Condividi tramite


Abilitare passkey in Authenticator

Questo articolo elenca i passaggi necessari per abilitare e imporre l'uso di passkey in Authenticator per Microsoft Entra ID. Prima di tutto, si aggiornano i criteri dei metodi di autenticazione per consentire agli utenti di registrarsi e accedere con le passkey in Authenticator. È quindi possibile usare i criteri dei livelli di autenticazione dell'accesso condizionale per imporre l'accesso con passkey quando gli utenti accedono a una risorsa sensibile.

Requisiti

  • Microsoft Entra autenticazione a più fattori (MFA).
  • Android 14 e versioni successive o iOS 17 e versioni successive.
  • Connessione Internet attiva su qualsiasi dispositivo che faccia parte del processo di registrazione/autenticazione delle passkey. La connettività a questi due endpoint deve essere consentita nell'organizzazione per abilitare la registrazione e l'autenticazione tra dispositivi:
    • https://cable.ua5v.com
    • https://cable.auth.com
  • Per la registrazione/l'autenticazione tra dispositivi, entrambi i dispositivi devono avere bluetooth abilitato.

Nota

Per usare una passkey, gli utenti devono installare l'ultima versione di Authenticator per Android o iOS.

Per altre informazioni su dove è possibile usare passkey in Authenticator per accedere, vedere Supporto per l'autenticazione FIDO2 con Microsoft Entra ID.

Abilitare le passkey in Authenticator nell'interfaccia di amministrazione

Un amministratore dei criteri di autenticazione deve fornire il consenso per consentire l'autenticazione nelle Impostazioni passkey (FIDO2) dei criteri dei metodi di autenticazione. È necessario consentire esplicitamente gli AAGUID (GUID di attestazione dell'autenticatore) per abilitare la registrazione delle passkey da parte degli utenti nell'app Authenticator. Non è disponibile un'impostazione per abilitare le passkey nella sezione dell'app Microsoft Authenticator della politica sui metodi di autenticazione.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

  2. Passare a Protezione>Metodi di autenticazione>Criteri del metodo di autenticazione.

  3. Nel metodo Passkey (FIDO2), selezionare Tutti gli utenti o Aggiungi gruppi per selezionare gruppi specifici. Sono supportati solo i gruppi di sicurezza.

  4. Nella scheda Configura:

    • Impostare Consenti la configurazione self-service su . Se è impostato su No, gli utenti non possono registrare una passkey usando Informazioni di sicurezza, anche se la passkey (FIDO2) è abilitata dalla policy dei metodi di autenticazione.

    • Impostare Imponi attestazione su .

      Quando l'attestazione è abilitata nei criteri passkey (FIDO), Microsoft Entra ID tenta di verificare la legittimità della passkey in fase di creazione. Quando l'utente registra una passkey nell'autenticatore, l'attestazione verifica che l'app Authenticator legittima ha creato la passkey usando i servizi Apple e Google. Ecco altri dettagli:

      • iOS : L'attestazione dell'Authenticator usa il servizio App Attest di iOS per garantire la legittimità dell'app Authenticator prima di registrare la passkey.

        Nota

        Il supporto per la registrazione di passkey in Authenticator quando viene applicata l'attestazione è attualmente in fase di implementazione per gli utenti dell'app Authenticator iOS. Il supporto per la registrazione di passkey attestati in Authenticator nei dispositivi Android è disponibile per tutti gli utenti nella versione più recente dell'app.

      • Android:

        • Per l'attestazione play integrity, l'attestazione Authenticator usa l'API Play Integrity per garantire la legittimità dell'app Authenticator prima di registrare la passkey.
        • Per l'attestazione chiave, l'attestazione authenticator usa l'attestazione della chiave da Android per verificare che la passkey registrata sia supportata dall'hardware.

      Nota

      Sia per iOS che per Android, l'attestazione Authenticator si basa sui servizi Apple e Google per verificare l'autenticità dell'app Authenticator. Un utilizzo elevato del servizio può rendere la registrazione passkey non riuscita e gli utenti potrebbero dover riprovare. Se i servizi Apple e Google sono inattive, l'attestazione Authenticator blocca la registrazione che richiede l'attestazione fino al ripristino dei servizi. Per monitorare lo stato del servizio integrità di Google Play, vedi Dashboard dello stato di Google Play. Per monitorare lo stato del servizio attestazione app iOS, vedere Stato del sistema.

