Matrice di autenticazione Passkey (FIDO2) con MICROSOFT Entra ID

Questo articolo offre una panoramica completa del supporto dell'autenticazione passkey (FIDO2) in Microsoft Entra ID. Descrive la compatibilità tra Web browser, app native e sistemi operativi, abilitando l'autenticazione a più fattori senza password. Sono disponibili anche considerazioni specifiche della piattaforma, problemi noti e indicazioni per il supporto di app e provider di identità di terze parti. Usare queste informazioni per garantire un'integrazione ottimale e un'esperienza utente ottimale con passkey nell'ambiente in uso.

Per altre informazioni su come accedere con chiavi di sicurezza FIDO2 in un dispositivo Windows, vedere Abilitare l'accesso della chiave di sicurezza FIDO2 ai dispositivi Windows 10 e 11 con Microsoft Entra ID.

Nota

Microsoft Entra ID supporta attualmente solo passkey associati a dispositivo archiviati in chiavi di sicurezza FIDO2 o in Microsoft Authenticator. Microsoft si impegna a proteggere clienti e utenti con passkey e prevede di supportare passkey sincronizzati per Microsoft Entra ID.

Web browser

La sezione seguente illustra il supporto per l'autenticazione passkey (FIDO2) nei Web browser con Microsoft Entra ID.

Sistema operativo	Cromo	Bordo	Firefox	Safari
Finestre	✅	✅	✅	N/D
macOS	✅	✅	✅	✅
ChromeOS	✅	N/D	N/D	N/D
Linux	✅	✅	✅	N/D
Ios	✅	✅	✅	✅
Androide	✅	✅	❌	N/D

Considerazioni per ogni piattaforma

Finestre

• L'accesso con chiave di sicurezza richiede uno degli elementi seguenti:
  • Windows 10 versione 1903 o successiva
  • Microsoft Edge basato su Chromium
  • Chrome 76 o versione successiva
  • Firefox 66 o versione successiva

macOS

• L'accesso con passkey richiede macOS Catalina 11.1 o versione successiva con Safari 14 o versione successiva perché Microsoft Entra ID richiede la verifica utente per l'autenticazione a più fattori.
• Le chiavi di sicurezza NFC (Near Field Communication) e Bluetooth Low Energy (BLE) non sono supportate in macOS da Apple.
• La nuova registrazione della chiave di sicurezza non funziona in questi browser macOS perché non richiede di configurare la biometria o il PIN.
• Consulta Accedi quando più di tre passkey vengono registrate per Safari su MacOS.

ChromeOS

• Le chiavi di sicurezza NFC e BLE non sono supportate in ChromeOS da Google.
• La registrazione della chiave di sicurezza non è supportata nel browser ChromeOS o Chrome.

Linux

• L'accesso con passkey in Microsoft Authenticator non è supportato in Firefox in Linux.

Ios

• L'accesso con passkey richiede iOS 14.3 o versione successiva perché Microsoft Entra ID richiede la verifica utente per l'autenticazione a più fattori.
• Le chiavi di sicurezza BLE non sono supportate in iOS da Apple.
• NFC con chiavi di sicurezza certificate FIPS 140-3 non è supportato in iOS da Apple.
• La nuova registrazione della chiave di sicurezza non funziona nei browser iOS perché non richiede di configurare la biometria o il PIN.
• Consulta Accedere quando vengono registrate più di tre passkey.

Androide

• L'accesso con passkey richiede Google Play Services 21 o versione successiva perché Microsoft Entra ID richiede la verifica utente per l'autenticazione a più fattori.
• Le chiavi di sicurezza BLE non sono supportate in Android da Google.
• La registrazione della chiave di sicurezza con Microsoft Entra ID non è ancora supportata in Android.
• L'accesso con passkey non è supportato in Firefox in Android.

Problemi noti

Accedere quando vengono registrati più di tre passkey

Se sono stati registrati più di tre passkey, l'accesso con una passkey potrebbe non funzionare in iOS o Safari in macOS. Se sono presenti più di tre passkey, come soluzione alternativa, fare clic su Opzioni di accesso e accedere senza immettere un nome utente.

app nativa

Le sezioni successive illustrano il supporto per l'autenticazione passkey (FIDO2) in Microsoft Entra ID per:

• Supporto delle app Microsoft con Broker di autenticazione
• Supporto delle app Microsoft senza broker di autenticazione
• Supporto di app di terze parti senza broker di autenticazione
• Supporto del provider di identità di terze parti

Supporto delle app Microsoft con Broker di autenticazione

Le app Microsoft forniscono supporto nativo per l'autenticazione passkey per tutti gli utenti che dispongono di un broker di autenticazione installato per il sistema operativo. L'autenticazione passkey è supportata anche per le app di terze parti che usano il broker di autenticazione.

Se un utente ha installato un broker di autenticazione, può scegliere di accedere con una passkey quando accede a un'app come Outlook. Vengono reindirizzati all'accesso con passkey e reindirizzati a Outlook come utente connesso dopo l'autenticazione completata.

