Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'autenticazione preferita dal sistema richiede agli utenti di accedere usando il metodo più sicuro registrato. È un importante miglioramento della sicurezza per gli utenti che eseguono l'autenticazione usando metodi basati sul telefono. Gli amministratori possono abilitare l'autenticazione preferita dal sistema per migliorare la sicurezza dell'accesso e scoraggiare metodi di accesso meno sicuri, ad esempio Short Message Service (SMS).
Ad esempio, se un utente ha registrato sia le notifiche push SMS che Microsoft Authenticator come metodi per MFA, l'autenticazione preferita dal sistema richiede all'utente di accedere usando il metodo di notifica push più sicuro. L'utente può comunque scegliere di accedere usando un altro metodo, ma prima gli/le viene richiesto di provare il metodo più sicuro registrato.
L'autenticazione preferita dal sistema è un'impostazione gestita da Microsoft, che è un criterio a tre stati:
- Abilitato : applica l'autenticazione preferita dal sistema solo al secondo fattore (MFA).
- Gestito da Microsoft : durante l'anteprima, un interruttore applica sia all'autenticazione primaria che a più fattori (anteprima) controlla se la funzionalità si applica anche all'autenticazione primaria. Quando l'interruttore è disattivato (impostazione predefinita), l'autenticazione preferita dal sistema si applica solo al secondo fattore. Quando l'interruttore è attivato, si applica sia al primo che al secondo fattore.
- Disabilitato : disattiva l'autenticazione preferita dal sistema.
Se non si vuole abilitare l'autenticazione preferita dal sistema, impostare lo stato su Disabilitato o escludere utenti e gruppi dai criteri.
Dopo l'abilitazione dell'autenticazione preferita dal sistema, il sistema di autenticazione esegue tutte le operazioni. Gli utenti non devono impostare alcun metodo di autenticazione come predefinito poiché il sistema determina e presenta sempre il metodo più sicuro registrato.
Limitazioni note
- Quando si modificano i criteri per un gruppo di destinazione, la modifica potrebbe non avere effetto sull'accesso successivo dell'utente. Si applica a tutti gli accessi successivi.
- I criteri di accesso condizionale vengono convalidati solo per l'autenticazione a più fattori e non si applicano all'autenticazione a primo fattore.
Abilitare l'autenticazione preferita dal sistema nell'interfaccia di amministrazione di Microsoft Entra
Per abilitare l'autenticazione preferita dal sistema, seguire questa procedura:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
Eseguire la navigazione verso Microsoft Entra ID>Metodi di autenticazione>Impostazioni.
Per l'autenticazione preferita dal sistema, scegliere uno stato (gestito da Microsoft o Abilitato) in base al fatto che si voglia applicare l'autenticazione preferita dal sistema a entrambi i fattori o solo al secondo fattore. È anche possibile includere o escludere utenti o gruppi. I gruppi esclusi hanno la precedenza sui gruppi inclusi.
Quando si imposta lo stato su Microsoft gestito, viene visualizzata un'opzione per applicare all'autenticazione primaria e a più fattori (anteprima). Attivare l'interruttore per applicare l'autenticazione preferita dal sistema all'autenticazione primaria e secondaria. Quando l'interruttore è disattivato (impostazione predefinita), l'autenticazione preferita dal sistema si applica solo al secondo fattore.
Ad esempio, lo screenshot seguente mostra come abilitare l'autenticazione preferita dal sistema solo per il gruppo Engineering.
Dopo aver apportato le modifiche, selezionare Salva.
Abilitare l'autenticazione preferita dal sistema usando le API Graph
Per abilitare in anticipo l'autenticazione preferita dal sistema, è necessario scegliere un singolo gruppo di destinazione per la configurazione dello schema, come illustrato nell'esempio Richiesta .
Proprietà di configurazione delle funzionalità del metodo di autenticazione
Per impostazione predefinita, l'autenticazione preferita dal sistema è gestita da Microsoft.
| Proprietà | Tipo | Descrizione |
|---|---|---|
| escludiObiettivo | obiettivo della funzionalità | Singola entità esclusa da questa funzionalità. È possibile escludere un solo gruppo dall'autenticazione preferita dal sistema, che può essere un gruppo dinamico o annidato. |
| includiObiettivo | obiettivo della funzionalità | Singola entità inclusa in questa funzionalità. È possibile includere un solo gruppo per l'autenticazione preferita dal sistema, che può essere un gruppo dinamico o annidato. |
| Stato | advancedConfigState | I valori possibili sono: abilitato in modo esplicito abilita la funzionalità per il gruppo selezionato. Si applica solo al secondo fattore (MFA). disabilitato disabilita in modo esplicito la funzionalità per il gruppo selezionato. predefinito consente a Microsoft Entra ID di gestire se la funzionalità è abilitata o meno per il gruppo selezionato. |
Proprietà obiettivo della funzionalità
L'autenticazione preferita dal sistema può essere abilitata solo per un singolo gruppo, che può essere un gruppo dinamico o annidato.
| Proprietà | Tipo | Descrizione |
|---|---|---|
| identificativo | Stringa | ID dell'entità interessata. |
| tipo di destinazione | featureTargetType | Tipo di entità interessata, ad esempio gruppo, ruolo o unità amministrativa. I valori possibili sono: 'gruppo', 'unità amministrativa', 'ruolo', 'valoreFuturoSconosciuto'. |
Usare l'endpoint API seguente per abilitare systemCredentialPreferences e includere o escludere gruppi:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Nota
In Graph Explorer è necessario fornire il consenso all'autorizzazione Policy.ReadWrite.AuthenticationMethod.
Richiesta
L'esempio seguente esclude un gruppo di destinazione di esempio e include tutti gli utenti. Per ulteriori informazioni, vedere Aggiorna authenticationMethodsPolicy.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Domande frequenti
In che modo l'autenticazione preferita dal sistema determina il metodo più sicuro?
Quando un utente esegue l'accesso, il processo di autenticazione controlla quali metodi di autenticazione sono registrati per l'utente. All'utente viene richiesto di accedere con il metodo più sicuro in base all'ordine seguente. L'ordine dei metodi di autenticazione è dinamico e aggiornato man mano che cambia il panorama della sicurezza e man mano che emergono metodi di autenticazione migliori. Gli utenti possono sempre annullare e scegliere un metodo di accesso disponibile diverso. Se l'organizzazione dispone di criteri di accesso condizionale che richiedono metodi di autenticazione specifici, tali criteri continuano a assumere la priorità rispetto all'ordine di autenticazione preferito dal sistema.
| Classificazione | Credential | Categoria | Soddisfa i requisiti per |
|---|---|---|---|
| 1 | Pass di accesso temporaneo (TAP) | Recupero | 1FA + MFA |
| 2 | Passkey1 | Resistente al phishing | 1FA + MFA |
| 3 | Autenticazione basata su certificati (CBA) | Resistente al phishing | 1FA o 1FA + MFA |
| 4 | Notifiche di Microsoft Authenticator | Senza password | 1FA + MFA |
| 5 | Autenticazione a più fattori esterni (MFA) | - | Autenticazione a più fattori (MFA) |
| 6 | Password monouso basata sul tempo (TOTP)2 | - | Autenticazione a più fattori (MFA) |
| 7 | Telefonia3 | - | Autenticazione a più fattori (MFA) |
| 8 | Codice QR | Lavoratore in prima linea | 1FA |
| 9 | Parola d’ordine | - | 1FA |
1Include chiavi di sicurezza, passkey nell'app Authenticator, passkey sincronizzati, Windows Hello for Business e macOS Platform SSO.
2Include hardware o software TOTP da Microsoft Authenticator, Authenticator Lite o applicazioni di terze parti.
3Include SMS e chiamate vocali.
Importante
L'autenticazione basata su certificati (CBA) è stata precedentemente posizionata per ultima nell'ordine di autenticazione preferito dal sistema a causa di problemi noti con la CBA e l'autenticazione preferita dal sistema. Ora che questi problemi vengono risolti, a partire dal 18 marzo 2026, l'autenticazione basata su certificati è stata spostata nella terza posizione nell'ordine di autenticazione.
In che modo l'autenticazione preferita dal sistema influisce sull'estensione NPS?
L'autenticazione preferita dal sistema non influisce sugli utenti che accedono usando l'estensione Server dei criteri di rete (NPS). Questi utenti non visualizzano alcuna modifica all'esperienza di accesso.
Cosa accade agli utenti che non sono specificati nei criteri dei metodi di autenticazione ma abilitati nei criteri legacy a livello di tenant MFA?
L'autenticazione preferita dal sistema si applica anche agli utenti abilitati per l'autenticazione a più fattori nei criteri di autenticazione a più fattori legacy.
Gli utenti possono comunque scegliere un metodo di accesso diverso?
Sì. L'autenticazione preferita dal sistema richiede agli utenti le credenziali registrate più sicure, ma gli utenti possono comunque scegliere altri metodi consentiti durante l'accesso.