Hai perso lo smartphone con Microsoft Authenticator? In questa guida trovi procedure chiare e sicure per recuperare l’accesso a un account scolastico Microsoft 365 (tenant Education) e per gestire più account aziendali senza coinvolgere ogni reparto IT, con check‑list, FAQ, tabelle e script utili.

Contesto e obiettivo

Quando lo smartphone che ospita l’app Microsoft Authenticator si rompe o viene smarrito, l’utente non può più completare la verifica a due fattori (MFA) e rimane bloccato fuori dal proprio account. Negli ambienti Education, le policy di sicurezza sono quasi sempre centralizzate; negli ambienti business multi‑tenant, ogni organizzazione gestisce in autonomia i metodi di autenticazione. Questo articolo spiega come sbloccare l’accesso in entrambi gli scenari e come prevenire futuri blocchi.

Scenario scuola/università: smartphone non disponibile e impossibile completare l’MFA

Problema: l’utente tenta di accedere al portale di Microsoft 365 ma, al momento della verifica MFA, non può approvare la notifica o inserire il codice TOTP perché l’app Authenticator era solo sul telefono rotto.

Perché succede

• L’app Authenticator era l’unico metodo registrato per l’MFA.
• Il tenant richiede per policy “app di autenticazione” e non ammette SMS o altri metodi di riserva.
• Non erano stati attivati il backup cloud dell’app o la registrazione su più dispositivi.

Soluzione efficace per ambienti Education

In un tenant Education le azioni devono essere svolte dall’IT della scuola/università, perché solo un amministratore con i permessi adeguati può reimpostare i metodi MFA o autorizzare un percorso di recupero.

Ruoli amministrativi tipici

Ruolo	Operazioni consentite (in genere)
Authentication Administrator	Visualizzare, aggiungere o rimuovere metodi di autenticazione degli utenti; richiedere la nuova registrazione MFA.
Privileged Authentication Administrator	Tutte le azioni dell’Authentication Administrator anche su utenti privilegiati.
User Administrator / Helpdesk Administrator	In molte organizzazioni può avviare il reset dei metodi MFA per utenti non privilegiati (dipende dalla configurazione delle deleghe).

Percorso operativo consigliato per l’IT

1. Verifica dell’identità dell’utente (ticket ufficiale, documenti, matricola, domande concordate). Questo passaggio è obbligatorio per evitare reset fraudolenti.
2. Azione sul portale Microsoft Entra ID (ex Azure AD):
   • Aprire il centro di amministrazione, andare su Utenti → selezionare l’utente → Metodi di autenticazione.
   • Richiedere la nuova registrazione MFA (Require re-register): al prossimo accesso l’utente sarà guidato a configurare di nuovo l’MFA.
   • In alternativa o in aggiunta, rimuovere i metodi obsoleti (ad es. il dispositivo Authenticator non più disponibile).
3. Opzione d’emergenza moderna: Temporary Access Pass (TAP)
   • Abilitare la funzionalità TAP a livello di tenant (se non già attiva) e emettere un TAP per l’utente dalla scheda Metodi di autenticazione dell’utente.
   • Impostare durata, numero di utilizzi e finestra di validità; condividere il codice con l’utente tramite canali sicuri.
   • L’utente potrà usare il TAP per accedere senza il vecchio MFA e registrare i nuovi metodi in autonomia.
4. Revoca delle sessioni ricordate (se necessario): invalidare le sessioni “remember MFA” e i refresh token per forzare una nuova verifica su tutti i dispositivi.

Procedura per l’utente dopo il reset

1. Effettuare l’accesso al portale di Microsoft 365 o a un’app aziendale qualsiasi. Dopo l’azione amministrativa, verrà richiesto di riconfigurare la sicurezza.
2. Installare Microsoft Authenticator sul nuovo smartphone e completare la procedura guidata per aggiungere l’account scolastico (notifiche push con convalida a numero).
3. Registrare almeno un metodo di backup (SMS, chiamata, FIDO2/passkey, e—se permesso—un secondo telefono con Authenticator).
4. Verificare il buon esito: fare un secondo sign‑in o simulare l’approvazione da un’app Microsoft (ad es. Outlook o Teams) per accertare che non ci siano “loop” di verifica.

Modello di comunicazione verso il supporto IT

Oggetto: Richiesta reset MFA per account scolastico
Buongiorno,
ho perso/rotto lo smartphone con Microsoft Authenticator e non riesco ad accedere.
Dati:
- Nome e cognome:
- Matricola/ID studente:
- UPN (es. nome.cognome@scuola.it):
- Corso/struttura di appartenenza:
Chiedo il reset dei metodi MFA o l'emissione di un Temporary Access Pass.
Grazie.

Tabella decisionale rapida (ambiente Education)

Situazione	Azione immediata	Outcome atteso
Unico metodo = Authenticator su telefono rotto	Aprire ticket IT; admin richiede re‑registrazione MFA o emette TAP	Prompt di nuova configurazione al prossimo accesso
Metodi alternativi già presenti (es. SMS)	Usare metodo alternativo per accedere; rimuovere dispositivo vecchio; aggiungere nuovo Authenticator	Recupero in self‑service senza ticket
Account privilegiato (docenti/IT)	Reset gestito da ruolo elevato (Privileged Authentication Administrator)	Allineamento a policy più restrittive

Scenario consulenti e multi‑tenant: spostare Authenticator senza coinvolgere ogni IT

Problema: un professionista aveva sul telefono distrutto più identità “azienda A”, “azienda B”, “cliente X”. Vorrebbe migrare tutto sul nuovo device senza contattare ciascun reparto IT.

Cosa si può fare in autonomia

1. Accedere alla pagina delle informazioni di sicurezza del singolo account. Se in passato sono stati registrati metodi alternativi (SMS, e‑mail, chiave FIDO2, telefono), l’utente può:
   • rimuovere il dispositivo Authenticator non più disponibile,
   • aggiungere il nuovo dispositivo con l’app,
   • impostare un secondo metodo di riserva.
2. Se non esistono metodi alternativi: non sarà possibile superare la richiesta MFA. In tal caso è necessario chiedere all’amministratore del tenant il reset dei metodi o l’emissione di un TAP.
3. Gestione multi‑tenant: ogni organizzazione governa la propria directory (Microsoft Entra ID). Se gli account appartengono a tenant diversi, ogni IT dovrà intervenire separatamente; l’unica eccezione è se tutte le identità sono nello stesso tenant.

Schema di decisione per i consulenti

• Ho un metodo alternativo registrato per l’account X? Sì → recupero self‑service. No → contatto l’IT del tenant X.
• Il tenant consente più metodi? In caso affermativo, aggiungere subito Authenticator + un secondo metodo robusto (FIDO2 o passkey) e, se possibile, registrare un secondo smartphone.
• Uso app di terze parti con TOTP? Se i token sono stati esportati o salvati, importarli; altrimenti richiedere la rigenerazione presso il servizio di riferimento.

Prevenzione: come evitare il blocco la prossima volta

Attivare più metodi MFA

Metodo	Punti di forza	Limiti	Consigli
Microsoft Authenticator (push + numero)	Rapido, resistente al phishing (number matching)	Dipende dal dispositivo	Registrare almeno due device se la policy lo consente
Codici TOTP nell’app	Funziona offline	Richiede sincronizzazione oraria e backup	Abilitare il backup cloud dell’app
SMS/Chiamata	Universale	Rischio SIM‑swap, copertura variabile	Usare come metodo di riserva, non primario
Chiave di sicurezza FIDO2 / Passkey	Molto sicura, senza password	Serve un dispositivo fisico o compatibile	Registrare almeno due chiavi o una chiave + passkey

Usare il backup cloud di Microsoft Authenticator

• iOS: attivare il backup su iCloud dall’app (Impostazioni → Backup/Recupero), assicurandosi che il servizio iCloud sia abilitato.
• Android: attivare il backup cloud dall’app; richiede un account Microsoft per associare il salvataggio.
• In fase di recupero sul nuovo telefono, scegliere “Ripristina dal backup” e seguire le verifiche proposte dall’organizzazione.

Registrare più dispositivi

È possibile avere Microsoft Authenticator su più smartphone contemporaneamente (se la policy del tenant lo consente). Aggiungere un secondo dispositivo di scorta riduce drasticamente il rischio di blocco.

Conservare codici o canali di emergenza

• Alcune piattaforme offrono codici di recupero monouso: stampali e archiviali in luogo sicuro.
• Verifica periodicamente che il numero di telefono registrato sia aggiornato e raggiungibile.

Integrare SSPR e registrazione combinata

La registrazione combinata MFA/SSPR aiuta gli utenti a impostare fin da subito molteplici metodi. Per gli amministratori, attivare la registrazione combinata e comunicare istruzioni chiare riduce ticket e tempi di fermo.

Guida per l’IT: script e azioni tecniche

Rimozione dei metodi con Microsoft Graph PowerShell

Esempio (eseguire in una sessione privilegiata e solo dopo aver verificato l’identità dell’utente):

# Accedi a Microsoft Graph con le deleghe necessarie
Connect-MgGraph -Scopes "User.ReadWrite.All","UserAuthenticationMethod.ReadWrite.All"

Identificatore dell'utente

\$user = "[nome.cognome@istituto.edu](mailto:nome.cognome@istituto.edu)"

Elenca i metodi registrati

Get-MgUserAuthenticationMethod -UserId \$user

Rimuovi un metodo specifico (sostituisci con l'ID reale del metodo)

Remove-MgUserAuthenticationMethod -UserId \$user -AuthenticationMethodId "ID-metodo"

In alternativa, crea un Temporary Access Pass per l'utente

\$params = @{
IsUsableOnce = \$true
LifetimeInMinutes = 60
StartDateTime = (Get-Date)
}
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId \$user -BodyParameter \$params 

Nota: i nomi dei cmdlet possono variare nel tempo; mantenere aggiornato il modulo Microsoft Graph.

Confronto tra portali e voci di menu

Interfaccia	Percorso tipico	Azione
Microsoft Entra ID (moderna)	Utenti → Seleziona utente → Metodi di autenticazione	Richiedi nuova registrazione MFA, aggiungi/rimuovi metodi, emetti TAP
Portali legacy	Gestione MFA utente (interfacce precedenti)	Azioni simili ma con terminologia diversa; preferire il portale moderno

Risoluzione dei problemi più comuni

Loop infinito di verifica MFA

Sintomi: dopo il reset l’utente vede ancora richieste ripetute di approvazione, senza successo.

• Revocare i token e le sessioni ricordate, quindi far accedere l’utente in una finestra in incognito.
• Controllare che i metodi attivi non siano in conflitto (es. passwordless su un dispositivo non più in uso).
• Verificare che l’app Authenticator abbia notifiche e rete abilitate.

Codici TOTP non accettati

• Assicurarsi che data/ora del telefono siano sincronizzate automaticamente.
• Rigenerare la registrazione TOTP: a volte una vecchia associazione è ancora attiva e va rimossa dal portale dei metodi.

Notifica push che non arriva

• Verificare permessi di notifica dell’app e il risparmio energetico che potrebbe bloccarla.
• Testare via rete Wi‑Fi e dati mobili; alcuni firewall aziendali limitano i servizi push.

Numero di telefono non più valido

Se l’SMS era l’unico metodo alternativo e il numero è cambiato, occorre il reset da parte dell’amministratore e l’impostazione di un nuovo numero durante la registrazione.

Checklist essenziale

Per l’utente

• Installare Authenticator sul nuovo telefono e preparare un secondo metodo MFA.
• In caso di blocco: contattare l’IT con UPN, matricola e documento identificativo.
• Dopo il ripristino: aggiungere un secondo dispositivo o una chiave FIDO2.
• Attivare e testare il backup cloud dell’app.

Per l’amministratore

• Verificare l’identità, documentare il ticket.
• Richiedere re‑registrazione MFA e/o rimuovere metodi obsoleti.
• Valutare l’uso del Temporary Access Pass per un recupero controllato.
• Forzare il logout globale se necessario; comunicare istruzioni di registrazione combinate MFA/SSPR.

