Abilitare passkey per l'organizzazione (anteprima)

Articolo
04/12/2024

Per le aziende che usano le password oggi, passkeys (FIDO2) offrono un modo semplice per consentire ai lavoratori di eseguire l'autenticazione senza immettere un nome utente o una password. I passkey offrono una maggiore produttività per i lavoratori e offrono una maggiore sicurezza.

Questo articolo elenca i requisiti e i passaggi per abilitare passkey nell'organizzazione. Dopo aver completato questi passaggi, gli utenti dell'organizzazione possono quindi registrarsi e accedere al proprio account Microsoft Entra usando una passkey archiviata in una chiave di sicurezza FIDO2 o in Microsoft Authenticator.

Per altre informazioni sull'abilitazione di passkey in Microsoft Authenticator, vedere Come abilitare la passkey authenticator.

Per altre informazioni sull'autenticazione passkey, vedere Supporto per l'autenticazione FIDO2 con Microsoft Entra ID.

Nota

Microsoft Entra ID supporta attualmente passkey associati a dispositivo archiviati nelle chiavi di sicurezza FIDO2 e in Microsoft Authenticator. Microsoft si impegna a proteggere clienti e utenti con passkey. Stiamo investendo in passkey sincronizzati e associati a dispositivo per gli account aziendali.

Requisiti

Autenticazione a più fattori (MFA) di Microsoft Entra.
Chiavi di sicurezza FIDO2 compatibili o Microsoft Authenticator.
Dispositivi che supportano l'autenticazione passkey (FIDO2). Per i dispositivi Windows aggiunti all'ID Microsoft Entra, l'esperienza migliore è in Windows 10 versione 1903 o successiva. I dispositivi aggiunti all'ambiente ibrido devono eseguire Windows 10 versione 2004 o successiva.

I passkey sono supportati in scenari principali in Windows, macOS, Android e iOS. Per altre informazioni sugli scenari supportati, vedere Supporto per l'autenticazione FIDO2 in Microsoft Entra ID.

Abilitare il metodo di autenticazione passkey (FIDO2)

Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
Passare a Protezione>Metodi di autenticazione>Criteri del metodo di autenticazione.
Nella chiave di sicurezza FIDO2 del metodo selezionare Tutti gli utenti o Aggiungi gruppi per selezionare gruppi specifici. Sono supportati solo i gruppi di sicurezza.
Fare clic su Salva per salvare la configurazione.

Nota

Se viene visualizzato un errore quando si tenta di salvare, la causa potrebbe essere dovuta al numero di utenti o gruppi aggiunti. Come soluzione alternativa, sostituire gli utenti e i gruppi che si sta tentando di aggiungere con un singolo gruppo, nella stessa operazione e quindi fare di nuovo clic su Salva .

Impostazioni facoltative passkey

Nella scheda Configura sono disponibili alcune impostazioni facoltative per gestire la modalità di utilizzo delle passkey per l'accesso. È possibile selezionare Microsoft Authenticator (anteprima) se la casella di controllo viene visualizzata nell'interfaccia di amministrazione. In caso contrario, è possibile aggiungere qualsiasi GUID di attestazione dell'autenticatore specifico (AAGUID) che si vuole limitare.

Screenshot delle opzioni della chiave di sicurezza FIDO2.

Consentire la configurazione self-service deve rimanere impostata su Sì. Se impostato su no, gli utenti non possono registrare una passkey tramite MySecurityInfo, anche se abilitata dai criteri dei metodi di autenticazione.
Applicare l'attestazione deve essere impostata su Sì se l'organizzazione vuole assicurarsi che un modello di chiave di sicurezza FIDO2 o un provider passkey sia autentico e provenga dal fornitore legittimo.
- Per le chiavi di sicurezza FIDO2, è necessario pubblicare e verificare i metadati delle chiavi di sicurezza con il servizio metadati FIDO Alliance e anche passare un altro set di test di convalida di Microsoft. Per altre informazioni, vedere Che cos'è una chiave di sicurezza compatibile con Microsoft?.
- Per le passkey in Microsoft Authenticator, attualmente non è supportata l'attestazione.
Avviso

L'imposizione dell'attestazione determina se una passkey è consentita solo durante la registrazione. Gli utenti che possono registrare una passkey senza attestazione non verranno bloccati durante l'accesso se l'opzione Imponi attestazione è impostata su Sì in un secondo momento.

Criteri di restrizione delle chiavi

Applicare restrizioni chiave deve essere impostata su Sì solo se l'organizzazione vuole consentire o impedire determinati modelli di chiave di sicurezza o provider passkey, identificati dal GUID di attestazione dell'autenticatore (AAGUID). È possibile collaborare con il fornitore della chiave di sicurezza o il provider passkey per determinare l'AAGUID di un dispositivo. Se la passkey è già registrata, è possibile trovare AAGUID visualizzando i dettagli del metodo di autenticazione della passkey per l'utente.

Avviso

Le restrizioni chiave impostano l'usabilità di modelli o provider specifici per la registrazione e l'autenticazione. Se si modificano le restrizioni chiave e si rimuove un AAGUID consentito in precedenza, gli utenti che in precedenza hanno registrato un metodo consentito non potranno più usarlo per l'accesso.

GUID dell'attestazione passkey authenticator (AAGUID)

La specifica FIDO2 richiede a ogni fornitore di chiavi di sicurezza di fornire un GUID di attestazione dell'autenticatore (AAGUID) durante la registrazione. Un oggetto AAGUID è un identificatore a 128 bit che indica il tipo di chiave, ad esempio make e model. I provider passkey nei dispositivi desktop e mobili devono anche fornire un AAGUID durante la registrazione.

Nota

Il fornitore deve assicurarsi che AAGUID sia identico in tutte le chiavi di sicurezza sostanzialmente identiche o i provider passkey creati dal fornitore e diversi (con alta probabilità) dagli AAGUID di tutti gli altri tipi di chiavi di sicurezza o provider passkey. Per garantire questo problema, l'AAGUID per un determinato modello di chiave di sicurezza o un provider passkey deve essere generato in modo casuale. Per altre informazioni, vedere Autenticazione Web: UN'API per l'accesso alle credenziali della chiave pubblica - Livello 2 (w3.org).For more information, see Web Authentication: An API for accessing Public Key Credentials - Level 2 (w3.org).

Esistono due modi per ottenere il AAGUID. È possibile richiedere la chiave di sicurezza o il fornitore del provider passkey oppure visualizzare i dettagli del metodo di autenticazione della chiave per utente.

Screenshot della visualizzazione di AAGUID per passkey.

Abilitare passkey con l'API Microsoft Graph

Oltre a usare l'interfaccia di amministrazione di Microsoft Entra, è anche possibile abilitare passkey usando l'API Microsoft Graph. Per abilitare le passkey, è necessario aggiornare i criteri dei metodi di autenticazione come Amministrazione istrator globale o criteri di autenticazione Amministrazione istrator.

Per configurare i criteri usando Graph Explorer:

Accedere a Graph Explorer e fornire il consenso alle autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod .

Recuperare i criteri dei metodi di autenticazione:

GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Per disabilitare l'imposizione dell'attestazione e applicare restrizioni chiave per consentire solo AAGUID per RSA DS100, ad esempio, eseguire un'operazione PATCH usando il corpo della richiesta seguente:

PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "7e3f3d30-3557-4442-bdae-139312178b39",

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

Assicurarsi che il criterio passkey (FIDO2) venga aggiornato correttamente.

GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Eliminare una passkey

Per rimuovere una passkey associata a un account utente, eliminare la chiave dal metodo di autenticazione dell'utente.

Accedere all'interfaccia di amministrazione di Microsoft Entra e cercare l'utente il cui passkey deve essere rimosso.
Selezionare Metodi di autenticazione> fare clic con il pulsante destro del mouse su Passkey (associato al dispositivo) e selezionare Elimina.

Per consentire agli utenti di accedere con una passkey quando accedono a una risorsa sensibile, è possibile:

Usare un livello di autenticazione predefinito resistente al phishing

O
Creare un livello di autenticazione personalizzato

I passaggi seguenti illustrano come creare un criterio di accesso condizionale basato sul livello di autenticazione personalizzato che consente l'accesso passkey solo per un modello di chiave di sicurezza specifico o un provider passkey. Per un elenco dei provider FIDO2, vedere Partner fornitori di hardware FIDO2 correnti.

Accedere all'interfaccia di amministrazione di Microsoft Entra come accesso condizionale Amministrazione istrator.
Passare a Protezione>dei metodi>di autenticazione Dei punti di forza di autenticazione.
Selezionare Nuovo livello di autenticazione.
Specificare un nome per il nuovo livello di autenticazione.
Facoltativamente, specificare una descrizione.
Selezionare Passkeys (FIDO2).Select Passkeys (FIDO2).
Facoltativamente, se si vuole limitare in base a specifici AAGUID, selezionare Opzioni avanzate e quindi Aggiungi AAGUID. Immettere gli AAGUID consentiti. Seleziona Salva.
Scegliere Avanti ed esaminare la configurazione dei criteri.

Problemi noti

Utenti di Collaborazione B2B

La registrazione delle credenziali FIDO2 non è supportata per gli utenti di Collaborazione B2B nel tenant delle risorse.

Provisioning delle chiavi di sicurezza

Amministrazione istrator provisioning e deprovisioning delle chiavi di sicurezza non è disponibile.

Modifiche dei nomi UPN

Se l'UPN di un utente cambia, non è più possibile modificare le passkey per tenere conto della modifica. Se l'utente ha una passkey, è necessario accedere a Informazioni di sicurezza personali, eliminare la passkey precedente e aggiungerne una nuova.