio. È consigliabile eseguire la migrazione di questi account di servizio basati sull'utente per proteggere gli account del servizio basati sul cloud con identità del carico di lavoro.
ID applicazione e URL
La tabella seguente elenca le app, gli ID app e gli URL interessati per Azure.
| Nome dell'applicazione | App ID | Inizio dell'attuazione |
|---|---|---|
| Portale di Azure | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Seconda metà del 2024 |
| Interfaccia di amministrazione di Microsoft Entra | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Seconda metà del 2024 |
| Microsoft Intune interfaccia di amministrazione | c44b4083-3bb0-49c1-b47d-974e53cbdf3c | Seconda metà del 2024 |
| Interfaccia della riga di comando di Azure (Azure CLI) | 04b07795-8ddb-461a-bbee-02f9e1bf7b46 | 1 ottobre 2025 |
| Azure PowerShell | 1950a258-227b-4e31-a9cf-717495945fc2 | 1 ottobre 2025 |
| Azure'app per dispositivi mobili | 0c1307d4-29d6-4389-a11c-5cbe7f65d7fa | 1 ottobre 2025 |
| Strumenti per l'Infrastruttura come Codice (IaC) | Usare id di Azure CLI o di Azure PowerShell | 1 ottobre 2025 |
| API REST (Piano di controllo) | N/A | 1 ottobre 2025 |
| Azure SDK | N/A | 1 ottobre 2025 |
La tabella seguente elenca le app e gli URL interessati per Microsoft 365.
| Nome dell'applicazione | URL | Inizio dell'attuazione |
|---|---|---|
| interfaccia di amministrazione di Microsoft 365 | https://portal.office.com/adminportal/home |
Febbraio 2025 |
| interfaccia di amministrazione di Microsoft 365 | https://admin.cloud.microsoft |
Febbraio 2025 |
| interfaccia di amministrazione di Microsoft 365 | https://admin.microsoft.com |
Febbraio 2025 |
Accounts
Tutti gli account che accedono per eseguire operazioni menzionate nella sezione delle applicazioni devono completare l'autenticazione multifattore quando l'obbligo diventa effettivo. Gli utenti non devono usare l'autenticazione a più fattori se access altre applicazioni, siti Web o servizi ospitati in Azure. Ogni applicazione, sito Web o proprietario del servizio elencato in precedenza controlla i requisiti di autenticazione per gli utenti.
anche Account di emergenza o account di accesso di emergenza devono accedere con MFA una volta iniziata l'applicazione. È consigliabile aggiornare questi account per usare passkey (FIDO2) o configurare l'autenticazione basata su certificati per MFA. Entrambi i metodi soddisfano il requisito MFA.
Le identità del carico di lavoro, ad esempio le identità gestite e le entità servizio, non sono interessate da una fase di questa imposizione dell'autenticazione a più fattori. Se le identità degli utenti vengono utilizzate per accedere a un account di servizio per eseguire l'automazione (inclusi script o altre attività automatizzate), tali identità devono accedere con l'autenticazione a più fattori non appena l'applicazione diventa obbligatoria. Le identità utente non sono consigliate per l'automazione. È consigliabile eseguire la migrazione di tali identità utente alle identità del carico di lavoro.
Librerie dei client
Il flusso di concessione di token OAuth 2.0 Resource Owner Password Credentials (ROPC) non è compatibile con MFA. Dopo l'abilitazione dell'autenticazione a più fattori nel tenant di Microsoft Entra, le API basate su ROPC usate nelle applicazioni generano eccezioni. Per altre informazioni su come eseguire la migrazione dalle API basate su ROPC in Microsoft Authentication Libraries (MSAL), vedere Come eseguire la migrazione da ROPC. Per indicazioni MSAL specifiche alla lingua, vedere le schede seguenti.
Le modifiche sono necessarie se si usa il pacchetto Microsoft.Identity.Client e una delle API seguenti nell'applicazione. L'API client pubblica è obsoletaa partire dalla versione 4.74.0:
- IByUsernameAndPassword.AcquireTokenByUsernamePassword (API client riservata)
- PublicClientApplication.AcquireTokenByUsernamePassword (API client pubblico) [deprecato]
Le stesse linee guida generali per MSAL si applicano alle librerie di identità Azure. La classe UsernamePasswordCredential fornita in tali librerie usa API basate su MSAL ROPC. Per indicazioni specifiche della lingua, vedere le schede seguenti.
