Opzioni di autenticazione senza password per Azure Active Directory

Le funzionalità come l'autenticazione a più fattori (MFA) sono un ottimo modo per proteggere l'organizzazione, ma gli utenti spesso vengono frustrati con il livello di sicurezza aggiuntivo oltre a dover ricordare le password. I metodi di autenticazione senza password sono più pratici, perché la password viene rimossa e sostituita con qualcosa che si possiede, una caratteristica fisica o un'informazione nota.

Authentication Un'informazione disponibile Qualcosa che si è o si conosce
Accesso senza password Windows 10 Dispositivo, telefono o chiave di sicurezza Biometrico o PIN

Ogni organizzazione presenta esigenze diverse per quanto riguarda l'autenticazione. Microsoft Azure globale e Azure per enti pubblici offrono le tre seguenti opzioni di autenticazione senza password che si integrano con Azure Active Directory (Azure AD):

  • Windows Hello for Business
  • Microsoft Authenticator
  • Chiavi di sicurezza FIDO2

Autenticazione: sicurezza e praticità

Windows Hello for Business

Windows Hello for Business è ideale per gli Information Worker che hanno il proprio PC Windows designato. Le credenziali biometriche e PIN sono direttamente associate al PC dell'utente, impedendo l'accesso a chiunque non sia il proprietario. Con l'integrazione dell'infrastruttura a chiave pubblica (PKI) e il supporto predefinito per l'accesso Single Sign-On (SSO), Windows Hello for Business offre un metodo pratico per accedere facilmente alle risorse aziendali in locale e nel cloud.

Esempio di accesso utente con Windows Hello for Business

La procedura seguente illustra come funziona il processo di accesso con Azure AD:

Diagramma che descrive i passaggi necessari per l'accesso utente con Windows Hello for Business

  1. Un utente accede a Windows usando il movimento biometrico o PIN. Il gesto sblocca la Windows Hello for Business chiave privata e viene inviato al provider di supporto per la sicurezza dell'autenticazione cloud, definito provider di API cloud.
  2. Il provider di API cloud richiede un nonce (un numero arbitrario casuale che può essere usato una sola volta) da Azure AD.
  3. Azure AD restituisce un valore nonce valido per 5 minuti.
  4. Il provider di API cloud firma il nonce usando la chiave privata dell'utente e restituisce il nonce firmato ad Azure AD.
  5. Azure AD convalida il nonce firmato usando la chiave pubblica registrata in modo sicuro dell'utente rispetto alla firma nonce. Azure AD convalida la firma e quindi convalida il nonce firmato restituito. Quando il nonce viene convalidato, Azure AD crea un token di aggiornamento primario con la chiave di sessione crittografata nella chiave di trasporto del dispositivo e la restituisce al provider di API cloud.
  6. Il provider di API cloud riceve il token di aggiornamento primario crittografato con la chiave di sessione. Il provider di API cloud usa la chiave di trasporto privata del dispositivo per decrittografare la chiave di sessione e protegge la chiave di sessione usando il TPM (Trusted Platform Module) del dispositivo.
  7. Il provider di API cloud restituisce una risposta di autenticazione riuscita a Windows. L'utente può quindi accedere a Windows e alle applicazioni cloud e locali senza dover eseguire nuovamente l'autenticazione (SSO).

La guida alla pianificazione Windows Hello for Business può essere usata per prendere decisioni sul tipo di distribuzione Windows Hello for Business e sulle opzioni da prendere in considerazione.

Microsoft Authenticator

È anche possibile consentire al dipendente di usare il suo telefono come metodo di autenticazione senza password. È possibile che si usi già l'app Authenticator come opzione di autenticazione a più fattori utile oltre a una password. È anche possibile usare l'app Authenticator come opzione senza password.

Accedere a Microsoft Edge con Microsoft Authenticator

L'app Authenticator trasforma qualsiasi telefono iOS o Android in una credenziale senza password sicura ed efficace. Gli utenti possono effettuare l'accesso a qualsiasi piattaforma o browser tramite notifica sul telefono, abbinando un numero visualizzato sullo schermo a quello del telefono e quindi usando i dati biometrici (tocco o viso) o il PIN per confermare. Per informazioni dettagliate sull'installazione, vedere Scaricare e installare il Microsoft Authenticator.