    • Le restrizioni delle chiavi consentono di impostare l'usabilità di passkey specifiche per la registrazione e l'autenticazione. Impostare Imponi restrizioni chiave su per consentire o bloccare solo determinati passkey, identificati dai relativi AAGUID.

      Questa impostazione deve essere ed è necessario aggiungere Authenticator AAGUIDs per consentire agli utenti di registrare passkey in Authenticator, sia accedendo all'app Authenticator sia aggiungendo Passkey in Microsoft Authenticator da Informazioni di sicurezza.

      le informazioni di sicurezza richiedono che questa impostazione sia impostata su in modo che gli utenti possano scegliere Chiave di Accesso in Authenticator e passare attraverso un processo di registrazione dedicato per le chiavi di accesso di Authenticator. Se si sceglie No, gli utenti potrebbero comunque essere in grado di aggiungere una passkey in Authenticator scegliendo il metodo chiave di sicurezza o passkey, a seconda del sistema operativo e del browser. Tuttavia, non ci aspettiamo che molti utenti rilevino e usino tale metodo.

      Se l'organizzazione non applica attualmente restrizioni chiave e dispone già di un utilizzo attivo delle chiavi di accesso, raccogli gli AAGUID delle chiavi di accesso utilizzate. Includere tali AAGUID delle passkey con gli AAGUID degli autenticatori.

      È possibile usare uno script di PowerShell per trovare gli AAGUID utilizzati nel tuo tenant. Per altre informazioni, vedere Find AAGUIDs.

      Se si modificano le restrizioni delle chiavi e si rimuove un AAGUID consentito in precedenza, gli utenti che in precedenza avevano registrato un metodo consentito non potranno più usarlo per accedere.

    • Impostare Limita chiavi specifiche su Consenti.

    • Selezionare Microsoft Authenticator per aggiungere automaticamente gli AAGUID dell'app Authenticator all'elenco delle restrizioni principali. È anche possibile aggiungere manualmente gli AAGUID seguenti per consentire agli utenti di registrare passkey in Authenticator accedendo all'app Authenticator o passando attraverso un flusso guidato in Informazioni di sicurezza:

      • Authenticator per Android: de1e552d-db1d-4423-a619-566b625cdc84
      • Authenticator per iOS: 90a3ccdf-635c-4729-a248-9b709135078f

      Nota

      Se si disattivano le restrizioni alle chiavi, assicurarsi di deselezionare la casella di controllo Microsoft Authenticator in modo che agli utenti non venga richiesto di configurare una passkey nell'app Authenticator alla voce Informazioni di sicurezza.

    Screenshot che mostra Authenticator abilitato per passkey.

  5. Al termine della configurazione, selezionare Salva.

    Se viene visualizzato un errore quando si tenta di salvare, sostituire più gruppi con un singolo gruppo in un'unica operazione e quindi selezionare di nuovo Salva.

Abilitare le passkey in Authenticator usando Graph Explorer

Oltre all'Interfaccia di amministrazione di Microsoft Entra, è anche possibile usare Graph explorer per abilitare passkey in Authenticator. Se è stato assegnato almeno il ruolo di amministratore dei criteri di autenticazione , è possibile aggiornare i criteri dei metodi di autenticazione per consentire gli AAGUID per Authenticator.

Per configurare il criterio con Graph explorer:

  1. Accedere a Graph explorer e fornire il consenso per le autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.

  2. Recuperare il criterio di Metodi di autenticazione:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
  3. Per disabilitare l'imposizione dell'attestazione e applicare restrizioni chiave per consentire solo AAGUIDs per Authenticator, eseguire un'operazione di PATCH usando il corpo della richiesta seguente:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    
    Request Body:
    {
        "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
        "isAttestationEnforced": true,
        "keyRestrictions": {
            "isEnforced": true,
            "enforcementType": "allow",
            "aaGuids": [
                "90a3ccdf-635c-4729-a248-9b709135078f",
                "de1e552d-db1d-4423-a619-566b625cdc84"
    
                <insert previous AAGUIDs here to keep them stored in policy>
            ]
        }
    }
    
  4. Assicurarsi che il criterio della passkey (FIDO2) venga aggiornato correttamente.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2
    

Trova gli AAGUID

Usare lo script di PowerShell di Microsoft Graph GetRegisteredPasskeyAAGUIDsForAllUsers.ps1 per enumerare gli AAGUID di tutti i passkey registrati nel tenant.