Le modifiche sono necessarie se si usa il Azure. Identity pacchetto ed eseguire una delle operazioni seguenti nell'applicazione:
- Usare DefaultAzureCredential o EnvironmentCredential con le due variabili di ambiente seguenti impostate:
AZURE_USERNAMEAZURE_PASSWORD
- Uso di
UsernamePasswordCredential(deprecated a partire dalla versione1.14.0-beta.2)
Eseguire la migrazione di account di servizio basati sull'utente alle identità di carico di lavoro
È consigliabile che i clienti rilevino gli account utente usati come account del servizio e inizino a eseguirne la migrazione alle identità del carico di lavoro. La migrazione richiede spesso l'aggiornamento di script e processi di automazione per usare le identità del carico di lavoro.
Vedere Come verificare che gli utenti siano configurati per l'autenticazione a più fattori obbligatoria per identificare tutti gli account utente, inclusi gli account utente usati come account di servizio, che accedono alle applicazioni.
Per altre informazioni su come eseguire la migrazione da account del servizio basati sull'utente alle identità del carico di lavoro per l'autenticazione con queste applicazioni, vedere:
- Accedi ad Azure con un'identità gestita utilizzando l'Azure CLI
- Accedi ad Azure con un'entità servizio utilizzando l'interfaccia a riga di comando di Azure
- Accedi ad Azure PowerShell in modo non interattivo per scenari di automazione includendo indicazioni per i casi d'uso dell'identità gestita e del principale del servizio.
Alcuni clienti applicano criteri di Accesso condizionale agli account di servizio basati su utenti. È possibile recuperare la licenza basata sull'utente e aggiungere una licenza workload identities per applicare Conditional Access per le identità del carico di lavoro.
Eseguire la migrazione del provider di identità federato a metodi di autenticazione esterni
Il supporto per le soluzioni MFA esterne è disponibile in anteprima con metodi di autenticazione esterna e può essere usato per soddisfare i requisiti di autenticazione a più fattori. L'anteprima dei controlli personalizzati di Accesso condizionale legacy non soddisfa i requisiti richiesti dall'MFA. È consigliabile eseguire la migrazione all'anteprima dei metodi di autenticazione esterni per usare una soluzione esterna con Microsoft Entra ID.
Se si usa un provider di identità federato (IdP), ad esempio Active Directory Federation Services e il provider MFA è integrato direttamente con questo IdP federato, il provider di identità federato deve essere configurato per inviare un'attestazione MFA. Per altre informazioni, vedere Asserzioni in ingresso previste per Microsoft Entra MFA.
Prepararsi per l'implementazione obbligatoria dell'autenticazione a più fattori
Per prepararsi all'applicazione dell'autenticazione a più fattori, configurare un criterio di Accesso Condizionale che richiede agli utenti di accedere con AMF. Se sono state configurate eccezioni o esclusioni nei criteri, non vengono più applicate. Se sono presenti criteri di Accesso condizionale più restrittivi destinati ad Azure e richiedono un'autenticazione più avanzata, ad esempio MFA resistente al phishing, rimangono applicati.
L'Access condizionale richiede una licenza Microsoft Entra ID P1 o P2. Se non è possibile usare Accesso condizionale, abilita le impostazioni predefinite di sicurezza.
È possibile applicare automaticamente l'autenticazione a più fattori usando definizioni predefinite in Azure Policy. Per ulteriori informazioni e segui una panoramica passo-passo per applicare queste assegnazioni di criteri nel tuo ambiente, consulta Tutorial: Applicare l'auto-imposizione MFA tramite Azure Policy.