L'autenticazione senza password con l'app Authenticator segue lo stesso modello di base di Windows Hello for Business. È un po' più complicato perché l'utente deve essere identificato in modo che Azure AD possa trovare la versione dell'app Authenticator usata:

Diagramma che illustra i passaggi necessari per l'accesso utente con l'app Microsoft Authenticator

  1. L'utente immette il proprio nome utente.
  2. Azure AD rileva che l'utente ha credenziali complesse e avvia il flusso delle credenziali complesse.
  3. Una notifica viene inviata all'app tramite Apple Push Notification Service (APNS) nei dispositivi iOS o tramite Firebase Cloud Messaging (FCM) nei dispositivi Android.
  4. L'utente riceve la notifica push e apre l'app.
  5. L'app chiama Azure AD e riceve una richiesta di verifica della presenza e un nonce.
  6. L'utente completa la richiesta immettendo il proprio PIN o biometrico per sbloccare la chiave privata.
  7. Il nonce viene firmato con la chiave privata e restituito ad Azure AD.
  8. Azure AD esegue la convalida della chiave pubblica/privata e restituisce un token.

Per iniziare a usare l'accesso senza password, completare le procedure seguenti:

Chiavi di sicurezza FIDO2

FIDO (Fast Identity Online) Alliance promuove gli standard di autenticazione aperti e limita l'uso delle password come forma di autenticazione. FIDO2 è lo standard più recente che incorpora lo standard di autenticazione Web (WebAuthn).

Le chiavi di sicurezza FIDO2 sono un metodo di autenticazione senza password basato su standard e protetto dal phishing che può essere presente in qualsiasi fattore di forma. Fast Identity Online (FIDO) è uno standard aperto per l'autenticazione senza password. FIDO consente a utenti e organizzazioni di sfruttare lo standard per accedere alle risorse usando al posto del nome utente o della password una chiave di sicurezza esterna o una chiave di piattaforma incorporata in un dispositivo.

Gli utenti possono registrarsi e quindi selezionare una chiave di sicurezza FIDO2 nell'interfaccia di accesso come mezzo di autenticazione principale. Le chiavi di sicurezza di FIDO2 sono in genere dispositivi USB, ma possono anche usare il Bluetooth o l'NFC. Grazie a un dispositivo hardware che gestisce l'autenticazione, la sicurezza di un account viene aumentata poiché non vi è una password che può essere esposta o individuata.

Le chiavi di sicurezza FIDO2 possono essere usate per accedere ai dispositivi Azure AD o ai dispositivi ibridi Azure AD e Windows 10 e ottenere l'accesso Single Sign-On alle risorse cloud e locali. Gli utenti possono anche accedere ai browser supportati. Le chiavi di sicurezza FIDO2 sono un'ottima scelta per le aziende che sono molto sensibili alla sicurezza o hanno scenari o dipendenti che non possono o non sono disposti a usare il telefono come secondo fattore di autenticazione.

È disponibile un documento di riferimento per cui i browser supportano l'autenticazione FIDO2 con Azure AD, nonché le procedure consigliate per gli sviluppatori che vogliono supportare l'autenticazione FIDO2 nelle applicazioni sviluppate.

Accedere a Microsoft Edge con una chiave di sicurezza

Il processo seguente viene usato quando un utente accede con una chiave di sicurezza FIDO2:

Diagramma che descrive i passaggi necessari per l'accesso utente con una chiave di sicurezza FIDO2

  1. L'utente collega la chiave di sicurezza FIDO2 al computer.
  2. Windows rileva la chiave di sicurezza FIDO2.
  3. Windows invia una richiesta di autenticazione.
  4. Azure AD restituisce un nonce.
  5. L'utente completa il movimento per sbloccare la chiave privata archiviata nell'enclave sicuro della chiave di sicurezza FIDO2.
  6. La chiave di sicurezza FIDO2 firma il nonce con la chiave privata.
  7. La richiesta del token di aggiornamento primario (PRT) con un nonce firmato viene inviata ad Azure AD.
  8. Azure AD verifica il nonce firmato usando la chiave pubblica FIDO2.
  9. Azure AD restituisce il token di aggiornamento primario per abilitare l'accesso alle risorse locali.

