Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'autenticazione a più fattori (MFA) preferita dal sistema richiede agli utenti di accedere usando il metodo più sicuro registrato. È un importante miglioramento della sicurezza per gli utenti che eseguono l'autenticazione usando metodi basati sul telefono. Gli amministratori possono abilitare l'autenticazione a più fattori preferita dal sistema per migliorare la sicurezza degli accessi e scoraggiare metodi di accesso meno sicuri come gli Short Message Service (SMS).
Ad esempio, se un utente ha registrato sia le notifiche push SMS che Microsoft Authenticator come metodi per MFA, l'autenticazione a più fattori preferita dal sistema richiede all'utente l'accesso usando il metodo di notifica push più sicuro. L'utente può comunque scegliere di accedere usando un altro metodo, ma prima gli/le viene richiesto di provare il metodo più sicuro registrato.
L'autenticazione a più fattori preferita dal sistema è un'impostazione gestita da Microsoft, ovvero un criterio a tre stati. Il valore Gestito da Microsoft di MFA preferito dal sistema è Abilitato. Se non si vuole abilitare l'autenticazione a più fattori preferita dal sistema, modificare lo stato da Gestito da Microsoft a Disabilitato o escludere utenti e gruppi dai criteri.
Dopo l'abilitazione dell'autenticazione a più fattori MFA preferita dal sistema, il sistema di autenticazione esegue tutte le operazioni. Gli utenti non devono impostare alcun metodo di autenticazione come predefinito poiché il sistema determina e presenta sempre il metodo più sicuro registrato.
Con le credenziali preferite dal dispositivo (anteprima), l'autenticazione preferita dal sistema valuta le credenziali disponibili nel dispositivo dell'utente in fase di accesso e richiede all'utente l'opzione più avanzata.
Credenziali preferite dal dispositivo (anteprima)
Le credenziali preferite per il dispositivo sono una funzionalità migliorata di accesso che sostituisce il sistema delle credenziali usate più di recente (MRU). Invece di impostare per impostazione predefinita le credenziali usate per l'ultima volta a livello di account, le credenziali preferite dal dispositivo valutano le credenziali migliori disponibili nel dispositivo dell'utente in fase di accesso.
Ad esempio, se un utente ha eseguito l'accesso in precedenza con SMS ma ha anche una passkey disponibile nel dispositivo, la credenziale preferita dal dispositivo richiede all'utente di usare la passkey.
Modalità credenziali preferite dal dispositivo
Le credenziali preferite dal dispositivo hanno tre modalità:
- Disabilitato : nessuna modifica alla logica di accesso. La logica MRU esistente continua a essere applicata.
- Abilitato: la logica delle credenziali preferite dal dispositivo si applica a un secondo fattore (MFA) solo per utenti con ambito definito.
-
Gestito da Microsoft : le credenziali preferite dal dispositivo usano le impostazioni predefinite gestite da Microsoft solo per il secondo fattore (MFA). Un'opzione per Applicare sia all'autenticazione primaria che a quella multifattore (anteprima) controlla se la funzionalità si applica anche all'autenticazione primaria:
- Off (impostazione predefinita): le credenziali preferite dal dispositivo si applicano solo a un secondo fattore.
- On : le credenziali preferite dal dispositivo si applicano sia all'autenticazione primaria che a quella secondaria.
Entrambe le modalità abilitate e gestite da Microsoft consentono agli amministratori di includere o escludere utenti o gruppi specifici.
Nota
Le credenziali preferite dal dispositivo hanno come ambito gli utenti, non i dispositivi. Gli amministratori includono o escludono utenti o gruppi, ma non possono assegnare credenziali preferite ai dispositivi o ai gruppi di dispositivi specifici. Il contesto del dispositivo viene valutato in modo dinamico durante l'accesso.
Limitazioni note
- Quando si modificano i criteri per un gruppo di destinazione, la modifica potrebbe non avere effetto sull'accesso successivo dell'utente. Si applica a tutti gli accessi successivi.
- I criteri di accesso condizionale vengono convalidati solo per l'autenticazione a più fattori e non si applicano all'autenticazione a primo fattore.
Abilitare l'autenticazione a più fattori preferita dal sistema nell'interfaccia di amministrazione di Microsoft Entra
Per impostazione predefinita, l'autenticazione a più fattori preferita dal sistema è gestita da Microsoft e abilitata per tutti gli utenti.
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
Eseguire la navigazione verso Microsoft Entra ID>Metodi di autenticazione>Impostazioni.
Per l'autenticazione a più fattori preferita dal sistema, scegliere se abilitare o disabilitare in modo esplicito la funzionalità e includere o escludere degli utenti. I gruppi esclusi hanno la precedenza sui gruppi inclusi.
Quando si imposta lo stato su Microsoft gestito, viene visualizzata un'opzione per applicare all'autenticazione primaria e a più fattori (anteprima). Attivare l'interruttore per applicare la logica delle credenziali preferita dal dispositivo all'autenticazione primaria e secondaria. Quando l'interruttore è disattivato (impostazione predefinita), le credenziali preferite del dispositivo si applicano solo al secondo fattore.
Ad esempio, lo screenshot seguente mostra come abilitare in modo esplicito MFA preferito dal sistema solo per il gruppo Engineering.
Dopo aver apportato le modifiche, selezionare Salva.
Abilitare l'autenticazione a più fattori preferita dal sistema usando le API Graph
Per abilitare in anticipo l'autenticazione a più fattori preferita dal sistema, è necessario scegliere un singolo gruppo di destinazione per la configurazione dello schema, come illustrato nell'esempio Richiesta.
Proprietà di configurazione delle funzionalità del metodo di autenticazione
Per impostazione predefinita, l'autenticazione a più fattori preferita dal sistema è gestita da Microsoft ed è abilitata.
| Proprietà | Tipo | Descrizione |
|---|---|---|
| escludiObiettivo | obiettivo della funzionalità | Singola entità esclusa da questa funzionalità. È possibile escludere un solo gruppo dalla MFA preferita dal sistema; questo può essere un gruppo dinamico o annidato. |
| includiObiettivo | obiettivo della funzionalità | Singola entità inclusa in questa funzionalità. È possibile includere un solo gruppo per l'autenticazione a più fattori preferita dal sistema, che può essere un gruppo dinamico o annidato. |
| Stato | advancedConfigState | I valori possibili sono: abilitato in modo esplicito abilita la funzionalità per il gruppo selezionato. disabilitato disabilita in modo esplicito la funzionalità per il gruppo selezionato. predefinito consente a Microsoft Entra ID di gestire se la funzionalità è abilitata o meno per il gruppo selezionato. |
Proprietà obiettivo della funzionalità
L'autenticazione a più fattori preferita dal sistema può essere abilitata solo per un singolo gruppo; questo può essere un gruppo dinamico o annidato.
| Proprietà | Tipo | Descrizione |
|---|---|---|
| identificativo | Stringa | ID dell'entità interessata. |
| tipo di destinazione | featureTargetType | Tipo di entità interessata, ad esempio gruppo, ruolo o unità amministrativa. I valori possibili sono: 'gruppo', 'unità amministrativa', 'ruolo', 'valoreFuturoSconosciuto'. |
Usare l'endpoint API seguente per abilitare systemCredentialPreferences e includere o escludere gruppi:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Nota
In Graph Explorer è necessario fornire il consenso all'autorizzazione Policy.ReadWrite.AuthenticationMethod.
Richiesta
L'esempio seguente esclude un gruppo di destinazione di esempio e include tutti gli utenti. Per ulteriori informazioni, vedere Aggiorna authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Domande frequenti
In che modo l'autenticazione a più fattori preferita dal sistema determina il metodo più sicuro?
Quando un utente esegue l'accesso, il processo di autenticazione controlla quali metodi di autenticazione sono registrati per l'utente. All'utente viene richiesto di accedere con il metodo più sicuro in base all'ordine seguente. L'ordine dei metodi di autenticazione è dinamico e aggiornato man mano che cambia il panorama della sicurezza e man mano che emergono metodi di autenticazione migliori. Gli utenti possono sempre annullare e scegliere un metodo di accesso disponibile diverso. Se l'organizzazione dispone di criteri di accesso condizionale che richiedono metodi di autenticazione specifici, tali criteri continuano a assumere la priorità rispetto all'ordine di autenticazione a più fattori preferito dal sistema.
Quando la credenziale preferita dal dispositivo è abilitata, il sistema valuta le credenziali disponibili nel dispositivo dell'utente e seleziona il metodo più alto da questo elenco.
| Classificazione | Credential | Categoria | Soddisfa i requisiti per |
|---|---|---|---|
| 1 | Pass di accesso temporaneo (TAP) | Recupero | 1FA + MFA |
| 2 | Passkey1 | Resistente al phishing | 1FA (Autenticazione a Fattore Singolo) + MFA (Autenticazione a Fattori Multipli) |
| 3 | Autenticazione basata su certificati (CBA) | Resistente al phishing | 1FA o 1FA + MFA |
| 4 | Notifiche di Microsoft Authenticator | Senza password | 1FA + MFA |
| 5 | Autenticazione a più fattori esterni (MFA) | - | Autenticazione a più fattori (MFA) |
| 6 | Password monouso basata sul tempo (TOTP)2 | - | Autenticazione a più fattori (MFA) |
| 7 | Telefonia3 | - | Autenticazione a più fattori (MFA) |
| 8 | Codice QR | Lavoratore in prima linea | 1FA |
| 9 | Parola d’ordine | - | 1FA |
1Include chiavi di sicurezza, passkey nell'app Authenticator, passkey sincronizzati, Windows Hello for Business e macOS Platform SSO.
2Include hardware o software TOTP da Microsoft Authenticator, Authenticator Lite o applicazioni di terze parti.
3Include SMS e chiamate vocali.
Importante
L'autenticazione basata su certificati (CBA) era stata precedentemente posizionata per ultima nell'ordine MFA preferito dal sistema a causa di problemi noti relativi a CBA e all'MFA preferito dal sistema. Ora che questi problemi vengono risolti, a partire dal 18 marzo 2026, l'autenticazione basata su certificati passerà alla terza posizione nell'ordine di autenticazione.
In che modo l'MFA preferito dal sistema influisce sull'estensione NPS?
L'MFA preferita dal sistema non influisce sugli utenti che accedono usando l'estensione Server dei criteri di rete (NPS). Questi utenti non visualizzano alcuna modifica all'esperienza di accesso.
Cosa accade agli utenti che non sono specificati nei criteri dei metodi di autenticazione ma abilitati nei criteri legacy a livello di tenant MFA?
L'autenticazione a più fattori preferita dal sistema si applica anche agli utenti abilitati per l'autenticazione a più fattori nei criteri di autenticazione a più fattori legacy.
In che modo le credenziali preferite dal dispositivo differisce dal comportamento di accesso precedente?
La logica MRU precedente selezionava la credenziale più recentemente usata dall'utente a livello di account. Le credenziali preferite dal dispositivo sostituiscono questa logica valutando il contesto di dispositivo e le credenziali disponibili in fase di accesso, quindi selezionando il metodo più sicuro applicabile.
Gli amministratori devono configurare le credenziali per ogni dispositivo?
No. L'ordinamento delle credenziali è definito dal sistema. Gli amministratori non devono configurare la priorità delle credenziali per utente o per dispositivo. Le credenziali preferite dal dispositivo valutano automaticamente le credenziali disponibili e supportate nel dispositivo in fase di accesso.
Gli utenti possono comunque scegliere un metodo di accesso diverso con le credenziali preferite dal dispositivo?
Sì. Le credenziali preferite dal dispositivo richiedono agli utenti le credenziali migliori disponibili, ma gli utenti possono comunque scegliere altri metodi consentiti durante l'accesso. Il sistema non modifica il valore predefinito in base alla scelta dell'utente.