Per un'esperienza di compatibilità ottimale, assicurarsi che gli utenti del tenant usino Azure CLI versione 2.76 e Azure PowerShell versione 14.3 o successiva. In caso contrario, è possibile visualizzare i messaggi di errore come illustrato in questi argomenti:
- Risoluzione dei problemi di errori MFA in Azure PowerShell
- Risoluzione dei problemi relativi agli errori MFA in Azure CLI
Note
Gli utenti che accedono senza MFA possono usare un'applicazione fase 2. Tuttavia, se tentano di creare, aggiornare o eliminare una risorsa, l'app restituisce un errore che indica che è necessario accedere con MFA e una richiesta di verifica delle attestazioni. Alcuni client usano la sfida delle attestazioni per richiedere all'utente di eseguire l'autenticazione a più fattori. Gli altri client restituiscono solo l'errore senza una richiesta di autenticazione a più fattori. È consigliabile usare la metodologia dei criteri di accesso condizionale o le impostazioni di sicurezza predefinite per aiutare gli utenti a soddisfare l'MFA prima di visualizzare un errore.
Richiedere più tempo per prepararsi all'applicazione dell'autenticazione a più fattori della fase 1
Alcuni clienti potrebbero avere bisogno di più tempo per prepararsi al requisito dell’autenticazione a più fattori. Microsoft consente ai clienti con ambienti complessi o barriere tecniche di posticipare l'applicazione della fase 1 per i tenant fino al 30 settembre 2025.
Per ogni tenant per cui si desidera posticipare la data di inizio dell'imposizione, un Global Administrator può accedere al https://aka.ms/managemfaforazure per selezionare una data di inizio.
Caution
Posticipando la data di inizio dell'imposizione, si corre un rischio maggiore perché gli account che accedono a servizi Microsoft come il portale di Azure sono obiettivi estremamente importanti per i cybercriminali. Raccomandiamo a tutti gli inquilini di configurare ora l'autenticazione a più fattori per proteggere le risorse cloud.
Richiedere più tempo per preparare l'imposizione dell'MFA nella seconda fase
Microsoft consente ai clienti con ambienti complessi o barriere tecniche di posticipare l'applicazione della fase 2 per i tenant fino al 1° luglio 2026. È possibile richiedere più tempo per preparare l'applicazione dell'autenticazione a più fattori nella fase 2 all'indirizzo https://aka.ms/postponePhase2MFA. Scegliere un'altra data di inizio e selezionare Applica. Dopo l'inizio dell'applicazione della Fase 2, è possibile inviare una richiesta al Supporto tecnico Microsoft per revocare temporaneamente l'applicazione. La richiesta deve essere eseguita da un Global Administrator a causa delle implicazioni di sicurezza.
Note
Se è stata posticipata l'inizio della fase 1, anche l'inizio della fase 2 viene posticipato alla stessa data. È possibile scegliere una data di inizio successiva per la fase 2.
Confermare l'imposizione dell'autenticazione a più fattori obbligatoria
Confermare l'attuazione della fase 1
Per confermare che la Fase 1 dell'autenticazione a più fattori obbligatoria sia applicata al tuo tenant:
Accedere al portale di Azure come amministratore globale.
Naviga a https://aka.ms/managemfaforazure.
Verificare che nella pagina Autenticazione a più fattori (Fase 1) sia visualizzato un banner che conferma l'avvio dell'imposizione per il tenant.
Confermare l'applicazione della fase 2
Per confermare che la Fase 2 dell'MFA obbligatorio sia applicata al tenant:
Accedere al portale di Azure come amministratore globale.
Naviga a https://aka.ms/postponePhase2MFA.
Verificare che nella pagina Autenticazione a più fattori (fase 2) sia visualizzato un banner che conferma l'avvio dell'applicazione per il tenant.
Microsoft Entra ID registri di accesso mostrano l'applicazione che ha applicato MFA come origine del requisito MFA.
FAQs
Domanda: Quali account sono interessati dall'applicazione dell'autenticazione a più fattori della fase 2?
Answer: L'applicazione della fase 2 di Azure si applica a tutti gli account utente che effettuano azioni di gestione delle risorse su Azure tramite qualsiasi client Azure, tra cui PowerShell, CLI, SDK o anche API REST. Questa imposizione si trova sul lato server Azure Resource Manager, pertanto tutte le richieste destinate a https://management.azure.com rientrano nell'ambito dell'imposizione. Gli account di automazione non sono inclusi nell'ambito finché utilizzano un'identità gestita o un principale del servizio. Tutti gli account di automazione configurati come identità utente saranno soggetti a misure restrittive.
Question: Come si può comprendere l'impatto dell'applicazione dell'autenticazione a più fattori senza Accesso condizionale?
Answer: Se la licenza di Microsoft Entra ID non include Accesso Condizionale, puoi utilizzare Azure Policy per comprendere l'impatto dell'applicazione dell'autenticazione a più fattori sul tenant. Durante l'applicazione del sistema, Microsoft distribuisce il Azure Policy al tenant. È possibile seguire questi passaggi per distribuire lo stesso Azure policy manualmente in qualsiasi momento. È possibile distribuire i criteri in modalità di controllo e quindi eseguire la conversione in modalità imposizione. È possibile scegliere la data per applicare questa politica nel tenant mentre si è in modalità di applicazione. Quando Microsoft applica l'autenticazione a più fattori, non c'è alcun impatto aggiuntivo sul tenant.
Domanda: Esistono eccezioni per account specifici?
Answer: L'imposizione del sistema si applica a tutti gli account utente, indipendentemente dal fatto che si tratti di un account studente, di un account break-glass, di un account amministratore con ruoli attivati o idonei, o di eventuali esclusioni utente abilitate per loro. Ognuno di questi tipi di account può eseguire azioni di gestione delle risorse in Azure, comportando lo stesso rischio di sicurezza se vengono compromessi.
Question: le API di Microsoft Graph rientrano nell'ambito dell'applicazione della fase 2?
Answer: in genere, le API di Microsoft Graph non rientrano nell'ambito dell'imposizione dell'autenticazione a più fattori Azure. Solo le richieste inviate a https://management.azure.com/ rientrano nell'ambito dell'applicazione.
Domanda: Se il tenant viene usato solo per i test, è necessaria l'autenticazione a più fattori?
Answer: Sì, ogni tenant Azure richiederà l'autenticazione a più fattori, senza eccezione per gli ambienti di test.
Question: in che modo questo requisito influisce sul Microsoft 365 admin center?
Answer: L'autenticazione a più fattori obbligatoria verrà implementata nel Microsoft 365 admin center a partire da febbraio 2025. Scopri di più sul requisito obbligatorio dell'autenticazione a più fattori per il centro di amministrazione di Microsoft 365 nel post del blog Annuncio dell'autenticazione a più fattori obbligatoria per il centro di amministrazione di Microsoft 365.
Domanda: Devo completare l'autenticazione a più fattori se scelgo l'opzione Rimanere connesso?
Risposta: Sì, anche se si sceglie Resta connesso, è necessario completare l'autenticazione a più fattori prima di poter accedere a queste applicazioni.
Domanda: L'imposizione si applica agli account guest B2B?
Answer: Sì, l'autenticazione a più fattori deve essere rispettata rispetto al tenant delle risorse partner o al tenant principale dell'utente, se è configurata nel modo corretto per inviare richieste MFA al tenant della risorsa usando l'accesso tra tenant.
Question: L'applicazione si rivolge ad Azure per il Governo degli Stati Uniti o ad Azure Sovereign Cloud?
Answer: Microsoft applica l'autenticazione a più fattori obbligatoria solo nel cloud pubblico Azure. Microsoft attualmente non applica l'autenticazione a più fattori in Azure per il governo degli Stati Uniti o altri cloud sovrani Azure.
Domanda: Come è possibile rispettare se si applica l'autenticazione a più fattori usando un altro provider di identità o una soluzione MFA e non viene applicata tramite Microsoft Entra MFA?
Answer: L'autenticazione a più fattori di terze parti può essere integrata direttamente con Microsoft Entra ID. Per altre informazioni, vedere Microsoft Entra multifactor authentication external method provider reference (Informazioni di riferimento sul provider di metodi esterni per l'autenticazione a più fattori). Microsoft Entra ID può essere configurato facoltativamente con un provider di identità federato. In tal caso, la soluzione del provider di identità deve essere configurata correttamente per inviare l'attestazione multipleauthn a Microsoft Entra ID. Per ulteriori informazioni, consultare Come soddisfare i controlli di autenticazione a più fattori (MFA) di Microsoft Entra ID con attestazioni MFA da un IdP federato.
Domanda: L'autenticazione a più fattori obbligatoria influisce sulla possibilità di eseguire la sincronizzazione con Microsoft Entra Connect o Microsoft Entra Cloud Sync?
Risposta: No. L'account del servizio di sincronizzazione non è interessato dal requisito obbligatorio dell'autenticazione a più fattori. Solo le applicazioni elencate in precedenza richiedono l'autenticazione a più fattori per l'accesso.
Domanda: Sarò in grado di rifiutare esplicitamente?
Answer: non è possibile rifiutare esplicitamente. Questo movimento di sicurezza è fondamentale per la sicurezza e la sicurezza della piattaforma Azure e viene ripetuto tra i fornitori di servizi cloud. Ad esempio, vedere Secure by Design: AWS per migliorare i requisiti di MFA nel 2024.
È disponibile un'opzione per posticipare la data di inizio dell'imposizione per i clienti. Gli amministratori globali possono accedere al portale di Azure per posticipare la data di inizio dell'applicazione per il tenant. Gli amministratori globali devono avere accesso elevato prima di posticipare la data di inizio dell'imposizione dell'autenticazione a più fattori in questa pagina. Devono eseguire questa azione per ogni utente che necessita di rinvio.
Domanda: è possibile testare l'autenticazione a più fattori prima che Azure applichi il criterio per assicurarsi che tutto funzioni correttamente?
Answer: Sì, è possibile testare l'autenticazione a più fattori (MFA) tramite il processo di installazione manuale per MFA. È consigliabile configurare e testare questa operazione. Se usi Conditional Access per applicare l'MFA, puoi usare i modelli di Conditional Access per testare i criteri. Per altre informazioni, vedere Require l'autenticazione a più fattori per gli amministratori che accedono ai portali di amministrazione Microsoft. Se si esegue un'edizione gratuita di Microsoft Entra ID, è possibile abilitare le impostazioni predefinite di security.
Domanda: Cosa accade se è già abilitata l'autenticazione a più fattori?
Answer: i clienti che richiedono già l'autenticazione a più fattori per gli utenti che access le applicazioni elencate in precedenza non visualizzano alcuna modifica. Se è necessaria solo l'autenticazione a più fattori per un sottoinsieme di utenti, tutti gli utenti che non usano già l’autenticazione a più fattori dovranno ora usare l'autenticazione a più fattori quando accedono alle applicazioni.
Question: Come è possibile esaminare l'attività MFA in Microsoft Entra ID?
Risposta: Per esaminare i dettagli su quando viene richiesto a un utente di accedere con MFA, usare i log di accesso di Microsoft Entra. Per altre informazioni, vedere Dettagli dell'evento di accesso per l'autenticazione a più fattori Di Microsoft Entra.
Domanda: Cosa accade se si ha uno scenario di "break glass"?
Risposta: è consigliabile aggiornare questi account per usare passkey (FIDO2) o configurare l'autenticazione basata su certificati per MFA. Entrambi i metodi soddisfano il requisito MFA.
Domanda: Cosa succede se non ricevo un messaggio di posta elettronica sull'abilitazione dell'autenticazione a più fattori prima dell'applicazione e vengo bloccato fuori. Come posso risolvere il problema?
Risposta: Gli utenti non devono essere bloccati, ma possono ricevere un messaggio che richiede di abilitare l'autenticazione a più fattori una volta che l'applicazione per la loro organizzazione è iniziata. Se l'utente è bloccato, potrebbero verificarsi altri problemi. Per altre informazioni, vedere Account bloccato.
Contenuti correlati
Per altre informazioni su come configurare e distribuire MFA, vedere gli argomenti seguenti:
- Come posticipare l'imposizione per un tenant in cui gli utenti non sono in grado di firmare
- Come verificare che gli utenti siano configurati per l'autenticazione a più fattori obbligatoria
- Tutorial: proteggere gli eventi di accesso utente con l'autenticazione a più fattori Microsoft Entra
- Pianificare una distribuzione dell'autenticazione a più fattori di Microsoft Entra
- Metodi MFA resistenti al phishing
- Autenticazione a più fattori Microsoft Entra
- Metodi di autenticazione