Condividi tramite

Abilitare le passkey in Microsoft Authenticator (anteprima)

  • Articolo

Questo articolo elenca i passaggi necessari per abilitare e imporre l'uso di passkey in Authenticator per Microsoft Entra ID. Prima di tutto, è necessario aggiornare il criterio di Metodi di autenticazione per consentire agli utenti finali di registrarsi e accedere con passkey in Authenticator. È quindi possibile usare i criteri dei livelli di autenticazione dell'accesso condizionale per imporre l'accesso con passkey quando gli utenti accedono a una risorsa sensibile.

Requisiti

  • Autenticazione a più fattori (MFA) di Microsoft Entra
  • Android 14 e versioni successive o iOS 17 e versioni successive
  • Una connessione Internet attiva su qualsiasi dispositivo che fa parte del processo di registrazione/autenticazione della passkey
  • Per la registrazione/autenticazione tra dispositivi, entrambi i dispositivi devono avere il Bluetooth abilitato

Nota

Per usare una passkey, gli utenti devono installare l'ultima versione di Authenticator per Android o iOS.

Per altre informazioni su dove è possibile usare passkey in Authenticator per accedere, vedere Supporto per l'autenticazione FIDO2 con Microsoft Entra ID.

Abilitare le passkey in Authenticator nell'interfaccia di amministrazione

Il criterio Microsoft Authenticator non offre la possibilità di abilitare passkey in Authenticator. Per abilitare le passkey in Authenticator, è invece necessario modificare il criterio Chiave di sicurezza FIDO2 di Metodi di autenticazione.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.

  2. Passare a Protezione>Metodi di autenticazione>Criteri del metodo di autenticazione.

  3. Nel metodo Chiave di sicurezza FIDO2 selezionare Tutti gli utenti o Aggiungi gruppi per selezionare gruppi specifici. Sono supportati solo i gruppi di sicurezza.

  4. Nella scheda Configura impostare:

    • Consenti la configurazione self-service su

    • Imponi attestazione su No

    • Imponi restrizioni chiavi su

    • Limita chiavi specifiche su Consenti

    • Selezionare Microsoft Authenticator (anteprima) se la casella di controllo viene visualizzata nell'interfaccia di amministrazione. Questa impostazione popola automaticamente gli AAGUID dell'app Authenticator nell'elenco delle restrizioni delle chiavi. In caso contrario, puoi aggiungere manualmente i seguenti AAGUID per abilitare l'anteprima della passkey Authenticator:

      • Authenticator per Android: de1e552d-db1d-4423-a619-566b625cdc84
      • Authenticator per iOS: 90a3ccdf-635c-4729-a248-9b709135078f

    Screenshot che mostra Microsoft Authenticator abilitato per la passkey.

Avviso

Le restrizioni delle chiavi consentono di impostare l'usabilità di passkey specifici per la registrazione e l'autenticazione. Se si modificano le restrizioni delle chiavi e si rimuove un AAGUID consentito in precedenza, gli utenti che in precedenza avevano registrato un metodo consentito non potranno più usarlo per l'accesso. Se l'organizzazione non impone attualmente restrizioni delle chiavi e usa già attivamente le passkey, è consigliabile raccogliere gli AAGUID delle chiavi attualmente in uso. Aggiungerli all'elenco Consenti, unitamente agli AAGUID di Authenticator, per abilitare questa anteprima. È possibile eseguire questa attività con uno script automatizzato che analizza i log, ad esempio i log di accesso e dei dettagli di registrazione.

L'elenco seguente descrive altre impostazioni facoltative:

Generali

  • Consenti la configurazione self-service deve rimanere impostato su . Se impostato su no, gli utenti non sono in grado di registrare una passkey tramite MySecurityInfo, anche se abilitata dai criteri dei metodi di autenticazione.
  • Imponi attestazione deve essere impostato su No per l'anteprima. Il supporto dell'attestazione è pianificato per la disponibilità generale.

Criteri di restrizione delle chiavi

  • Imponi restrizioni chiavi deve essere impostato su solo se l'organizzazione vuole consentire o meno passkey specifiche, identificate dal GUID di attestazione di Authenticator (AAGUID). Se si desidera, è possibile inserire manualmente gli AAGUID dell'app Authenticator o limitare in modo specifico solo i dispositivi Android o iOS. In caso contrario, puoi aggiungere manualmente i seguenti AAGUID per abilitare l'anteprima della passkey Authenticator:

    • Authenticator per Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator per iOS: 90a3ccdf-635c-4729-a248-9b709135078f

Al termine della configurazione, selezionare Salva.

Abilitare le passkey in Authenticator con Graph explorer

Oltre all'Interfaccia di amministrazione di Microsoft Entra, è anche possibile usare Graph explorer per abilitare passkey in Authenticator. Gli utenti a cui è assegnato almeno il ruolo Amministratore dei criteri di autenticazione possono aggiornare il criterio di Metodi di autenticazione per consentire gli AAGUID per Authenticator.

Per configurare il criterio con Graph explorer:

  1. Accedere a Graph explorer e fornire il consenso per le autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.

  2. Recuperare il criterio di Metodi di autenticazione:

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

  3. Per disabilitare l'imposizione dell'attestazione e imporre restrizioni delle chiavi per consentire solo AAGUID per Microsoft Authenticator, eseguire un'operazione PATCH usando il corpo della richiesta seguente:

    PATCH https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Request Body:
{
    "@odata.type": "#microsoft.graph.fido2AuthenticationMethodConfiguration",
    "isAttestationEnforced": false,
    "keyRestrictions": {
        "isEnforced": true,
        "enforcementType": "allow",
        "aaGuids": [
            "90a3ccdf-635c-4729-a248-9b709135078f",
            "de1e552d-db1d-4423-a619-566b625cdc84"

            <insert previous AAGUIDs here to keep them stored in policy>
        ]
    }
}

  4. Assicurarsi che il criterio della passkey (FIDO2) venga aggiornato correttamente.

    GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/FIDO2

Eliminare una passkey

Per rimuovere una passkey associata a un account utente, eliminare la chiave dai metodi di autenticazione dell'utente.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra e cercare l'utente per cui rimuovere la passkey.

  2. Selezionare Metodi di autenticazione> fare clic con il pulsante destro del mouse su Chiave di sicurezza FIDO2 e selezionare Elimina.

    Screenshot con Visualizza dettagli per il metodo di autenticazione.

Nota

Gli utenti devono rimuovere la passkey in Authenticator anche nel proprio dispositivo.

Imporre l'accesso con passkey in Authenticator

Per consentire agli utenti di accedere con una passkey quando accedono a una risorsa sensibile, usare il livello di autenticazione predefinito resistente al phishing o creare un livello di autenticazione personalizzato seguendo questa procedura:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra come amministratore dell'accesso condizionale.

  2. Passare a Protezione>Metodi di autenticazione>Livelli di autenticazione.

  3. Selezionare Nuovo livello di autenticazione.

  4. Immettere un nome descrittivo per il nuovo livello di autenticazione.

  5. Facoltativamente, immettere una descrizione.

  6. Selezionare Passkey (FIDO2) e quindi Opzioni avanzate.

  7. Aggiungere gli AAGUID per le passkey in Authenticator:

    • Authenticator per Android: de1e552d-db1d-4423-a619-566b625cdc84
    • Authenticator per iOS: 90a3ccdf-635c-4729-a248-9b709135078f

  8. Scegliere Avanti ed esaminare la configurazione criterio.

Passaggi successivi

Supporto per la passkey in Windows