Nella tabella seguente sono elencati i broker di autenticazione supportati per i diversi sistemi operativi.

Sistema operativo	Broker di autenticazione
Ios	Microsoft Authenticator
macOS	Portale aziendale di Microsoft Intune
Androide	Autenticatore, Portale aziendale o app di Collegamento a Windows

Supporto delle app Microsoft senza broker di autenticazione

La tabella seguente elenca il supporto delle app Microsoft per passkey (FIDO2) senza un broker di autenticazione. Aggiornare le app alla versione più recente per assicurarsi che funzionino con passkey.

applicazione	macOS	Ios	Androide
Desktop remoto	✅	✅	✅
App di Windows	✅	✅	✅
Microsoft 365 Copilot (Office)	N/D	✅	❌
Parola	✅	✅	❌
PowerPoint	✅	✅	❌
Eccellere	✅	✅	❌
OneNote	✅	✅	❌
Ciclo	N/D	✅	❌
OneDrive	✅	✅	❌
Prospettiva	✅	✅	❌
Squadre	✅	✅	❌
Bordo	✅	✅	❌

Supporto di app di terze parti senza broker di autenticazione

Se l'utente deve ancora installare un broker di autenticazione, può comunque accedere con una passkey quando accede alle app abilitate per MSAL. Per altre informazioni sui requisiti per le app abilitate per MSAL, vedere Supportare l'autenticazione senza password con chiavi FIDO2 nelle app sviluppate.

Supporto idP di terze parti

Nota

L'autenticazione tramite Passkey con un provider di identità di terze parti non è supportata nelle app di terze parti che utilizzano il broker di autenticazione, né nelle app Microsoft su Android, iOS o macOS al momento.

Microsoft Entra ID non supporta l'autenticazione passkey con un IDP di terze parti in iOS/macOS. Come soluzione alternativa, gli IDP di terze parti possono implementare la propria estensione Single Sign-On (SSO) nei dispositivi iOS/macOS se sono gestiti da Gestione dispositivi mobili (MDM).

Il framework estendibile SSO di Apple sui dispositivi gestiti da MDM permette ai fornitori di identità di intercettare le richieste di rete indirizzate ai loro URL. Quando l'estensione SSO del provider di identità intercetta una richiesta di rete, può implementare un handshake di autenticazione personalizzato. In questo modo è possibile usare un browser di sistema o api Apple native per l'autenticazione passkey senza dover apportare modifiche alle applicazioni Microsoft.

Per altre informazioni, vedere la documentazione di Apple seguente:

• Profilo di gestione dei dispositivi ExtensibleSingleSignOn
• Raccolta di API per il Single Sign-On (SSO) aziendale

Considerazioni per ogni piattaforma

Finestre

• L'accesso con chiave di sicurezza FIDO2 alle app native richiede Windows 10 versione 1903 o successiva.
• L'accesso con passkey in Microsoft Authenticator alle app native richiede Windows 11 versione 22H2 o successiva.
• Microsoft Graph PowerShell supporta il passkey (FIDO2). Alcuni moduli di PowerShell che usano Internet Explorer invece di Edge non riescono a eseguire l'autenticazione FIDO2. Ad esempio, i moduli di PowerShell per SharePoint Online o Teams oppure tutti gli script di PowerShell che richiedono credenziali di amministratore, non richiedono FIDO2.
  • Come soluzione alternativa, la maggior parte dei fornitori può inserire i certificati nelle chiavi di sicurezza FIDO2. L'autenticazione basata su certificati (CBA) funziona in tutti i browser. Se puoi abilitare l'autenticazione basata su certificati per tali account amministratore, nel frattempo puoi richiedere tale tipo di autenticazione invece di FIDO2.

Ios

• L'accesso con passkey nelle app native senza plug-in Single Sign-On (SSO) di Microsoft Enterprise richiede iOS 16.0 o versione successiva.
• L'accesso con passkey nelle app native con il plug-in SSO richiede iOS 17.1 o versione successiva.

macOS

• Su macOS, il plug-in Microsoft Enterprise Single Sign On (SSO) è necessario per abilitare il Portale aziendale come broker di autenticazione. I dispositivi che eseguono macOS devono soddisfare i requisiti del plug-in SSO, inclusa la registrazione nella gestione di dispositivi mobili.
• L'accesso con passkey nelle app native con il plug-in SSO richiede macOS 14.0 o versione successiva.

Androide

• L'accesso con chiave di sicurezza FIDO2 alle app native richiede Android 13 o versione successiva.
• L'accesso con passkey in Microsoft Authenticator alle app native richiede Android 14 o versione successiva.
• L'accesso con chiavi di sicurezza FIDO2 prodotte da Yubico con YubiOTP abilitato potrebbe non funzionare nei dispositivi Samsung Galaxy. Come soluzione alternativa, gli utenti possono disabilitare YubiOTP e tentare di accedere di nuovo. Per altre informazioni, vedere Problemi di FIDO nei dispositivi Samsung.

Passaggi successivi

Abilitare l'accesso con chiave di sicurezza senza password