Provider di chiavi di sicurezza FIDO2

I provider seguenti offrono chiavi di sicurezza FIDO2 di diversi fattori di forma che sono noti per essere compatibili con l'esperienza senza password. È consigliabile valutare le proprietà di sicurezza di queste chiavi contattando il fornitore e FIDO Alliance.

Provider Biometrici USB NFC Ble FIPS Certified Contatto
AuthenTrend Y Y Y Y N https://authentrend.com/about-us/#pg-35-3
Ciright N N Y N N https://www.cyberonecard.com/
Ensurity Y Y N N N https://www.ensurity.com/contact
Excelsecu Y Y Y Y N https://www.excelsecu.com/productdetail/esecufido2secu.html
Feitian Y Y Y Y Y https://shop.ftsafe.us/pages/microsoft
Fortinet N Y N N N https://www.fortinet.com/
Giesecke + Devrient (G+D) Y Y Y Y N https://www.gi-de.com/en/identities/enterprise-security/hardware-based-authentication
GoTrustID Inc. N Y Y Y N https://www.gotrustid.com/idem-key
HID N Y Y N N https://www.hidglobal.com/contact-us
Hypersecu N Y N N N https://www.hypersecu.com/hyperfido
IDmelon Technologies Inc. Y Y Y Y N https://www.idmelon.com/#idmelon
Kensington Y Y N N N https://www.kensington.com/solutions/product-category/why-biometrics/
KONA I Y N Y Y N https://konai.com/business/security/fido
NeoWave N Y Y N N https://neowave.fr/en/products/fido-range/
Nymi Y N Y N N https://www.nymi.com/nymi-band
Octatco Y Y N N N https://octatco.com/
OneSpan Inc. N Y N Y N https://www.onespan.com/products/fido
Swissbit N Y Y N N https://www.swissbit.com/en/products/ishield-fido2/
Gruppo Thales N Y Y N Y https://cpl.thalesgroup.com/access-management/authenticators/fido-devices
Thetis Y Y Y Y N https://thetis.io/collections/fido2
Token2 Svizzera Y Y Y N N https://www.token2.swiss/shop/product/token2-t2f2-alu-fido2-u2f-and-totp-security-key
Soluzioni TrustKey Y Y N N N https://www.trustkeysolutions.com/security-keys/
VinCSS N Y N N N https://passwordless.vincss.net
Yubico Y Y Y N Y https://www.yubico.com/solutions/passwordless/

Nota

Se si acquista e si prevede di usare chiavi di sicurezza basate su NFC, è necessario un lettore NFC supportato per la chiave di sicurezza. Il lettore NFC non è un requisito o una limitazione di Azure. Controllare con il fornitore la chiave di sicurezza basata su NFC per un elenco di lettori NFC supportati.

Se si è un fornitore e si vuole ottenere il dispositivo in questo elenco di dispositivi supportati, vedere le indicazioni su come diventare un fornitore di chiavi di sicurezza FIDO2 compatibile con Microsoft.

Per iniziare a usare le chiavi di sicurezza FIDO2, completare le procedure seguenti:

Scenari supportati

Si applicano le considerazioni seguenti:

  • Gli amministratori possono abilitare metodi di autenticazione senza password per il tenant.

  • Gli amministratori possono indirizzare tutti gli utenti o selezionare utenti/gruppi all'interno del tenant per ogni metodo.

  • Gli utenti possono registrare e gestire questi metodi di autenticazione senza password nel portale dell'account.

