Eseguire la migrazione da controlli personalizzati all'autenticazione a più fattori esterni

L'autenticazione a più fattori esterni (MFA) consente agli utenti di scegliere un provider esterno per soddisfare i requisiti di autenticazione a più fattori quando accedono con un account aziendale o dell'istituto di istruzione. I controlli personalizzati in Accesso condizionale di Microsoft Entra in precedenza fornivano funzionalità simili, ma con la disponibilità generale di MFA esterna (nota in precedenza come metodi di autenticazione esterna), i controlli personalizzati sono deprecati e pianificati per il ritiro. Questa guida illustra i passaggi per eseguire la migrazione dei criteri di accesso condizionale di controllo personalizzato esistenti a MFA esterno.

Importante

I controlli personalizzati sono deprecati. L'aggiunta di nuovi controlli personalizzati e la modifica di controlli personalizzati esistenti non saranno consentiti a partire da settembre 2026. Il ritiro completo è previsto per l'inizio del 2027. Iniziare subito a pianificare la migrazione. Per altre informazioni, vedi l'annuncio della disponibilità generale di External MFA.

Questa guida è rilevante solo se l'organizzazione usa attualmente controlli personalizzati. Se non si usano controlli personalizzati, non è necessaria alcuna azione.

Prerequisiti

Prima di iniziare, assicurati di avere:

  • Licenze Microsoft Entra ID P1 o P2.
  • Ruolo di amministratore dei criteri di autenticazione (o amministratore globale).
  • Amministratore dei ruoli con privilegi per concedere il consenso dell'amministratore per l'applicazione del provider.
  • Metadati del provider MFA esterno:
    • ID applicazione: ID di registrazione dell'app (in genere multi-tenant).
    • IDclient: identifica le richieste di Microsoft Entra al provider.
    • URL di individuazione: endpoint dei metadati OIDC (ad esempio, https://provider.example.com/.well-known/openid-configuration).
  • Gruppo di utenti di test in Microsoft Entra ID per i test.
  • Inventario di tutti i criteri di accesso condizionale esistenti che usano controlli personalizzati.

Perché eseguire la migrazione?

L'autenticazione a più fattori esterna risolve le limitazioni principali dei controlli personalizzati:

Capability Controlli personalizzati MFA esterna
Soddisfa la concessione della CA "Require MFA" ❌ No ✅ Sì (dichiarazione MFA nativa)
Accuratezza del registro degli accessi ❌ MFA non visualizzata ✅ Reportistica MFA completa
Privileged Identity Management (PIM) ❌ Non supportato ✅ Supportato
Accesso condizionale basato sul rischio ❌ Non supportato ✅ Supportato
Registrazione del dispositivo Intune ❌ Non supportato ✅ Supportato

Panoramica della migrazione

Il processo di migrazione generale include i passaggi seguenti:

  1. Controllare i criteri di controllo personalizzati esistenti.
  2. Configurare i criteri del metodo di autenticazione MFA esterno.
  3. Registra gli utenti di test per MFA esterna.
  4. Creare un criterio di accesso condizionale di test che richiede l'autenticazione a più fattori.
  5. Spostare gli utenti di test dai criteri di controllo personalizzati ai criteri di autenticazione a più fattori esterni.
  6. Testare l'accesso alle app protette.
  7. Implementazione completa.

Controllare i criteri di controllo personalizzati esistenti

Prima di apportare modifiche, documentare lo stato corrente. Per identificare i criteri di accesso condizionale usando controlli personalizzati:

  1. Accedi al centro di amministrazione di Microsoft Entra almeno come Amministratore dei Criteri di Autenticazione.
  2. Passare a Protezione>Accesso condizionale>Criteri.
  3. Esaminare ogni criterio e annotare quelli che usano controlli personalizzati tra i controlli Grant.
  4. Per ogni criterio, registrare:
    • Nome e ID dei criteri
    • Utenti/gruppi di destinazione
    • App cloud di destinazione
    • Il provider di controlli personalizzati a cui si fa riferimento
    • Qualsiasi condizione (posizioni, piattaforme del dispositivo e così via)

In alternativa, eseguire il comando di PowerShell Microsoft Graph seguente per identificare tutti i criteri usando controlli personalizzati:

Connect-MgGraph -Scopes "Policy.Read.All"

Get-MgIdentityConditionalAccessPolicy -All | Where-Object {
    $_.GrantControls -and (
        @($_.GrantControls.CustomAuthenticationFactors) |
        Where-Object { $_ -is [string] -and $_.Trim().Length -gt 0 }
    ).Count -gt 0
} | Select-Object Id, DisplayName, State, @{
    N = "CustomAuthFactors"
    E = { ($_.GrantControls.CustomAuthenticationFactors | Where-Object { $_ -is [string] -and $_.Trim().Length -gt 0 }) -join "," }
}

Tip

I tenant di grandi dimensioni possono avere decine o centinaia di criteri di accesso condizionale. Esporta i risultati e monitora lo stato della migrazione per ogni policy per evitare di sottostimare l'impegno di migrazione.

