Supporto per l'autenticazione FIDO2 con Microsoft Entra ID
Microsoft Entra ID consente l'uso di passkey per l'autenticazione senza password. Questo articolo illustra le applicazioni native, i Web browser e i sistemi operativi che supportano l'autenticazione senza password usando passkey con Microsoft Entra ID.
Nota
Microsoft Entra ID supporta attualmente passkey associati a dispositivo archiviati nelle chiavi di sicurezza FIDO2 e in Microsoft Authenticator. Microsoft si impegna a proteggere clienti e utenti con passkey. Stiamo investendo in passkey sincronizzati e associati a dispositivo per gli account aziendali.
Supporto delle applicazioni native
Supporto di applicazioni native con Broker di autenticazione (anteprima)
Le applicazioni Microsoft forniscono supporto nativo per l'autenticazione FIDO2 in anteprima per tutti gli utenti che dispongono di un broker di autenticazione installato per il sistema operativo. L'autenticazione FIDO2 è supportata anche in anteprima per le applicazioni di terze parti che usano il broker di autenticazione.
Le tabelle seguenti elencano i broker di autenticazione supportati per sistemi operativi diversi.
| Sistema operativo | Broker di autenticazione | Supporta FIDO2 |
|---|---|---|
| iOS | Microsoft Authenticator | ✅ |
| macOS | Microsoft Portale aziendale Intune 1 | ✅ |
| Android2 | Autenticatore o Portale aziendale | ❌ |
1In macOS, il plug-in Microsoft Enterprise Single Sign On (SSO) è necessario per abilitare Portale aziendale come broker di autenticazione. I dispositivi che eseguono macOS devono soddisfare i requisiti del plug-in SSO, inclusa la registrazione nella gestione dei dispositivi mobili. Per l'autenticazione FIDO2, assicurarsi di eseguire la versione più recente delle applicazioni native.
2Il supporto di applicazioni native per FIDO2 in Android è in fase di sviluppo.
Se un utente ha installato un broker di autenticazione, può scegliere di accedere con una chiave di sicurezza quando accede a un'applicazione, ad esempio Outlook. Vengono reindirizzati per accedere con FIDO2 e reindirizzati a Outlook come utente connesso dopo l'autenticazione completata.
Supporto delle applicazioni Microsoft senza broker di autenticazione
L'accesso alle applicazioni native Microsoft con autenticazione FIDO2 quando l'utente non dispone di un broker di autenticazione in iOS, macOS e Android non è attualmente supportato.
Supporto di applicazioni di terze parti senza broker di autenticazione
Se l'utente deve ancora installare un broker di autenticazione, può comunque accedere con una chiave di sicurezza quando accede alle applicazioni abilitate per MSAL. Per altre informazioni sui requisiti per le applicazioni abilitate per MSAL, vedere Supportare l'autenticazione senza password con chiavi FIDO2 nelle app sviluppate.
Supporto Web browser
Questa tabella mostra il supporto del browser per l'autenticazione degli account Microsoft Entra ID e Microsoft tramite FIDO2. Gli utenti creano account Microsoft per servizi come Xbox, Skype o Outlook.com.
| Sistema operativo | Chrome | Edge | Firefox | Safari |
|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | N/D |
| macOS | ✅ | ✅ | ✅ | ✅ |
| ChromeOS | ✅ | N/D | N/D | N/D |
| Linux | ✅ | ❌ | ❌ | N/D |
| iOS | ✅ | ✅ | ✅ | ✅ |
| Android | ✅ | ✅ | ❌ | N/D |
Nota
I passkey in Authenticator non funzionano con browser come Google Chrome o Microsoft Edge nei dispositivi Android. Il supporto per la creazione e l'accesso tramite passkey Authenticator dai browser dipende dagli aggiornamenti api da rendere disponibili dalla piattaforma Android.
Supporto web browser per ogni piattaforma
Le tabelle seguenti illustrano i trasporti supportati per ogni piattaforma. I tipi di dispositivi supportati includono USB, nfc (near-field communication) e bluetooth low energy (BLE).
Windows
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Edge | ✅ | ✅ | ✅ |
| Chrome | ✅ | ✅ | ✅ |
| Firefox | ✅ | ✅ | ✅ |
Versione minima del browser
Di seguito sono riportati i requisiti minimi per la versione del browser in Windows.
| Browser | Versione minima |
|---|---|
| Chrome | 76 |
| Edge | Windows 10 versione 19031 |
| Firefox | 66 |
1Tutte le versioni del nuovo Microsoft Edge basato su Chromium supportano FIDO2. Il supporto per la versione legacy di Microsoft Edge è stato aggiunto nel 1903.
macOS
| Browser | USB | NFC1 | BLE1 |
|---|---|---|---|
| Edge | ✅ | N/D | N/D |
| Chrome | ✅ | N/D | N/D |
| Firefox2 | ✅ | N/D | N/D |
| Safari2 | ✅ | N/D | N/D |
1Le chiavi di sicurezza NFC e BLE non sono supportate in macOS da Apple.
2La registrazione della nuova chiave di sicurezza non funziona in questi browser macOS perché non richiede di configurare la biometria o il PIN.
ChromeOS
| Browser1 | USB | NFC | BLE |
|---|---|---|---|
| Chrome | ✅ | ❌ | ❌ |
1La registrazione della chiave di sicurezza non è supportata nel browser ChromeOS o Chrome.
Linux
| Browser | USB | NFC | BLE |
|---|---|---|---|
| Edge | ❌ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
iOS
| Browser1 | Lightning | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ✅ | N/D |
| Chrome | ✅ | ✅ | N/D |
| Firefox | ✅ | ✅ | N/D |
| Safari | ✅ | ✅ | N/D |
1La registrazione della nuova chiave di sicurezza non funziona nei browser iOS perché non richiede di configurare la biometria o il PIN.
2Le chiavi di sicurezza BLE non sono supportate in iOS da Apple.
Android
| Browser1 | USB | NFC | BLE2 |
|---|---|---|---|
| Edge | ✅ | ❌ | ❌ |
| Chrome | ✅ | ❌ | ❌ |
| Firefox | ❌ | ❌ | ❌ |
1La registrazione della chiave di sicurezza con l'ID Microsoft Entra non è ancora supportata in Android.
2Chiavi di sicurezza BLE non sono supportate in Android da Google.
Problemi noti
Supporto di PowerShell
Microsoft Graph PowerShell supporta FIDO2. Alcuni moduli di PowerShell che usano Internet Explorer anziché Edge non sono in grado di eseguire l'autenticazione FIDO2. Ad esempio, i moduli di PowerShell per SharePoint Online o Teams o gli script di PowerShell che richiedono credenziali di amministratore, non richiedono FIDO2.
Come soluzione alternativa, la maggior parte dei fornitori può inserire i certificati nelle chiavi di sicurezza FIDO2. L'autenticazione basata su certificati (CBA) funziona in tutti i browser. Se è possibile abilitare L'autorità di certificazione per tali account amministratore, è possibile richiedere L'autenticazione ABA anziché FIDO2 nel frattempo.
Passaggi successivi
Abilitare l'accesso tramite chiave di sicurezza senza password