  • Gli utenti possono accedere con questi metodi di autenticazione senza password:

    • App Authenticator: funziona negli scenari in cui viene usata l'autenticazione di Azure AD, inclusa in tutti i browser, durante la configurazione di Windows 10 e con app per dispositivi mobili integrate in qualsiasi sistema operativo.
    • Chiavi di sicurezza: usare la schermata di blocco per Windows 10 e il Web nei browser supportati come Microsoft Edge (sia legacy che nuovo Edge).
  • Gli utenti possono usare le credenziali senza password per accedere alle risorse nei tenant in cui sono un guest, ma potrebbero comunque essere necessarie per eseguire l'autenticazione a più fattori nel tenant delle risorse. Per altre informazioni, vedere Possibile autenticazione a più fattori.

  • Gli utenti potrebbero non registrare credenziali senza password all'interno di un tenant in cui sono guest, allo stesso modo in cui non hanno una password gestita in tale tenant.

Scegliere un metodo senza password

La scelta tra queste tre opzioni senza password dipende dai requisiti di sicurezza, piattaforma e app dell'azienda.

Ecco alcuni fattori da considerare quando si sceglie Microsoft tecnologia senza password:

Windows Hello for Business (Configurare Windows Hello for Business) Accesso senza password con l'app Authenticator Chiavi di sicurezza FIDO2
Prerequisito Windows 10 versione 1809 o successiva
Azure Active Directory
App di autenticazione
Telefono (dispositivi iOS e Android)
Windows 10, versione 1903 o successiva
Azure Active Directory
Modalità Piattaforma Software Hardware
Sistemi e dispositivi PC con un modulo TPM (Trusted Platform Module) predefinito
Riconoscimento pin e biometrici
PIN e riconoscimento biometrico sul telefono Dispositivi di sicurezza FIDO2 Microsoft compatibili
Esperienza utente Accedere usando un PIN o un riconoscimento biometrico (viso, iris o impronta digitale) con i dispositivi Windows.
Windows Hello l'autenticazione è associata al dispositivo. L'utente necessita sia del dispositivo che di un componente di accesso, ad esempio un PIN o un fattore biometrico per accedere alle risorse aziendali.
Accedere usando un telefono cellulare con analisi delle impronte digitali, riconoscimento facciale o iris o PIN.
Gli utenti accedono al lavoro o all'account personale dal pc o dal telefono cellulare.
Accedere con il dispositivo di sicurezza FIDO2 (biometrici, PIN e NFC)
L'utente può accedere al dispositivo in base ai controlli dell'organizzazione e autenticarsi in base al PIN, alla biometrica usando dispositivi come chiavi di sicurezza USB e smartcard abilitate per NFC, chiavi o dispositivi indossabili.
Scenari abilitati Esperienza senza password con il dispositivo Windows.
Applicabile per il PC aziendale dedicato con possibilità di accesso Single Sign-On ai dispositivi e alle applicazioni.
Soluzione senza password in qualsiasi punto usando il telefono cellulare.
Applicabile per l'accesso alle applicazioni aziendali o personali sul Web da qualsiasi dispositivo.
Esperienza senza password per i lavoratori che usano biometriche, PIN e NFC.
Applicabile per i PC condivisi e dove un telefono cellulare non è un'opzione valida (ad esempio per personale help desk, chiosco pubblico o team ospedaliero)

Usare la tabella seguente per scegliere quale metodo supporterà i requisiti e gli utenti.

Utente tipo Scenario Ambiente Tecnologia senza password
Admin Proteggere l'accesso a un dispositivo per le attività di gestione Dispositivo Windows 10 assegnato Windows Hello for Business e/o chiave di sicurezza FIDO2
Admin Attività di gestione nei dispositivi non Windows Dispositivo mobile o non Windows Accesso senza password con l'app Authenticator
Information Worker Lavoro di produttività Dispositivo Windows 10 assegnato chiave di sicurezza Windows Hello for Business e/o FIDO2
Information Worker Lavoro di produttività Dispositivo mobile o non Windows Accesso senza password con l'app Authenticator
Ruolo di lavoro in prima linea Chioschi multimediali in una fabbrica, un impianto, una vendita al dettaglio o una voce di dati Dispositivi Windows 10 condivisi Chiavi di sicurezza FIDO2

Passaggi successivi

Per iniziare a usare senza password in Azure AD, completare una delle procedure seguenti: