Autenticazione senza password con Microsoft Intune

L'autenticazione senza password riduce il phishing e il furto di credenziali sostituendo le password con metodi di accesso più efficaci, ad esempio Windows Hello, chiavi di sicurezza FIDO2, passkey, certificati, accesso al telefono di Microsoft Authenticator e pass di accesso temporaneo.

Microsoft Intune non rilascia credenziali senza password. Prepara invece dispositivi, app ed esperienze utente in modo che questi metodi senza password funzionino in modo affidabile su larga scala. Microsoft Entra ID è l'autorità di identità che verifica le credenziali e applica i criteri di autenticazione e accesso condizionale, mentre Microsoft Intune configura le impostazioni del dispositivo, impone la conformità e abilita le funzionalità della piattaforma da cui dipendono tali metodi. Insieme, Microsoft Entra ID e Microsoft Intune forniscono la base di identità e la preparazione dei dispositivi necessari per adottare l'autenticazione senza password tra piattaforme e fattori di forma diversi.

L'esperienza senza password varia in base alla piattaforma. In Windows, in genere si estende sia all'accesso al dispositivo che all'accesso alle app tramite l'accesso SSO. In macOS è incentrato sull'autenticazione della piattaforma e sull'accesso SSO nelle app, anziché sull'identità associata a un dispositivo profondo. In iOS/iPadOS e Android, è più spesso incentrato sull'accesso alle app, sull'autenticazione negoziata e sul comportamento passkey rispetto all'accesso al dispositivo. Tenere presenti queste distinzioni quando si valutano i requisiti della piattaforma e si pianifica la distribuzione.

Questo articolo illustra come Microsoft Intune supporta una strategia senza password dal punto di vista di un amministratore. Per informazioni dettagliate sulla distribuzione, seguire i collegamenti di implementazione per ogni metodo senza password.

Funzionamento della soluzione senza password di Microsoft

Le coppie di soluzioni senza password di Microsoft Microsoft Entra ID per l'identità e l'accesso Single Sign-On (SSO) con Microsoft Intune per la configurazione del dispositivo e l'imposizione dei criteri. Questa combinazione consente agli utenti di eseguire l'autenticazione usando credenziali complesse, ad esempio dati biometrici, chiavi di sicurezza FIDO2 o passkey, senza immettere password.

Microsoft Entra ID è il provider di identità di base. Verifica le credenziali senza password, ad esempio pin Windows Hello, chiavi FIDO2 e passkey. Dopo aver eseguito correttamente l'autenticazione, Microsoft Entra ID rilascia un token di aggiornamento primario (PRT) o equivalente, abilitando l'accesso Single Sign-On facile a Microsoft 365, Azure e altre risorse protette. I criteri di accesso condizionale valutano lo stato del dispositivo, il livello di autenticazione e i segnali di rischio prima di concedere l'accesso.

Microsoft Intune prepara i dispositivi per l'accesso senza password configurando le impostazioni, applicando la conformità, distribuendo le app necessarie e supportando le esperienze della piattaforma che rendono pratiche su larga scala senza password. Microsoft Intune offre agli amministratori un piano di gestione per Windows, macOS, iOS/iPadOS e Android.

Le funzionalità della piattaforma in Windows, macOS, iOS e Android offrono l'esperienza associata al dispositivo, tra cui la biometria, l'hardware sicuro (TPM in Windows, Secure Enclave in macOS), il supporto passkey e l'accesso Single Sign-On negoziato.

Questa separazione è importante. Microsoft Entra ID è l'autorità di identità. Microsoft Intune è il livello di gestione che consente agli utenti di adottare e usare correttamente tali metodi.

Resistenza senza password, MFA e phishing

L'autenticazione senza password non elimina i fattori di sicurezza. La maggior parte dei metodi senza password soddisfa effettivamente i requisiti di autenticazione a più fattori (MFA). Ad esempio, Windows Hello usa credenziali associate al dispositivo (possesso) abbinate a un gesto biometrico (inerenza) o un PIN (conoscenza), soddisfacendo l'autenticazione a più fattori in base alla progettazione. Di conseguenza, i criteri di sicurezza dell'autenticazione con accesso condizionale classificano molti metodi senza password come conformi a MFA o anche come MFA resistenti al phishing.

Non tutte le opzioni senza password offrono lo stesso livello di protezione. Comprendere la differenza tra i metodi resistenti al phishing e i metodi non resistenti al phishing consente di selezionare i punti di forza dell'autenticazione corretti e di progettare una strategia di identità sicura.

  • I metodi resistenti al phishing usano chiavi crittografiche asimmetriche associate all'hardware che non possono essere intercettate o riprodotte, anche se un utente interagisce con una richiesta dannosa o contraffatta.
  • I metodi non resistenti al phishing usano flussi senza password, ma possono comunque essere compromessi tramite ingegneria sociale, manipolazione rapida o fatica MFA.

Ogni metodo descritto più avanti in questo articolo include il livello di resistenza al phishing.

Ulteriori informazioni

Vantaggi dell'autenticazione senza password con Microsoft Intune

Quando si usano insieme funzionalità di Microsoft Intune, Microsoft Entra ID e piattaforma, l'organizzazione ottiene i vantaggi seguenti:

  • Single Sign-On facile: gli utenti accedono una sola volta al dispositivo e ottengono l'accesso automatico alle app, ai servizi cloud e, in alcuni casi, alle risorse locali. Le chiamate di reimpostazione della password e le richieste di autenticazione ripetute vengono eliminate.
  • Praticità dell'utente tra i dispositivi: gli utenti ottengono un'esperienza nativa e coerente tra i dispositivi. Windows Hello usa l'accesso al sistema operativo, macOS integra Touch ID con Microsoft Entra ID e le piattaforme mobili usano Microsoft Authenticator e le passkey della piattaforma. Gli utenti non devono destreggiarsi tra password separate per ogni dispositivo.
  • Comportamento di sicurezza più forte: i metodi resistenti al phishing impediscono il furto delle credenziali e gli attacchi di riproduzione. Il gating di conformità dei dispositivi garantisce che anche le credenziali valide funzionino solo da dispositivi integri e gestiti, allineandosi ai principi di Zero Trust.
  • Riduzione del carico di supporto IT: meno reimpostazioni delle password, onboarding più fluido con pass di accesso temporaneo e opzioni di ripristino self-service riducono il volume del supporto tecnico.
  • Architettura pronta per il futuro: con l'evolversi degli standard, i nuovi metodi senza password, incluse le passkey sincronizzate e le credenziali supportate dall'hardware, possono collegarsi alla stessa architettura Microsoft Entra ID + Microsoft Intune senza richiedere una riprogettazione importante.

Come Microsoft Intune guida l'adozione senza password

Microsoft Intune abilita e rende operativa l'autenticazione senza password assicurando che i dispositivi e le applicazioni siano configurati correttamente per l'uso di credenziali avanzate e moderne. Mentre Microsoft Entra ID regola i criteri di identità e autenticazione, Microsoft Intune prepara l'ambiente del dispositivo da cui dipendono i metodi senza password.

I contributi principali includono:

  • Preparazione dei dispositivi: registrazione, registrazione e configurazione dei dispositivi in modo che possano partecipare ai flussi di accesso senza password.
  • Distribuzione della configurazione: distribuzione dei criteri necessari per Windows Hello for Business, autenticazione basata su certificati, funzionalità di accesso Single Sign-On di Apple Platform e funzionalità della piattaforma simili.
  • Segnali di conformità e accesso: fornire dati di integrità e conformità dei dispositivi valutati dall'accesso condizionale prima di concedere l'accesso.
  • Provisioning di app e broker: distribuzione di applicazioni di base, ad esempio Microsoft Authenticator e Microsoft Intune Portale aziendale, che consentono l'brokering delle identità e scenari SSO senza password.
  • Gestione multipiattaforma unificata: fornire un framework di gestione e criteri coerente in Windows, macOS, iOS/iPadOS e Android per semplificare la distribuzione aziendale.

I metodi senza password disponibili per gli utenti dipendono sia dalla piattaforma del dispositivo che dalle opzioni di autenticazione abilitate in Microsoft Entra ID. Microsoft Intune garantisce che ogni dispositivo sia preparato, configurato e in grado di offrire un'esperienza sicura e affidabile senza password.

Windows Hello

Resistente al phishing

Windows Hello sostituisce le password con una chiave asimmetrica associata al dispositivo generata e sealed al TPM. L'accesso alla chiave è controllato da un PIN o un movimento biometrico (impronta digitale o riconoscimento facciale), combinando il possesso e l'inerenza in un passaggio di single sign-in. Questo metodo è supportato dall'hardware e resistente al phishing per i dispositivi Windows.

Ruolo di Intune
Microsoft Intune prepara i dispositivi Windows per Windows Hello fornendo e applicando le impostazioni dei criteri Windows Hello for Business.

Questo metodo è più rilevante quando è necessario:

  • Preparare i dispositivi Windows cloud-first per l'accesso senza password.
  • Distribuire Windows Hello for Business impostazioni dei criteri durante la registrazione e la gestione in corso.
  • Allineare l'accesso di Windows alla conformità dei dispositivi e alla gestione moderna.

Ulteriori informazioni

Chiavi di sicurezza FIDO2

Resistente al phishing

Le chiavi di sicurezza FIDO2 sono dispositivi fisici (USB, NFC o Bluetooth) che archiviano credenziali FIDO e forniscono l'autenticazione resistente al phishing senza basarsi sulla piattaforma del dispositivo. Poiché le credenziali sono associate alla chiave hardware e verificate tramite una richiesta di crittografia, non possono essere intercettate o riprodotte. Le chiavi FIDO2 sono ideali per dispositivi condivisi, ambienti a garanzia elevata o come percorso di ripristino insieme alle credenziali basate sulla piattaforma.

Ruolo di Intune
Microsoft Intune può aiutare a preparare i dispositivi per questo metodo gestendo le piattaforme supportate e le esperienze di accesso correlate.

Questo metodo è spesso adatto quando le organizzazioni hanno bisogno di:

  • Un'opzione portatile senza password per dispositivi condivisi o specializzati.
  • Un'opzione resistente al phishing avanzata che non è associata a una singola piattaforma o a Microsoft Authenticator.
  • Percorso di ripristino o alternativo insieme alle credenziali basate sulla piattaforma.

Per indicazioni sull'implementazione, vedere:

Passkey

Resistente al phishing

Le passkey sono l'ombrello basato su standard per le credenziali FIDO che possono essere associate al dispositivo o sincronizzate tra dispositivi. In Microsoft Entra ID è possibile usare:

  • Passkey associate al dispositivo archiviate in hardware sicuro (TPM o enclave sicuro) in un singolo dispositivo, ad esempio tramite Windows Hello o Microsoft Authenticator in iOS 17+ e Android 14+.
  • Passkey sincronizzate gestite da gestori di password della piattaforma (ad esempio iCloud Keychain o Google Password Manager) o provider di terze parti supportati, che consentono l'uso tra dispositivi.
  • Microsoft Entra passkey in Windows è una passkey FIDO2 che usa Windows Hello per la verifica biometrica, ma non richiede l'aggiunta o la registrazione del dispositivo. Gli utenti possono registrare più passkey per più account Microsoft Entra nello stesso dispositivo, rendendolo particolarmente adatto per dispositivi condivisi, endpoint non gestiti e scenari in cui non viene effettuato il provisioning di Windows Hello for Business.

Ruolo di Intune
Dal punto di vista Microsoft Intune, le passkey riguardano principalmente l'idoneità della piattaforma e delle app, ovvero la gestione dei prerequisiti per dispositivi e app che rendono l'adozione di passkey fattibile tra le piattaforme.

Questa dipendenza è particolarmente importante per:

  • Windows, in cui l'accesso alla piattaforma e Windows Hello possono intersecarsi con una pianificazione senza password più ampia. Microsoft Entra passkey in Windows estende la copertura passkey ai dispositivi non registrati o aggiunti, integrando Windows Hello for Business nei dispositivi gestiti.
  • iOS/iPadOS e Android, in cui le passkey possono dipendere dallo stato del dispositivo mobile e dal comportamento del gestore di app.
  • macOS, in cui l'integrazione dell'identità della piattaforma e l'adozione della forma dell'accesso utente.

Per indicazioni sull'implementazione, vedere:

Accesso telefonico di Microsoft Authenticator

Non resistente al phishing

L'accesso telefonico di Microsoft Authenticator sostituisce le password con l'approvazione basata su push e la corrispondenza dei numeri nel dispositivo mobile attendibile dell'utente. È pratico e ampiamente supportato, ma si basa sulle notifiche push anziché sulle credenziali associate all'hardware, il che significa che non impedisce completamente attacchi di phishing come la manipolazione dei prompt dell'autenticazione a più fattori.

Nota

Microsoft Authenticator può anche archiviare passkey associate al dispositivo (iOS 17+, Android 14+ ), resistenti al phishing. Questa sezione illustra in modo specifico il flusso di accesso al telefono basato su push.

Ruolo di Intune
Microsoft Intune supporta questo flusso distribuendo e gestendo i prerequisiti dell'app per dispositivi mobili e del dispositivo.

In molti ambienti questo supporto include:

  • Distribuzione di Microsoft Authenticator nei dispositivi mobili gestiti.
  • Supporto dell'esperienza di accesso negoziata tra le app Microsoft.
  • Tenere conto delle considerazioni sui criteri di protezione delle app sulle piattaforme mobili quando fanno parte della progettazione più ampia di accesso per dispositivi mobili.

Per indicazioni sull'implementazione, vedere:

Pass di accesso temporaneo

Non è un metodo permanente , usato per l'onboarding e il ripristino

Il pass di accesso temporaneo (TAP) è una credenziale limitata nel tempo che un amministratore ha problemi per consentire agli utenti di eseguire il bootstrap o ripristinare l'accesso prima di completare la configurazione senza password a lungo termine. TAP non è un metodo senza password permanente e non è resistente al phishing, ma è spesso una parte fondamentale di un'implementazione riuscita perché risolve il problema del primo accesso senza emettere una password.

Ruolo di Intune
Dal punto di vista Microsoft Intune, il pass di accesso temporaneo è importante quando si vuole:

  • Semplificare l'onboarding ai metodi senza password.
  • Ridurre la dipendenza dalle password temporanee durante la distribuzione.
  • Connettere scenari di onboarding alla configurazione gestita dei dispositivi Windows.

Onboarding day-zero con TAP

Una sfida comune nelle distribuzioni senza password è il problema di pollo e uovo : un nuovo utente deve accedere per registrare le credenziali senza password, ma non si vuole emettere una password per il primo accesso. TAP risolve questo problema fornendo credenziali di breve durata per la configurazione iniziale del dispositivo e la registrazione delle credenziali.

Un flusso di onboarding tipico è simile al seguente:

  1. Amministrazione esegue un'operazione TAP: l'amministratore IT o il flusso di lavoro automatizzato genera un TAP limitato nel tempo per il nuovo utente nel Interfaccia di amministrazione di Microsoft Entra o tramite Microsoft API Graph.
  2. L'utente configura il dispositivo: l'utente immette il TAP durante la configurazione guidata di Windows Autopilot, la assistente di configurazione di macOS o la registrazione dei dispositivi mobili. In Windows 11, l'accesso Web abilita la voce TAP direttamente nella schermata di blocco.
  3. L'utente registra un metodo senza password: dopo l'accesso con TAP, all'utente viene richiesto di registrare Windows Hello, una chiave di sicurezza FIDO2, una passkey in Microsoft Authenticator o un altro metodo senza password. Questa è la credenziale permanente che sostituisce il TAP.
  4. TAP scade : il TAP è a uso singolo o a tempo limitato (configurabile), quindi non può essere riutilizzato dopo che l'utente ha registrato il metodo senza password.

Questo flusso elimina la necessità di emettere e quindi revocare una password temporanea e fornisce Microsoft Intune un percorso di onboarding gestito dal primo accesso.

Per indicazioni sull'implementazione, vedere:

Autenticazione basata su certificati (CBA)

Resistente al phishing

L'autenticazione basata su certificati (CBA) usa certificati digitali e crittografia asimmetrica per verificare l'identità, rendendola resistente al phishing e impedendo la riproduzione delle credenziali. È ampiamente adottato in settori regolamentati e ambienti governativi, spesso tramite smart card come PIV e CAC. A differenza di altri metodi senza password in cui Microsoft Intune prepara principalmente l'ambiente del dispositivo, CBA è un'area in cui Microsoft Intune svolge un ruolo diretto nella distribuzione delle credenziali stesse.

Ruolo di Intune
Microsoft Intune supporta due modelli di infrastruttura per il recapito dei certificati:

  • Infrastruttura a chiave pubblica locale: le organizzazioni con un'autorità di certificazione (CA) esistente possono usare il connettore di certificati per Microsoft Intune per collegare l'infrastruttura a chiave pubblica locale con Microsoft Intune. Il connettore consente a Microsoft Intune di distribuire profili certificato SCEP e PKCS nei dispositivi gestiti usando l'infrastruttura CA esistente. Questo modello si adatta alle organizzazioni che già gestiscono un'autorità di certificazione aziendale o che devono integrarsi con gli investimenti PKI stabiliti.
  • Infrastruttura a chiave pubblica cloud Microsoft: per le organizzazioni che vogliono semplificare o eliminare l'infrastruttura di certificati locale, l'infrastruttura a chiave pubblica di Microsoft Cloud fornisce una CA basata sul cloud come parte del Microsoft Intune Suite. L'infrastruttura a chiave pubblica cloud genera problemi e gestisce i certificati senza richiedere server, connettori o moduli di sicurezza hardware locali.

Indipendentemente dal modello di infrastruttura, Microsoft Intune recapita i certificati ai dispositivi usando i profili certificato:

  • I profili certificato radice attendibili distribuiscono il certificato radice della CA in modo che i dispositivi possano stabilire la catena di attendibilità.
  • I profili certificato SCEP richiedono e distribuiscono i certificati da una CA abilitata per SCEP.
  • I profili certificato PKCS richiedono e distribuiscono i certificati usando lo standard PKCS #12.
  • I profili certificato PFX importati distribuiscono certificati pregenerati importati in Microsoft Intune.

Questi profili funzionano in Windows, macOS, iOS/iPadOS e Android, rendendo Microsoft Intune il meccanismo di recapito che connette l'infrastruttura PKI, locale o basata sul cloud, al metodo identity definito in Microsoft Entra ID.

Per indicazioni sull'implementazione, vedere:

Prerequisiti

Prima di pianificare una distribuzione senza password, verificare che l'ambiente soddisfi i requisiti di licenza e della piattaforma per i metodi che si intende usare. Alcune funzionalità senza password richiedono livelli di licenza specifici Microsoft Entra ID o Microsoft Intune e ogni metodo ha requisiti minimi per la versione del sistema operativo.

Requisiti di licenza

A seconda dei metodi senza password scelti, l'organizzazione potrebbe dover Microsoft Entra ID licenze P1 o Microsoft Entra ID P2 per gli utenti, nonché licenze di Microsoft Intune specifiche per la gestione dei dispositivi e il recapito dei certificati. La tabella seguente riepiloga i requisiti di licenza per le funzionalità comuni senza password:

Funzionalità Requisito di licenza
Windows Hello Microsoft Entra ID P1 (per l'imposizione dell'accesso condizionale)
Chiavi di sicurezza FIDO2 Microsoft Entra ID P1
Passkey (associate al dispositivo e sincronizzate) Microsoft Entra ID P1
Accesso telefonico di Microsoft Authenticator Microsoft Entra ID P1
Pass di accesso temporaneo Microsoft Entra ID P1
Autenticazione basata su certificati (CBA) Microsoft Entra ID P1 (P2 per l'accesso condizionale basato sul rischio)
Criteri di livello di autenticazione Microsoft Entra ID P1
Accesso condizionale basato sui rischi Microsoft Entra ID P2
Infrastruttura a chiave pubblica di Microsoft Cloud licenza PKI cloud autonoma o Microsoft Intune Suite
Profili di configurazione e conformità dei dispositivi Microsoft Intune (piano 1)

Ulteriori informazioni

Requisiti della piattaforma

I metodi senza password descritti in questo articolo si basano su funzionalità specifiche della piattaforma disponibili solo in determinate versioni del sistema operativo. La tabella seguente riepiloga i requisiti della piattaforma per ogni metodo:

Metodo Windows macOS iOS/iPadOS Android
Windows Hello Tutti i client Windows supportati
Chiavi di sicurezza FIDO2 Tutti i client Windows supportati
Passkey Windows 11 Tutte le versioni supportate Tutte le versioni supportate Android 14+
Passkey associate al dispositivo in Microsoft Authenticator Tutte le versioni supportate Android 14+
Platform SSO (Secure Enclave) Tutte le versioni supportate
Accesso Web (TAP nella schermata di blocco) Windows 11
Accesso telefonico di Microsoft Authenticator Tutte le versioni supportate Android 11+

Nota

Supportato si riferisce alle versioni del sistema operativo che Microsoft Intune attualmente supportano per la funzionalità completa, la distribuzione dei criteri e la gestione.
I requisiti della versione della piattaforma possono cambiare a ogni ciclo di rilascio. Verificare sempre i requisiti correnti nella documentazione del prodotto per il metodo specifico che si sta distribuendo.

Ulteriori informazioni

Considerazioni sulla piattaforma

Senza password non è una funzionalità. Si tratta di un set di esperienze specifiche della piattaforma che si basano su Microsoft Entra ID per identità e Microsoft Intune per la gestione dei dispositivi.

Windows

Windows è l'esempio più completo del modo in cui la registrazione dei dispositivi, l'accesso al cloud, il comportamento di sicurezza e l'esperienza utente senza password interagiscono.

Microsoft Intune supporta in genere scenari senza password di Windows:

  • Preparazione del cloud-first, Microsoft Entra dispositivi aggiunti.
  • Distribuzione della configurazione Windows Hello for Business.
  • Supporto delle esperienze chiave di sicurezza FIDO2.
  • Allineamento dell'idoneità dei dispositivi alla conformità e alla gestione moderna.
  • Supporto di esperienze di onboarding che possono connettersi a Windows Autopilot.

Quando un utente accede con Windows Hello o una chiave FIDO2, Windows ottiene un token di aggiornamento primario da Microsoft Entra ID. Tale protocollo PRT consente l'accesso SSO facile alle app Di Microsoft 365, alle applicazioni SaaS e, quando è configurato Cloud Kerberos Trust, alle risorse locali come le condivisioni file, il tutto senza richieste di accesso aggiuntive.

Ulteriori informazioni

Considerazioni ibride e legacy

Le esperienze senza password descritte in questo articolo presuppongono una direzione cloud-first con Microsoft Entra dispositivi aggiunti. Le organizzazioni con dispositivi ibridi Microsoft Entra aggiunti devono tenere presenti queste differenze:

  • L'accesso Web (usato per TAP nella schermata di blocco di Windows) è supportato solo nei dispositivi aggiunti Microsoft Entra, non nei dispositivi ibridi Microsoft Entra aggiunti.
  • Windows Hello for Business funziona su dispositivi aggiunti Microsoft Entra e ibridi Microsoft Entra aggiunti, ma le distribuzioni ibride possono richiedere un'infrastruttura aggiuntiva a seconda del modello di attendibilità.
  • L'accesso alle risorse locali dai dispositivi aggiunti Microsoft Entra richiede l'attendibilità Kerberos cloud o l'attendibilità basata su certificati. L'attendibilità Kerberos cloud è il modello consigliato perché non richiede la distribuzione di certificati per l'autenticazione Kerberos. Per altre informazioni, vedere [distribuzione di trust Kerberos cloud](/windows/security/identity-protection/> hello-for-business/deploy/hybrid-cloud-kerberos-trust).
  • Le applicazioni legacy che richiedono l'autenticazione Kerberos di Active Directory possono comunque funzionare con metodi senza password, ma le applicazioni che richiedono ntlm o binding LDAP diretto potrebbero richiedere una pianificazione aggiuntiva.

Se l'ambiente è ibrido, pianificare l'implementazione senza password a partire da Microsoft Entra dispositivi aggiunti ed espandere fino a dispositivi ibridi Microsoft Entra aggiunti man mano che l'infrastruttura lo supporta.

Ulteriori informazioni

macOS

In macOS, la pianificazione senza password dipende da come Microsoft Entra ID si integra con l'esperienza di accesso alla piattaforma e Single Sign-On. Microsoft Intune offre la configurazione del dispositivo necessaria per le integrazioni di identità incentrate su Apple.

Con il plug-in SSO di Microsoft Enterprise e il framework Apple Platform SSO, Microsoft Intune può distribuire una configurazione che consente agli utenti di accedere al Mac usando le credenziali di Microsoft Entra ID. Se configurata con il metodo secure enclave key, offre un'esperienza di accesso basata su hardware e resistente al phishing simile a Windows Hello.

Queste informazioni sono importanti quando si pianifica:

  • Piattaforma SSO ed esperienze di accesso correlate.
  • Single Sign-On tra il dispositivo e le app Microsoft.
  • Un modello di gestione coerente insieme a Windows e ai dispositivi mobili.

Ulteriori informazioni

iOS e iPadOS

In iOS e iPadOS, la pianificazione senza password è incentrata più sull'accesso alle app, sull'autenticazione negoziata e sul comportamento passkey che sull'accesso al dispositivo. Microsoft Intune distribuisce e gestisce le app e le impostazioni che rendono coerenti tali esperienze per gli utenti.

L'estensione Microsoft SSO in iOS può intercettare le richieste di autenticazione tra microsoft e app di terze parti, consentendo l'accesso facile dopo la configurazione iniziale del dispositivo. Microsoft Authenticator funge da broker di autenticazione e può anche archiviare passkey associate al dispositivo in iOS 17+ per l'autenticazione resistente al phishing.

Ulteriori informazioni

Android

In Android, Microsoft Intune stabilisce il contesto gestito da cui dipendono i flussi di autenticazione senza password e negoziati. Questo contesto è particolarmente rilevante quando Microsoft Authenticator o le esperienze app correlate fanno parte della progettazione dell'accesso per dispositivi mobili.

Sia Portale aziendale che Microsoft Authenticator possono fungere da broker di autenticazione in Android. Dopo che un utente ha eseguito l'accesso tramite il broker, Microsoft Entra ID rilascia un token di aggiornamento primario che abilita l'accesso SSO in tutte le app con supporto per broker nel profilo di lavoro. In Android 14+, Microsoft Authenticator può anche archiviare passkey associate al dispositivo per l'autenticazione resistente al phishing.

Ulteriori informazioni

Dipendenze per l'autenticazione senza password

architettura Zero Trust

L'autenticazione senza password è una parte di una strategia più ampia per l'identità e l'accesso ai dispositivi. Per un amministratore Microsoft Intune, la pianificazione include in genere questi livelli:

  • Identità: metodi di autenticazione resistenti al phishing in Microsoft Entra ID.
  • Attendibilità del dispositivo: Microsoft Intune registrazione, conformità e configurazione.
  • Criteri di accesso: accesso condizionale e pianificazione dell'esclusione correlata.
  • Protezione dei dati: funzionalità di Microsoft Purview che consentono di proteggere il contenuto dopo aver concesso l'accesso.
  • Analisi e risposta: Microsoft Defender segnali e flussi di lavoro quando è necessario un follow-up del rischio o della compromissione.

Ulteriori informazioni

Accesso condizionale

L'accesso condizionale valuta segnali come lo stato del dispositivo e il livello di autenticazione prima di concedere l'accesso. Se combinato con metodi senza password, l'accesso condizionale può applicare criteri di livello di autenticazione che richiedono MFA resistente al phishing, imponendo in modo efficace la password senza password bloccando metodi più deboli come password o codici SMS.

Quando si implementa l'accesso condizionale insieme a senza password, tenere anche conto della pianificazione dell'accesso di emergenza per evitare scenari di blocco accidentale.

Ulteriori informazioni

Accesso e ripristino di emergenza

Un problema comune durante la rimozione delle password è quello che accade quando un utente perde l'unico dispositivo senza password: un telefono, una chiave FIDO2 o un portatile con Windows Hello. Senza un piano di ripristino, gli amministratori possono affrontare escalation del supporto e gli utenti possono essere bloccati dalle risorse critiche.

Pianificare questi scenari come parte della distribuzione senza password:

  • Account di accesso di emergenza: gestire almeno due account di interruzione esclusi dai criteri di accesso condizionale e dall'imposizione senza password. Questi account forniscono un percorso di fallback se una configurazione errata o un'interruzione blocca tutti gli altri accessi. Archiviare le credenziali in modo sicuro e monitorare l'attività di accesso in questi account.
  • Ripristino con pass di accesso temporaneo: quando un utente perde il dispositivo senza password, un amministratore può emettere un nuovo TAP in modo che l'utente possa accedere e registrare una credenziale sostitutiva. Questo approccio evita di reimpostare l'utente su una password e mantiene il flusso di ripristino all'interno del modello senza password.
  • Più metodi registrati: se possibile, incoraggiare gli utenti a registrare più di un metodo senza password. Ad esempio, un utente che usa Hello for Business sul proprio portatile potrebbe anche registrare una passkey in Microsoft Authenticator sul proprio telefono. Se un dispositivo viene perso, l'altro metodo funziona ancora.
  • Gestione delle credenziali self-service: gli utenti possono gestire i metodi di autenticazione in Informazioni di sicurezza personali. In combinazione con il ripristino basato su TAP, questo approccio riduce la dipendenza del supporto tecnico per la reimpostazione delle credenziali.
  • Recupero della perdita totale con ID verificato: per gli scenari in cui un utente perde tutte le credenziali e i dispositivi registrati, Microsoft Entra ripristino dell'account tramite ID verificato fornisce un percorso di ripristino verificato dall'identità che non si basa su password o credenziali rilasciate dal supporto tecnico.

La pianificazione del ripristino prima di applicare senza password è essenziale. Un'implementazione che blocca le password senza un percorso di ripristino crea il tipo di scenari di blocco che minano la fiducia degli amministratori e degli utenti nella transizione.

Ulteriori informazioni

Conformità e conformità dei dispositivi

La password dipende spesso dal fatto che il dispositivo sia nello stato corretto prima che gli utenti possano fare affidamento sull'esperienza. L'idoneità include in genere:

Verifica e operazioni in corso

Per convalidare una distribuzione senza password, i checkpoint comuni includono:

Adozione e comunicazione degli utenti

L'idoneità tecnica è solo una parte di un'implementazione senza password. Gli utenti abituati alle password potrebbero riscontrare confusione o resistenza quando cambiano i flussi di accesso. La pianificazione della comunicazione e del supporto degli utenti può fare la differenza tra una transizione senza problemi e un'escalation diffusa del supporto tecnico.

Prendere in considerazione queste procedure:

  • Comunicare la modifica in anticipo: informare gli utenti che l'esperienza di accesso sta cambiando, perché sta cambiando e cosa aspettarsi. Concentrarsi sui vantaggi: meno password da ricordare, accesso più veloce e maggiore sicurezza.
  • Fornire indicazioni specifiche della piattaforma: l'esperienza senza password è diversa in Windows (hello biometrico o PIN), macOS (Touch ID con Platform SSO), iOS (Authenticator o passkeys) e Android (Authenticator broker). Personalizzare la comunicazione con le piattaforme disponibili per gli utenti.
  • Identificare i gruppi pilota: iniziare con un gruppo di utenti che possono testare l'esperienza e fornire commenti e suggerimenti prima di applicare senza password all'intera organizzazione. Il personale IT, gli early adopter e i team responsabili della sicurezza sono spesso buoni candidati.
  • Preparare il personale del supporto tecnico: assicurarsi che il team di supporto sappia come rilasciare un pass di accesso temporaneo per il ripristino, come guidare gli utenti tramite la registrazione delle credenziali e dove controllare i log di accesso quando si verificano problemi.

Ulteriori informazioni

  • Last updated on