Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'autenticazione preferita dal sistema richiede agli utenti di accedere usando il metodo più sicuro registrato. È un importante miglioramento della sicurezza per gli utenti che eseguono l'autenticazione usando metodi meno sicuri, ad esempio password o SMS.
Ad esempio, se un utente ha registrato sia una password che una passkey, l'autenticazione preferita dal sistema richiede all'utente di accedere con la passkey anziché la password. L'utente può comunque scegliere di accedere usando un altro metodo, ma prima gli/le viene richiesto di provare il metodo più sicuro registrato.
L'autenticazione preferita dal sistema è un'impostazione gestita da Microsoft; si tratta di un criterio a tre stati (abilitato, disabilitato o gestito da Microsoft). Se non si vuole abilitare l'autenticazione preferita dal sistema, modificare lo stato da Gestito da Microsoft a Disabilitato oppure escludere utenti e gruppi dal criterio.
Dopo l'abilitazione dell'autenticazione preferita dal sistema, il sistema di autenticazione esegue tutte le operazioni. Gli utenti non devono impostare alcun metodo di autenticazione come predefinito poiché il sistema determina e presenta sempre il metodo più sicuro registrato.
Modalità di applicazione dell'autenticazione preferita dal sistema all'accesso
L'autenticazione preferita dal sistema prevede tre modalità:
- Disabilitato : nessuna modifica alla logica di accesso.
- Abilitato : l'autenticazione preferita dal sistema si applica solo a un secondo fattore. Il comportamento di accesso esistente continua a essere applicato per l'autenticazione a primo fattore.
- Gestito da Microsoft - l'autenticazione preferita dal sistema si applica sia all'autenticazione di primo fattore sia a quella di secondo fattore. Il sistema valuta le credenziali registrate per l'utente e seleziona il metodo più alto per ogni passaggio di autenticazione.
Entrambe le modalità abilitate e gestite da Microsoft consentono agli amministratori di includere o escludere utenti o gruppi specifici.
Tip
Se non si desidera che l'autenticazione preferita dal sistema venga applicata all'autenticazione di primo fattore, passare da Gestito da Microsoft a Abilitato. Lo stato Abilitato applica la logica preferita dal sistema solo a un secondo fattore.
Note
L'autenticazione preferita dal sistema ha come ambito gli utenti, non i dispositivi. Gli amministratori includono o escludono utenti o gruppi, ma non possono assegnare la funzionalità a dispositivi o gruppi di dispositivi specifici.
Limitazioni note
- Quando si modificano i criteri per un gruppo di destinazione, la modifica potrebbe non avere effetto sull'accesso successivo dell'utente. Si applica a tutti gli accessi successivi.
- I criteri di accesso condizionale vengono convalidati solo per l'autenticazione a due fattori e non si applicano all'autenticazione a primo fattore. L'autenticazione avviene per prima e quindi l'accesso condizionale valuta l'autorizzazione. L'autenticazione preferita dal sistema non sostituisce i criteri di accesso condizionale o i requisiti di attendibilità dell'autenticazione.
Abilitare l'autenticazione preferita dal sistema nell'interfaccia di amministrazione di Microsoft Entra
Per impostazione predefinita, l'autenticazione preferita dal sistema è gestita da Microsoft per tutti gli utenti.
- Accedi al centro di amministrazione di Microsoft Entra almeno come Amministratore dei Criteri di Autenticazione.
- Eseguire la navigazione verso Microsoft Entra ID>Metodi di autenticazione>Impostazioni.
- Per Autenticazione preferita del sistema, scegliere Gestito da Microsoft, Abilitato o Disabilitato e includere o escludere eventuali utenti. I gruppi esclusi hanno la precedenza sui gruppi inclusi.
- Dopo aver apportato le modifiche, selezionare Salva.
Abilitare l'autenticazione preferita dal sistema usando le API Graph
Per abilitare in anticipo l'autenticazione preferita dal sistema, scegliere un singolo gruppo di destinazione per la configurazione dello schema, come illustrato nell'esempio richiesta .
Proprietà di configurazione delle funzionalità del metodo di autenticazione
Per impostazione predefinita, l'autenticazione preferita dal sistema è gestita da Microsoft.
| Proprietà | Tipo | Description |
|---|---|---|
| escludiObiettivo | obiettivo della funzionalità | Singola entità esclusa da questa funzionalità. È possibile escludere un solo gruppo dall'autenticazione preferita dal sistema, che può essere un gruppo dinamico o annidato. |
| includiObiettivo | obiettivo della funzionalità | Singola entità inclusa in questa funzionalità. È possibile includere un solo gruppo per l'autenticazione preferita dal sistema, che può essere un gruppo dinamico o annidato. |
| stato | advancedConfigState | I valori possibili sono: abilitato in modo esplicito abilita la funzionalità per il gruppo selezionato. disabilitato disabilita in modo esplicito la funzionalità per il gruppo selezionato. predefinito consente a Microsoft Entra ID di gestire se la funzionalità è abilitata o meno per il gruppo selezionato. |
Proprietà obiettivo della funzionalità
L'autenticazione preferita dal sistema può essere abilitata solo per un singolo gruppo, che può essere un gruppo dinamico o annidato.
| Proprietà | Tipo | Description |
|---|---|---|
| Documento d'identità | Stringa | ID dell'entità interessata. |
| tipo di obiettivo | featureTargetType | Tipo di entità interessata, ad esempio gruppo, ruolo o unità amministrativa. I valori possibili sono: 'gruppo', 'unità amministrativa', 'ruolo', 'valoreFuturoSconosciuto'. |
Usare l'endpoint API seguente per abilitare systemCredentialPreferences e includere o escludere gruppi:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Note
In Graph Explorer è necessario fornire il consenso all'autorizzazione Policy.ReadWrite.AuthenticationMethod.
Richiesta
L'esempio seguente esclude un gruppo di destinazione di esempio e include tutti gli utenti. Per ulteriori informazioni, vedere Aggiorna authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
FAQ
In che modo l'autenticazione preferita dal sistema determina il metodo più sicuro?
Quando un utente esegue l'accesso, il processo di autenticazione controlla i metodi registrati. All'utente viene richiesto di accedere con il metodo più sicuro in base all'ordine seguente. L'ordine dei metodi è dinamico e viene aggiornato man mano che cambia il panorama della sicurezza. Gli utenti possono sempre annullare e scegliere un metodo di accesso disponibile diverso. Se l'organizzazione dispone di criteri di accesso condizionale che richiedono metodi di autenticazione specifici, tali criteri continuano a assumere la priorità rispetto all'ordine di autenticazione preferito dal sistema.
Quando nello stato Microsoft gestito, il sistema valuta le credenziali disponibili e seleziona il metodo con la classificazione più alta sia per l'autenticazione a primo fattore che per l'autenticazione a due fattori.
| Rank | Credential | Categoria | Soddisfa i requisiti per |
|---|---|---|---|
| 1 | Pass di accesso temporaneo (TAP) | Recupero | 1FA + MFA |
| 2 | Passkey1 | Resistente al phishing | 1FA + MFA |
| 3 | Autenticazione basata su certificati (CBA) | Resistente al phishing | 1FA o 1FA + MFA |
| 4 | Notifiche di Microsoft Authenticator | Senza password | 1FA + MFA |
| 5 | Autenticazione a più fattori esterni (MFA) | — | MFA |
| 6 | Password monouso basata sul tempo (TOTP)2 | — | MFA |
| 7 | Telefonia3 | — | MFA |
| 8 | Codice QR | Lavoratore in prima linea | 1FA |
| 9 | Password | — | 1FA |
1Include chiavi di sicurezza, passkey nell'app Authenticator, passkey sincronizzati, Windows Hello for Business e macOS Platform SSO.
2Include hardware o software TOTP da Microsoft Authenticator, Authenticator Lite o applicazioni di terze parti.
3Include SMS e chiamate vocali.
Importante
L'autenticazione basata su certificati (CBA) è stata precedentemente posizionata per ultima nell'ordine di autenticazione preferito dal sistema a causa di problemi noti con la CBA e l'autenticazione preferita dal sistema. Ora che questi problemi vengono risolti, a partire dal 18 marzo 2026, l'autenticazione basata su certificati è stata spostata nella terza posizione nell'ordine di autenticazione.
Con il comportamento attualmente gestito da Microsoft, gli utenti vengono indirizzati ai migliori metodi di autenticazione disponibili sia per il primo che per il secondo fattore, in base all'ordine MFA preferito dal sistema. Anche se ciò evita di presentare la pagina della password per impostazione predefinita, gli utenti nei dispositivi senza certificati avranno esito negativo immediatamente durante l'autenticazione ABA e devono selezionare manualmente Accedi in un altro modo per continuare con un metodo alternativo.
In che modo l'autenticazione preferita dal sistema influisce sull'estensione NPS?
L'autenticazione preferita dal sistema non influisce sugli utenti che accedono usando l'estensione Server dei criteri di rete (NPS). Questi utenti non visualizzano alcuna modifica all'esperienza di accesso.
In che modo l'autenticazione preferita dal sistema influisce sull'accesso di primo fattore?
Se impostato su Microsoft gestito, il sistema applica la classificazione delle credenziali sia al primo fattore che all'autenticazione a secondo fattore. Ad esempio, se un utente ha sia una password che una passkey registrata, viene richiesto il passkey al primo fattore di accesso anziché la password. L'utente può comunque selezionare altre opzioni di accesso.
Se è impostata su Abilitato, la classificazione delle credenziali si applica solo all'autenticazione a due fattori. La modalità di accesso con autenticazione a primo fattore rimane invariata.
Gli utenti possono comunque scegliere un metodo di accesso diverso?
Yes. L'autenticazione preferita dal sistema richiede agli utenti le credenziali più elevate, ma gli utenti possono comunque scegliere altri metodi consentiti durante l'accesso.