Domande frequenti

Posso spostare l’Authenticator sul nuovo telefono senza toccare il tenant?
Solo se esiste già un metodo alternativo che ti consente di accedere alla pagina dei metodi di sicurezza e aggiungere il nuovo dispositivo; in caso contrario serve l’amministratore.

Posso avere l’Authenticator su due smartphone?
Sì, se la policy lo consente. È una buona pratica.

Gli SMS sono sicuri?
Sono un metodo di riserva utile ma meno robusto di app/chiavi; non usarli come unico fattore.

Cos’è il number matching?
Durante l’approvazione push l’app mostra un numero che deve essere inserito, riducendo il rischio di approvazioni involontarie o phishing.

Il backup dell’Authenticator ripristina tutto?
Accelera il recupero, ma alcune organizzazioni possono richiedere una nuova verifica al primo utilizzo.

Sintesi operativa

• Nodo critico: se l’unico metodo MFA è l’app su un dispositivo non disponibile, l’accesso rimane bloccato.
• Soluzione strutturale: un amministratore del tenant deve reimpostare o consentire un Temporary Access Pass; in assenza di IT, il recupero è possibile solo se esistono metodi alternativi già registrati.
• Buone pratiche: usare più fattori, abilitare il backup dell’app, conservare canali di emergenza, registrare Authenticator su più dispositivi e valutare chiavi FIDO2/passkey.

Appendice: terminologia aggiornata

• Microsoft Entra ID è il nuovo nome di Azure Active Directory.
• Temporary Access Pass è un codice temporaneo che consente di accedere e registrare nuovi metodi quando l’MFA originale non è disponibile.
• SSPR (Self‑Service Password Reset) consente agli utenti di reimpostare la password in autonomia, spesso insieme alla registrazione MFA.

Appendice: tabella causa/soluzione

Sintomo	Causa probabile	Rimedio
Richieste MFA ripetute senza successo	Metodo obsoleto ancora registrato	Rimuovere il vecchio metodo; richiedere re‑registrazione
Codici TOTP rifiutati	Ora di sistema non allineata	Impostare data/ora automatiche, ripetere la scansione del QR
Push non arriva	Notifiche disattivate o rete filtrata	Abilitare notifiche; usare SMS/chiave come fallback; verificare firewall
Account guest in più tenant	Ogni directory applica policy proprie	Recupero autonomo se esistono metodi alternativi; altrimenti contattare ogni IT

Conclusione

Recuperare l’accesso a un account protetto da Microsoft Authenticator è rapido se si seguono procedure corrette: negli ambienti Education è indispensabile il coinvolgimento dell’amministratore; nei contesti multi‑tenant il recupero self‑service è possibile solo se erano già presenti metodi alternativi. La vera differenza la fanno la preparazione (backup, più metodi, più dispositivi) e la disciplina operativa (policy chiare, ruoli corretti, TAP quando serve). Investire in queste misure impedisce che un telefono rotto si trasformi in giorni di inattività.

---

Appendice operativa dettagliata per l’IT dell’Education

1. Identificazione: raccogli dati utente e verifica documentale.
2. Valutazione del rischio: account privilegiato? Attivare percorso con doppio controllo.
3. Azione tecnica:
   • Richiedi re‑registrazione MFA dall’utente nel portale.
   • Rimuovi i metodi legati al dispositivo perso.
   • Considera l’uso del TAP per semplificare il bootstrap sicuro.
   • Comunica istruzioni passo‑passo per la nuova registrazione.
4. Chiusura: verifica dell’accesso riuscito, nota di ticket e promemoria sulle buone pratiche.

Appendice: modello di istruzioni per studenti

1. Installa Microsoft Authenticator sul nuovo telefono.
2. Accedi al portale Microsoft 365; quando richiesto, scegli “Configura l’app di autenticazione”.
3. Consenti le notifiche all’app.
4. Aggiungi un secondo metodo (SMS o chiave FIDO2) e salva le istruzioni per il recupero.

Suggerimento finale: attiva il number matching e la visualizzazione del contesto di accesso (app/sede) dove previsto; riduce le approvazioni errate.