Salvare il corpo di questo script in un file denominato GetRegisteredPasskeyAAGUIDsForAllUsers.ps1.

# Disconnect from Microsoft Graph
Disconnect-MgGraph

# Connect to Microsoft Graph with required scopes
Connect-MgGraph -Scope 'User.Read,UserAuthenticationMethod.Read,UserAuthenticationMethod.Read.All'

# Define the output file [If the script is run more than once, delete the file to avoid appending to it.]
$file = ".\AAGUIDs.txt"

# Initialize the file with a header
Set-Content -Path $file -Value '---'

# Retrieve all users
$UserArray = Get-MgBetaUser -All

# Iterate through each user
foreach ($user in $UserArray) {
    # Retrieve Passkey authentication methods for the user
    $fidos = Get-MgBetaUserAuthenticationFido2Method -UserId $user.Id

    if ($fidos -eq $null) {
        # Log and write to file if no Passkey methods are found
        Write-Host "User object ID $($user.Id) has no Passkey"
        Add-Content -Path $file -Value "User object ID $($user.Id) has no Passkey"
    } else {
        # Iterate through each Passkey method
        foreach ($fido in $fidos) {
            # Log and write to file the Passkey details
            Write-Host "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
            Add-Content -Path $file -Value "- User object ID $($user.Id) has a Passkey with AAGUID $($fido.Aaguid) of Model type '$($fido.Model)'"
        }
    }

    # Log and write a separator to file
    Write-Host "==="
    Add-Content -Path $file -Value "==="
}

Limitare l'utilizzo di Bluetooth ai passkey in Authenticator

Alcune organizzazioni limitano l'utilizzo di Bluetooth, che include l'uso di passkey. In questi casi, le organizzazioni possono consentire passkey consentendo l'associazione Bluetooth esclusivamente con autenticatori FIDO2 abilitati per passkey. Per altre informazioni su come configurare l'utilizzo bluetooth solo per le passkey, vedere Passkeys in ambienti con restrizioni Bluetooth.

Eliminare una passkey

Se un utente elimina una passkey in Authenticator, la passkey viene rimossa anche dai metodi di accesso dell'utente. Un amministratore dei criteri di autenticazione può anche seguire questi passaggi per eliminare una passkey dai metodi di autenticazione dell'utente, ma non rimuoverà la passkey da Authenticator.

  1. Accedi all'interfaccia di amministrazione di Microsoft Entra e cerca l'utente la cui chiave di accesso deve essere rimossa.

  2. Selezionare Metodi di autenticazione, fare clic con il tasto destro sulla chiave di sicurezza FIDO2e selezionare Elimina.

    A meno che l'utente non ha avviato l'eliminazione passkey stessa in Authenticator, è necessario rimuovere anche la passkey in Authenticator nel dispositivo.

Imporre l'accesso con passkey in Authenticator

Per consentire agli utenti di accedere con una passkey quando accedono a una risorsa sensibile, usare il livello di autenticazione predefinito resistente al phishing o creare un livello di autenticazione personalizzato seguendo questa procedura:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra come amministratore dell'accesso condizionale.

  2. Passare a Protezione>Metodi di autenticazione>Livelli di autenticazione.

  3. Selezionare Nuovo livello di autenticazione.

  4. Specificare un nome descrittivo per il nuovo livello di autenticazione.

  5. Facoltativamente, specificare una descrizione.

  6. Selezionare Passkeys (FIDO2)e quindi selezionare Opzioni avanzate.

  7. Selezionare livello di sicurezza MFA resistente al phishing oppure aggiungere AAGUID per le chiavi di accesso in Authenticator:

    • Authenticator per Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator per iOS: 90a3ccdf-635c-4729-a248-9b709135078f
  8. Selezionare Avantied esaminare la configurazione dei criteri.