Configurare i criteri del metodo di autenticazione MFA esterno

Questo passaggio registra il provider MFA esterno come metodo di autenticazione riconosciuto in Microsoft Entra ID. È consigliabile configurare il provider MFA esterno nel Interfaccia di amministrazione di Microsoft Entra per una migliore visibilità e una gestione più semplice, ma è anche possibile usare Microsoft API Graph e PowerShell.

  1. Accedi al centro di amministrazione di Microsoft Entra almeno come Amministratore dei Criteri di Autenticazione.
  2. Passare a Protezione>Metodi di autenticazione>Criteri.
  3. Selezionare Add external method (Aggiungi metodo esterno) o Add method External Authentication Method (Aggiungi metodo>di autenticazione esterna).
  4. Compilare i campi obbligatori:
    • Nome visualizzato: Un nome intuitivo per l'utente, ad esempio "Contoso External MFA - Duo". Questo valore non può essere modificato dopo la creazione.
    • ID client: ID client fornito dal fornitore di MFA esterno.
    • IDapp: ID applicazione (registrazione) per l'app del provider in Microsoft Entra ID.
    • Discovery Endpoint: l’URL di individuazione OIDC fornito dal provider.
  5. Quando richiesto, concedere il consenso amministratore per l'applicazione del provider esterno. Se non si acconsente immediatamente, il metodo rimane disabilitato fino a quando non viene concesso il consenso.
  6. In Abilita e destinazione:
    • Impostare lo stato su Abilitato.
    • Inizialmente, impostare come destinazione solo il gruppo di utenti di test (non Tutti gli utenti).
    • Configurare facoltativamente i destinatari da escludere per gli account di emergenza.
  7. Seleziona Salva.

Registrare gli utenti di test per l'autenticazione a più fattori esterna

Dopo aver configurato e assegnato al gruppo di test il criterio di MFA esterna, assicurarsi che gli utenti abbiano registrato il metodo di autenticazione esterna.

Verificare lo stato di registrazione utente

Verificare quali metodi di autenticazione sono registrati per un utente specifico:

Connect-MgGraph -Scopes "UserAuthenticationMethod.Read.All"

$userId = "<user-object-id-or-upn>"
Get-MgUserAuthenticationMethod -UserId $userId |
    Format-Table Id, @{N='Type'; E={$_.'@odata.type'}}

Registrare gli utenti per l'autenticazione a più fattori esterna

Se gli utenti devono essere registrati per il metodo di autenticazione esterno, gli amministratori possono registrarli nel Interfaccia di amministrazione di Microsoft Entra:

  1. Passare a Utenti>Tutti gli utenti.
  2. Selezionare l'utente che deve essere registrato per l'autenticazione a più fattori esterna.
  3. Nel menu Utente selezionare Metodi di autenticazione, quindi selezionare + Aggiungi metodo di autenticazione.
  4. Selezionare Metodo di autenticazione esterno.
  5. Selezionare uno o più metodi MFA esterni e selezionare Salva.

Per altre informazioni sulle opzioni di registrazione in blocco, vedere Manage external MFA in Microsoft Entra ID.

Confermare la registrazione nel gruppo di test

Generare un report di registrazione:

Connect-MgGraph -Scopes "UserAuthenticationMethod.Read.All", "GroupMember.Read.All"

$groupId = "<test-group-object-id>"
$members = Get-MgGroupMember -GroupId $groupId -All

$report = foreach ($member in $members) {
    $methods = Get-MgUserAuthenticationMethod -UserId $member.Id
    $hasExternalMFA = $methods | Where-Object { $_.'@odata.type' -like '*external*' }
    [PSCustomObject]@{
        UserId           = $member.Id
        UPN              = $member.AdditionalProperties.userPrincipalName
        ExternalMFA      = if ($hasExternalMFA) { "Yes" } else { "No" }
        MethodCount      = $methods.Count
    }
}

$report | Format-Table -AutoSize
$report | Export-Csv -Path "ExternalMFA-Registration-Report.csv" -NoTypeInformation

Note

Se l'organizzazione ha abilitato in precedenza l'anteprima pubblica di registrazione MFA esterna, gli utenti registrati durante tale periodo dovrebbero essere già visualizzati come registrati. Verificare il controllo di registrazione prima di eseguire la registrazione in blocco.

Crea un criterio di accesso condizionale di test che richiede l'autenticazione a più fattori

Crea un nuovo criterio di accesso condizionale che usa il controllo di concessione standard Richiedi l'autenticazione a più fattori, che ora può essere soddisfatto dall'MFA esterna, anziché un controllo personalizzato.

Note

A causa della memorizzazione nella cache e della replica, potrebbero essere necessarie fino a poche ore prima che un nuovo criterio venga applicato in fase di autenticazione.

Creare i criteri nella Interfaccia di amministrazione di Microsoft Entra

  1. Accedi al centro di amministrazione di Microsoft Entra almeno come Amministratore dei Criteri di Autenticazione.
  2. Passare a Protezione>Accesso condizionale>Criteri.
  3. Selezionare + Nuovi criteri.
  4. Configurare i criteri:
    • Nome: Test - Require MFA via External Auth Method
    • Assegnazioni:
      • Utenti: selezionare solo il gruppo di utenti di test.
      • Escludi: gli account break-glass/di accesso di emergenza.
    • Risorse di destinazione:
      • App cloud: Seleziona le stesse app a cui si applica il criterio personalizzato di controllo esistente, ad esempio Office 365 o app specifiche per il business.
    • Condizioni (facoltativamente, replicare i criteri di controllo personalizzati esistenti):
      • App client, piattaforme per dispositivi, posizioni e così via.
    • Concedi:
      • Selezionare Concedi accesso.
      • Selezionare Richiedi autenticazione a più fattori.
      • Seleziona Seleziona.
  5. Impostare inizialmente il criterio in modalità Solo report.
  6. Fare clic su Crea.

Importante

Non usare Richiedi il livello di sicurezza dell'autenticazione per MFA esterna. Usa l'autorizzazione standard Richiedi l'autenticazione a più fattori. L'autenticazione a più fattori esterna non è ancora compatibile con i criteri di attendibilità dell'autenticazione.

Verificare il comportamento in sola segnalazione

  1. Chiedere a un utente di test di accedere a una delle app di destinazione.
  2. Passare a Protezione>Registri di accesso.
  3. Trovare l'accesso dell'utente di test e controllare la scheda Accesso condizionale :
    • Verificare che il nuovo criterio venga visualizzato come Solo report: Non applicato o Solo report: Operazione riuscita.
    • Verificare che il metodo MFA sia elencato come metodo di autenticazione esterno.

Abilitare i criteri

Una volta soddisfatti dei risultati in modalità solo report:

  1. Modifica il criterio.
  2. Passare da Report-only a On.
  3. Salva.

Spostare gli utenti di test dai criteri di controllo personalizzati ai criteri di autenticazione a più fattori esterni

Per evitare che gli utenti siano soggetti contemporaneamente ai criteri di controllo personalizzati precedenti e ai nuovi criteri di autenticazione a più fattori esterni, escludere gli utenti di test dai criteri di controllo personalizzati precedenti.

Escludere gli utenti di test dai criteri di controllo personalizzati

  1. Aprire i criteri di accesso condizionale di controllo personalizzati esistenti.
  2. In Utenti>escludi aggiungere il gruppo di utenti di test.
  3. Salva la politica.

Verificare l'assegnazione dei criteri con What If

  1. Passare a Protezione>Accesso condizionale>What If.
  2. Selezionare un utente di test.
  3. Selezionare un'app di destinazione.
  4. Selezionare What If.
  5. Conferma:
    • I criteri di controllo personalizzati precedenti non si applicano all'utente di test.
    • Il nuovo criterio MFA SI applica.

Testare l'accesso alle app protette

Per verificare che l'accesso alle app protette funzioni come previsto, chiedere agli utenti di test di accedere e quindi verificare che sia stata richiesta l'autenticazione a più fattori dal provider esterno, non il controllo personalizzato precedente e che i log di accesso riflettano correttamente i nuovi criteri e il metodo di autenticazione.

Eseguire accessi di test

Chiedere a ogni utente di test (o a un campione rappresentativo) di seguire questa procedura:

  1. Accedi a un'app specifica, ad esempio Office 365, al portale di Azure o all'app aziendale.
  2. Verificare:
    • All'utente viene richiesta l'autenticazione dal provider MFA esterno (non dai controlli personalizzati).
    • Dopo aver completato l'autenticazione a più fattori, l'utente ottiene l'accesso all'app.
    • L'esperienza è facile e corrisponde alle aspettative.
  3. Prova i casi limite:
    • Accedere da un nuovo dispositivo/browser.
    • Accedere da un dispositivo non conforme (se esistono criteri di conformità del dispositivo).
    • Accedere da una posizione bloccata (se esistono condizioni basate sulla posizione).
    • Tentare di effettuare l'accesso con una sessione MFA scaduta o revocata.

Convalidare i log di accesso

  1. Passare a Protezione>Log di accesso.
  2. Filtra per utenti di test.
  3. Per ogni accesso, confermare:
    • Risultato MFA: Operazione riuscita
    • Metodo di autenticazione: nome del metodo di autenticazione esterno
    • Accesso condizionale: il nuovo criterio ha valutato e concesso l'accesso
    • Requisito MFA soddisfatto da: Metodo di autenticazione esterno (non controllo personalizzato)

Convalidare le integrazioni downstream

Se applicabile, verificare che questi scenari funzionino correttamente con l'autenticazione a più fattori esterna:

  • Reimpostazione self-service della password (SSPR): l'utente può reimpostare la password tramite MFA esterna.
  • Attivazione del ruolo PIM: l'utente può attivare i ruoli con privilegi con MFA esterno.
  • Criteri basati sul rischio: i criteri relativi al rischio di accesso e al rischio utente interagiscono correttamente con l'autenticazione a più fattori esterna.
  • Registrazione dei dispositivi di Intune: la registrazione del dispositivo viene completata con l'autenticazione a più fattori esterna.

Implementazione completa

Dopo aver completato il test, espandere la migrazione a tutti gli utenti.

Piano di implementazione in più fasi

Fase Ambito Azioni
Fase 1 Gruppo di test (5-10 utenti) Passaggi da 1 a 6 sopra
Fase 2 IT/primi adottanti (50–100 utenti) Espandi la destinazione dell'autenticazione a più fattori (MFA) esterna e l'ambito dei criteri di Accesso Condizionale
Fase 3 Dipartimento per dipartimento Spostare gradualmente i gruppi dal controllo personalizzato ai criteri MFA
Fase 4 Tutti gli utenti Migrazione completa, rimozione dei criteri di controllo personalizzati

Espandi l'ambito di destinazione dell'MFA esterna

Aggiornare i criteri del metodo di autenticazione MFA esterno per includere gruppi più ampi:

Connect-MgGraph -Scopes "Policy.ReadWrite.AuthenticationMethod"

$configId = "<external-mfa-configuration-id>"
$params = @{
    "@odata.type"  = "#microsoft.graph.externalAuthenticationMethodConfiguration"
    includeTargets = @(
        @{
            "@odata.type" = "microsoft.graph.authenticationMethodTarget"
            id            = "all_users"
            targetType    = "group"
        }
    )
}

Update-MgPolicyAuthenticationMethodPolicyAuthenticationMethodConfiguration `
    -AuthenticationMethodConfigurationId $configId `
    -BodyParameter $params

Aggiornare i criteri di accesso condizionale MFA

Espandere il nuovo criterio di accesso condizionale per specificare come destinazione tutti gli utenti (sostituendo il gruppo di test).

Rimuovere riferimenti ai controlli personalizzati

Dopo la migrazione di tutti gli utenti:

  1. Disabilita il criterio di Accesso Condizionale del vecchio controllo personalizzato.
  2. Monitorare i log di accesso per 1-2 settimane per confermare la mancata regressione.
  3. Eliminare i criteri di controllo personalizzati precedenti.
  4. Rimuovere la definizione del controllo personalizzato dal tenant.

Avvertimento

Non eliminare configurazioni di controllo personalizzate fino a quando non si conferma che il nuovo criterio MFA esterno sia stabile. Mantenere disabilitato il criterio precedente (non eliminato) per almeno due settimane come opzione di rollback.

Troubleshooting

Issue Possibile causa Resolution
Metodo MFA esterno non visualizzato per gli utenti Metodo non abilitato o l'utente non è incluso in includeTargets Verificare l'assegnazione dei criteri MFA esterni in Metodi di autenticazione
Errore di consenso dell'amministratore Privilegi insufficienti Usare un amministratore globale o un amministratore del ruolo con privilegi per concedere il consenso
Autenticazione a più fattori non riconosciuta nei log di accesso Configurazione errata dei criteri Assicurarsi che venga usato il controllo di concessione Require MFA (non il livello di affidabilità dell'autenticazione)
Utente non sottoposto all'autenticazione a più fattori Criterio CA non applicabile Usare lo strumento What If per eseguire il debug della valutazione dei criteri
Errori del provider esterno Incongruenza della configurazione OIDC Verificare l'URL di individuazione, l'ID client e l'ID app con il fornitore
Utenti che visualizzano entrambi i messaggi Utente non escluso dai criteri precedenti Verificare i gruppi di esclusione nei criteri di controllo personalizzati

Contenuti correlati

  • Last updated on